孫夫雄，曹甜，呂錦

（中南財經(jīng)政法大學信息與安全工程學院，湖北武漢430074）

0 引言

2016年3月舉行的全國兩會第四次會議將以網(wǎng)絡安全為核心的網(wǎng)絡強國戰(zhàn)略作為“十三五”規(guī)劃的重要組成部分。習近平總書記在中央網(wǎng)絡安全和信息化領導小組第一次會議上提出，網(wǎng)絡安全是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題。同年4月份，習近平總書記再次對網(wǎng)絡安全和信息化工作發(fā)表了重要講話，強調在當今世界，信息化發(fā)展很快，網(wǎng)絡安全威脅和風險日益突出，國家級、有組織的高強度網(wǎng)絡攻擊，對每一個國家來說都是一個難題。

網(wǎng)絡安全的維護不僅需要信息安全高等教育人才，更需要具有較高素質和信息安全意識的全民參與和維護。大學生將在各個部門擔任重要崗位，接觸大量的信息資源，由于自身知識結構的局限性，可能因為信息安全意識不高或缺乏自我保護意識的問題，存在將國家或個人信息泄漏的風險，因此建立針對非計算機專業(yè)大學生的信息安全意識培養(yǎng)和評估模式尤為重要。

1 相關研究

針對日益嚴重的信息安全威脅，在信息安全人才與信息安全意識培養(yǎng)領域，國內外學者進行了大量卓有成效的研究。武漢大學張煥國教授論述了當前互聯(lián)網(wǎng)+新時代下信息安全人才培養(yǎng)體系的現(xiàn)狀與挑戰(zhàn)[1]；學者羅力提出了一個國民信息安全素養(yǎng)評價指標體系[2]；文獻[3-4]從課堂教學的角度，研究了信息安全風險評估和信息安全實踐等方面的建設和改革；國外學者Gorbatov等研究了俄國高素質信息安全人才的培養(yǎng)方案[5]；Waly在其博士論文中系統(tǒng)地研究了信息安全意識培訓的目標、實施方案對組織信息安全的影響[6]；VerineEtsebeth從訴訟成本論述了信息安全意識和培訓的必要性，建議管理層必須意識到信息安全是一個業(yè)務的推動力，而不是一個商業(yè)的抑制劑[7]；MarksA定量實證調查了435個高等教育機構，發(fā)現(xiàn)僅有1/3的被調查教育機構為學生和工作人員安排了安全意識的培訓，并研究如何提高安全意識水平的模式[8]。

文獻調研顯示信息安全專業(yè)人才教育體系的改進和創(chuàng)新是當前國內外研究的焦點，但缺乏針對非計算機專業(yè)大學生，特別是人文社科類學生的信息安全意識培養(yǎng)體系。關于信息安全意識培養(yǎng)研究模式通常針對企事業(yè)單位的信息系統(tǒng)進行安全評估，調查工作人員對信息安全問題的想法、認識和態(tài)度，然后進行短期的安全意識培訓[9]，該模式對組織信息安全保障的有效性及是否能提高員工信息安全意識的水平是存疑的[10]。

在校大學生接受新事物的程度高且可塑性較好，系統(tǒng)地進行信息安全意識培養(yǎng)能達到更好的成效，筆者針對非信息安全專業(yè)大學生的特點，提出基于評估模型驅動的信息安全意識教學方案。

2 評估模型

2003年國際信息安全論壇(ISF,2003)定義信息安全意識是組織成員對信息安全重要性、信息安全對組織影響程度、對信息安全的個人責任感和行為等方面的認知程度。信息安全意識雖是一個不可見的模糊概念，但信息安全意識具有指向性，從某種程度上，信息安全知識決定了用戶的安全態(tài)度，用戶的安全態(tài)度決定了用戶的行為。

針對人員的信息安全意識調查和評估，現(xiàn)在有越來越多的文獻致力于將現(xiàn)有的行為模型應用到信息安全領域。這些行為模型包括計劃行為理論、健康信念模型、保護動機理論以及知識—態(tài)度—行為理論（KAB）模型。這些模型最開始是從健康、犯罪學和環(huán)境心理學領域發(fā)展起來的[11]。筆者借鑒KAB模型來構建評估模型，見圖1。

圖1評估模型W

圖1 中評估模型W{A,K,I,M}定義如下：

（1）A=（A1,A2，A3）=K×I×M，代表信息安全意識等級高、中和低（h，m，l）。

（2）K=（K1，…，Ki，Kn）代表知識結構，大小為n×3，對應各個知識點的理解等級分為高、中和低（h，m，l）。

（3）I=（I1，…，Ii，In）代表態(tài)度結構，大小為n×3，對應各個安全問題所持態(tài)度等級分為高、中和低（h，m，l）。

（4）M=（M1，…，Mi，Mn）代表行為結構，大小為n×3，對應各個安全行為等級分為高、中和低（h，m，l）。

（5）βKI是知識結構和態(tài)度結構之間的相關系數(shù)，βIM是態(tài)度結構和行為結構之間的相關系數(shù)，βKM是知識結構和行為結構之間的相關系數(shù)。

對學習個體來說，模型中K為外部變量，I和M為內部變量。相關關系βKI、βIM和βKM顯示學生通過信息安全知識的學習，對安全知識的態(tài)度和在使用計算機時的行為之間是否存在顯著相關。

3 模型驅動的教學方案

模型驅動的教學方案是動態(tài)的、循環(huán)向上的過程。所謂的循環(huán)是一個時段的教學過程：信息安全知識教學、信息安全知識的考查和信息安全行為的調查。每次循環(huán)結束后計算各個結構之間的皮爾遜積矩相關系數(shù)，依據(jù)模型相關關系βKI、βIM和βKM的顯著度對評估模型進行調整，包括知識結構、態(tài)度結構、行為結構以及教學方案。初始知識結構、態(tài)度結構、行為結構及教學方案設置如下。

1）知識結構K。

知識結構的選擇貼合學生的知識背景和計算機使用狀況，擬涵蓋以下領域：密碼管理、安全軟件的使用、系統(tǒng)安全管理、數(shù)據(jù)安全存儲、網(wǎng)絡的使用、郵件的使用、社交網(wǎng)絡的使用、事故報告、信息處理和移動計算等。初始設置較淺且易于接受的知識內容。

2）態(tài)度結構I。

針對各個知識點的特點，設計考查的內容，定量分析學生對知識的理解程度θ。例如對未知來源的軟件是否安裝的態(tài)度：①h不能安裝；②m可以在虛擬機或沙箱中安裝；③l直接安裝。

3）行為結構M。

行為結構是對態(tài)度結構和知識結構的反映，行為結構和態(tài)度結構具有一定的重疊性。

（1）h：表示行為要求高技術性，并有強烈意圖做出良性的行為來保護個人和學校的信息安全和資源。

（2）m：表示行為要求少量專業(yè)知識，并處于模糊意圖來保護個人和學校的信息系統(tǒng)和資源。

（3）l：表示行為無惡意的濫用或幼稚的錯誤可能危害個人和學校的信息系統(tǒng)和資源。

行為結構數(shù)據(jù)的采集一般使用問卷調查、自我報告、面談交流等方式。

4）教學方案Q。

教學方案的優(yōu)劣直接影響學生的知識結構、態(tài)度結構、行為結構的形成，針對非信息安全專業(yè)學生的特點，筆者擬采用教學方式：KAB評估→知識點講授→實踐操作。依據(jù)每次循環(huán)的評估結果，應適當調整教學方案，主要包括知識點和案例的增減，講授內容和實踐操作的調整等。

結合Q（外部變量），模型驅動的培養(yǎng)模式定義為W{A,K,I,M,Q}，每次循環(huán)實現(xiàn)模型Wi{A,K,I,M,Q}→Wi+1{A,K,I,M,Q}的進化，見圖2。

圖2 模型驅動的培養(yǎng)模式

表1 對信息安全方面的知識了解程度

表2 知識統(tǒng)計

4 方案實施

筆者提出的教學方案研究是以某財經(jīng)高校為背景，研究對象包括本科生和研究生，其專業(yè)包括計算機、非計算機理工類、經(jīng)法管、文史哲教。教學過程中學生的知識、態(tài)度結構、行為的KAB結構評估采用問卷調查、自我報告、座談討論等方式，其中基于網(wǎng)絡的問卷調查具有匿名性和便利性，是評估的主要手段。為保證采集數(shù)據(jù)的準確性，問卷設計時確保KAB結構內部項目的Cronbachα系數(shù)高于0.7[12]，KAB結構之間項目的相關關系βKIgt;0.8、βIMgt;0.7和βKMgt;0.1，即知識和態(tài)度、態(tài)度和行為是強正相關，而知識和行為是弱正相關[13]。

首先整體評估教學對象對信息安全知識的了解程度，結果見表1，顯示財經(jīng)高校的學生對信息安全的了解程度比較低，十分有必要培養(yǎng)學生的信息安全意識。

評估的目的是優(yōu)化當前的教學方案，即針對當前學生的KAB評估進行適當?shù)恼{整，例如關于網(wǎng)絡數(shù)據(jù)安全的KAB問題。

（1）知識：了解https協(xié)議的相關技術。

（2）態(tài)度：在網(wǎng)絡中傳輸私密數(shù)據(jù)時，常常擔心有風險。

（3）行為：在填寫私密數(shù)據(jù)時，會檢查網(wǎng)站是否使用了https功能。

調查結果見表2—4，結果顯示針對信息安全專業(yè)知識點的了解，65.81%的計算機類學生的了解程度較好，45.83%的理工類學生的了解程度較差，而絕大多數(shù)人文社科類學生完全不了解。針對網(wǎng)絡傳輸風險的問題，大部分學生的態(tài)度是比較謹慎的，可能是因為題目設置會引導學生下意識選擇比較好的答案。針對信息安全風險的行為，各個專業(yè)學生的行為得分都不理想，尤其是人文社科類學生。

鑒于網(wǎng)絡數(shù)據(jù)安全的KAB調查結果，該知識點的教學方案設置為通俗講解https協(xié)議可以使學生增強對該技術的了解，威脅分析使學生端正態(tài)度，安全操作使學生學以致用，側重于知識和行為的教學，提高系數(shù)βKM的相關性。一系列的KAB調查分析結果構成教學方案，體現(xiàn)“因材施教”的特點，階段性的評估形成循環(huán)漸進的教學方案。

表3 態(tài)度統(tǒng)計

表4 行為統(tǒng)計

5 結語

評估模型可以及時發(fā)現(xiàn)學生信息安全意識的不足，動態(tài)調整培養(yǎng)方案和教學內容。教學過程具有動態(tài)循環(huán)和循序漸進的特點，每次在循環(huán)中培養(yǎng)模式的實施目標明確、可操作性強。

該模型從知識、態(tài)度、行為等方面評估大學生的信息安全意識，問卷題目的設計貼合KAB模型考察的角度，總的來說效果很成功，真實反映了影響大學生信息安全意識的因素。然而，該模型存在一些缺陷，其問題在于并沒有準確算出KAB結構之間的相關關系βKI、βIM和βKM，教學過程中學生的知識、態(tài)度、行為的KAB結構評估采用網(wǎng)絡問卷調查的方式，與教學方案實施后的效果對比只能采取主觀判斷，不夠客觀準確，這也是我們下一步的研究重點。

[1]張煥國.信息安全人才培養(yǎng)體系現(xiàn)狀與挑戰(zhàn)[J].信息網(wǎng)絡安全,2013(3):6.

[2]羅力.國民信息安全素養(yǎng)評價指標體系構建研究[J].重慶大學學報（社會科學版）,2012,18(3):81-86.

[3]毛新月,潘平,朱璇.信息載體安全風險評估課堂教學設計[J].計算機教育,2017(4):149-154.

[4]李紅靈.面向應用的信息安全及實踐課程建設與改革[J].計算機教育,2017(2):22-24.

[5] Gorbatov V, Maluk A, Miloslavskaya N. Tolstoy A.Highly qualified information security personnel training in Russia[EB/OL].[2017-07-03]. http://link.springer.com/chapter/10.1007%2F1-4020-8145-6_10.

[6] Nesren S W. Improving organizational information security management: The impact of training and awareness-evaluating thesocio-technical impact on organisational information security policy management[D]. Bradford: Informatics and Media Universityof Bradford, 2013.

[7] Verine E. Information security awareness and training-the legal cost of untrained personal[EB/OL]. [2017-07-03]. http://icsa.cs.up.ac.za/issa/2005/Proceedings/Research/053_Article.pdf.

[8] Marks A. Exploring universities’ information systems security awareness in a changing higher education environment: Acomparative case study research[D]. Salford: University of Salford, 2007.

[9] Siponen M, Pahnila S, Mahmood M A. Compliance with information security policies: An empirical investigation[EB/OL]. [2017-07-03]. http://dl.acm.org/citation.cfm?id=1731117.

[10] Schultz E. Security training and awareness -fitting a square peg in a round hole[J]. ComputersSecurity, 2004(23): 1-2.

[11] James C. Information systems user security: A structured model of the knowing–doing gap [J]. Computers in Human Behavior ,2012(28): 1849-1858.

[12] Arachchilage N. A game design framework for avoiding phishing attacks[J]. Computers in Human Behavior, 2013(29): 706-714.

[13] Agata M, Tara Z, Kathryn P. Individual differences and Information Security Awareness[J]. Computers in Human Behavior,2016(69): 151-156.