實現(xiàn)善用自律降低信息安全威脅的舉措

何秉姣

（中南民族大學，湖北 武漢430074）

實現(xiàn)善用自律降低信息安全威脅的舉措

何秉姣

（中南民族大學，湖北 武漢430074）

健全的法律和先進技術工具對網(wǎng)絡信息受到攻擊的程度并沒有降低，因為人是主要的因素，據(jù)此指出信息安全管理者必須了解人性，并進一步提出從優(yōu)化信息安全策略層面和實際管理工作中認識人性的自律，并善加利用，能大大降低網(wǎng)絡信息安全的威脅。

自律；網(wǎng)絡信息；信息安全；威脅

一、引言

信息是交流的工具，是智慧的源泉，是財富，所以，維護信息安全勢在必行。上到國家已經(jīng)制定了很多針對維護信息安全的法律，下到企業(yè)不僅從企業(yè)規(guī)章制度，而且從科學技術雙管齊下，力圖保障計算機網(wǎng)絡的信息安全，發(fā)揮它應有的價值。但大量的資料顯示，信息受到的攻擊正在逐年增加[1]。本文在一定研究的基礎上提出：善用自律是維護信息安全，降低安全威脅的有效途徑。

二、日益健全信息安全法和先進技術與現(xiàn)狀的矛盾

（一）日益健全的信息安全法和日新月異的先進技術

美國的《信息自由法》、《偽造訪問設備和計算機欺騙與濫用法》、英國的《數(shù)據(jù)保護法》、加拿大的《個人隱私法》等法律都是為維護信息安全而制定的。我國十分重視信息化法制建設，并運用法律手段保障網(wǎng)絡系統(tǒng)安全，促進信息網(wǎng)絡的健康發(fā)展。從1994年國務院147號發(fā)布《中華人民共和國計算機信息系統(tǒng)安全保護條例》開始，國務院與相關部委陸續(xù)發(fā)布了《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《商用密碼管理條例》、《計算機病毒防治管理辦法》、《互聯(lián)網(wǎng)信息服務管理辦法》等多部法規(guī)文件，最近人大常委會通過了《中華人民共和國電子簽名法》。隨著信息安全的需要相應的法律也會越來越健全[2]。

先進技術是信息安全的根本保障。用戶須首先對安全威脅進行風險評估，根據(jù)評估報告和所需的安全級別決定其需要的安全服務種類，選擇相應的安全機制，然后集成先進的安全技術，最后還要定期升級相關的技術。先進技術日新月異。從計算機硬件維護、軟件安全技術，到計算機病毒防治、數(shù)據(jù)加密壓縮、網(wǎng)站安全和防火墻等先進技術安全保障。

（二）網(wǎng)絡信息不安全的現(xiàn)狀

計算機信息系統(tǒng)也是一個網(wǎng)絡系統(tǒng)。計算機信息系統(tǒng)面臨的安全威脅主要是計算機網(wǎng)絡面臨的安全威脅。計算機網(wǎng)絡所面臨的威脅包括網(wǎng)絡中信息的威脅和對網(wǎng)絡中設備的威脅。影響計算機網(wǎng)絡的因素有很多，這些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非認為的；還可能是外來黑客或內(nèi)部人員 （包括信息系統(tǒng)的管理者、使用者和決策者）、特殊身份人員（具有特殊身份的人，比如審計人員、稽查人員、記者等）、外部黑客及組織、競爭對手、網(wǎng)絡恐怖組織等。

卡巴斯基實驗室安全網(wǎng)絡（KSN）發(fā)布了《2010年第一季度信息安全威脅報告》。報告顯示，在全球不同國家，共計發(fā)生327,598,028次惡意程序試圖感染用戶計算機的行為，同上一季度相比，總體增長26.8%。報告統(tǒng)計中國依然是“最易遭受網(wǎng)絡攻擊的國家”?？ò退够謩e統(tǒng)計了互聯(lián)網(wǎng)上最常見惡意軟件家族和漏洞威脅。在2010年第一季度，卡巴斯基實驗室在用戶計算機上共檢測到12,111,862個未修補的漏洞。同上一季度相比，增長了6.9%。排名前十位的漏洞中，有六種來自微軟的軟件產(chǎn)品，有九種可以被網(wǎng)絡罪犯用來獲取系統(tǒng)的安全控制權?？梢?保護計算要及時安裝漏洞補丁[1]。

在國內(nèi)，根據(jù)CNCERT周報報道，“依據(jù)CNCERT抽樣監(jiān)測結(jié)果，境內(nèi)被木馬控制的主機IP地址數(shù)目為69873個，境內(nèi)被僵尸網(wǎng)絡控制的主機IP地址數(shù)目為6471個，境內(nèi)被篡改政府網(wǎng)站數(shù)量為145個。雖然CNCERT給出的安全態(tài)勢是“良”，但是依然有眾多的政府網(wǎng)站被篡改，眾多的主機被控制。正是信息系統(tǒng)的如此不安全，造成了全世界的經(jīng)濟損失每年高達上千億美元，許多發(fā)達國家每年損失幾百億美元，還有無法用經(jīng)濟數(shù)字來評價的巨大安全隱患。

美國國土安全部一項最新研究顯示，大部分黑客入侵事件都是由于計算機使用者的人為因素造成的。在研究過程中，研究人員將一些計算機光盤和U盤丟在停車場中。在撿到這些光盤和U盤的人中，有60%會將它們插入辦公室電腦，看看其中有什么內(nèi)容。如果光盤和U盤上帶有官方標志，那么有90%的人都會這么做。

計算機科學公司網(wǎng)絡安全和私人咨詢主管馬克·拉什（Mark Rasch）表示：“沒有一種設備可以阻止人們的這種愚蠢行為?！睖y試結(jié)果驗證了計算機安全專家長期以來的看法：人為因素是網(wǎng)絡安全問題中最弱的一環(huán)，成功的攻擊和信息犯罪往往利用了人性的弱點。

在現(xiàn)實中，EMC旗下ESA Security、英特爾和谷歌的高管成為攻擊目標，收到了含有鏈接陷阱的電子郵件。而這些員工在毫不知情的情況下將重要信息發(fā)布到了 Facebook和Twitter。根據(jù)信息安全公司McAfee的說法，此類問題造成了1萬億美元的損失。

可見，日益健全的法律和先進的技術并沒有效解決信息安全的問題，而且這對矛盾在逐步升級中。從以上統(tǒng)計信息說明網(wǎng)絡信息的威脅不僅來自網(wǎng)絡系統(tǒng)本身的安全漏洞，更多的與人的因素有關，包括合法和非法的信息威脅者。那么了解人性就顯得很必要。

三、人性簡述及計算機犯罪心理特征

（一）簡述人性

人總是在本能、理智和道德之間來回游走。人的多樣性首先來源于人的基本屬性。人的基本屬性就是我們通常所說的人性。

上世紀初，偉大的心理學家弗洛伊德提出了具有劃時代意義的“人格結(jié)構(gòu)論”。他認為人格包含“本我、自我、超我”三種不同的概念：本我是潛意識的結(jié)構(gòu)部分，是所有本能的大本營，它與生俱來，遵循快樂原則；自我是理性的，是意識的結(jié)構(gòu)部分，處于本我與外界之間，遵循的是現(xiàn)實原則；超我則是道德化了的自我，是內(nèi)在的道德滿足其欲望，超我則要求自我將欲望壓抑下去，自我則依照現(xiàn)實環(huán)境，采取適當措施，調(diào)和兩方面。弗洛伊德的女兒安娜·弗洛伊德把這三種不同的人格通俗易懂地表述為“本能的，理智的，道德的”。也有人說“本我、自我、超我”[4]。

弗洛伊德認為，只有三個“我”和睦相處，保持平衡，人才會健康發(fā)展，不違規(guī)違法；而三者吵架的時候，人有時會懷疑：“這一個我是不是我？”或者內(nèi)心有不同的聲音在對話：“做得？做不得？”或者內(nèi)心因為欲望和道德的沖突而痛苦不堪，或者為自己某個突如其來的丑惡念頭而惶恐，人就經(jīng)常在本我、自我、超我三者之間來回游走，有時候表現(xiàn)得很有責任感，有時候又顯得隨心所欲不負責任，有時候理智而沉穩(wěn)，有時候又癡迷而瘋狂。前者是超我、自我在主導他的行為，后者則是本我在蠢蠢欲動，讓他不知所措，經(jīng)常以僥幸心理支配人們做很多對信息安全有害的行為，例如誤操作、隨便打開不安全的鏈接等，行為者此時一般處于潛意識狀態(tài)下。這就是人性的弱點。這個弱點經(jīng)常被利用，成為信息安全的威脅。

（二）計算機網(wǎng)絡犯罪主體的犯罪心理

計算機網(wǎng)絡犯罪是典型破壞信信息安全的行為。其犯罪主體的犯罪心理可分為三類:1.發(fā)泄型：由于學習、工作或生活上的壓力而感到迷惑、苦悶，甚至愁腸百結(jié)，不在沉默中滅亡就在沉默中爆發(fā)。在計算機網(wǎng)絡這個虛擬的世界里，他們自以為可以隨心所欲地發(fā)泄、攻擊他人、破壞網(wǎng)絡的正常秩序。2.自我型：這類犯罪主體以年輕人、黑客、怪客為主，他們并無明確的作案動機，僅是利用自身具有較高的科技知識，在網(wǎng)上稱霸一方，同時傳一些小病毒、電子炸彈之類，再有甚者，闖入國家機密機關網(wǎng)站等。這此行為也僅僅是他們所認為的智力游戲的一種，一句話概括表演癖好。于是，他們不經(jīng)意間便損害了個人或企業(yè)的利益，甚至觸動了法網(wǎng)。3.心懷不軌型：這類犯罪主體年齡不一，文化背景小同，家庭出身也不樣，但是犯罪目的明確：即為滿足自己扭曲的心理需求，為已之利益所馭動。他們有的本著人為財死，鳥為食亡的錯誤思想，利用技術手段去刺探機密情況，欺詐別人；有的引誘青少年，打擊報復他人；有的制造黃色垃圾，傳播黃色文化，他們在網(wǎng)絡里無論干什么事都別有用心，以滿足刺激及玩弄他人為日的，這類人雖具有定才智，但特別具有侵犯性、攻擊性，尤其以心理變態(tài)者居多，具窺視隱私的癖好與暴力傾向。對于前面兩類，是大多數(shù)，可以采用引導教育為主的措施予以幫助，最后一類是少數(shù)，以法律嚴懲為主的方式予以解決。

（三）善用自律降低信息安全威脅

自律就是自我管理，自覺遵守基本的法律法規(guī)，不做對信息安全有害的行為，較少無意泄露密碼等行為。這能極大程度消除情緒性和自我型犯罪。馬克·拉什表示，有大量的網(wǎng)絡安全事故沒有被曝光。企業(yè)防火墻通常能夠阻止病毒和其他惡意軟件感染計算機，竊取信用卡信息和用戶密碼等數(shù)據(jù)。然而人為錯誤往往使這樣的努力白費。他表示：“規(guī)則第一條是不要打開可疑的鏈接。規(guī)則第二條是認真閱讀第一條。而第三條則是閱讀第一條和第二條?！边@就是引導人們自律自覺維護信息安全的措施。

另外還可以設計一個簡易的數(shù)據(jù)庫軟件，其包括介紹心理學的知識，便于人們提高自己認識的能力，調(diào)整自己的不良情緒，做情緒的主人，學會自我管理。把軟件加載在電腦桌面上，還包括各種信息安全法，計算機維護技巧等知識，方便人們隨意學習。這些方式都能激發(fā)培養(yǎng)人們自律性，維護信息安全性。

四、實現(xiàn)善用自律降低信息安全威脅的舉措

諾貝爾得主洛倫茲認為人的侵犯是一種需求，不可避免，只能盡量避免侵犯及其升級。所以保障信息安全主要考從事信息安全工作的專業(yè)人才，從德治、法制和先進技術三個層面予以維護信息的安全。那么，科學培養(yǎng)信息安全專業(yè)的人才顯得尤為重要了。

（一）基于自律優(yōu)化本科信息安全人才培養(yǎng)的課程設置

課程設置是根據(jù)特定的教育培養(yǎng)目標，組織個編排課程的系統(tǒng)化過程，它受一定的教育目標和教育價值觀的決定和制約，是實現(xiàn)教育目標的載體，如果說專業(yè)設置直接影響學生的培養(yǎng)方向，那么課程設置就直接影響學生的培養(yǎng)質(zhì)量。

目前我國普通高等信息安全專業(yè)教育的課程教學管理實行學分制。一般講，課程設置框架主要由通識教育課程、文理基礎課程、專業(yè)教育課程和任意選修四部分組成?？v觀我國多所在該專業(yè)水平高大學，它們所設課程體系中都缺乏對于人性知識有科學了解的課程，比如心理學的普及知識。本專業(yè)培養(yǎng)的目標是“重專業(yè)懂管理”的復合型人才。這就要求在培養(yǎng)學生管理能力前首先必須了解被管理的“人”，才能對人科學有效管理。有能力激發(fā)人們揚善懲惡，自覺維護信息安全，將各種威脅盡量消滅在萌芽狀態(tài)。本文建議將心理學知識的課程開設為必修課程。

（二）現(xiàn)有通用信息安全策略存在的欠缺

信息安全策略是具體維護信息安全的依據(jù)，十分重要。目前信息安全策略主要包括“嚴格管理”和先進技術。這里主要就其中“嚴格管理”存在的問題予以探討和完善。

第一，目前的嚴格管理流于形式。國際國內(nèi)針對維護計算機信息安全的法律不斷地制定和頒布，內(nèi)容不斷全面豐富，為計算機犯罪行為的懲罰提供有力的法律依據(jù)。各企業(yè)在“嚴格管理”方面的規(guī)章制度也十分齊全。但上到法律下到企業(yè)的規(guī)定，一般流于文本和文件文字形式，并沒有內(nèi)化到人們的心里，上升到基本安全理念，化為安全使用信息的行動了。

第二，重視管理的程度不夠。國家工商行政管理總局信息中心高級工程師石躍軍這樣評價安全體系的構(gòu)成：“三分在技術，七分在管理?！笨梢娤鄬ο冗M技術因素，管理因素在保證信息安全中是更加重要的。但現(xiàn)實是，由于計算機技術日新月異，從事該領域的人員，在被要求不斷開發(fā)和學習新技術的壓力下，上到信息安全的管理者，下至工作技術人員，都存在輕管理重技術、重管理的形式輕管理的落實。這種模式直接導致所有的法律、法規(guī)和各級管理規(guī)章流于擺設，主要是應付上級檢查和考核，沒有安全使用信息的行為，也就難以養(yǎng)成安全規(guī)范操作的習慣了。

第三，嚴格管理屬于法制。從各種法律規(guī)章制度的提出形成和執(zhí)行情況來看，都是一方對另一方的嚴格管理。眾所周知，所有的法律、條款等規(guī)章制度都是用來管人的，執(zhí)行起來具有強制性，被管的人一般都有抵觸的心理。他們一般采用消極的態(tài)度和應付行為盡量躲過被管。這是人的本性之一。這樣的嚴格管理不僅難以收到較好效果，而且引起不少的敵對情緒，而不良情緒就是一種安全隱患。計算機犯罪是典型破壞信息安全的行為，這類犯罪主體的犯罪心理主要是情緒發(fā)泄型[3]。他們有意無意在計算機虛擬平臺上發(fā)泄各種現(xiàn)實生活中不良的情緒，對信息安全構(gòu)成威脅和破壞。顯然，現(xiàn)有的信息安全策略有待完善和優(yōu)化。

（三）強化德法兼治，充分利用人的自律潛能

德治、法治和先進技術都能從不同的角度維護信息安全，三者辯證統(tǒng)一，缺一不可。目前在先進技術層面得到了社會的共識，投入大量人力財力不斷研制先進技術。它是維護信息安全的基本保障，是信息安全的重要一環(huán)，主要解決信息系統(tǒng)硬件和軟件的各種漏洞及不斷升級的問題，并做好危機處理等預備方案。同時，進一步完善相關法律法規(guī)的制定，并給予大力宣傳普及，增強人們的法律意識，做到遵紀守法地使用信息，減少對信心安全的威脅。

應該強化信息安全管理人員比較忽視的資源——人有自律向上的潛力。這就要求普及心理學知識，提高道德意識，解決情緒不良引起的信息安全問題。人性的弱點是客觀存在的，無法否認。面對信息安全問題，管理者能做的事，就是引導人們自己自我認識、自我約束和自我管理。借助學習心理學方面的知識，提高自我素質(zhì)，清楚認識自己的優(yōu)點和缺點，接納自己，依據(jù)“本能、理智和道德”三種狀態(tài)，在工作和生活中養(yǎng)成有意識經(jīng)常評價自己，盡量保持自己以理智和道德狀態(tài)為主，遵守信息安全法律和法規(guī)，維護信息安全。這樣很多由于不良情緒引起的安全威脅被消滅的開始階段了。

綜合以上三個方面，管理者可以從情、理、法三方面有效綜合管理，真正實現(xiàn)七分管理。法律條款是冷冰冰的，但人心是熱乎乎的。管理者在充分認識自己的基礎上，提高自己的管理素質(zhì)，用感情溫暖別人，用道理說服別人，用法理約束別人，加上先進技術的保障，如此四管齊下，能保證信息基本安全運作。

（注：本文系湖北省教育廳科學技術研究項目，項目編號：B20110808）

[1]美國研究顯示人為因素帶來信息安全問題[EB/OL].http://www. cnbeta.com/articles/147079.htm.

[2]劉藝，蔡敏，李炳偉.計算機科學概論[M].北京：人民郵電出版社，2008.11.

[3]黃肅揚，周暉.網(wǎng)絡犯罪及其心理特征[J].蘭州大學學報，2004.5.

[4][奧]弗洛伊德.弗洛伊德心理哲學[M].楊紹剛，等譯.北京：九州出版社，2005.9.