姚　麗，張　毅，張　偉

第四軍醫(yī)大學(xué)唐都醫(yī)院，西安 710032

?

高校信息安全教育現(xiàn)狀與對策探析

姚麗，張毅，張偉

第四軍醫(yī)大學(xué)唐都醫(yī)院，西安 710032

信息安全教育是信息時代高校信息素養(yǎng)教育的重要內(nèi)容之一。文章在明確信息安全素質(zhì)內(nèi)涵的基礎(chǔ)上，通過對部分高校師生的調(diào)研，發(fā)現(xiàn)信息安全教育存在著教育目標(biāo)不明確、培養(yǎng)過程與方法不成熟、評價手段相對單一等問題。針對問題，該文從教育目標(biāo)、教育內(nèi)容、教育模式和評價方式四個方面提出了大學(xué)生信息安全教育改革措施。

高校學(xué)生；信息安全素質(zhì)；教育現(xiàn)狀

隨著教育信息化建設(shè)的逐步深入，高校已經(jīng)基本建立了信息化校園環(huán)境，絕大部分學(xué)生成為“網(wǎng)民”的重要組成部分。據(jù)《中國互聯(lián)網(wǎng)發(fā)展報告2013》顯示:截至2013年6月底，中國20—29歲的網(wǎng)民占網(wǎng)民總數(shù)的30.4%，大專及以上學(xué)歷的網(wǎng)民占21.1%［1］。大學(xué)生作為網(wǎng)民的主要組成部分，在享受信息技術(shù)帶來的學(xué)習(xí)、生活便利的同時，也面臨著隱私信息泄露、網(wǎng)絡(luò)攻擊與破壞等安全風(fēng)險，部分學(xué)校出現(xiàn)了信息安全事故。因此，大部分高校已經(jīng)將信息安全教育納入大學(xué)信息素養(yǎng)培養(yǎng)計劃中。通過增加公共課程，開設(shè)選修課或?qū)ｎ}報告等形式開展了形式多樣的信息安全教育［2］，以此提高高校學(xué)生的信息安全素質(zhì)。然而，由于目前國家尚未明確的信息安全教育統(tǒng)一規(guī)范，各高校在教育目標(biāo)與內(nèi)容設(shè)計上千差萬別，也影響了信息素養(yǎng)教育的整體質(zhì)量。在嚴(yán)峻的信息安全形勢下，高校信息安全教育情況與效果到底如何？應(yīng)該如何改進(jìn)高校信息安全教育？這都是值得認(rèn)真研究的問題。

1　信息安全素質(zhì)的內(nèi)涵

ISO/IEC17799標(biāo)準(zhǔn)（國際標(biāo)準(zhǔn)化組織/國際電工技術(shù)委員會17799標(biāo)準(zhǔn)）指出，信息安全是通過實施策略、措施、過程、組織結(jié)構(gòu)及軟件功能等控制手段，實現(xiàn)機密性、完整性和可用性保護(hù)的一種特性［3］。信息安全的實質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，保證信息的機密性、完整性、可用性、可靠性、不可否認(rèn)性。我國教育專家孫云曉認(rèn)為，素質(zhì)是在一個長期的過程中形成的一種價值觀和一種生活方式，對人的態(tài)度、對人的行為等起穩(wěn)定作用的一種習(xí)慣養(yǎng)成［4］。信息素養(yǎng)的八個能力標(biāo)準(zhǔn)中有信息安全的素質(zhì)要求，要求具有正確的人生觀、價值觀、甄別能力以及自控、自律和自我調(diào)節(jié)能力，能自覺抵御和消除垃圾信息及有害信息的干擾和侵蝕，并且完善合乎時代的信息倫理素養(yǎng)［5］。因此，可以將信息安全素質(zhì)界定為在信息化條件下，針對維護(hù)不宜公開的信息安全所表現(xiàn)出來的意識、知識、技能、道德等方面的綜合能力。這也是高校學(xué)生在信息社會必須具備的一項基本素質(zhì)。

2　高校信息安全教育現(xiàn)狀

2.1高校信息安全教育調(diào)查

2.1.1調(diào)查目的 為了較為全面地調(diào)研高校信息安全教育的基本模式和教育質(zhì)量，筆者采用調(diào)查問卷和訪談相結(jié)合的方法，一方面通過量化的問卷獲得調(diào)研對象信息安全教育效果的客觀數(shù)值，另一方面通過與教師和學(xué)生訪談的形式，了解他們對信息安全教育的主觀認(rèn)識。

2.1.2調(diào)查對象 在調(diào)研對象選取方面，采用抽樣調(diào)查法，為了充分體現(xiàn)大學(xué)生的覆蓋范圍和群體特征，筆者選擇不同類型、不同層次、不同年級的學(xué)生作為樣本?？紤]到操作的可行性和筆者的實際能力，選取西安的某985院校、某211院校、某軍校和某藝術(shù)院校作為抽樣調(diào)查的樣本。這4所院校不僅有綜合性大學(xué)，還有專業(yè)類院校，覆蓋范圍較廣。同時為了突出施教前后的狀態(tài)對比，筆者分別選取這4所學(xué)校剛?cè)胄５拇笠换蜓幸恍律鳛槿胄３醯臓顟B(tài)，選取即將畢業(yè)離校的大四或研三學(xué)生作為畢業(yè)前的狀態(tài)，分別發(fā)放問卷調(diào)查。

筆者在4所學(xué)校分兩個組調(diào)研，按照回收的有效調(diào)查問卷統(tǒng)計，對象一組為2013級新生（時年大一200人，研究生200人），這些學(xué)生年齡介于18～24歲之間；對象二組為2009級學(xué)生（時年大四）200人，2010級碩士研究生（時年研三）200人，這些學(xué)生年齡介于21～27歲之間。

2.1.3調(diào)查實施 筆者通過與被調(diào)研高校的教務(wù)部門協(xié)調(diào)，分別面向調(diào)研高校選擇學(xué)生，通過填寫《個人信息安全素質(zhì)基本情況調(diào)查》《信息安全教育情況調(diào)查》兩個方面的問卷，針對高校學(xué)生入校后與畢業(yè)前信息安全素質(zhì)狀態(tài)、信息安全教育實施情況，進(jìn)行了專題調(diào)研，回收有效問卷798份。同時筆者在調(diào)研過程中分別與參與信息安全教育的教師和學(xué)生進(jìn)行座談。

2.2大學(xué)生信息安全培養(yǎng)模式

2.2.1培養(yǎng)目標(biāo)定位情況 當(dāng)前高校的信息安全教育是大學(xué)生計算機文化基礎(chǔ)課程的重要內(nèi)容［6］。從調(diào)研高校的人才培養(yǎng)方案可以看出，其培養(yǎng)目標(biāo)定位相對并不一致，但按照目標(biāo)取向，基本可以歸納為三個層級:第一層是意識啟蒙取向，是為了強化學(xué)生信息安全意識，培養(yǎng)其能夠及時發(fā)現(xiàn)并自覺抵制信息安全事件的發(fā)生，確保信息的基本安全；第二層是實用取向，是從學(xué)生未來職業(yè)和工作需要出發(fā)，培養(yǎng)學(xué)生具備一定的信息安全意識和技能，能夠適應(yīng)信息時代的生活和工作；第三層是素質(zhì)培養(yǎng)取向，培養(yǎng)學(xué)生具有專業(yè)信息安全綜合防護(hù)能力，能夠自覺維護(hù)個人、集體或國家的信息安全。

2.2.2課程教學(xué)為主的培養(yǎng)過程與方式 在培養(yǎng)過程與方式的選擇方面，被調(diào)研的4所高校（如表1所示），基本采用了以課程教學(xué)為主體、專題講座為輔助的信息安全教育方式，部分院校還采用信息安全知識競賽、演講比賽、信息安全案例討論課等手段來促進(jìn)保密知識的宣傳。所有院校都采用傳播媒介、輿論工具等手段，通過?？?、校報、校園網(wǎng)絡(luò)、廣播、宣傳欄等進(jìn)行安全教育，督促學(xué)生自覺、主動地搜集、學(xué)習(xí)網(wǎng)絡(luò)信息安全方面的知識。但是在所有方式中，課程教學(xué)是最常態(tài)化和固定性的一種培養(yǎng)方式，宣傳教育、專題講座多為實時的教育培養(yǎng)方式，課外活動通常融入到學(xué)生的課外文化活動中，并不是一種常見的教育形式。

表1　高校開展信息安全教育的途徑

宣傳教育提高方式 宣傳教育是提高信息安全素質(zhì)的重要手段，以傳播范圍大、持續(xù)時間長、信息傳遞靈活等特征，成為高校校園課外教育的重要手段［7］。宣傳教育主要利用校園中的報紙、廣播、電視、網(wǎng)絡(luò)等媒體，以聲音、視頻、圖片、文字、動畫等多種形式宣傳信息安全知識，成為高校學(xué)生獲取信息安全知識的重要渠道。宣傳教育的主要實施方法是在重要路口宣傳欄張貼《信息安全宣傳掛圖》、集中觀看信息安全電視專題片、制作信息安全專題網(wǎng)站，還有通過網(wǎng)絡(luò)安全宣傳周集中參觀信息安全產(chǎn)品。

課程教學(xué)提高方式 課程教學(xué)以其強制性、固定性、可控性、權(quán)威性成為大學(xué)提高信息安全教育的首選途徑［8］。高校面向各類教育班次普遍開設(shè)了《計算機文化基礎(chǔ)》《信息安全》等基礎(chǔ)課程，大多數(shù)安排在大學(xué)一年級上學(xué)期，是學(xué)生自我表現(xiàn)愿望最強烈的時期，以必修課或選修課的形式授課，在提高學(xué)生信息安全素質(zhì)方面發(fā)揮著重要作用。

專題講座提高方式 專題講座一般具有較強的針對性，此種方式通常有兩種實踐方案:一種是常態(tài)化方案，多數(shù)在大學(xué)生入學(xué)軍事訓(xùn)練時，一般融入入學(xué)教育，以專題輔導(dǎo)報告的形式向?qū)W生傳播信息安全知識；另一種是隨機化方案，學(xué)校通常結(jié)合保密檢查或者保密形勢，以學(xué)校聘請專家作報告的形式傳播知識。此種方案具有不固定性，是一種針砭時弊的培養(yǎng)形式。

當(dāng)然這幾種教育方式并不是相對獨立的，高校通常將這幾種教育方式混合，以期達(dá)到協(xié)同教育的最好效果。

2.3大學(xué)生信息安全教育效果

2.3.1信息安全意識可以迅速強化 從大學(xué)生信息安全意識的形成過程可以看出，其接受信息安全教育啟蒙較晚，如圖1所示。“在什么時間開始接觸信息安全”的調(diào)查顯示:有2.4%的學(xué)生選擇小學(xué)，3.5%的學(xué)生選擇初中，18.1%的學(xué)生選擇高中，68%的學(xué)生選擇大學(xué)，而8%的學(xué)生選擇其他時間；“是否有意識地去主動獲取信息安全知識”調(diào)查結(jié)果顯示:在接受大學(xué)信息安全素質(zhì)教育之前，只有13.1%的學(xué)生表示“經(jīng)常有”，64.8%的學(xué)生“不常有”，22.1%的學(xué)生則表示“沒有”。

圖1　大學(xué)生信息安全意識的啟蒙時間

但是大多數(shù)本科學(xué)生在畢業(yè)之前具有強烈的信息安全意識?！皩W(xué)生對信息安全事件態(tài)度”的調(diào)查結(jié)果顯示:67%的學(xué)生具有一定的信息安全主動防御意識，能夠主動預(yù)防信息安全威脅，24%的學(xué)生在遭遇信息安全事件時，具備一定的被動防御意識，僅占9%的學(xué)生不具備防御意識。這一結(jié)果與入校后學(xué)生的情況對比，明顯看出，學(xué)生的信息安全意識較容易通過培養(yǎng)得到強化。

2.3.2大學(xué)生信息安全知識可以得到充分豐富 從

高校學(xué)生在信息安全知識的獲取時間可以看出，其入校前對信息安全相關(guān)知識了解較少，主要通過電視宣傳、軍訓(xùn)教育、《信息技術(shù)》與《思想政治》等課程教學(xué)、報刊圖書等渠道獲取知識（如圖2所示）。大多數(shù)學(xué)生對信息安全知識的了解集中在保密法律法規(guī)和相關(guān)信息安全案例上，對信息安全技術(shù)和保密知識知道較少。但是畢業(yè)前，大部分本科學(xué)生經(jīng)過了較為系統(tǒng)的信息安全知識學(xué)習(xí)，在信息安全知識、保密知識、保密法規(guī)等方面有較大幅度的提高。其中，信息安全知識部分是入校前后對比改變最為突出的部分。

圖2　大學(xué)生入校后與畢業(yè)前信息安全知識掌握情況對比

2.3.3大學(xué)生信息安全技能無法得到全面提高 大學(xué)生的信息安全技能在接受教育前后都較弱。黑客攻擊、病毒肆虐、信息戰(zhàn)爭、計算機犯罪、操作不當(dāng)、惡意破壞、硬軟件缺陷、監(jiān)督管理不力、自然災(zāi)害等引起的不同形式、不同程度的信息安全問題一直伴隨著互聯(lián)網(wǎng)的發(fā)展，大學(xué)生需要掌握一定的信息安全技能來應(yīng)對信息安全攻擊行為。據(jù)調(diào)查，剛?cè)胄５慕^大多數(shù)學(xué)生不能處理計算機信息中毒現(xiàn)象:93.4%的學(xué)生不會安裝“殺毒軟件”，77.9%的學(xué)生不會“定期病毒更新”，69.7%的學(xué)生不會“防火墻設(shè)置”，26.2%的學(xué)生沒有“反垃圾郵件”，24.6%的學(xué)生沒有設(shè)置“隱私控制”，35.2%的學(xué)生不會“禁止廣告”，47.5%的學(xué)生沒有進(jìn)行“重要信息備份”。而畢業(yè)前的學(xué)生掌握的信息安全技能主要集中在“計算機與互聯(lián)網(wǎng)信息安全防護(hù)”和“移動通信信息安全”，而由于缺少實踐環(huán)境，對于涉密實體、無線通信網(wǎng)絡(luò)等方面的信息安全防護(hù)技術(shù)掌握較差。

2.3.4大學(xué)生信息安全道德沒有得到理想改善 信息安全倫理道德教育是信息安全素質(zhì)培養(yǎng)的方向。經(jīng)過調(diào)查，95.9%的學(xué)生表示“有必要”普及信息安全相關(guān)知識，僅有3.3%的學(xué)生表示“無所謂”和0.8%的學(xué)生表示“否”。在“若是您身邊的朋友或者是自己有網(wǎng)絡(luò)個人信息被泄露的情況發(fā)生，您的反映會是”時，沒有學(xué)生會覺得“無所謂”，13.1%的學(xué)生會“很無奈，但是只能自認(rèn)倒霉，不會采取任何的實際行動”，57.4%的學(xué)生會“氣憤，以后會加強警惕”，1.6%的學(xué)生“十分氣憤，會找網(wǎng)絡(luò)公司理論或在網(wǎng)上灌水發(fā)泄”，13.1%的學(xué)生會“采取法律手段解決”，14.8%的學(xué)生“沒有發(fā)生過”。大部分的學(xué)生會引以為鑒，但是只有很少的學(xué)生會采取法律的手段。

3　大學(xué)生信息安全素質(zhì)教育的改善措施

從大學(xué)生的信息安全素質(zhì)調(diào)查結(jié)果可以發(fā)現(xiàn)，大學(xué)生的信息安全教育主要存在四個方面的突出問題:一是缺乏明確的教育目標(biāo)，使信息安全教育缺乏明確指向；二是缺乏系統(tǒng)的教育內(nèi)容，無法全面?zhèn)魇趯嵱玫男畔踩R；三是缺乏靈活的教育模式，使信息安全教育績效沒有達(dá)到理想效果；四是缺乏科學(xué)的測評方法，使學(xué)生在信息安全教育中，無法及時了解信息安全素質(zhì)的提高程度。因此，必須從問題入手，制定改善教育效果的應(yīng)對措施。

3.1明確教育目標(biāo)

教育目標(biāo)是教育活動的指向標(biāo)。而大學(xué)許多教師對信息安全素質(zhì)教育還停留在課程教學(xué)層次，甚至有的教師還停留在大學(xué)氛圍創(chuàng)造和課外文化宣傳層面，對信息安全素質(zhì)的重要性認(rèn)識不足，導(dǎo)致教育目標(biāo)不明確。因此，需要從教師入手，從知識、技能、意識和道德四個方面組織制定符合社會需求的教育目標(biāo)，為教育教學(xué)活動提供指導(dǎo)。

3.2梳理教育內(nèi)容

當(dāng)前大學(xué)信息安全教育內(nèi)容由各個學(xué)校自主設(shè)定，由于內(nèi)容局限于教材，時間局限于課堂，教學(xué)內(nèi)容缺乏系統(tǒng)性，僅僅停留在基本知識層面，缺乏技能層面的知識，同時缺乏網(wǎng)絡(luò)教育資源。因此，需要認(rèn)真梳理信息安全教育內(nèi)容，編寫大學(xué)生信息安全通識教育教材，形成以信息安全形勢與背景、通信信息安全（有線通信與移動通信）、計算機網(wǎng)絡(luò)安全、國家信息安全政策法規(guī)為主要內(nèi)容的信息安全教育內(nèi)容體系，開發(fā)MOOC為代表的微型教學(xué)資源，形成滿足正式與非正式學(xué)習(xí)的信息安全教育的資源體系，為教育教學(xué)活動服務(wù)。

3.3改革教育模式

大學(xué)信息安全教育模式缺乏靈活性。許多學(xué)校將教育最有效的形式付諸于課堂教學(xué)，幾乎是千篇一律的在一種課堂教學(xué)模式下運行，讓學(xué)生習(xí)慣于被動接受新知識，缺少對知識的靈活應(yīng)用能力，更缺少認(rèn)知以外的其他素質(zhì)發(fā)展［9］，已經(jīng)越來越不適應(yīng)信息社會對高素質(zhì)人才培養(yǎng)的要求。需要大學(xué)師生對新的教學(xué)模式進(jìn)行探究，尤其是重視在信息化環(huán)境下構(gòu)建多樣化的教學(xué)模式促進(jìn)學(xué)生全面發(fā)展和提高教育質(zhì)量，提供移動學(xué)習(xí)和在線學(xué)習(xí)支持服務(wù)，將教—學(xué)模式變?yōu)樽杂X、主動的碎片化學(xué)習(xí)，滿足高校不同層次學(xué)生的學(xué)習(xí)需要。

3.4完善評價方式

大學(xué)生信息安全教育的評價方式單一。信息安全素質(zhì)包含知識、技能、情感、道德四個方面。以信息安全保密素養(yǎng)培養(yǎng)目標(biāo)為依據(jù)，不僅讓學(xué)員掌握信息安全保密基本知識和技能的評價標(biāo)準(zhǔn)，而且要滲透人文精神，實現(xiàn)技術(shù)能力與人文素養(yǎng)的雙重評價。實現(xiàn)情感方面的評價目標(biāo)，也就是實現(xiàn)信息安全保密意識和道德方面的評價。堅持自我評價和他人評價相結(jié)合，總結(jié)性評價與形成性評價相結(jié)合，傳統(tǒng)評價與信息化評價相結(jié)合的三結(jié)合多元評價思路。高校不僅通過考試，還可以通過問卷、量表測量的形式建立群體和個人信息安全保密素質(zhì)的多樣化評價方法。

信息安全素質(zhì)作為信息素養(yǎng)教育的重要內(nèi)容［10］，在國內(nèi)也是一項需要加強的教育任務(wù)。在信息技術(shù)與教育的深度融合和信息安全形勢越來越嚴(yán)峻的背景下，針對大學(xué)生只重視了意識和知識的學(xué)習(xí)，忽略了技能和道德提高的現(xiàn)狀，高校需要進(jìn)一步加大對信息安全素質(zhì)教育問題的研究，從教育目標(biāo)、教育內(nèi)容、教育模式和評價方式入手，加快大學(xué)生信息安全教育的轉(zhuǎn)型，使信息安全素質(zhì)真正廣泛發(fā)揮作用。

［1］中國互聯(lián)網(wǎng)協(xié)會，中國互聯(lián)網(wǎng)絡(luò)信息中心.中國互聯(lián)網(wǎng)發(fā)展報告2013［R］.北京：電子工業(yè)出版社，2014：3-4

［2］ENISA.Information security awareness initiatives：Current practice and themeasurement of success［R］.Heraklion Greece，2007：3-7

［3］Hash J，Bartol N，Rollins H，et al.Integrating ITSecurity into the Capital Planning and Investment Control Process［R］.National institute of stand ards and technology Special Publication 800-65，2005：18-45

［4］劉楓.大學(xué)生信息安全素質(zhì)分析與形成［J］.計算機教育，2010（21）：77-80

［5］王瑩.軍隊院校本科生信息素養(yǎng)標(biāo)準(zhǔn)研究［D］.西安：第四軍醫(yī)大學(xué)，2008：102-112

［6］羅鋒盈.國際信息安全標(biāo)準(zhǔn)化熱點和我國提案進(jìn)展［J］.信息技術(shù)與標(biāo)準(zhǔn)化，2010（12）：24-27

［7］苗序娟.非信息安全專業(yè)信息安全類課程的教學(xué)探索與研究［J］.中國教育信息化，2012（5）：74-77

［8］趙越.高校大學(xué)生網(wǎng)絡(luò)信息安全教育探索與實踐［J］.電腦知識與技術(shù)，2014（24）：29-32

［9］楊建強，姜洪溪，鄭毅，等.大學(xué)生信息安全知識、安全意識調(diào)查及分析［J］.計算機教育，2014（13）：36-39

［10］Sademies A.Process Approach to Information Security Metriesin Finnish Industry and State Institutions［R］.Espoo：VTT Technical Research Centre of Finland，2004：23

The current status of in form ation security education at universities and countermeasures analysis

Yao Li，Zhang Yi，Zhang Wei
Tangdu Hospital，the Fourth Military Medical University，Xi'an 710032，China

Information security education is one of the important contents of information literacy education at universities in the information age.The paper first clarifies the connotation of information security literacy.Then based on our investigation of some college students and teachers，the authors found some problems in information security education，such as unclear education objectives，immature training process and methods，and single evaluation means.In view of the above-mentioned problems，this paper puts forward measures to reform information security education for college students in the following four aspects：education objectives，education content，education mode and evaluation means.

college student；information security quality；present status of education

G434

A

1004-5287（2016）03-0300-04

10.13566/j.cnki.cmet.cn61-1317/g4.201603018

2016-03-22

姚麗（1981-），女，黑龍江通河人，講師，主治醫(yī)師，博士，主要研究方向:病理臨床診斷及教育信息化研究。通信作者:張毅（1981-），男，陜西大荔人，講師，博士，主要研究方向:教育信息化建設(shè)與管理。

電話:13572100386；E-mail:zhangyi@fmmu.edu.cn