从本维度开始，从国家层面来探讨网络文化和社会的安全能力建设，并从战略和政策的高度来逐步执行。本章节为网络文化和社会维度的第一部分，网络安全思维。

题外话

其实本来是已经弃更了的，因为这个层面和角度的受众实在太少了，能认真看的也没几个人。但是又想想，趁着还有动力的时候，尽量把这份报告都翻了吧，做事要有始有终。今天开始对后边的内容进行不定期更新，如果不出意外会尽可能补完全篇报告正文，对于后边的附件和解释就不翻了。

还是那句话，有用自取。

正文

DimensionII : Cyber Culture and Society

网络安全能力成熟度模型的第二维度着眼于网络安全中更为广泛的文化和社会层面，以及这些层面在提高网络空间的安全性和弹性方面所发挥的作用。在个人、公共、私营组织和社会各级的利益相关方之间存在国家网络安全文化，以对有助于网络生态系统成熟和恢复的价值观、态度以及实践的共同理解和接受为基础。

GCSCC CMM的这个维度包括五个要素。以下各节将讨论国家决策者在这些问题领域建立能力可采取的能力建设步骤，这些步骤包括：

1. D2.1 – Cybersecurity mindset

该要素侧重于国家网络安全利益相关方的价值观、态度和做法，包括政府、私营组织、个人用户和网络生态系统中的其他参与者。

2.D2.2 – Trust and confidence on the Internet

该要素的重点是公众对以安全和私人方式使用互联网(包括使用政府电子服务和电子商务平台)的信任和信心。

3.D2.3 – User understanding of personal information protection online

该要素的重点是，公众、公共机构和私营组织的用户和利益相关者是否认识并明白保障网上个人信息的重要性和影响。

4.D2.4 – Reporting mechanisms

该要素的重点是存在和使用报告机制及报告渠道，让用户上报网络犯罪，包括在线欺诈、网络欺凌、虐待儿童、身份盗用、隐私和安全漏洞等事件。

5.D2.5 – Media and social media

该要素聚焦于媒体和社交网络的功能，考察它们在传播网络安全信息方面的作用，以及网络安全在这些媒体和平台上成为讨论和辩论主题的热度。

D 2.1 – Cybersecurity mindset

概述

该要素侧重于国家网络安全利益相关方的价值观、态度和做法，包括政府、私营组织、个人用户和网络生态系统中的其他参与者。一个成熟的网络安全心态是通过国家网络生态系统中行为主体的价值观、态度和行为与网络安全优先事项的协调一致来体现的。这意味着，不仅各级政府都认同这一点，而且普遍认识到有必要采取积极措施，维护网络弹性。网络安全理念是指网络安全已被纳入个人和组织层面的社会所有利益相关者的优先级设置、良好的沟通、战略规划、操作程序和实践。表格2.1提供了提高国家在这一领域能力的建设步骤。

表格2.1：改善网络安全观念的步骤(D2.1)

能力建设步骤

任命一位项目负责人，负责提高意识和开展培养网络安全意识的信息项目

应任命一位负责协调提高意识和信息方案的任务负责人。由于没有唯一的方法来提高网络安全意识，这可能会采取一种具有中央协调机制的分散式责任落实，而非集中的责任制。例如，不同部委、政府机构和部门可能在不同的问题领域和目标群体中发挥领导作用，从而形成深化的网络安全意识。再例如，一个全国性的CSIRT可能会负责提高群众的网络安全意识，而教育部可能会负责针对儿童和学生的项目，财政部可能会负责有关网上银行和网络金融欺诈的项目。

此外，应确保互联网安全的责任由广泛的利益相关方(政府、企业、组织、个人等)共同承担，因此与所有有能力参与不同活动的实体建立伙伴关系便十分重要。例如，私营企业有兴趣在客户中培养深化的网络安全意识，并在其在线服务中建立消费者信心。这些公司通常有一个与消费者直接沟通的开放渠道，并能通过教育和沟通活动提高（消费者）对网络安全问题和良好网络习惯的认识和理解。再比如，一项旨在教育人们如何安全使用网上银行服务的活动可能涉及到向客户提供网上服务的金融公司。虽然在理想情况下，一般的私营部门应参与这些活动，但实际上，从国家优先事项和目标出发的具体考虑应规定哪些部门(例如技术、金融和电信)应优先参与。

非营利组织（例如那些活跃在社会创业、沟通、技能和适应力发展领域的组织）和学校也应该参与针对儿童、青年以及他们所在的社区活动。它们不仅可以促进这些受众之间的信息传递，而且还可以在规划过程中提供有效的输入。媒体（报纸、广播、电视等）和社交媒体公司也是这一领域的关键参与者。

在活动的早期阶段建立这些伙伴关系对于促进该活动所要教育的特定群体的特征和需求讨论至关重要。这将有助于建立一个适合于目标群体的活动。

任务所有者将担任活动策划的角色，并在合作伙伴之间分配任务。

将网络安全的考虑纳入公共部门决策和战略规划的各个方面

网络安全的考虑应首先纳入预防和威慑的战略政策中。这就需要采取一些控制措施，以保护系统不受人为错误的影响，并建立针对攻击的威慑机制。此外，还需要制定明确的检测策略，利用有效的诊断技术，快速识别攻击。恢复也应是网络安全考虑的一个部分，制定详细的恢复计划，旨在减轻攻击造成的损害，查明原因，找出系统中的弱点，并纠正这些弱点。最后，至关重要的是能够传播经验教训，教育利益相关方了解安全威胁，并依据合规要求强制执行相应规章制度。

确保将网络安全的考虑植入公共和私营部门员工以及更广泛的社会行为实践中

员工通常是公共和私人机构在网络安全方面的薄弱环节。例如，金融行业监管局(FINRA)发现，在私营企业中，网络安全攻击往往是由于雇员的错误而造成的，比如无意中下载恶意软件或成为钓鱼攻击的受害者。虽然IT专家和高级管理团队往往具备网络安全的意识，但在较低级别的管理人员和其他员工中，情况并非如此。为了创造一种有利于网络安全思维的组织文化，应该有自上而下和自下而上的参与，高层亲自参与到企业网络安全风险管理的决策中。

政府应与私营机构和利益相关方合作，促进员工采纳良好的网络安全操作方法。关于提高安全意识的运动、教育方案和专业培训的进一步资料见本报告件第3部分。

董事会成员或高级管理层需要积极参与网络安全（活动）。应该通过促进在执行层面上对网络安全问题的全面理解来确保此类参与。特别是，网络安全不应仅仅被视为一个组织的IT团队的挑战，而应被视为整个企业及其客户所面临的挑战。还建议为管理人员定义并分配相应角色和职责。这样一来，那些作为驱动力可以制定和改进网络安全战略、操作流程以及持续性的组织学习的关键个人，便有了适合于他们的明确的权力、责任和义务。应在众多角色中分配一个或多个人来负责检查信息安全措施的充分性。

定期评估公共服务机构和私营组织成员的网络行为与更广泛的社会和良好行为习惯之间的对比情况

可能已经存在一系列在行的法律和规章，尽管这些规章可以在改善信息安全方面发挥作用，但仅仅遵守现有的制度是不够的。在网络威胁格局迅速演变的背景下，有必要警惕自满情绪。积极寻求提高适应力的一种方法是--在公共和私营部门组织内将网络风险评估常规化。关键人员，即具有审查和验证信息安全的战略监督权力的人员，应在定期评估中发挥主要作用。

为公共部门、私营组织及更广泛的公众群体，设计资料、培训及以训练计划，并为不同的目标对象定义明确的（预期）学习效果

公共和私营部门人员培训的一个核心优先事项是制定相关规定，为领导层、员工和用户提供基本的网络安全意识基础（培训）。还应确保定期（如果不是连续性的）提供网络安全教育。

组织内部应持续开展提高网络安全意识的活动和培训。培训内容可能包括如何识别风险、网络钓鱼、如何处理敏感和机密信息、密码保护、升级策略等内容。这样，用户就成为加强信息安全的推动者，而不是潜在的风险来源。

评估网络安全意识提升活动和学习干预的有效性，根据结果审查在行的措施

重要的是衡量提升意识运动和学习干预的成功程度，因为这将使干预小组能够监测实现既定目标的进展情况，并在出现偏差时进行必要的变更。在设计以后的干预措施时也可以考虑到之前所吸取的教训。

衡量行为变化是一个复杂但可以实现的过程，只要有适当的评估框架。一个适当的评估框架应做到以下几点：

1.根据活动的最终目标设定中间目标。如果它们之间的因果关系得到充分证明，中间目标应允许监控当前干预的进展情况，以便评估这种干预是否对于实现最终目标是行之有效的。

2.确定要衡量哪些输出、结果和影响。输出是活动的有形产品（例如推出活动或网站、举办研讨会、课程、比赛等），而成果则是这些活动的结果（例如参与举办的活动、提高对主题的认知等）。一项活动的影响同干预和所看到的结果之间的因果关系有关（即网络安全思维的形成在多大程度上可以归因于特定的活动）。

3.优先考虑哪些输出和结果将发挥作用。

4.选择需要收集的证据。应根据活动的规模以及数据的适当性和可用性来进行。证据可以是定性的，也可以是定量的。定量数据显示了变化发生的程度，并且可以用数量来衡量（例如文章的数量、网站的访问量、活动的参与人数等）。定性数据着眼于态度、观点或感受的变化，这些变化可以通过访谈、小组讨论和社交网络分析等方式收集。

5.确定收集数据的来源，如社交媒体、其他网站、采访、媒体报道、参与活动等。

*本文作者：宇宸默安，转载须注明来自FreeBuf.COM