在提升安全信息意识方面我们可以借鉴和学习欧美国家好的经验。本文将介绍欧美国家在信息安全意识宣传与研究方面所取得的一些进展。欧美国家在信息安全意识宣传与研究方面采取了多种形式和媒介，值得推介的是EDUCAUSE/Internet2 Computer Network Security Task Force 和 National Cyber Security Alliance共同举办的计算机安全视频比赛，以及欧盟在提升人们信息安全意识方面所做的调查与总结。

　　作为美国大学信息安全意识宣传的重要组成部分，EDUCAUSE/Internet2 Computer Network Security Task Force 和 National Cyber Security Alliance共同举办的计算机安全视频比赛迄今为止已经举办了两届。 参赛作品的制作和演出都由高校学生负责， 获胜者的作品将会刊登在EDUCAUSE的网站上，并用于大学校园宣传计算机安全意识的系列活动中。

　　欧美信息安全机构介绍

　　1. EDUCAUSE美国高校教育信息化协会，是一个非营利组织，旨在通过推动IT技术的智能化应用进一步促进高等教育的发展。目前共有来自2200多所高等院校、教育机构（包括250家企业）的17000名正式会员。

　　2. Internet 2 是由300多个组织，包括美国大学与工业领域以及政府共同合作的机构， 目的在于为研究机构和高等教育发展配置先进的网络应用软件和工艺技术，共同促进下一代互联网技术的创造力。

　　3. EDUCAUSE/Internet2 Computer Network Security Task Force是EDUCAUSE/Internet2计算机与网络安全任务组，由EDUCAUSE和下一代互联网（Internet2）组建的，其主要职能是积极发展和推动重要IT资产和基础设施保障方案的有效实践，进一步提升高等教育领域的信息安全与隐私保护。

　　4. National Cyber Security Alliance美国国家计算机网络安全联盟，是一个来自安全、非营利性组织、教育院校和政府部门的专家联盟，并致力于为个人用户、小型企业和教育团体提供网络安全服务。其使命是为防范计算机网络犯罪和恶意攻击提供必要的知识和手段，建立计算机信息安全文化和安全意识。

　　5. 在欧盟，ENISA（European Network and Information Security Agency欧洲网络与信息安全局）正着力于为欧盟成员国提供高水平、更有效的计算机网络和信息安全方面的服务。作为提供专业知识的权威机构，ENISA使得欧盟成员国之间更好地分享和利用信息。

　　美国信息安全意识视频大赛

　　在2006年1月举办的首届美国年度高校信息安全意识视频大赛中，包括纽约大学、佛罗里达大学在内，全美有17所大学总共62部作品参赛。大赛主要评选两类宣传计算机安全意识的作品：可以是描述一系列安全话题的短片或专注于某个安全问题的专题片。在泛题类和专题类两大类中脱颖而出的六部作品将能得到丰厚的奖励，分享总额高达4600美元的奖金。获奖作品必须是富有创造力，内容丰富，质量上乘，能够充分传递信息安全的重要性。 最终，来自Savannah College 美术设计专业的作品《高速公路安全》勇夺泛题类第一名。

　　此次比赛的负责人Rodney Petersen 发表谈话的时候说：“如何预防跟计算机相关的安全问题是摆在高等教育面前的一大难题。 作为此次比赛的一部分， 我相信这些优秀的参赛作品将会在教育学生们如何提高信息安全意识上起到积极作用， 这也将是一次全面提升他们理论知识的难得机会。”

　　2007年举办的第二届比赛，引入了媒体的宣传优势——美国探索频道（ResearchChannel）加入了承办方。本届参赛作品的类别有所不同， 参赛作品可以是一段2分钟指导性或教育性的视频，或者是一段30秒公众服务宣传片。比赛规模也有所扩大，组委会共收到来自24所高校的56部

　　参赛作品， 从提交的作品反映出美国学生对于信息安全的重视。在奖金方面，除保留上届比赛的奖金外，该次比赛在两个类别的项目中各增设5个优秀奖，来鼓励和激发学生们参与活动的热情。

　　原定在2008年举行的比赛将推迟到2009年，举办机构增加了CyberWATCH（Cyber Security: Washington Area Technician and Consortium Headquarters），并且新一届比赛还增设了信息安全意识宣传海报的评选。提交作品的最后期限是2009年4月30号。

　　欧盟信息安全意识调查报告

　　在欧盟，ENISA委托普华永道做的Information security awareness initiatives: Current practice and the measurement of success调查报告，帮助大家了解欧盟信息安全意识宣传的方法与途径。这份报告调查并分析了欧盟中的组织和政府是如何看待信息安全意识和评价其影响。

　　报告从计划阶段开始，就要从以下方面搜集和制定计划书：信息安全政策、整体的策略、可供参考的商业案件、风险评估、预算资金、所要达到的目标以及相关的法律文件。在计划阶段，关键的因素在于对制定计划的执行力、涉及面是否涵盖整个商业模块、调查的样本、是否有足够的人力物力处理好文化上的差异。报告主要包含以下三方面的内容：

　　第一部分，关注信息安全意识的重要性以及为受访者设定特定的题目。主要的研究结果有：

　　（1）超过五分之四的受访者认为信息安全应该被摆在非常重要的地位；

　　（2）大部分受访者认为有必要跟客户保证他们的敏感数据是受到保护的，盗窃身份的个案是值得关注的话题；

　　（3）受访者广泛认同他们越来越依赖于信息技术，特别是互联网的应用；

　　（4）受访者一致同意对于员工的信息安全最重要的是电子邮件、物理连接和用户密码；

　　（5）即时消息与“清理桌面政策”是最不受关注的主题。

　　第二部分，考虑如何提升信息安全意识的方法和细节。主要的研究结果有：

　　（1）几乎所有的受访者都通过员工手册或者颁布通告为他们的公司或者政府机构制定了信息安全相关的政策，85%的受访者在网上建立了独立网站指导员工如何处理信息安全问题。这些措施看上去不需要花费太多成本，但对于改变员工的行为没有收到很好的效果。

　　（2）受访者认为培训是最有效的途径，其中72%的受访者表示会将信息安全纳入到新入校学生和新员工的培训当中。为新生或入职员工提供培训是非常有必要的，但很多受访者都不太愿意付这笔帐。

　　（3）大约一半受访者正在使用基于计算机的在线培训，三分之二的受访者已经正式将其列入培训手段，被提及到的优点是能够节省资金，准确地传授培训内容，而且能够评估培训结果。

　　（4）虽然信息安全被提到重要的地位，许多受访者认为仍然很难证明提升信息安全意识所带来的效益，只有三分之一的受访者建立了正式的案件体系以证明这笔开销。尽管如此，绝大多数的受访者会把信息安全意识培训作为一项长期工作，他们认为这是一笔日常的支出，而不能理解为是一项投资。

　　报告的最后一部分，回顾并评价在主动提升信息安全意识所用到的方法和途径。主要的研究结果有：

　　（1）调查者使用了各种各样的方法评价哪些途径能有效地主动提升信息安全意识，在哪种是最有效的途径这个问题上仍然没有共识，但可以肯定的是现在的研究调查正往积极的方向发展。

　　（2）从理想的角度来说，受访者们都希望有办法可以评价信息安全培训给员工的日常行为带来哪些真正的改变，实际上，只有少数的受访者能够感受到这一点。

　　（3）绝大多数的评价信息来源于审计部门（无论是内部还是外部），三分之二的受访者会根据审计报告采取相应的措施，因此，审计人员能否客观真实地对待审计报告将是至关重要的。

　　ENISA认为，每个组织或者政府需要根据现状找到合理的方案提升信息安全意识，没有一成不变的解决方案。通过建立KPI（关键绩效指标）报告以及制定相应的规章政策，能够有效地洞察一系列的计划带来的影响，在做好这些以后，体现在实际的变化中将是个人从被动的服从转变为受益方。

　　信息安全的主题是不断发展变化的，但是正如ENISA在一份题为《提高信息安全意识 (Awareness Raising) 》的文件中指出的：“大量的研究报告表明，在所有的信息安全系统框架中，人这个要素往往是其最薄弱的环节。只有革新人们陈旧的安全观念和认知文化，才能真正减少信息安全可能存在的隐患。” “具备高度信息安全意识的个人和有效的安全措施，被视作信息系统和网络安全的第一道防线。因此，信息安全体系的所有参与者，包括信息技术业内人士，与信息安全攸关的利益方，以及信息系统的最终用户群乃至用户个体，都应担负起提高安全意识，维护信息安全的责任。”

　　(作者单位为中山大学信息与网络中心)

本文出自：《中国教育网络》2008年7月刊