沈霞娟，寧玉文，高東懷

第四軍醫(yī)大學(xué)網(wǎng)絡(luò)中心，西安710032

信息技術(shù)是一把雙刃劍，在給大學(xué)生的學(xué)習(xí)、科研、生活提供極大便利的同時(shí)，也帶來(lái)了各種信息安全隱患。面對(duì)日漸復(fù)雜的信息安全威脅以及連續(xù)出現(xiàn)的校園信息安全事件，如何有效提高大學(xué)生的信息安全意識(shí)和能力，已成為高校信息素養(yǎng)教育亟需解決的問(wèn)題之一。然而，我國(guó)在信息安全教育方面起步較晚，許多高校尚未深刻理解大學(xué)生信息安全教育與高素質(zhì)人才培養(yǎng)之間的關(guān)系，對(duì)信息安全教育的重要性認(rèn)識(shí)不足，大學(xué)生的信息安全意識(shí)整體較低［1］。美國(guó)將信息安全作為保持經(jīng)濟(jì)和科技核心競(jìng)爭(zhēng)力的關(guān)鍵影響因素，在信息安全教育的政策計(jì)劃、教育實(shí)踐、宣傳推廣、資源服務(wù)等方面開展了大量有意義的研究與實(shí)踐探索。

1 美國(guó)信息安全教育的政策計(jì)劃

1999年，美國(guó)制定了《國(guó)家信息安全戰(zhàn)略框架》，明確提出了信息空間安全意識(shí)教育，啟動(dòng)了國(guó)家網(wǎng)絡(luò)安全教育培訓(xùn)計(jì)劃(NIETP)。通過(guò)在政府、學(xué)術(shù)界與企業(yè)界間建立合作關(guān)系，圍繞國(guó)家信息基礎(chǔ)設(shè)施保護(hù)，開展培訓(xùn)工作。2000年，美國(guó)發(fā)布了《信息系統(tǒng)保護(hù)國(guó)家計(jì)劃》，啟動(dòng)了聯(lián)邦計(jì)算機(jī)服務(wù)(FCS)項(xiàng)目、服務(wù)獎(jiǎng)學(xué)金(SFS)項(xiàng)目、中小學(xué)拓廣項(xiàng)目、聯(lián)邦范圍內(nèi)的意識(shí)培養(yǎng)項(xiàng)目以及計(jì)算機(jī)公民項(xiàng)目以加強(qiáng)信息安全教育和培訓(xùn)［2］。2003年，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)發(fā)布了《信息技術(shù)安全意識(shí)和培訓(xùn)項(xiàng)目建設(shè)指南》，規(guī)范了信息技術(shù)安全意識(shí)和培訓(xùn)項(xiàng)目的設(shè)計(jì)、開發(fā)、應(yīng)用和評(píng)價(jià)要求［3］。2009年，美國(guó)將10月定為國(guó)家網(wǎng)絡(luò)安全意識(shí)月，面向家庭、學(xué)校、企業(yè)、政府等各類互聯(lián)網(wǎng)用戶開展大規(guī)模的信息安全意識(shí)宣傳、教育和培訓(xùn)活動(dòng)。

2 美國(guó)高校信息安全教育的培養(yǎng)模式

為了培養(yǎng)具有良好信息安全素養(yǎng)的數(shù)字公民，美國(guó)高校積極響應(yīng)國(guó)家信息安全教育政策，多數(shù)院校已經(jīng)在IT服務(wù)部門中設(shè)立了信息安全辦公室，并通過(guò)開設(shè)課程、組織研討、開發(fā)教學(xué)游戲等方式提升大學(xué)生的信息安全意識(shí)與能力。

2．1 開設(shè)信息安全培訓(xùn)課程

開設(shè)培訓(xùn)課程是目前美國(guó)高校進(jìn)行信息安全教育最常用的方式。這些課程一般以短訓(xùn)課程為主，培訓(xùn)方式和培訓(xùn)要求具有較強(qiáng)的針對(duì)性。比如:斯坦福大學(xué)通過(guò)《計(jì)算機(jī)安全意識(shí)》在線課程對(duì)學(xué)生進(jìn)行培訓(xùn)，重在使其掌握必備的信息安全基礎(chǔ)知識(shí)和技能，并要熟悉大學(xué)的信息安全規(guī)章制度［4］;佛吉尼亞州立大學(xué)啟動(dòng)IT安全專項(xiàng)活動(dòng)，并把信息安全教育作為一項(xiàng)系統(tǒng)工程來(lái)抓，要求學(xué)生、教工、職工每年只少參與一次IT安全培訓(xùn)，并取得課程結(jié)業(yè)證書，才能繼續(xù)使用大學(xué)各類信息資源。

2．2 組織信息安全研討會(huì)

組織研討會(huì)是美國(guó)高校進(jìn)行信息安全教育的另一種重要形式。如堪薩斯州立大學(xué)2008-2010年的信息安全會(huì)議主題涉及郵件安全、辦公設(shè)備安全、信用卡安全、移動(dòng)設(shè)備安全等方面。2011年該校開始將會(huì)議常規(guī)化，每月舉辦一次信息技術(shù)安全圓桌探討會(huì)，由信息安全技術(shù)專家講解相關(guān)的信息安全防護(hù)技術(shù)措施與管理要求［5］。

2．3 開展信息安全意識(shí)運(yùn)動(dòng)

開展信息安全意識(shí)專項(xiàng)運(yùn)動(dòng)是美國(guó)高校響應(yīng)國(guó)家網(wǎng)絡(luò)安全意識(shí)月政策的一種直接形式。例如:田納西大學(xué)的信息安全意識(shí)運(yùn)動(dòng)，不但舉辦各類信息安全宣傳活動(dòng)，而且由信息安全辦公室和新技術(shù)中心共同制作了病毒防護(hù)、密碼設(shè)置、敏感數(shù)據(jù)存儲(chǔ)、間諜軟件、垃圾郵件、網(wǎng)絡(luò)釣魚、文件共享與版權(quán)等專題教學(xué)視頻，對(duì)學(xué)生進(jìn)行信息安全知識(shí)和技能進(jìn)行專項(xiàng)培訓(xùn)［6］。

2．4 開發(fā)信息安全教育游戲

游戲教學(xué)是近年來(lái)備受關(guān)注的一種寓教于樂(lè)的教學(xué)模式，它能夠充分調(diào)動(dòng)學(xué)生的積極性，增強(qiáng)教學(xué)內(nèi)容的趣味性和吸引力?？▋?nèi)基梅隆大學(xué)充分發(fā)揮自身計(jì)算機(jī)專業(yè)的優(yōu)勢(shì)，開發(fā)了信息安全教育在線游戲，并以其科學(xué)的教學(xué)設(shè)計(jì)和精良的制作水準(zhǔn)，獲得本校師生和同行院校的認(rèn)可。例如:該校開發(fā)的反釣魚網(wǎng)絡(luò)游戲Anti-Phishing Phil和Anti-Phishing Phyllis，教育用戶如何辨認(rèn)釣魚網(wǎng)站，如何在瀏覽器中尋找網(wǎng)站暗示信息，如何通過(guò)搜索引擎找到合法網(wǎng)站，進(jìn)而避免被黑客釣魚［7］。

2．5 編制信息安全測(cè)驗(yàn)問(wèn)卷

為了有效評(píng)估學(xué)生的信息安全能力水平，喬治梅森大學(xué)信息技術(shù)中心編制了信息技術(shù)安全測(cè)驗(yàn)問(wèn)卷［8］。問(wèn)卷重點(diǎn)考察學(xué)生對(duì)信息安全威脅的重視程度、常用信息安全技能的掌握狀況以及對(duì)大學(xué)信息安全政策的了解程度。該問(wèn)卷既是大學(xué)生進(jìn)行信息安全能力自我評(píng)估的工具，同時(shí)也作為大學(xué)制定信息安全教育計(jì)劃的重要依據(jù)。

此外，不少高校還綜合利用上述方式開展信息安全教育，比較典型的是麻省理工學(xué)院。該校在課程培訓(xùn)方面，不但針對(duì)信息安全技能薄弱的用戶提供了自主開發(fā)的《計(jì)算機(jī)安全意識(shí)基礎(chǔ)課程》，而且引入了美國(guó)國(guó)立衛(wèi)生研究院(NIH)的《信息安全與保密意識(shí)培訓(xùn)課程》，以及德克薩斯農(nóng)工大學(xué)的培訓(xùn)課程;在學(xué)術(shù)活動(dòng)方面，麻省理工學(xué)院積極響應(yīng)國(guó)家網(wǎng)絡(luò)安全意識(shí)月活動(dòng)和高等教育信息化協(xié)會(huì)［EDUCAUSE:由高等院校系統(tǒng)交流組織(college and university systems exchange，CAUSE)與大學(xué)校際交流委員會(huì)(interuniversity communications council，EDUCOM)合并而成立］信息安全意識(shí)視頻大賽，組織信息安全研討會(huì)，編制信息安全常見(jiàn)問(wèn)題集;教學(xué)游戲方面，則引入了卡內(nèi)基梅隆大學(xué)的反釣魚游戲以及美國(guó)聯(lián)邦貿(mào)易委員會(huì)制作的OnGuard Online Games系列游戲［9］。

3 美國(guó)高校信息安全教育的宣傳推廣

良好的宣傳推廣能夠使社會(huì)充分認(rèn)識(shí)并認(rèn)可信息安全教育的重要性，為教育實(shí)踐活動(dòng)的開展創(chuàng)設(shè)良好的輿論氛圍。美國(guó)以高等教育信息化協(xié)會(huì)(EDUCAUSE)和國(guó)家網(wǎng)絡(luò)安全聯(lián)盟(national cyber security alliance，NCSA)為代表的組織機(jī)構(gòu)通過(guò)開展專項(xiàng)比賽、啟動(dòng)專項(xiàng)活動(dòng)、建立專題網(wǎng)站等形式加大信息安全教育的宣傳推廣。

3．1 高校教育信息化協(xié)會(huì)的專項(xiàng)比賽

EDUCAUSE是一個(gè)非營(yíng)利組織，它和下一代互聯(lián)網(wǎng)聯(lián)合組建了高等教育信息安全委員會(huì)，其主要職能是積極發(fā)展和推動(dòng)重要IT資產(chǎn)和基礎(chǔ)設(shè)施保障方案的有效實(shí)踐，進(jìn)一步提升高等教育領(lǐng)域的信息安全與隱私保護(hù)。EDUCAUSE自2006年起舉辦高校信息安全意識(shí)海報(bào)與視頻大賽，參賽作品不僅通過(guò)EDUCAUSE網(wǎng)站進(jìn)行官方宣傳，而且還在You Tube、Facebook和Twitter等主流網(wǎng)絡(luò)媒體中同步發(fā)布，引起了美國(guó)高校的廣泛關(guān)注和積極參與。

2006年首屆美國(guó)年度高校信息安全意識(shí)視頻大賽主要評(píng)選兩類宣傳計(jì)算機(jī)安全意識(shí)的作品，包括描述一系列安全話題的短片和專注于某個(gè)安全問(wèn)題的專題片，組委會(huì)共收到17所高校的62部參賽作品。2007年第二屆比賽中，引入了媒體的宣傳優(yōu)勢(shì)—美國(guó)探索頻道加入了承辦方，組委會(huì)共收到來(lái)自24所高校的56部參賽作品。原定在2008年舉行的第三屆比賽因故推遲到2009年，新增了承辦機(jī)構(gòu)CyberWATCH，并增設(shè)了信息安全意識(shí)宣傳海報(bào)的評(píng)選，比賽規(guī)模進(jìn)一步擴(kuò)大，共收到來(lái)自31所高校的87部參賽作品［10］。2011年舉行的第四屆比賽吸收查普曼大學(xué)作為承辦方之一，這是高等學(xué)校首次成為信息安全海報(bào)與視頻大賽的承辦方，進(jìn)一步凸顯了信息安全教育“源于大學(xué)，用于大學(xué)”的比賽初衷。

3．2 國(guó)家網(wǎng)絡(luò)安全聯(lián)盟的專項(xiàng)活動(dòng)

NCSA是一個(gè)公私合營(yíng)的非盈利組織，主要負(fù)責(zé)執(zhí)行互聯(lián)網(wǎng)方面的公共教育和普及工作，幫助數(shù)字時(shí)代的公民安全地使用網(wǎng)絡(luò)并保護(hù)他們所使用的網(wǎng)絡(luò)。NCSA不僅是美國(guó)國(guó)家網(wǎng)絡(luò)安全意識(shí)月的主要發(fā)啟者和承辦方之一，而且針對(duì)大學(xué)生開展了信息安全意識(shí)提升高等教育運(yùn)動(dòng)。該運(yùn)動(dòng)啟動(dòng)于2009年，目標(biāo)是增加大學(xué)生的網(wǎng)絡(luò)安全知識(shí)和防護(hù)技能。針對(duì)高校管理者，NCSA圍繞“我能做什么”和“我該怎么做”兩個(gè)方面提出了加強(qiáng)網(wǎng)絡(luò)信息安全意識(shí)的建議;針對(duì)高校大學(xué)生，則進(jìn)一步明確了3C要求，即網(wǎng)絡(luò)信息安全(CyberSecurity)、網(wǎng)絡(luò)人身安全(Cyber Safety)和網(wǎng)絡(luò)倫理道德(CyberEthics)。全美高校積極響應(yīng)此項(xiàng)活動(dòng)，普渡大學(xué)、佛吉尼亞大學(xué)、達(dá)特茅斯學(xué)院、波士頓學(xué)院等八所高校被選定為合作伙伴院校。

4 美國(guó)高校信息安全教育的資源服務(wù)

美國(guó)信息安全教育的有效實(shí)施離不開豐富的教學(xué)資源。美國(guó)不少信息安全企業(yè)都專門設(shè)立了教育資源開發(fā)中心，提供各類教育資源服務(wù)。比如:SANS公司針對(duì)信息安全意識(shí)培訓(xùn)，不但開設(shè)了《信息安全導(dǎo)論》、《軟件安全意識(shí)》、《計(jì)算機(jī)與網(wǎng)絡(luò)安全意識(shí)》、《SANS安全概要》等收費(fèi)課程，而且以信息安全閱覽室的形式提供了海報(bào)、視頻、報(bào)告、論文等豐富的免費(fèi)資源［11］;而Native Intelligence，Inc．公司則提供了60 s的安全教育短片、7 min的微型課程以及15-45 min意識(shí)喚醒課程以及由近300幅圖片構(gòu)成的信息安全宣傳海報(bào)庫(kù)［12］。

從上述分析可知，我國(guó)高校要深入推進(jìn)大學(xué)生信息安全教育，必須注意以下三個(gè)問(wèn)題:首先，科學(xué)的政策支持是信息安全教育順利開展的前提。從1999年的國(guó)家信息安全教育培訓(xùn)計(jì)劃到2009年的國(guó)家信息安全意識(shí)月活動(dòng)逐步勾勒出了美國(guó)在信息安全教育方面的政策脈絡(luò)，表現(xiàn)出很強(qiáng)的層次性和銜接性，同時(shí)更表現(xiàn)出一種戰(zhàn)略性。其次，和諧的多方聯(lián)動(dòng)是信息安全教育有效實(shí)施的保障。在美國(guó)，以EDUCAUSE和NCSA為代表的非營(yíng)利性組織借助自身的機(jī)構(gòu)優(yōu)勢(shì)加大信息安全教育的宣傳，營(yíng)造良好的教育氛圍;信息安全企業(yè)利用自身的技術(shù)優(yōu)勢(shì)開發(fā)信息安全教育專項(xiàng)資源，提供優(yōu)質(zhì)的培訓(xùn)服務(wù);高校則通過(guò)開展各類專項(xiàng)教育實(shí)踐活動(dòng)，落實(shí)信息安全意識(shí)培養(yǎng)任務(wù)。我國(guó)高校應(yīng)充分借鑒其成功做法，充分發(fā)揮各類教育組織和信息安全企業(yè)的優(yōu)勢(shì)和力量，協(xié)力完成信息安全教育任務(wù)。最后，豐富的實(shí)踐模式是信息安全教育深入推進(jìn)的關(guān)鍵。我國(guó)高校應(yīng)盡快將信息安全教育課程納入大學(xué)生素質(zhì)教育培養(yǎng)體系，采取以課程為主，競(jìng)賽、游戲、研討等非正式學(xué)習(xí)形式為輔的多元培養(yǎng)方案，并用知行統(tǒng)一的標(biāo)準(zhǔn)檢驗(yàn)信息安全教育的成效。

［1］肖紅光，譚作文，周亞卉．論大學(xué)生信息安全意識(shí)教育［J］．當(dāng)代教育理論與實(shí)踐，2009，(9):29-31

［2］左曉棟，趙戰(zhàn)生．美國(guó)《信息系統(tǒng)保護(hù)國(guó)家計(jì)劃》簡(jiǎn)析［J］．中國(guó)金融電腦，2001，(4):4-7

［3］Wilson M，Hash J．Building an Information Technology Security Awareness and Training Program［R］．NIST Special Publication，2003:11-31

［4］Stanford University．Computer Security User Awareness Training［EB/OL］．http://www．stanford．edu/group/security/securecomputing/training/index．html，2011-02-25

［5］Kansas State University．IT Security Training［EB/OL］．http://www．k-state．edu/its/security/training，2011-03-20

［6］Tennessee University．Security Awareness Campaign［EB/OL］．http://security．tennessee．edu/training．shtml，2011-03-20

［7］Carnegie Mellon University．Anti-Phishing Phyllis［EB/OL］．http://www．cmu．edu/iso/aware/phyllis/index．html，2011-03-26

［8］George Mason University．Information Technology Security Quiz［EB/OL］．http://security．gmu．edu/quiz，2011-3-26

［9］MIT．Information Security Awareness and Education［EB/OL］．http://ist．mit．edu/security/awareness，2011-3-26

［10］蔣莉，楊培靜．歐美國(guó)家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)［J］．中國(guó)教育網(wǎng)絡(luò)，2008，(8):33-35

［11］SANS．Information Security Resources［EB/OL］．http://www．sans．org/information_security．php，2011-4-25

［12］Native Intelligence，Inc．Security Awareness Programs［EB/OL］．http://www．nativeintelligence．com/index．a(chǎn)sp，2011-4-25