自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

从网络安全周看安全宣传与意识教育

文 | 刘志诚

刘志诚

         乐信集团信息安全中心总监

中国政府高度重视网络信息安全在国家安全战略层面的意义，习近平主席在党和国家的重要会议场合多次强调网络安全对国家安全的战略会议，党中央成立了网络安全与信息化办公室统筹和协调网络安全的相关工作，把网络安全提高到与信息化同样的高度，在信息化建设的过程中，同步关注网络安全基础设施的建设与运营。《国家安全法》对不同领域的安全提出了基本要求，《网络安全法》进一步落实了相关主体的业务与责任，指导网络安全工作的全面落实，近些年，进一步的细分法律法规陆续出台，对国家安全相关的关键基础设施的安全，对关系国计民生的数据安全，对当下事关电信诈骗百姓生活的个人信息保护，均通过细分领域的法律，规范相关的关系，保护相关的权益。

从国家宏观维度，网络信息安全需要关注政策的引导作用，利用国家力量通过政策指引，立法强化，聚集社会各界资源，加强产业的发展，鼓励技术创新，服务创新，模式创新，营造网络安全促进经济发展，保障社会稳定的宏观环境。在组织架构上，人才培养上，政策扶持上均有相关的政策与指引出台。同时，为了扩大社会的知情度，加强社会各界的参与感，推动自上而下的执行力，需要在宣传上，教育上下功夫，通过丰富多彩的形式，人民群众喜闻乐见的内容，吸引社会舆论的注意力，占领舆论宣传的桥头堡，已形成社会共识。于是国家推出了国家网络安全周的系列活动，通过标准化，形式化，持续化的宣传手段，打造宣传的名片。实现“网络安全为人民，网络安全靠人民”的全民共识，推动网络信息安全事业的蓬勃发展。

中国模式经过近60年的打磨，已经逐渐彰显其集中力量办大事的高效和成果，从经验上来看，符合当下科学管理的系列特征，政策为纲，组织架构和干部为领，始终抓住宣传的制高点，营造一致的目标与愿景，统一思想与意识，集中资源分解目标逐层推动，持续优化调整与改进。而其中的宣传制高点对建立共同愿景和目标，保障执行协调一致至关重要。对于企业而言，网络信息安全工作的开展，也需要借鉴中国经验，在宣传教育方面，可以参考国家网络安全周的组织，运营和实践，提升企业网络信息安全工作的落实效率与效果。

图一、网络安全宣传交易框架

一、 注重目标

网络安全为业务，网络安全靠业务

网络信息安全工作的目标也是宣传教育的目标与目的，国家网络安全周的“网络安全为人民，网络安全靠人民”转换为企业的目标，就是网络安全为业务，网络安全靠业务。

从网络信息安全的目的而言，企业网络信息安全的建设是保障公司业务战略的顺利开展，为业务的发展保驾护航，脱离了业务目标的网络信息安全建设，即使是铜墙铁壁也不具备实践价值，不能舍本逐末，脱离业务情景谈安全。安全固步自封，划定业务与安全边界的做法也时常听闻，这就违背了网络安全为业务的目标。

从《网络安全法》的角度，业务负责人是网络信息安全的第一负责人，业务负责制需要自上而下的贯彻网络信息安全的保障，是业务必尽的义务。有些企业业务负责人错误的把网络信息安全当作专职的网络信息安全部门的责任，本质上也是对法律责任的错误解读。

这样的一个标语和口号，准确的传达了网络信息安全工作的本质，是对网络信息安全技术部门和业务部门义务和权利的清晰定义，指明了宣传和安全意识教育的方向。

二、 关注形式

运动式安排，发挥基层力量

国家安全周的成功主要体现在集中时间，集中地点，集中资源，吸引足够的注意力，扩大宣传教育的影响力，逐渐以某个省市为主，举行盛大的开启仪式，推动年度的网络安全周。然后每个省市各显神通，在自己的地域范围内开启各种各样的活动，从厂商宣传，技术交流，典型案例，颁奖活动，形式多样，内容丰富多彩，源自于各自自下而上的策划与执行。统一指挥，分头行动，各自精彩。

企业的网络信息安全往往缺少运动式的安排，仅靠文字，图画以及自助式的宣传与教育，缺少阶段性的统一动员，统一组织，全员参与，往往容易埋没在日常的业务运营工作中，徒有形式，缺少参与，达不到实际的的宣传教育效果。如果响应国家网络安全周的倡导，在企业内部发起网络安全周的相关活动，在为期一周的时间内，充分组织与动员。要求各业务支撑部门，策划，发起自己领域内的网络安全宣传活动，发挥基层的主观能动性，就可以提高全员的参与度，吸引全员的注意力，从而提高宣传教育的效果。

三、 内容为王

吸引注意力，实现有效传播

如果只是表面做到花团锦簇，老百姓不愿看，看不懂，没收获，那么网络安全周就会沦为形式，或产业界的自言自语，没有达到真正的宣传教育效果，这其实涉及两个问题，一个是如何在信息过载社会实现信息的有效传达，能够真正让人想看，另外需要关注内容是否适应真正的受众认知，能达到宣传教育的有效传播。

各地网络安全周宣传的主题面向广大人民群众在形式上往往多姿多彩，关注受众的认知与感受，做到内容看得懂，表达丰富多彩，人民群众参与度高。这些成果建立在扎实的调研和细致的分析研究上，离不开6年来网络安全周的持续更新与改进。

企业的网络信息安全同样面临着注意力分散的问题，因此需要一是紧抓安全热点，二是与业务运营密切相关，紧抓员工切身问题的风险和解决方案，通过生动活泼的形式吸引员工的注意力。据研究发现，即使经过多轮的意识教育，像钓鱼测试等社交工程的安全攻击，也能实现10%左右的成功率，而这些人群往往是属于闭目塞听的非受众人群，吸引到他们的关注，以他们认可的方式避免安全意识教育的盲区是安全教育成功的关键环节。

四、 闭环管理

有效性度量，持续改进

图二、网络宣传教育目的与评价指标设计

安全意识教育关于人的认知，思考，行为，逻辑模式的变革，和心理学，行为学，社会科学密切相关，不能仅靠经验思维或者主观认知去做规划，设计，编排，展示，这样往往难以达到预期的效果。需要在前期做好受众的相关调查，对当下的热点问题，重要的风险，以及相关方案对问题解决的普遍认知，受众的范围，认知层次，理解水平，进行充分的调查研究，建立在数据之上的规划设计，通过科学的手段推动网络安全意识教育的落实。

另外需要关注对网络安全宣传教育的结果的度量，需要有相应的指标支撑，以进行评价，涉及目标用户群与真实的受众人群的触达率，受众认知和理解宣传教育和意识宣传渗透率，受众在接受相关安全宣传和意识教育后对风险理解和认知的激活率，受众在激活后面对实际风险合理处置的转化率都属于可以有效度量网络安全宣传效率和效果的指标，对宣传教育的投入产出比也可以进行有效的度量，评价不同内容，形式的投入产出之间的关系。

目前，并未发现网络安全周期间各地实践活动中关于这部分度量的内容，其实对网络安全周的持续进行和改进缺少科学决策的依据，更多的仍是当作必须完成的政治任务，不计投入产出的完成。

从企业的角度来看，如果改变传统的网络安全教育宣传模式，就需要有客观的评价评估依据，以进行资源投入的决策，因此，建立闭环的度量和持续改进模式就至关重要。

五、 发展展望

运动变常态，宣传教育变实践

网络安全宣传周的模式在现阶段起到了至关重要的承上启下作用，把老百姓日常相关却又难以理解的网络空间安全风险的技术复杂度用显而易见的方式，进行教育宣传，激起人民群众对网络安全的关注，了解对相关权利的使用和义务的承担，实现认知上的进步。掀起全民热潮，推动产业的进步与发展，对相关工作的推动大有裨益。但也存在网络安全周期间成为热点，事后恢复平静，这也是运动式的网络安全宣传带来的弊病。那么如果从网络安全周到网络安全月，甚至进一步到网络安全宣传教育成为常态，才是网络安全走进人民群众中间的，成为生活一部分的前提。

宣传教育，意识建设仍属于认知层面的工作，从陌生到熟悉和了解，但对行为的改变，对义务的承担，对权利的使用，仍是一个从认知到行为的过程，只有实现了行为的改变，底层思维逻辑的改变，才真正达到了网络安全意识教育的目的。

相对于国家网络安全周，企业的网络安全宣传交易工作目的性更强，常态化的网络安全宣传教育嵌入到业务运营过程中是理想的状态，在企业运作的关键节点做到风险的评估，度量和管控策略的落实与有效性审计，把思想意识改变为行为，在业务设计，开发，运营过程中始终保持安全意识指导下的安全行为，实现网络安全的全面闭环管理。

2021年的国家网络安全周已经结束了，给企业留下了无数宝贵的网络安全宣传教育的内容与形式可以借鉴，同样企业网络安全意识教育的实践和度量，国家网络安全周不妨也能借鉴和效仿，共同推动国家的网络安全教育和宣传工作的全面发展。

诸子笔会 |10月征文合集《安全周》

张永宏：网络安全周，教育是抓手

王振东：星星之火，可以燎原——深远长久的网络安全宣传

赵锐：网络安全意识教育的业务价值

蔚晨：金融科技助力国家网络安全宣传周

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在