孫夫雄,曹甜,呂錦
(中南財(cái)經(jīng)政法大學(xué)信息與安全工程學(xué)院,湖北武漢430074)
2016年3月舉行的全國(guó)兩會(huì)第四次會(huì)議將以網(wǎng)絡(luò)安全為核心的網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略作為“十三五”規(guī)劃的重要組成部分。習(xí)近平總書(shū)記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上提出,網(wǎng)絡(luò)安全是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題。同年4月份,習(xí)近平總書(shū)記再次對(duì)網(wǎng)絡(luò)安全和信息化工作發(fā)表了重要講話,強(qiáng)調(diào)在當(dāng)今世界,信息化發(fā)展很快,網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)日益突出,國(guó)家級(jí)、有組織的高強(qiáng)度網(wǎng)絡(luò)攻擊,對(duì)每一個(gè)國(guó)家來(lái)說(shuō)都是一個(gè)難題。
網(wǎng)絡(luò)安全的維護(hù)不僅需要信息安全高等教育人才,更需要具有較高素質(zhì)和信息安全意識(shí)的全民參與和維護(hù)。大學(xué)生將在各個(gè)部門(mén)擔(dān)任重要崗位,接觸大量的信息資源,由于自身知識(shí)結(jié)構(gòu)的局限性,可能因?yàn)樾畔踩庾R(shí)不高或缺乏自我保護(hù)意識(shí)的問(wèn)題,存在將國(guó)家或個(gè)人信息泄漏的風(fēng)險(xiǎn),因此建立針對(duì)非計(jì)算機(jī)專業(yè)大學(xué)生的信息安全意識(shí)培養(yǎng)和評(píng)估模式尤為重要。
針對(duì)日益嚴(yán)重的信息安全威脅,在信息安全人才與信息安全意識(shí)培養(yǎng)領(lǐng)域,國(guó)內(nèi)外學(xué)者進(jìn)行了大量卓有成效的研究。武漢大學(xué)張煥國(guó)教授論述了當(dāng)前互聯(lián)網(wǎng)+新時(shí)代下信息安全人才培養(yǎng)體系的現(xiàn)狀與挑戰(zhàn)[1];學(xué)者羅力提出了一個(gè)國(guó)民信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系[2];文獻(xiàn)[3-4]從課堂教學(xué)的角度,研究了信息安全風(fēng)險(xiǎn)評(píng)估和信息安全實(shí)踐等方面的建設(shè)和改革;國(guó)外學(xué)者Gorbatov等研究了俄國(guó)高素質(zhì)信息安全人才的培養(yǎng)方案[5];Waly在其博士論文中系統(tǒng)地研究了信息安全意識(shí)培訓(xùn)的目標(biāo)、實(shí)施方案對(duì)組織信息安全的影響[6];VerineEtsebeth從訴訟成本論述了信息安全意識(shí)和培訓(xùn)的必要性,建議管理層必須意識(shí)到信息安全是一個(gè)業(yè)務(wù)的推動(dòng)力,而不是一個(gè)商業(yè)的抑制劑[7];MarksA定量實(shí)證調(diào)查了435個(gè)高等教育機(jī)構(gòu),發(fā)現(xiàn)僅有1/3的被調(diào)查教育機(jī)構(gòu)為學(xué)生和工作人員安排了安全意識(shí)的培訓(xùn),并研究如何提高安全意識(shí)水平的模式[8]。
文獻(xiàn)調(diào)研顯示信息安全專業(yè)人才教育體系的改進(jìn)和創(chuàng)新是當(dāng)前國(guó)內(nèi)外研究的焦點(diǎn),但缺乏針對(duì)非計(jì)算機(jī)專業(yè)大學(xué)生,特別是人文社科類(lèi)學(xué)生的信息安全意識(shí)培養(yǎng)體系。關(guān)于信息安全意識(shí)培養(yǎng)研究模式通常針對(duì)企事業(yè)單位的信息系統(tǒng)進(jìn)行安全評(píng)估,調(diào)查工作人員對(duì)信息安全問(wèn)題的想法、認(rèn)識(shí)和態(tài)度,然后進(jìn)行短期的安全意識(shí)培訓(xùn)[9],該模式對(duì)組織信息安全保障的有效性及是否能提高員工信息安全意識(shí)的水平是存疑的[10]。
在校大學(xué)生接受新事物的程度高且可塑性較好,系統(tǒng)地進(jìn)行信息安全意識(shí)培養(yǎng)能達(dá)到更好的成效,筆者針對(duì)非信息安全專業(yè)大學(xué)生的特點(diǎn),提出基于評(píng)估模型驅(qū)動(dòng)的信息安全意識(shí)教學(xué)方案。
2003年國(guó)際信息安全論壇(ISF,2003)定義信息安全意識(shí)是組織成員對(duì)信息安全重要性、信息安全對(duì)組織影響程度、對(duì)信息安全的個(gè)人責(zé)任感和行為等方面的認(rèn)知程度。信息安全意識(shí)雖是一個(gè)不可見(jiàn)的模糊概念,但信息安全意識(shí)具有指向性,從某種程度上,信息安全知識(shí)決定了用戶的安全態(tài)度,用戶的安全態(tài)度決定了用戶的行為。
針對(duì)人員的信息安全意識(shí)調(diào)查和評(píng)估,現(xiàn)在有越來(lái)越多的文獻(xiàn)致力于將現(xiàn)有的行為模型應(yīng)用到信息安全領(lǐng)域。這些行為模型包括計(jì)劃行為理論、健康信念模型、保護(hù)動(dòng)機(jī)理論以及知識(shí)—態(tài)度—行為理論(KAB)模型。這些模型最開(kāi)始是從健康、犯罪學(xué)和環(huán)境心理學(xué)領(lǐng)域發(fā)展起來(lái)的[11]。筆者借鑒KAB模型來(lái)構(gòu)建評(píng)估模型,見(jiàn)圖1。
圖1評(píng)估模型W
圖1 中評(píng)估模型W{A,K,I,M}定義如下:
(1)A=(A1,A2,A3)=K×I×M,代表信息安全意識(shí)等級(jí)高、中和低(h,m,l)。
(2)K=(K1,…,Ki,Kn)代表知識(shí)結(jié)構(gòu),大小為n×3,對(duì)應(yīng)各個(gè)知識(shí)點(diǎn)的理解等級(jí)分為高、中和低(h,m,l)。
(3)I=(I1,…,Ii,In)代表態(tài)度結(jié)構(gòu),大小為n×3,對(duì)應(yīng)各個(gè)安全問(wèn)題所持態(tài)度等級(jí)分為高、中和低(h,m,l)。
(4)M=(M1,…,Mi,Mn)代表行為結(jié)構(gòu),大小為n×3,對(duì)應(yīng)各個(gè)安全行為等級(jí)分為高、中和低(h,m,l)。
(5)βKI是知識(shí)結(jié)構(gòu)和態(tài)度結(jié)構(gòu)之間的相關(guān)系數(shù),βIM是態(tài)度結(jié)構(gòu)和行為結(jié)構(gòu)之間的相關(guān)系數(shù),βKM是知識(shí)結(jié)構(gòu)和行為結(jié)構(gòu)之間的相關(guān)系數(shù)。
對(duì)學(xué)習(xí)個(gè)體來(lái)說(shuō),模型中K為外部變量,I和M為內(nèi)部變量。相關(guān)關(guān)系βKI、βIM和βKM顯示學(xué)生通過(guò)信息安全知識(shí)的學(xué)習(xí),對(duì)安全知識(shí)的態(tài)度和在使用計(jì)算機(jī)時(shí)的行為之間是否存在顯著相關(guān)。
模型驅(qū)動(dòng)的教學(xué)方案是動(dòng)態(tài)的、循環(huán)向上的過(guò)程。所謂的循環(huán)是一個(gè)時(shí)段的教學(xué)過(guò)程:信息安全知識(shí)教學(xué)、信息安全知識(shí)的考查和信息安全行為的調(diào)查。每次循環(huán)結(jié)束后計(jì)算各個(gè)結(jié)構(gòu)之間的皮爾遜積矩相關(guān)系數(shù),依據(jù)模型相關(guān)關(guān)系βKI、βIM和βKM的顯著度對(duì)評(píng)估模型進(jìn)行調(diào)整,包括知識(shí)結(jié)構(gòu)、態(tài)度結(jié)構(gòu)、行為結(jié)構(gòu)以及教學(xué)方案。初始知識(shí)結(jié)構(gòu)、態(tài)度結(jié)構(gòu)、行為結(jié)構(gòu)及教學(xué)方案設(shè)置如下。
1)知識(shí)結(jié)構(gòu)K。
知識(shí)結(jié)構(gòu)的選擇貼合學(xué)生的知識(shí)背景和計(jì)算機(jī)使用狀況,擬涵蓋以下領(lǐng)域:密碼管理、安全軟件的使用、系統(tǒng)安全管理、數(shù)據(jù)安全存儲(chǔ)、網(wǎng)絡(luò)的使用、郵件的使用、社交網(wǎng)絡(luò)的使用、事故報(bào)告、信息處理和移動(dòng)計(jì)算等。初始設(shè)置較淺且易于接受的知識(shí)內(nèi)容。
2)態(tài)度結(jié)構(gòu)I。
針對(duì)各個(gè)知識(shí)點(diǎn)的特點(diǎn),設(shè)計(jì)考查的內(nèi)容,定量分析學(xué)生對(duì)知識(shí)的理解程度θ。例如對(duì)未知來(lái)源的軟件是否安裝的態(tài)度:①h不能安裝;②m可以在虛擬機(jī)或沙箱中安裝;③l直接安裝。
3)行為結(jié)構(gòu)M。
行為結(jié)構(gòu)是對(duì)態(tài)度結(jié)構(gòu)和知識(shí)結(jié)構(gòu)的反映,行為結(jié)構(gòu)和態(tài)度結(jié)構(gòu)具有一定的重疊性。
(1)h:表示行為要求高技術(shù)性,并有強(qiáng)烈意圖做出良性的行為來(lái)保護(hù)個(gè)人和學(xué)校的信息安全和資源。
(2)m:表示行為要求少量專業(yè)知識(shí),并處于模糊意圖來(lái)保護(hù)個(gè)人和學(xué)校的信息系統(tǒng)和資源。
(3)l:表示行為無(wú)惡意的濫用或幼稚的錯(cuò)誤可能危害個(gè)人和學(xué)校的信息系統(tǒng)和資源。
行為結(jié)構(gòu)數(shù)據(jù)的采集一般使用問(wèn)卷調(diào)查、自我報(bào)告、面談交流等方式。
4)教學(xué)方案Q。
教學(xué)方案的優(yōu)劣直接影響學(xué)生的知識(shí)結(jié)構(gòu)、態(tài)度結(jié)構(gòu)、行為結(jié)構(gòu)的形成,針對(duì)非信息安全專業(yè)學(xué)生的特點(diǎn),筆者擬采用教學(xué)方式:KAB評(píng)估→知識(shí)點(diǎn)講授→實(shí)踐操作。依據(jù)每次循環(huán)的評(píng)估結(jié)果,應(yīng)適當(dāng)調(diào)整教學(xué)方案,主要包括知識(shí)點(diǎn)和案例的增減,講授內(nèi)容和實(shí)踐操作的調(diào)整等。
結(jié)合Q(外部變量),模型驅(qū)動(dòng)的培養(yǎng)模式定義為W{A,K,I,M,Q},每次循環(huán)實(shí)現(xiàn)模型Wi{A,K,I,M,Q}→Wi+1{A,K,I,M,Q}的進(jìn)化,見(jiàn)圖2。
圖2 模型驅(qū)動(dòng)的培養(yǎng)模式
表1 對(duì)信息安全方面的知識(shí)了解程度
表2 知識(shí)統(tǒng)計(jì)
筆者提出的教學(xué)方案研究是以某財(cái)經(jīng)高校為背景,研究對(duì)象包括本科生和研究生,其專業(yè)包括計(jì)算機(jī)、非計(jì)算機(jī)理工類(lèi)、經(jīng)法管、文史哲教。教學(xué)過(guò)程中學(xué)生的知識(shí)、態(tài)度結(jié)構(gòu)、行為的KAB結(jié)構(gòu)評(píng)估采用問(wèn)卷調(diào)查、自我報(bào)告、座談?dòng)懻摰确绞剑渲谢诰W(wǎng)絡(luò)的問(wèn)卷調(diào)查具有匿名性和便利性,是評(píng)估的主要手段。為保證采集數(shù)據(jù)的準(zhǔn)確性,問(wèn)卷設(shè)計(jì)時(shí)確保KAB結(jié)構(gòu)內(nèi)部項(xiàng)目的Cronbachα系數(shù)高于0.7[12],KAB結(jié)構(gòu)之間項(xiàng)目的相關(guān)關(guān)系βKIgt;0.8、βIMgt;0.7和βKMgt;0.1,即知識(shí)和態(tài)度、態(tài)度和行為是強(qiáng)正相關(guān),而知識(shí)和行為是弱正相關(guān)[13]。
首先整體評(píng)估教學(xué)對(duì)象對(duì)信息安全知識(shí)的了解程度,結(jié)果見(jiàn)表1,顯示財(cái)經(jīng)高校的學(xué)生對(duì)信息安全的了解程度比較低,十分有必要培養(yǎng)學(xué)生的信息安全意識(shí)。
評(píng)估的目的是優(yōu)化當(dāng)前的教學(xué)方案,即針對(duì)當(dāng)前學(xué)生的KAB評(píng)估進(jìn)行適當(dāng)?shù)恼{(diào)整,例如關(guān)于網(wǎng)絡(luò)數(shù)據(jù)安全的KAB問(wèn)題。
(1)知識(shí):了解https協(xié)議的相關(guān)技術(shù)。
(2)態(tài)度:在網(wǎng)絡(luò)中傳輸私密數(shù)據(jù)時(shí),常常擔(dān)心有風(fēng)險(xiǎn)。
(3)行為:在填寫(xiě)私密數(shù)據(jù)時(shí),會(huì)檢查網(wǎng)站是否使用了https功能。
調(diào)查結(jié)果見(jiàn)表2—4,結(jié)果顯示針對(duì)信息安全專業(yè)知識(shí)點(diǎn)的了解,65.81%的計(jì)算機(jī)類(lèi)學(xué)生的了解程度較好,45.83%的理工類(lèi)學(xué)生的了解程度較差,而絕大多數(shù)人文社科類(lèi)學(xué)生完全不了解。針對(duì)網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)的問(wèn)題,大部分學(xué)生的態(tài)度是比較謹(jǐn)慎的,可能是因?yàn)轭}目設(shè)置會(huì)引導(dǎo)學(xué)生下意識(shí)選擇比較好的答案。針對(duì)信息安全風(fēng)險(xiǎn)的行為,各個(gè)專業(yè)學(xué)生的行為得分都不理想,尤其是人文社科類(lèi)學(xué)生。
鑒于網(wǎng)絡(luò)數(shù)據(jù)安全的KAB調(diào)查結(jié)果,該知識(shí)點(diǎn)的教學(xué)方案設(shè)置為通俗講解https協(xié)議可以使學(xué)生增強(qiáng)對(duì)該技術(shù)的了解,威脅分析使學(xué)生端正態(tài)度,安全操作使學(xué)生學(xué)以致用,側(cè)重于知識(shí)和行為的教學(xué),提高系數(shù)βKM的相關(guān)性。一系列的KAB調(diào)查分析結(jié)果構(gòu)成教學(xué)方案,體現(xiàn)“因材施教”的特點(diǎn),階段性的評(píng)估形成循環(huán)漸進(jìn)的教學(xué)方案。
表3 態(tài)度統(tǒng)計(jì)
表4 行為統(tǒng)計(jì)
評(píng)估模型可以及時(shí)發(fā)現(xiàn)學(xué)生信息安全意識(shí)的不足,動(dòng)態(tài)調(diào)整培養(yǎng)方案和教學(xué)內(nèi)容。教學(xué)過(guò)程具有動(dòng)態(tài)循環(huán)和循序漸進(jìn)的特點(diǎn),每次在循環(huán)中培養(yǎng)模式的實(shí)施目標(biāo)明確、可操作性強(qiáng)。
該模型從知識(shí)、態(tài)度、行為等方面評(píng)估大學(xué)生的信息安全意識(shí),問(wèn)卷題目的設(shè)計(jì)貼合KAB模型考察的角度,總的來(lái)說(shuō)效果很成功,真實(shí)反映了影響大學(xué)生信息安全意識(shí)的因素。然而,該模型存在一些缺陷,其問(wèn)題在于并沒(méi)有準(zhǔn)確算出KAB結(jié)構(gòu)之間的相關(guān)關(guān)系βKI、βIM和βKM,教學(xué)過(guò)程中學(xué)生的知識(shí)、態(tài)度、行為的KAB結(jié)構(gòu)評(píng)估采用網(wǎng)絡(luò)問(wèn)卷調(diào)查的方式,與教學(xué)方案實(shí)施后的效果對(duì)比只能采取主觀判斷,不夠客觀準(zhǔn)確,這也是我們下一步的研究重點(diǎn)。
[1]張煥國(guó).信息安全人才培養(yǎng)體系現(xiàn)狀與挑戰(zhàn)[J].信息網(wǎng)絡(luò)安全,2013(3):6.
[2]羅力.國(guó)民信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系構(gòu)建研究[J].重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2012,18(3):81-86.
[3]毛新月,潘平,朱璇.信息載體安全風(fēng)險(xiǎn)評(píng)估課堂教學(xué)設(shè)計(jì)[J].計(jì)算機(jī)教育,2017(4):149-154.
[4]李紅靈.面向應(yīng)用的信息安全及實(shí)踐課程建設(shè)與改革[J].計(jì)算機(jī)教育,2017(2):22-24.
[5] Gorbatov V, Maluk A, Miloslavskaya N. Tolstoy A.Highly qualified information security personnel training in Russia[EB/OL].[2017-07-03]. http://link.springer.com/chapter/10.1007%2F1-4020-8145-6_10.
[6] Nesren S W. Improving organizational information security management: The impact of training and awareness-evaluating thesocio-technical impact on organisational information security policy management[D]. Bradford: Informatics and Media Universityof Bradford, 2013.
[7] Verine E. Information security awareness and training-the legal cost of untrained personal[EB/OL]. [2017-07-03]. http://icsa.cs.up.ac.za/issa/2005/Proceedings/Research/053_Article.pdf.
[8] Marks A. Exploring universities’ information systems security awareness in a changing higher education environment: Acomparative case study research[D]. Salford: University of Salford, 2007.
[9] Siponen M, Pahnila S, Mahmood M A. Compliance with information security policies: An empirical investigation[EB/OL]. [2017-07-03]. http://dl.acm.org/citation.cfm?id=1731117.
[10] Schultz E. Security training and awareness -fitting a square peg in a round hole[J]. ComputersSecurity, 2004(23): 1-2.
[11] James C. Information systems user security: A structured model of the knowing–doing gap [J]. Computers in Human Behavior ,2012(28): 1849-1858.
[12] Arachchilage N. A game design framework for avoiding phishing attacks[J]. Computers in Human Behavior, 2013(29): 706-714.
[13] Agata M, Tara Z, Kathryn P. Individual differences and Information Security Awareness[J]. Computers in Human Behavior,2016(69): 151-156.