英国于 2021 年 12 月和 2022 年 1 月接连发布《2022 年国家网络战略》(NationalCyber Strategy 2022)和《2022-2030 年国家网络安全战略》(Government Cyber Security Strategy2022-2030),分析英国当前面临的网络安全风险,强调确保网络安全对其国家安全和发展的意义,提出构建网络生态应对持续变化的一系列举措,并把网络安全意识提高到文化的高度,对网络安全意识教育工作提出了更高要求。网络安全意识教育是英国多年来一直重点关注并持续加大投入的领域,其相关做法对完善我国网络安全意识教育具有一定参考和借鉴价值。
一、英国网络安全意识教育的主要做法
英国作为世界网络强国之一,一贯重视网络安全意识教育。纵观英国网络安全意识教育的开展情况,其主要做法可以归纳为以下几个方面。
(一)把提升网络安全意识作为国家网络安全战略部署实施
在国家战略文件中对网络安全理念进行阐释,是英国的惯常做法。自 2009 年发布首部《英国网络安全战略》(Cyber Security Strategy of the UnitedKingdom)以来,网络安全意识就是英国国家战略报告中的关键词之一。近年来,英国发布的网络战略文件、网络安全战略文件及国家安全战略报告,都十分重视对英国所面临的网络安全威胁来源进行详细分析,全面阐述英国关于网络空间、网络安全等核心概念的主张,宣示英国在维护自身网络安全方面追求的核心价值和遵循的基本准则,以便在全社会形成网络安全的广泛共识。
英国还在其网络安全战略中全面部署网络安全意识教育举措。《2022-2030 年网络安全战略》设置专章对“培育正确的网络安全技能、知识和文化”进行阐述,把网络安全意识培养提升到新的高度。该文件指出,“人以及组织文化是降低风险的核心所在。要真正提高网络安全水平,除了要依靠技术,更应关注人。”此外,《2022-2030年网络安全战略》还从政府职责、人才培养、网络安全文化等多个方面提出了提高各类人员网络安全意识的具体目标。
需要关注的是,英国《2022 年国家网络战略》强调将提升网络安全技能作为英国网络生态系统的重要组成部分。政府部门、企业及普通公众都是网络生态的组成部分,提升网络安全技能的前提是具备强烈的网络安全意识,在提升网络安全技能上具有强大的内在动力,自觉更新网络安全知识和技能储备,为整个网络生态系统的安全贡献各自的力量。
(二)政府部门在网络安全意识培养方面发挥主导作用
2016 年 10 月,根据当时的国家网络安全战略,英国改组设立了专门机构国家网络安全中心(NCSC),指导包括网络安全意识在内的各项网络安全工作,并在其官网开设网络安全意识专栏,宣传普及网络安全知识和技能。NCSC 认为,网络安全意识就是政府对如何确保网络安全提供的建议。英国《2022-2030 年网络安全战略》强调,政府部门工作人员应首先提高网络安全意识,掌握网络安全防护知识,在向公众提供服务的过程中体现网络安全意识,并将网络安全意识提升到网络安全文化层面。为提高公务人员网络安全意识,确保其自身以及所工作部门的网络安全,英国政府将有针对性地提供教育培训计划和建议。
为确保国家网络安全战略落地,英国政府投入大量资源,制定并实施国家网络安全计划(NationalCyber Security Programme)。国家网络安全计划非常重视宣传教育,其中,把对各部门官员进行网络安全培训、提升其网络安全意识作为重要内容,把政府员工网络安全意识培训作为提高网络攻击防护水平的重要举措。
英国还注重将网络安全意识教育覆盖到社会各领域,实现人员层次全面覆盖,除突出政府部门官员网络意识培养外,还注重网络安全专业人员的培养,加强对普通大众特别是青少年网络安全意识的培养。英国目前实施的网络生态战略举措之一,就是支持和鼓励更多人获取从事网络职业的必要技能,将采取一系列有效措施提高网络人才队伍的多样性,保证相关工作和岗位对所有人开放,并将其作为确保人尽其用,提高国家安全水平的关键任务。
(三)聚集各方面力量,共同提高全社会网络安全意识
英国一直坚持开展集中的网络安全意识宣传教育活动。自 2012 年起,每年的 10 月,英国都在欧盟网络安全月框架内开展提高全社会网络安全意识的各类活动。在 2020 年正式脱欧后,英国也依然坚持开展相关集中教育宣传活动。英国网络安全理事会认为,虽然网络安全意识教育是全年都要做的事情,但专门安排一个月开展活动确有必要。平常工作中交流接触较少的各机构,在特定的几周共同工作,能别出心裁、打破常规,开展一些有别于日常工作的活动,取得更大成效,同时也为网络安全厂商推广其产品和服务创造了良好时机。在网络安全月活动期间,政府除了发挥主导作用外,也重视与私营部门合作,支持各类非政府组织、网络安全公司提供服务,例如邀请私营部门开展网络安全讲座、协办网络安全技能大赛等。此外,英国有专门的企业为政府部门、公私机构提供提高网络安全意识的专门培训。
政府部门加强指导企业网络安全意识培养,助力数字经济转型。发展数字经济的前提是确保网络安全。英国政府鼓励并希望更多的人使用数字服务,同时努力向个人和企业宣传数据泄露的风险。为了在数字经济时代抢占发展先机,英国政府非常重视对企业特别是中小企业的数字化转型的指导,帮助这些企业提高网络安全防护水平,其中,提高中小企业员工网络安全意识一直是政府帮扶的重点内容。
(四)持续加大对网络安全专业人才培养的投入
网络安全意识以网络安全能力为基础和前提。英国政府认为,网络安全意识的提高依赖网络安全专业人才,需要将人才培养纳入国家网络安全战略。2011 年版《英国网络安全战略》(The UKCyber Security Strategy)提出,要加强网络安全教育和培训,建立网络安全专业人才队,满足政府和企业提高网络安全能力所需的技能和专业知识。英国《2016-2021 年网络安全战略》(National CyberSecurity Strategy 2016-2021)提出,要大力培养和持续提供优秀的本土网络安全人才,解决网络安全专家和青少年人才短缺的问题,满足公私部门的网络安全技能需求。
在上述战略文件指导下,英国将网络安全纳入全民教育培训体系,并持续进行调整改进,满足行业和政府不断变化的需求,例如鼓励企业加强员工培训,推动行业与学术界、专业机构和行业协会合作,构建多元化的职业岗位和培训途径,建立技能咨询小组,支持长期战略的制定等,培养了大批网络安全人才,为保证英国网络安全和提高网络安全意识提供了较为充分的人力资源支持。《2022-2030年政府网络安全战略》进一步提出,政府要继续加大网络安全人才培养,并将设立国家网络安全学院,进一步提高网络安全人才培养水平。
英国特别重视青少年网络安全人才培养储备,不断推出针对青少年的教育培训项目和计划,用于储备国家网络安全建设发展所需的网络安全专业人才。例如,英国启动网络校园项目,面向 14 至 18岁的青少年开设为期 5 年的网络安全课程,以提升青少年的网络安全意识和技能;施行“网络第一”计划,邀请 11 岁至 17 岁的青少年参加网络安全挑战赛等赛事,以便发掘具有潜力的人才,培养下一代网络安全专家。这些活动既为英国储备了大量网络安全人才,也极大提高了青少年的网络安全意识。
二、英国网络安全意识教育的成绩及存在的问题
在政府部门的主导下,通过持续开展各类宣传教育活动,英国网络安全教育取得了较为突出的成绩。但是,英国也深受各类网络安全问题的威胁和破坏,这也从一个侧面暴露出其网络安全意识教育也存在一些不足。
(一)取得的主要成绩
作为世界网络强国之一,英国多年来一直致力于加强其网络安全,并把提高全民网络安全意识作为重要工作内容。根据国际电信联盟 2021年发布的《全球网络安全指数》报告,在涉及网络安全意识能力发展措施评价指标方面,英国得到满分 20 分,高居排行榜第二名。英国在网络安全意识教育方面取得的成绩可以归纳为以下几个方面。
一是网络安全意识教育实现了机构和人员全覆盖。政府部门、公益机构、私营公司、教育机构等社会各部门都在网络安全意识教育的覆盖范围之内。上述机构的人员、普通民众都有参与各类活动提高网络安全意识的机会和渠道。
二是集中宣传教育活动形式丰富、效果显著。近 10 年来,英国每年安排一个月的时间,专门开展网络安全意识培训活动,吸引各类主体积极参与,对普及网络安全知识和提高网络安全意识发挥了重大作用。
三是青少年网络安全意识教育卓有成效。通过吸引青少年参加网络安全教育活动,既提升了青少年自身的网络安全意识,也为英国网络安全人才培养储备了人才。
(二)存在的主要问题
虽然英国的网络安全意识教育工作成绩有目共睹,但其网络安全状况也面临不少挑战,也是世界上遭受网络攻击最多的国家之一。例如,2021 年 5月,爱尔兰卫生服务管理局遭到勒索软件攻击,导致医疗系统一度中断。英国在网络安全意识教育方面还存在一些短板,有待进一步改善。
一是部门职责有待进一步厘清,跨部门合作还不够顺畅。英国 NCSC 全面负责包括提升网络安全意识在内的网络安全工作,但国家网络安全计划又把提升网络安全意识的相关经费拨给了英国数字、文化、媒体和体育部(DCMS)。两个部门之间在网络安全意识教育方面的职责如何划分,如何有效进行合作,还缺乏具体明确的规定和指导。英国国家审计署发布的《2016-2021年国家网络安全计划进展》(Progress of the 2016-2021 National Cyber Security Programme)报告指出,DCMS 未能准确理解计划的要求,无法在 2021 年达成既定的战略目标。
二是集中宣传教育与常态化宣传教育需要有机结合。有英国研究者认为,虽然网络意识集中宣传教育活动内容丰富、形式多样,但对人们的行为所产生的影响并不大,并没有达到预期效果。英国政府近期也认识到这一问题,并在其《2022 年国家网络战略》中提出,要改变以往政府完全主导模式,调动各方面积极性,以更具持续性和多样化的方式开展网络安全意识教育活动。
三、对我国完善网络安全意识教育的几点启示
网络安全是网络强国建设的基础,没有网络安全就没有国家安全。近年来,我国把网络安全提升到国家安全层面认识,持续加大网络安全教育宣传力度,特别是每年举办的国家网络安全宣传周,营造了网络安全人人有责、人人参与的良好氛围,对提高全社会网络安全意识发挥了重大作用。与此同时,我国面临的网络安全形势依然严峻。网络强国建设目标的实现,需要汲取各方面经验教训,进一步增强全民网络安全意识。
(一)区分层次对象,实现网络安全意识教育全覆盖
网络安全意识教育需要覆盖到各层次人员,并分类施策,切实提升全民网络安全意识。
首先,政府工作人员应作为宣传教育的重点。随着各类政务系统的普及应用,政府部门掌握大量数据和个人信息,网络安全风险日益突出,一旦发生网络安全问题,造成的损害难以估量。为确保网络安全和各类数据安全,必须突出抓好政府部门工作人员的网络安全意识,切实提高防护意识和防护技能。
其次,提高普通民众网络安全意识,在全社会形成关注网络安全的良好氛围。在开展全民网络安全教育的过程中,需要根据受众的实际情况,区分不同层次,开展精准化的教育培训,让网络安全意识教育取得实效。
(二)加强统筹指导,丰富网络安全意识教育形式手段
国家网信部门要统筹好集中宣传教育和常态化宣传教育活动,在进一步做好网络安全宣传周品牌的同时,还要加强常态化网络安全意识宣传教育,做好活动统筹衔接,指导各类活动有序开展。
一是政府部门内部之间要加强统筹协调。可结合不同部门业务领域,在网信部门指导下,开展更具场景化的宣传教育活动。例如,金融监管部门可结合其工作领域,设置手机银行等特定场景,通过情景演示,开展更具针对性、形式手段更加丰富的网络安全教育,增强教育互动性,更有效地提升受众网络安全意识水平和网络防护能力。
二是要调动各方面积极性,鼓励各类社会力量积极共同参与网络安全意识宣传教育活动,更好地满足各类主体的不同需求。特别是网络安全公司、大型平台企业,要承担更多社会责任,利用自身技术优势,为用户提供形式多样的网络安全意识教育培训活动。
(三)突出工作重点,加强青少年网络安全意识培养和人才储备
成长于网络时代的青少年在学习、工作、生活各方面都对网络有更大的依赖,需要安全清朗的网络环境为其成长成才提供保障。
一方面,要进一步推进网络安全进校园活动,以青少年喜闻乐见的形式,帮助他们养成良好的网络使用习惯,树立正确的网络安全观,提高其网络防范意识和水平,自觉抵制不良信息,杜绝网络成瘾,提升网络安全意识。
另一方面,要培养青少年对网络安全事业的兴趣,引导他们主动承担网络安全责任。网络安全的竞争归根到底是人才的竞争。为储备更多网络安全人才,可以区分不同年龄层,开展适合不同学龄阶段的青少年参加各类网络安全竞赛活动。这些活动在提高青少年网络安全意识的同时,也能引导其从事网络安全行业的志向,为我国网络安全和网络强国建设事业提供人才储备。
作者 海军航空大学 陈伟
(本文刊登于《中国信息安全》杂志2022年第1期)
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/21369.html