孫夫雄　呂　錦　曹　甜

(中南財(cái)經(jīng)政法大學(xué)信息與安全工程學(xué)院　湖北 武漢 430074)

0　引　言

近年來(lái)，我國(guó)互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)需求不斷擴(kuò)大，網(wǎng)絡(luò)用戶也越來(lái)越年輕化。根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心(CNNIC)的報(bào)告，截至2016年6月，我國(guó)互聯(lián)網(wǎng)普及率達(dá)51.7%，與2015年底相比提高1.3個(gè)百分點(diǎn)，超過(guò)全球平均水平3.1個(gè)百分點(diǎn)，超過(guò)亞洲平均水平8.1個(gè)百分點(diǎn)[1]。隨之而來(lái)的是日益突出的網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)，因此網(wǎng)絡(luò)安全是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題。建設(shè)信息安全保障體系是應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的有效措施，保障體系中人是最重要的安全因素之一，相關(guān)統(tǒng)計(jì)顯示90%網(wǎng)絡(luò)安全問(wèn)題是由于缺少安全意識(shí)引起的[2]，即信息安全有關(guān)人員安全意識(shí)淡薄[3]、網(wǎng)絡(luò)用戶對(duì)計(jì)算機(jī)的了解程度低、網(wǎng)民整體素質(zhì)良莠不齊[4]等因素給網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重的威脅。

人作為體系中最薄弱的一環(huán)，僅僅依靠技術(shù)手段無(wú)法顯著地提高信息系統(tǒng)的安全水平，必須加強(qiáng)人員的安全管理，而準(zhǔn)確且客觀地評(píng)估和鑒定人員的信息安全意識(shí)水平是重要的管理步驟。本文研究了信息安全意識(shí)ISA(Information Security Awareness)水平的評(píng)估方法。

1　研究背景

針對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全威脅，在信息安全人才與信息安全意識(shí)培養(yǎng)領(lǐng)域，國(guó)內(nèi)外學(xué)者進(jìn)行了大量卓有成效的研究。文獻(xiàn)[5]研究了個(gè)人的信息安全意識(shí)和個(gè)人差異變量，即年齡、性別、人格和冒險(xiǎn)傾向之間的關(guān)系，研究發(fā)現(xiàn)知識(shí)水平對(duì)信息安全意識(shí)的影響最大。文獻(xiàn)[6]提出了基于知識(shí)、態(tài)度、行為的HAIS-Q模型，用于評(píng)估公司員工的ISA水平。Waly等[7]在其博士論文中系統(tǒng)地研究了信息安全意識(shí)培訓(xùn)的目標(biāo)、實(shí)施方案對(duì)組織信息安全的影響。文獻(xiàn)[8]指出即使目前有許多硬件和軟件機(jī)制應(yīng)用于加強(qiáng)信息系統(tǒng)安全，但由于操作人員的不良行為，信息系統(tǒng)仍然處于易受攻擊狀態(tài)，強(qiáng)調(diào)了人的因素對(duì)信息安全的重要影響。Marks A[9]定量實(shí)證調(diào)查了435個(gè)高等教育機(jī)構(gòu)，發(fā)現(xiàn)僅僅只有三分之一的被調(diào)查的教育機(jī)構(gòu)為學(xué)生和工作人員安排了安全意識(shí)培訓(xùn)，研究了提高安全意識(shí)水平的模式。

國(guó)內(nèi)學(xué)者張煥國(guó)教授[10]論述了當(dāng)前互聯(lián)網(wǎng)+新時(shí)代下信息安全人才培養(yǎng)體系的現(xiàn)狀與挑戰(zhàn)。翁健等[11]結(jié)合我國(guó)網(wǎng)絡(luò)空間安全人才培養(yǎng)的特點(diǎn)，給出了我國(guó)網(wǎng)絡(luò)空間安全人才培養(yǎng)的建議。文獻(xiàn)[12]通過(guò)深入分析高校的專業(yè)教學(xué)實(shí)踐中存在的諸多問(wèn)題，提出了信息安全人才培養(yǎng)的新思路。文獻(xiàn)[13]提出了一個(gè)國(guó)民信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系。

人是信息安全保障體制中最重要的安全因素之一，因個(gè)體的信息安全意識(shí)數(shù)據(jù)收集、處理和評(píng)估對(duì)信息安全保障體系十分重要，而當(dāng)前對(duì)這一方面的研究不是很全面。本文提出基于信度分析和聚類算法的信息安全意識(shí)評(píng)價(jià)模型(ISAAM)，通過(guò)問(wèn)卷收集用戶信息安全意識(shí)數(shù)據(jù)，并對(duì)問(wèn)卷進(jìn)行信度分析，保證獲取的數(shù)據(jù)可靠性高；利用聚類分析算法分析數(shù)據(jù)的正確性和可靠性，對(duì)個(gè)體信息安全意識(shí)進(jìn)行分類評(píng)價(jià)，以提高個(gè)體信息安全意識(shí)的評(píng)估水平。

2　評(píng)價(jià)模型

2.1　模型框架

本文借鑒已有的研究工作，設(shè)計(jì)調(diào)查問(wèn)卷獲取個(gè)體的信息安全意識(shí)數(shù)據(jù)，引入信度分析技術(shù)和聚類算法的設(shè)計(jì)ISAAM模型，模型框架如圖1所示。

圖1　ISAAM模型框圖

圖1中α是克朗巴哈系數(shù)系數(shù)，θ是信度閾值；rtt是折半信度系數(shù)，ξ是其閾值。問(wèn)卷題項(xiàng)類別分為三類：專業(yè)背景類C1、信息安全認(rèn)知類C2和上網(wǎng)習(xí)慣類C3。將回收的有效答卷利用數(shù)據(jù)庫(kù)工具進(jìn)行預(yù)處理后，統(tǒng)計(jì)每份問(wèn)卷的得分情況。設(shè)：Ri為第i問(wèn)卷的總得分，SAi為C2類得分，SHi為C3類得分，定義如下：

(1)

(2)

Ri=SAi+SHi

(3)

式中：ρ是C1類相關(guān)的加權(quán)系數(shù)；aij為第i問(wèn)卷中第j題的得分；k2、k3分別表示C2和C3的數(shù)量。n份問(wèn)卷構(gòu)造數(shù)據(jù)集Mnx2(SA,SH)，利用信度分析方法(α系數(shù)、rtt系數(shù))計(jì)算問(wèn)卷結(jié)果的信度系數(shù)，判定問(wèn)卷設(shè)計(jì)是否恰當(dāng)，并作出相應(yīng)的調(diào)整。將調(diào)整之后的問(wèn)卷發(fā)放并回收有效答卷，對(duì)調(diào)整后的答卷作同樣預(yù)處理。對(duì)于調(diào)整前和調(diào)整后的問(wèn)卷結(jié)果，用k-means聚類方法對(duì)其進(jìn)行分類和對(duì)比分析，并對(duì)個(gè)體ISA做出評(píng)價(jià)。

2.2　信度分析方法

問(wèn)卷調(diào)查是調(diào)查者運(yùn)用統(tǒng)一設(shè)計(jì)的問(wèn)卷向被選取的調(diào)查對(duì)象了解情況或征尋意見(jiàn)的調(diào)查方法。設(shè)計(jì)問(wèn)卷時(shí)遵循系統(tǒng)性原則、方便性原則、科學(xué)性原則、嚴(yán)謹(jǐn)性原則和趣味性原則[14]。

信度分析方法常常用于評(píng)判問(wèn)卷設(shè)計(jì)的合理性和問(wèn)卷的正確性。信度簡(jiǎn)單的可以分為內(nèi)在信度與外在信度[15]。內(nèi)在信度分析重在考察一組評(píng)價(jià)項(xiàng)目是否測(cè)量的是同一個(gè)特征，這些項(xiàng)目之間是否具有較高的內(nèi)在一致性；外在信度主要分析不同時(shí)間對(duì)同批被評(píng)價(jià)對(duì)象實(shí)施重復(fù)測(cè)量，評(píng)價(jià)結(jié)果是否具有一致性。

2.2.1Cronbachα系數(shù)

測(cè)量?jī)?nèi)在信度常用的工具為Cronbachα系數(shù)。其計(jì)算公式為[15]：

(4)

式中：k為評(píng)價(jià)項(xiàng)目數(shù)，Sj2為第j題得分的題內(nèi)方差，ST2為全部題項(xiàng)總得分的方差。Cronbachα系數(shù)在0～1之間，當(dāng)θ=0.9，則問(wèn)卷的信度很高；當(dāng)0.8>θ>0.7之間屬于可以接受；當(dāng)θ<0.7，則問(wèn)卷在設(shè)計(jì)上存在問(wèn)題，應(yīng)當(dāng)進(jìn)行重新設(shè)計(jì)[15]。Cronbachα系數(shù)比較適用于態(tài)度、意見(jiàn)式問(wèn)卷(量表)的信度分析。

2.2.2折半信度

折半信度系數(shù)也是檢驗(yàn)內(nèi)部一致性的工具。其基本思路是將調(diào)查項(xiàng)目分為兩半，計(jì)算兩半得分的相關(guān)系數(shù)，進(jìn)而估計(jì)整個(gè)問(wèn)卷的信度。進(jìn)行折半信度分析時(shí)，如果問(wèn)卷中含有反意題項(xiàng)，應(yīng)先將反意題項(xiàng)的得分作逆向處理，以保證各題項(xiàng)得分方向的一致性。然后將全部題項(xiàng)按奇偶或前后分為盡可能相等的兩半，兩部分總得分分別記為X、Y，利用式(5)計(jì)算兩部分總得分之間的相關(guān)系數(shù)r。

(5)

式中：Cov(X,Y)是協(xié)方差，σX、σY為標(biāo)準(zhǔn)差。最后用斯皮爾曼-布朗(Spearman-Brown)公式求出整個(gè)量表的信度系數(shù)(rtt),定義如下[15]:

(6)

當(dāng)ξ=0.5時(shí)，則問(wèn)卷的內(nèi)部一致性較好。折半系數(shù)使用起來(lái)漸變、省時(shí)、省力，但不適用于事實(shí)式的問(wèn)卷，常用于態(tài)度、意見(jiàn)式問(wèn)卷的信度分析[16]。

另外用于測(cè)量問(wèn)卷外在信度的有重測(cè)信度和復(fù)本信度，但在實(shí)際調(diào)查者使用難度較高。本次調(diào)查主要收集用戶的上網(wǎng)習(xí)慣和信息安全認(rèn)知兩方面的數(shù)據(jù)，采用意見(jiàn)式問(wèn)卷的形式進(jìn)行調(diào)查，因此采用Cronbachα系數(shù)和rtt系數(shù)對(duì)問(wèn)卷進(jìn)行信度分析。如果問(wèn)卷具有高度的內(nèi)部一致性和較高的信度，則收集的ISA數(shù)據(jù)可靠且正確。

2.3　k-means聚類分析

k-means算法是J.B.Macqueen在1967年提出的，也叫快速聚類，屬于覆蓋型數(shù)值分隔聚類算法，其主要思想是把觀測(cè)數(shù)據(jù)劃分為v個(gè)群組，找到每個(gè)群組的中心(均值)，然后將各個(gè)數(shù)據(jù)點(diǎn)聚集到其最近中心的群組中[17]。聚類算法可以有效地對(duì)數(shù)據(jù)進(jìn)行分類，有助于發(fā)現(xiàn)數(shù)據(jù)特性和數(shù)據(jù)之間的關(guān)系，便于對(duì)用戶ISA進(jìn)行客觀評(píng)價(jià)。利用聚類算法對(duì)數(shù)據(jù)集Mnx2(SA,SH)進(jìn)行分類分析，計(jì)算數(shù)據(jù)集中每一個(gè)數(shù)據(jù)點(diǎn)xi=(SAi,SHi)∈M(i=1,2,…,n)到簇質(zhì)心mj(j=1,2，…,v)的歐式距離dij定義如下：

(7)

(8)

3　仿真實(shí)驗(yàn)與分析

3.1　數(shù)據(jù)采集

調(diào)研對(duì)象為某財(cái)經(jīng)類院校學(xué)生，采集信息涵蓋專業(yè)背景、對(duì)計(jì)算機(jī)的了解、上網(wǎng)習(xí)慣、網(wǎng)絡(luò)安全認(rèn)知幾個(gè)方面，以封閉性問(wèn)題為主包括28個(gè)題目：k1=5;k2=13;k3=10。調(diào)查回收有效問(wèn)卷788份，對(duì)調(diào)研對(duì)象的學(xué)歷、專業(yè)大類和計(jì)算機(jī)知識(shí)的了解程度進(jìn)行交叉分析結(jié)果如圖2所示。

圖2　調(diào)研對(duì)象專業(yè)背景

圖2中調(diào)研對(duì)象的專業(yè)背景包括：理工類-本科ρ1，理工類-研究生ρ2，經(jīng)法管類-本科ρ3，經(jīng)法管類-研究生ρ4，文史哲教類-本科ρ5，文史哲教類-研究生ρ6。取85%的樣本作為訓(xùn)練數(shù)據(jù)進(jìn)行聚類，剩下的15%作為測(cè)試數(shù)據(jù)，根據(jù)信度分析結(jié)果和聚類結(jié)果對(duì)此次調(diào)研進(jìn)行評(píng)價(jià)，并對(duì)用戶的ISA進(jìn)行評(píng)價(jià)。

3.2　信度分析

定義計(jì)分規(guī)則為：一個(gè)好的用戶習(xí)慣或網(wǎng)絡(luò)安全認(rèn)知高的選項(xiàng)得1分，不好的得-1分，處于中間模糊層次的得0分。文獻(xiàn)[19]研究指出不同專業(yè)背景的人對(duì)信息安全的整體認(rèn)知和態(tài)度差異顯著，因此根據(jù)各個(gè)專業(yè)背景對(duì)系數(shù)ρ進(jìn)行定義如表1所示。

表1　ρ值

依據(jù)計(jì)分規(guī)則，統(tǒng)計(jì)出每份問(wèn)卷的每道題得分αij(i=1,2,…,788,j=1,2,…,28)，由式(1)、式(2)、式(3)計(jì)算SH、SA和R如表2所示。

表2　問(wèn)卷得分情況

評(píng)價(jià)項(xiàng)目數(shù)k=28，計(jì)算各題題內(nèi)方差Sj2，如表3所示。

表3　Sj 2值

則∑Sj2= 11.576 9；方差ST2= 38.962 1，由式(4)得α=0.728 9∈(0.7,0.8)區(qū)間內(nèi)，此時(shí)認(rèn)為問(wèn)信度可以接受；將全部題項(xiàng)按奇偶序號(hào)分兩半，由式(5)得r=0.344 8，由式(6)得rtt=0.512 79，問(wèn)卷的內(nèi)部一致性較好。

問(wèn)卷調(diào)查容易產(chǎn)生誤差有以下原因：來(lái)自研究者的因素包括測(cè)量?jī)?nèi)容不當(dāng)、情景以及研究者本身的疏忽；來(lái)自受訪者的因素則可能是由于其年齡、性格、教育程度、社會(huì)階層等，從而影響其答題的正確性。而在本次調(diào)查的主要影響因素來(lái)自研究者本身的疏忽、受訪者的教育程度和專業(yè)背景。根據(jù)以上原因?qū)?wèn)卷做出以下調(diào)整：

1)C1類：從圖2來(lái)看，文史哲教類、經(jīng)法管類和理工類專業(yè)中大多數(shù)學(xué)生對(duì)計(jì)算機(jī)相關(guān)知識(shí)為“掌握了基本常識(shí)”的情況，本科生與研究生情況也類似，并未表現(xiàn)出明顯的關(guān)聯(lián)。由此，通過(guò)進(jìn)一步了解調(diào)研對(duì)象的專業(yè)背景及計(jì)算機(jī)對(duì)各專業(yè)的影響程度，對(duì)C1類題項(xiàng)進(jìn)行調(diào)整，使專業(yè)背景劃分得更加細(xì)化，并調(diào)整系數(shù)ρ1=1.0，ρ2=1.2。

2)C2類：?jiǎn)柧碇胁糠诸}目形式為“使用計(jì)算機(jī)上網(wǎng)時(shí)是否開(kāi)啟防火墻”，“是否安裝殺毒軟件”，“是否隨意連接過(guò)公共WiFi”等較直接的題，容易引導(dǎo)調(diào)研對(duì)象下意識(shí)選擇比較好的答案，導(dǎo)致C2類得分高而C3類得分卻很低。通過(guò)與調(diào)研對(duì)象進(jìn)行深入訪談，了解其平時(shí)使用計(jì)算機(jī)的習(xí)慣，并依據(jù)訪談結(jié)果對(duì)上網(wǎng)習(xí)慣類題項(xiàng)及相應(yīng)選項(xiàng)進(jìn)行調(diào)整，盡量降低題目對(duì)調(diào)研對(duì)象作答的引導(dǎo)性。如“是否隨意連接過(guò)公共WiFi”可改為“是否使用過(guò)公共免密WiFi”。

3)C3類：?jiǎn)柧碇羞@部分題比較直接，如“您認(rèn)為您是否具有較高的網(wǎng)絡(luò)安全意識(shí)”，“您是否有過(guò)個(gè)人信息泄漏情況”等，容易對(duì)調(diào)研對(duì)象的作答產(chǎn)生引導(dǎo)。因此，結(jié)合專業(yè)背景和訪談結(jié)果，對(duì)信息安全認(rèn)知類題項(xiàng)及相應(yīng)選項(xiàng)進(jìn)行調(diào)整，如詢問(wèn)調(diào)研對(duì)象對(duì)安全問(wèn)題防范措施的認(rèn)知如個(gè)人防火墻的設(shè)置、信息加密、郵件安全等，以降低題目對(duì)調(diào)研對(duì)象作答的引導(dǎo)性。

將調(diào)整后的問(wèn)卷發(fā)放并回收有效答卷，計(jì)算調(diào)整后問(wèn)卷的信度系數(shù)，則α′=0.934 1，r′=0.513 3，rtt′= 0.678 3，問(wèn)卷內(nèi)部一致性較調(diào)整前有了較大的提高，則此問(wèn)卷的設(shè)計(jì)是合理的。

3.3　聚類分析

對(duì)調(diào)整前和調(diào)整后的問(wèn)卷結(jié)果進(jìn)行聚類并作對(duì)比分析，步驟如下:

1) 根據(jù)調(diào)整前后問(wèn)卷的計(jì)分結(jié)果形成二維數(shù)據(jù)集M1和M2。

2) 選擇數(shù)據(jù)集M1中85%的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)M11，剩余的15%作為測(cè)試數(shù)據(jù)M12；對(duì)M2做同樣處理形成M21和M22。

表4　聚類分析

依據(jù)式(8)計(jì)算誤差e1=0.423，e2=0.267?？梢钥闯觯噍^于調(diào)整前的問(wèn)卷，調(diào)整后的問(wèn)卷不但可信度較高，聚類結(jié)果的誤差也較小，聚類效果更好，如圖3所示。

(a)　　　　　　　　　　　(b)圖3　聚類結(jié)果

圖3(a)是調(diào)整前的聚類結(jié)果，“+”表示每一簇的質(zhì)心：[[8.84,-2.89], [8.92,2.24], [9.08,6.46]]；圖3(b)是調(diào)整后的聚類結(jié)果，“+”表示每一簇的質(zhì)心：[[4.56,-2.76],[7.92,2.16], [11.33,5.67]]。圖3中：

“▲”類主要特征：信息安全認(rèn)知較低，且上網(wǎng)習(xí)慣差，對(duì)計(jì)算機(jī)使用知識(shí)了解不夠，即低層次的ISA：L(ISA);

“●”類主要特征：信息安全知識(shí)有一定認(rèn)知，上網(wǎng)習(xí)慣一般，對(duì)計(jì)算機(jī)相關(guān)知識(shí)有一定的了解且能夠基本防范網(wǎng)絡(luò)安全問(wèn)題，即中層次的ISA：M(ISA) ;

“■”類主要特征：信息安全認(rèn)知較好，上網(wǎng)習(xí)慣很好，能夠自主地防范網(wǎng)絡(luò)安全問(wèn)題，即高層次的ISA：H(ISA)。

C2和C3類得分分布情況如圖4所示。

圖4　SA和SH分布直方圖

圖4(a)、(b)分別表示調(diào)整前SA和SH頻率分布直方圖；圖4(c)、(d)分別表示調(diào)整后的頻率分布直方圖。圖4(a)、(b)中當(dāng)C2和C3類呈現(xiàn)以下的關(guān)聯(lián)時(shí)：[認(rèn)知中，習(xí)慣差]，[認(rèn)知中，習(xí)慣一般]，[認(rèn)知中，習(xí)慣好]，則被聚類為L(zhǎng)(ISA)如圖3(a)所示。而圖4(c)、(d)中C2和C3類呈現(xiàn)以下的關(guān)聯(lián)：[認(rèn)知低，習(xí)慣差]，[認(rèn)知中，習(xí)慣一般]，[認(rèn)知高，習(xí)慣好]，其中[認(rèn)知中，習(xí)慣一般]的群體占較大多數(shù)，符合實(shí)際情況。圖3(b)聚類結(jié)果顯示C2和C3類具有正相關(guān)性。因此顯然調(diào)整后的問(wèn)卷結(jié)果更合理。結(jié)合圖3(b)和圖4(c)、(d)定義評(píng)估規(guī)則如表5所示。

表5　評(píng)估規(guī)則

在表5中，有SA[0,15],SH[-10, 10]andR[-10,25]。依據(jù)圖3(b)聚類結(jié)果，ISAAM定義L(ISA) ={Ri|Ri[-10,6)},M(ISA)={Ri|Ri[6,15]} andH(ISA)= {Ri|Ri(15,25]}。

3.4　性能分析

ISAAM評(píng)估模型的調(diào)查對(duì)象是財(cái)經(jīng)文科類高校的學(xué)生，對(duì)比理工類高校，其C1類加權(quán)系數(shù)ρ偏小，使信度計(jì)算結(jié)果偏小，同時(shí)也會(huì)使聚類中心向左移。復(fù)雜的網(wǎng)絡(luò)環(huán)境也會(huì)影響人們使用計(jì)算機(jī)的方式，許多威脅網(wǎng)絡(luò)系統(tǒng)安全的問(wèn)題在復(fù)雜網(wǎng)絡(luò)環(huán)境的掩飾下可能會(huì)對(duì)用戶的判斷產(chǎn)生混淆，使用戶難以分辨其危害性，使問(wèn)卷結(jié)果C3類問(wèn)題得分偏高，從而對(duì)模型的準(zhǔn)確性產(chǎn)生影響。

HAIS-Q模型(Human Aspects of Information Security Questionnaire)是目前比較典型的信息安全意識(shí)問(wèn)卷調(diào)查模型[6]。利用問(wèn)卷調(diào)查的方式收集個(gè)體關(guān)于互聯(lián)網(wǎng)使用、電子郵件、社交媒體、密碼管理、事故報(bào)告、信息處理、移動(dòng)計(jì)算等7個(gè)領(lǐng)域的知識(shí)(Knowledge)、態(tài)度(Attitude)和自我報(bào)告行為(Self-reported Behaviour)的信息即KAB模式，ISA的評(píng)估以百分計(jì)：H(ISA)=80-100；M(ISA)=60-79；L(ISA)≤59，其中知識(shí)占30%，態(tài)度占20%，行為占50%。KAB模式的Cronbachα系數(shù)分別為：0.875、0.878和0.906，顯示調(diào)查問(wèn)卷的內(nèi)部一致性達(dá)到了較好的可信程度。知識(shí)、態(tài)度和行為之間的相關(guān)分析結(jié)果：若對(duì)政策和程序更好的認(rèn)知，則就有更好的態(tài)度；若對(duì)政策和程序更好的態(tài)度及認(rèn)知，則更能激發(fā)自我報(bào)告的行為、規(guī)避風(fēng)險(xiǎn)。

由于本文研究對(duì)象是在校大學(xué)生，問(wèn)卷設(shè)計(jì)符合特定人群的特征和背景，內(nèi)容并不局限于上述7個(gè)主題，但認(rèn)知和習(xí)慣的正相關(guān)性符合HAIS-Q模型結(jié)論。依據(jù)表5的ISA評(píng)估規(guī)則，調(diào)查發(fā)現(xiàn)在理工類專業(yè)的學(xué)生中有76.7%屬于H(ISA)；經(jīng)法管類專業(yè)學(xué)生中有67.9%屬于M(ISA)；文史哲教類專業(yè)學(xué)生中有71.2%屬于L(ISA)。依據(jù)HAIS-Q模型的評(píng)分標(biāo)準(zhǔn)，對(duì)比實(shí)驗(yàn)中將知識(shí)、態(tài)度歸屬為認(rèn)知類，將行為歸為習(xí)慣類，計(jì)分比各占為50%，對(duì)實(shí)驗(yàn)數(shù)據(jù)的分析結(jié)果顯示不同專業(yè)背景的學(xué)生ISA評(píng)估比例與ISAAM模型實(shí)驗(yàn)結(jié)果一致。

針對(duì)不同人群的ISA評(píng)價(jià)，信息采集的內(nèi)容和評(píng)分標(biāo)準(zhǔn)會(huì)有所不同，由于ISAAM模型采用個(gè)體的認(rèn)知和習(xí)慣加權(quán)評(píng)分以及聚類分析，ISA的評(píng)估規(guī)則會(huì)隨之改變，因此ISAAM模型更具靈活性和適用性。

4　結(jié)　語(yǔ)

信息安全意識(shí)是組織成員對(duì)信息安全重要性、信息安全對(duì)組織影響程度，以及對(duì)信息安全的個(gè)人責(zé)任感和行為等方面的認(rèn)知程度，而評(píng)估認(rèn)知程度往往帶有較強(qiáng)的主觀性。鑒于此，本文提出的基于信度分析和聚類算法的信息安全意識(shí)評(píng)價(jià)模型，能客觀定義上網(wǎng)習(xí)慣與信息安全認(rèn)知之間的關(guān)系，并對(duì)個(gè)體信息安全意識(shí)作出比較客觀地評(píng)價(jià)，有助于正確評(píng)估人的安全因素，增強(qiáng)信息安全保障體系的安全性。

在后續(xù)的工作中，將深入分析網(wǎng)絡(luò)環(huán)境的復(fù)雜性和不同群體對(duì)象對(duì)模型的影響，并研究不同的可信度計(jì)算方法和聚類算法提高信息安全意識(shí)調(diào)查結(jié)果，引入模糊理論優(yōu)化模型的性能。

[1] 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心. 第32次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[J]. 互聯(lián)網(wǎng)天地, 2013(10):74-91.

[2] Steele S, Wargo C. An Introduction to Insider Threat Management[J]. Information Systems Security, 2007, 16(1):23-33.

[3] 汪紅梅.我國(guó)信息安全保障體系存在的問(wèn)題及對(duì)策芻議[J].信息網(wǎng)絡(luò)安全,2008(2):66-67.

[4] 魏惠斌.人肉搜索與個(gè)人信息安全問(wèn)題芻議[J].福建警察學(xué)院學(xué)報(bào),2009, 23(6):29-32.

[5] Mccormac A, Zwaans T, Parsons K, et al. Individual differences and Information Security Awareness[J]. Computers in Human Behavior, 2016,69(4):151-156.

[6] Parsons K, Mccormac A, Butavicius M, et al. Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q)[J]. Computers & Security, 2014, 42(4):165-176.

[7] Waly N, Tassabehji R, Kamala M. Improving Organisational Information Security Management: The Impact of Training and Awareness[C]// IEEE, International Conference on High PERFORMANCE Computing and Communication & 2012 IEEE, International Conference on Embedded Software and Systems. IEEE, 2012:1270-1275.

[9] Marks A. Exploring universities’ information systems security awareness in a changing higher education environment: a comparative case study research[D]. University of Salford,2007.

[10] 張煥國(guó).信息安全人才培養(yǎng)體系現(xiàn)狀與挑戰(zhàn)[J].信息網(wǎng)絡(luò)安全, 2013(3):6.

[11] 翁健, 馬昌社, 古亮. 網(wǎng)絡(luò)空間安全人才培養(yǎng)探討[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2016, 2(2):1-7.

[12] 喻鈞,杜志強(qiáng).網(wǎng)絡(luò)空間安全新形勢(shì)下的信息安全人才培養(yǎng)[J].價(jià)值工程, 2015(30):247-249.

[13] 羅力.國(guó)民信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系構(gòu)建研究[J].重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版), 2012,18(3):81-86.

[14] 袁夢(mèng)緋.中式快餐連鎖企業(yè)顧客滿意度調(diào)查問(wèn)卷的設(shè)計(jì)與評(píng)價(jià)方法研究[D].合肥工業(yè)大學(xué),2012.

[15] 張虎,田茂峰.信度分析在調(diào)查問(wèn)卷設(shè)計(jì)中的應(yīng)用[J].統(tǒng)計(jì)與決策,2007(21): 85-90.

[16] 屈芳,馬旭玲,羅林明.調(diào)查問(wèn)卷的信度分析及其影響因素[J].繼續(xù)教育,2015,29(1):32-34.

[17] 宋建林.k-means聚類算法的改進(jìn)研究[D].安徽大學(xué),2016.

[18] 姜晗,賈泂.基于聚類的孤立點(diǎn)檢測(cè)算法[J].計(jì)算機(jī)與現(xiàn)代化,2007(11):37-39.

[19] 趙鳳梅.高等師范院校碩士研究生計(jì)算機(jī)態(tài)度及相關(guān)因素的研究[D].首都師范大學(xué),2007.