點擊上方「藍字」,發現更多精彩。
建立能夠評測內部人員網絡安全意識的標準和指標體系,會有效促進內部網絡安全意識提升。
網絡安全意識測評主要方法有以下幾種:問卷調查、在線測試以及試卷考試、基於遊戲模式進行測試、基於攻擊情景模擬的測試方法。
一、需要建立網絡安全意識評價標準和體系
網絡安全意識,即網絡空間的安全意識。全民網絡安全意識的提升事關國家網絡空間安全和人民切身利益。在國家基礎設施保護、加強網絡文化建設、打擊預防網絡恐怖和網絡犯罪、完善網絡治理、提高網絡防禦能力、加強網絡安全人才建設、提高全民網絡安全意識等戰略任務中,人的網絡安全意識是極其重要的因素,也是明確的戰略任務。
我國雖然已經意識到網絡安全意識的重要性,但因起步較晚,相關技術標準仍然處於空白。《網絡安全法》第六條明確指出「採取措施提高全社會的網絡安全意識和水平,形成全社會共同參與促進網絡安全的良好環境」,但在人員及組織等群體性的網絡安全意識的評價指標和方法上,還沒有具體細則,亟需重點研究。
建立一個能夠評測內部人員網絡安全意識的標準和指標體系,會有效促進內部網絡安全意識提升,從而為我國社會各個業務領域的網絡安全意識測評、教育提供指導和參考,以便從人員網絡安全意識管控角度降低信息安全保障體系的網絡安全風險,減少網絡資產損失,構築全民網絡安全防線。
二、網絡安全意識評價方法概述
國內外現有網絡安全意識測評多是以達到網絡安全意識普及和教育為目的來進行,主要方法有以下幾種:問卷調查、在線測試以及試卷考試、基於遊戲模式進行測試、基於攻擊情景模擬的測試方法。下文將對這幾種測評方法進行詳細的論述。
(一)問卷調查方法
2006年,安格魯阿山帝黃金礦業公司為了測量員工信息安全意識水平,用AHP法構建了信息安全意識評價指標體系,將信息安全意識分為知識、態度和行為三個維度,並根據該指標體系編制了一組包含有35個題項的測試量表,對員工的信息安全保密意識水平進行了調查分析。通過對測量結果進行統計分析,並以二維圖的形式,展示被測者信息安全保密意識及其各二級指標特質水平。
國內用問卷調查方法進行網絡安全意識測評研究,比較具有代表性的是360公司在2017年10月份發布的《中國網民網絡安全意識調研報告》,針對網民的上網安全感、安全知識的關注與學習、上網安全意識與習慣、網絡詐騙防範意識、網絡詐騙心理影響、網絡詐騙受害者的個體因素等方面,通過問卷調查的方法,以網民自我評價為主要手段,對中國網民的網絡安全意識進行調研,通過問卷調查所得數據進行結果分析。
李克斯特五點量表測量法在問卷調查中的運用也很有代表性。如第四軍醫大學網絡中心的網絡安全素養測評研究團隊的研究中,以信息安全保密素養評價指標體系為準則,從指標體系的四個維度出發,按照內部一致性較佳的李克斯特五點法編寫了測量表,共包含28個題項,均已通過多次實驗,完成了因素分析和信度分析。可說明被測者對其信息安全保密素養高低水平的自我感知情況,可以反映被測者信息安全保密素養的整體水平。
(二)在線測試及考試方法
由於實行方法簡單,易定量測評,可操作性強等優點,在線測試和組卷考試是現有的網絡安全意識測評中運用最普遍的一種方法。
歐美的許多大學如亞利桑那大學、加州理工大學、加利福尼亞大學、休斯頓大學等每年會對師生進行信息安全意識在線培訓,學生需在特定的時間內完成在線測驗。未能按時完成的學生將不能訪問特定的在線資源,順利完成且表現突出者,即可參與月度的安全意識競賽及國家的網絡安全意識競賽,優勝者可獲得相關證書及有趣的禮物等。
英國的勞埃德TSB銀行在其官網上設有安全欄目,欄目下設11個主題,其目的是讓銀行用戶關注日常所遇到的信息安全問題以及遇到此類問題該如何保護自己:如網絡釣魚、身份盜竊、社交網絡等,使用戶在使用銀行業務中體驗儘可能的安全。其中有一個在線的信息安全意識小測驗,用戶可進行在線測試,若某一道題回答錯誤,則會提醒用戶錯誤之處及正確的做法。
馬來西亞理工大學在2009年對中學教師和學生的信息安全意識水平展開了研究,基於ABC模型構建了一套信息安全意識水平評估模型,將信息安全保密意識分為知識、行為和態度三個維度。同時開發了一套信息安全意識水平的測量工具ISATS(Information Security Awareness For Teacher And Student Tool),該測評工具由教師測驗模塊、學生測驗模塊、測試結果展示模塊和測試水平分析模塊四大功能模塊組成。馬來西亞理工大學於2012年又進行了一項研究,測量銀行職員信息安全意識水平。此項研究同樣利用ABC模型作為理論基礎,將銀行職員分為三類,高級管理人員、行政人員、最終用戶。每個職員的信息安全意識分為三個維度,知識、態度和行為,每個維度下分有七個層面,分別為使用網際網路、電子郵件、密碼、保護敏感數據、遵守銀行規章、報告安全隱患、物理安全。
(三)基於遊戲模式的測試方法
2005年,美國海軍研究生院發布了一款美國政府版本的CyberCIEGE,這是一款旨在支持計算機和網絡安全教育和培訓的視頻遊戲。這個遊戲是一個高度可擴展的遊戲,運行在一個獨立的計算機系統用於實際教學。遊戲基於不同的場景,用戶需要採取特定的行動來學習威脅和獲取知識,以防止和減輕威脅。這些場景包括:停止蠕蟲、使用宏、身份盜竊、密碼、物理安全、補丁、過濾器、加密連結和身份管理等主題。玩家在CyberCIEGE虛擬世界中受到黑客、破壞者和潛在的專業人士的攻擊,用戶需要構建和配置必要的計算機網絡,操作和保衛他們的網絡,觀察他們選擇的後果。
一些研究人員於2011年提出了一個由社交網站發起的互動遊戲,旨在提高人們對信息安全威脅和漏洞的認識。其目的是展示虛擬工具在網絡意識創造中的有效性。該遊戲在設計過程中,將影響用戶使用系統行為的原因進行分析與研究,並建立用戶行為塑造結構圖。
(四)基於攻擊情景模擬的測試方法
更有效的測試方法,是從攻擊者的角度出發,對影響信息安全的因素進行全面的檢查,並對其進行識別,以發現和消除漏洞。對於成功的安全性測試,必須考慮影響信息系統安全性的因素的權重,並開發針對不同系統的不同場景。為安全測試開發的場景將根據所使用的技術、用戶的信息級別、所需的信息安全級別以及信息安全組件的特徵不同而不同。除了技術測試之外,還必須進行非技術測試,以受控的方式識別信息安全違規行為。
社會工程測試是此類非技術測試中最重要的測試。海德納古是世界上第一個社會工程框架(www.social-engineer.org)的主要開發者,與BackTrack(www.backtrack-linux.org)安全團隊一起參與了各種類型的安全項目。他提出了一種基於攻擊情景模擬的實踐測試方法,利用社會工程學手段對需要網絡安全意識培訓的企業和個人進行測試和教育,並在其著作《社會工程·安全體系中的人性漏洞》以及《社會工程·防範釣魚欺詐》書中,詳細介紹了運用釣魚郵件等社會工程學手段進行測試培訓的方法。
美國哥倫比亞大學設計了一套模擬郵件釣魚攻擊的網絡安全意識測評系統,旨在通過發現單位或組織中的個人漏洞而衡量組織安全水平,而不是僅靠硬體防禦技術。哥倫比亞大學在一年實驗過程中,從其大學中隨機挑選了4000名學生、員工以及教員,使用各種各樣的釣魚郵件來測試用戶的脆弱性,當用戶成為其虛假釣魚攻擊受害者並被告知後,用戶就可以進行學習並改變他們的行為。
「了解你的敵人」的蜜網項目提供了關於釣魚的實際信息,並利用了德國蜜網項目和英國蜜網項目收集的數據。其討論了網絡釣魚者所使用的各種技術和工具,提供了三種實證研究的實例,即利用蜜網捕獲真實世界的釣魚攻擊。它還指定了垃圾郵件發送者在自動化電子郵件地址中使用的各種惡意軟體,以便在欺騙用戶時生成真實的電子郵件。
(五)網絡安全意識測試方法比較
對常用網絡安全意識測試方法,分別從運用普及率、展開測試工作量、測試準確率、詳細優勢以及劣勢等角度進行比較和判別,總結如表所示:
從圖表中可以看出,問卷調查以及在線測試組卷考試的測試方法考察較為全面,運用較為簡易,但劣勢也很明顯,在針對網絡安全意識方面的測試中,其方法在測試結果方面可能存在較大偏差,受不定因素影響較大。而基於遊戲模式的測試方法,對於設計系統難度較大,交互要求高並且操作較為複雜,劣勢同樣明顯。基於攻擊情景模擬的測試方法是近些年為了對網絡安全中人的風險漏洞進行防禦而新興的一種測試方法,其可以準確反映被試者的真實情況,對被試者有一個準確的測評判斷,而該方法在操作方面較為複雜,並且在測試方法的科學性系統性方面還有待提高。綜上所述,如何建立一個科學有效、綜合應用多種測評方式、操作便捷的攻擊情景模擬測試系統仍是需要研究的重點內容。
(本文刊登於《中國信息安全》雜誌2020年第9期)