3.1 网络安全意识基本概述

随着国家“网络安全宣传周”活动的大力推进，网络安全意识成为人们日常生活中较为常见的短语，加强网络安全意识教育得到人们广泛的认可和支持。虽然大家都知道应该提高个人网络安全意识，但是很多人对提升什么，如何提升，效果如何检验却很难作出回答，甚至对于网络安全意识的基本概念都不甚了解。

中国信息安全认证中心的张剑等[2]对网络安全意识做了基本的定义，他认为网络安全意识是指人们能够认识到可能存在网络安全风险的敏感度，执行网络安全行为规范的符合程度，以及响应网络安全事件的灵敏程度，即网络安全意识主要包含认知要素和行为要素。

对网络安全意识的概念从信息安全防护角度进行解释是最贴近本质的方法，所以才有PPB（Perception、Protection、Behavior）理论，即网络安全意识理论。该理论中包含对网络安全威胁的认知、维护网络安全的知识技能，以及有效的操作行为。网络安全意识[3][4]是指人们在网络空间活动中为了保障个人、机构或国家的信息、财产安全而具备的一种发现潜在风险，判断其危害性并及时预防或控制该种风险的能力。网络安全意识的具体表现同个人具有的网络安全知识和技能水平不存在必然联系，即某人可能具备高水平的网络安全知识和技能，但在网络安全防范过程中并没有表现出相应的网络安全意识水平。所以，网络安全意识测评要从知识、技能和模拟实测三个方面同时着手，培训教育也要从加强网络安全知识和技能，进行网络安全事件的处置和恢复等多个角度共同促进。读者在学习网络安全意识相关内容时，不应狭义理解为基本常识，而应该是广义的网络安全素养，网络安全知识和技能等的综合体。

根据上述定义，可将网络安全意识教育理解为，通过考试、测评、培训等手段提高受教育者网络安全意识的活动，旨在加强受教育者对网络安全相关知识的掌握，提高发现、判断、处理安全威胁的能力。因此，网络安全意识教育一般分为网络安全考试、网络安全测评和网络安全培训三大模块。

网络安全考试是目前针对网络安全意识中知识内容量化分析最多的方法，通过试卷等工具判断被测人对网络安全相关知识和技能的认知情况。但是由于网络安全相关知识极其庞杂，目前又缺乏相对系统的体系，使得通常考试的内容无法准确量化被测人的意识状态。

网络安全测评是指通过网络攻防对抗、仿真场景演练和威胁情报分析等手段对被测人的网络安全素养进行客观的测量与科学评价。由于缺乏知识体系的支撑，测试者通常采用简单攻防对抗或者数据分析等测评手段，无法基于知识体系对测试结果做出细粒度的、定量的风险评估。

网络安全培训是指通过科学的方法提高人员网络安全素质和能力而实施的有计划、有系统的培养和训练活动。通常是根据知识体系，按照划分标准，分门别类系统教学，以达到查漏补缺、补齐短板的效果。就现状来看，国内外培训的内容大多既单独割裂又交叉混合，知识点的分类学习很不系统。关于教育培训方式，对于普通公民而言大多采用的是网站知识教育，有条件的可能参加过社区或政府相关部门组织的网络安全培训等；对于学生或机构职工而言，往往通过讲座的形式被动接受网络安全教育。我国网络安全调研报告数据显示，我国网络安全培训教育的实际反馈效果并不理想。