基于評(píng)估模型驅(qū)動(dòng)的信息安全意識(shí)教學(xué)方案研究

孫夫雄，曹甜，呂錦

（中南財(cái)經(jīng)政法大學(xué)信息與安全工程學(xué)院，湖北武漢430074）

0 引言

2016年3月舉行的全國(guó)兩會(huì)第四次會(huì)議將以網(wǎng)絡(luò)安全為核心的網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略作為“十三五”規(guī)劃的重要組成部分。習(xí)近平總書(shū)記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上提出，網(wǎng)絡(luò)安全是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題。同年4月份，習(xí)近平總書(shū)記再次對(duì)網(wǎng)絡(luò)安全和信息化工作發(fā)表了重要講話，強(qiáng)調(diào)在當(dāng)今世界，信息化發(fā)展很快，網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)日益突出，國(guó)家級(jí)、有組織的高強(qiáng)度網(wǎng)絡(luò)攻擊，對(duì)每一個(gè)國(guó)家來(lái)說(shuō)都是一個(gè)難題。

網(wǎng)絡(luò)安全的維護(hù)不僅需要信息安全高等教育人才，更需要具有較高素質(zhì)和信息安全意識(shí)的全民參與和維護(hù)。大學(xué)生將在各個(gè)部門(mén)擔(dān)任重要崗位，接觸大量的信息資源，由于自身知識(shí)結(jié)構(gòu)的局限性，可能因?yàn)樾畔踩庾R(shí)不高或缺乏自我保護(hù)意識(shí)的問(wèn)題，存在將國(guó)家或個(gè)人信息泄漏的風(fēng)險(xiǎn)，因此建立針對(duì)非計(jì)算機(jī)專業(yè)大學(xué)生的信息安全意識(shí)培養(yǎng)和評(píng)估模式尤為重要。

1 相關(guān)研究

針對(duì)日益嚴(yán)重的信息安全威脅，在信息安全人才與信息安全意識(shí)培養(yǎng)領(lǐng)域，國(guó)內(nèi)外學(xué)者進(jìn)行了大量卓有成效的研究。武漢大學(xué)張煥國(guó)教授論述了當(dāng)前互聯(lián)網(wǎng)+新時(shí)代下信息安全人才培養(yǎng)體系的現(xiàn)狀與挑戰(zhàn)[1]；學(xué)者羅力提出了一個(gè)國(guó)民信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系[2]；文獻(xiàn)[3-4]從課堂教學(xué)的角度，研究了信息安全風(fēng)險(xiǎn)評(píng)估和信息安全實(shí)踐等方面的建設(shè)和改革；國(guó)外學(xué)者Gorbatov等研究了俄國(guó)高素質(zhì)信息安全人才的培養(yǎng)方案[5]；Waly在其博士論文中系統(tǒng)地研究了信息安全意識(shí)培訓(xùn)的目標(biāo)、實(shí)施方案對(duì)組織信息安全的影響[6]；VerineEtsebeth從訴訟成本論述了信息安全意識(shí)和培訓(xùn)的必要性，建議管理層必須意識(shí)到信息安全是一個(gè)業(yè)務(wù)的推動(dòng)力，而不是一個(gè)商業(yè)的抑制劑[7]；MarksA定量實(shí)證調(diào)查了435個(gè)高等教育機(jī)構(gòu)，發(fā)現(xiàn)僅有1/3的被調(diào)查教育機(jī)構(gòu)為學(xué)生和工作人員安排了安全意識(shí)的培訓(xùn)，并研究如何提高安全意識(shí)水平的模式[8]。

文獻(xiàn)調(diào)研顯示信息安全專業(yè)人才教育體系的改進(jìn)和創(chuàng)新是當(dāng)前國(guó)內(nèi)外研究的焦點(diǎn)，但缺乏針對(duì)非計(jì)算機(jī)專業(yè)大學(xué)生，特別是人文社科類(lèi)學(xué)生的信息安全意識(shí)培養(yǎng)體系。關(guān)于信息安全意識(shí)培養(yǎng)研究模式通常針對(duì)企事業(yè)單位的信息系統(tǒng)進(jìn)行安全評(píng)估，調(diào)查工作人員對(duì)信息安全問(wèn)題的想法、認(rèn)識(shí)和態(tài)度，然后進(jìn)行短期的安全意識(shí)培訓(xùn)[9]，該模式對(duì)組織信息安全保障的有效性及是否能提高員工信息安全意識(shí)的水平是存疑的[10]。

在校大學(xué)生接受新事物的程度高且可塑性較好，系統(tǒng)地進(jìn)行信息安全意識(shí)培養(yǎng)能達(dá)到更好的成效，筆者針對(duì)非信息安全專業(yè)大學(xué)生的特點(diǎn)，提出基于評(píng)估模型驅(qū)動(dòng)的信息安全意識(shí)教學(xué)方案。

2 評(píng)估模型

2003年國(guó)際信息安全論壇(ISF,2003)定義信息安全意識(shí)是組織成員對(duì)信息安全重要性、信息安全對(duì)組織影響程度、對(duì)信息安全的個(gè)人責(zé)任感和行為等方面的認(rèn)知程度。信息安全意識(shí)雖是一個(gè)不可見(jiàn)的模糊概念，但信息安全意識(shí)具有指向性，從某種程度上，信息安全知識(shí)決定了用戶的安全態(tài)度，用戶的安全態(tài)度決定了用戶的行為。

針對(duì)人員的信息安全意識(shí)調(diào)查和評(píng)估，現(xiàn)在有越來(lái)越多的文獻(xiàn)致力于將現(xiàn)有的行為模型應(yīng)用到信息安全領(lǐng)域。這些行為模型包括計(jì)劃行為理論、健康信念模型、保護(hù)動(dòng)機(jī)理論以及知識(shí)—態(tài)度—行為理論（KAB）模型。這些模型最開(kāi)始是從健康、犯罪學(xué)和環(huán)境心理學(xué)領(lǐng)域發(fā)展起來(lái)的[11]。筆者借鑒KAB模型來(lái)構(gòu)建評(píng)估模型，見(jiàn)圖1。

圖1評(píng)估模型W

圖1 中評(píng)估模型W{A,K,I,M}定義如下：

（1）A=（A1,A2，A3）=K×I×M，代表信息安全意識(shí)等級(jí)高、中和低（h，m，l）。

（2）K=（K1，…，Ki，Kn）代表知識(shí)結(jié)構(gòu)，大小為n×3，對(duì)應(yīng)各個(gè)知識(shí)點(diǎn)的理解等級(jí)分為高、中和低（h，m，l）。

（3）I=（I1，…，Ii，In）代表態(tài)度結(jié)構(gòu)，大小為n×3，對(duì)應(yīng)各個(gè)安全問(wèn)題所持態(tài)度等級(jí)分為高、中和低（h，m，l）。

（4）M=（M1，…，Mi，Mn）代表行為結(jié)構(gòu)，大小為n×3，對(duì)應(yīng)各個(gè)安全行為等級(jí)分為高、中和低（h，m，l）。

（5）βKI是知識(shí)結(jié)構(gòu)和態(tài)度結(jié)構(gòu)之間的相關(guān)系數(shù)，βIM是態(tài)度結(jié)構(gòu)和行為結(jié)構(gòu)之間的相關(guān)系數(shù)，βKM是知識(shí)結(jié)構(gòu)和行為結(jié)構(gòu)之間的相關(guān)系數(shù)。

對(duì)學(xué)習(xí)個(gè)體來(lái)說(shuō)，模型中K為外部變量，I和M為內(nèi)部變量。相關(guān)關(guān)系βKI、βIM和βKM顯示學(xué)生通過(guò)信息安全知識(shí)的學(xué)習(xí)，對(duì)安全知識(shí)的態(tài)度和在使用計(jì)算機(jī)時(shí)的行為之間是否存在顯著相關(guān)。

3 模型驅(qū)動(dòng)的教學(xué)方案

模型驅(qū)動(dòng)的教學(xué)方案是動(dòng)態(tài)的、循環(huán)向上的過(guò)程。所謂的循環(huán)是一個(gè)時(shí)段的教學(xué)過(guò)程：信息安全知識(shí)教學(xué)、信息安全知識(shí)的考查和信息安全行為的調(diào)查。每次循環(huán)結(jié)束后計(jì)算各個(gè)結(jié)構(gòu)之間的皮爾遜積矩相關(guān)系數(shù)，依據(jù)模型相關(guān)關(guān)系βKI、βIM和βKM的顯著度對(duì)評(píng)估模型進(jìn)行調(diào)整，包括知識(shí)結(jié)構(gòu)、態(tài)度結(jié)構(gòu)、行為結(jié)構(gòu)以及教學(xué)方案。初始知識(shí)結(jié)構(gòu)、態(tài)度結(jié)構(gòu)、行為結(jié)構(gòu)及教學(xué)方案設(shè)置如下。

1）知識(shí)結(jié)構(gòu)K。

知識(shí)結(jié)構(gòu)的選擇貼合學(xué)生的知識(shí)背景和計(jì)算機(jī)使用狀況，擬涵蓋以下領(lǐng)域：密碼管理、安全軟件的使用、系統(tǒng)安全管理、數(shù)據(jù)安全存儲(chǔ)、網(wǎng)絡(luò)的使用、郵件的使用、社交網(wǎng)絡(luò)的使用、事故報(bào)告、信息處理和移動(dòng)計(jì)算等。初始設(shè)置較淺且易于接受的知識(shí)內(nèi)容。

2）態(tài)度結(jié)構(gòu)I。

針對(duì)各個(gè)知識(shí)點(diǎn)的特點(diǎn)，設(shè)計(jì)考查的內(nèi)容，定量分析學(xué)生對(duì)知識(shí)的理解程度θ。例如對(duì)未知來(lái)源的軟件是否安裝的態(tài)度：①h不能安裝；②m可以在虛擬機(jī)或沙箱中安裝；③l直接安裝。

3）行為結(jié)構(gòu)M。

行為結(jié)構(gòu)是對(duì)態(tài)度結(jié)構(gòu)和知識(shí)結(jié)構(gòu)的反映，行為結(jié)構(gòu)和態(tài)度結(jié)構(gòu)具有一定的重疊性。

（1）h：表示行為要求高技術(shù)性，并有強(qiáng)烈意圖做出良性的行為來(lái)保護(hù)個(gè)人和學(xué)校的信息安全和資源。

（2）m：表示行為要求少量專業(yè)知識(shí)，并處于模糊意圖來(lái)保護(hù)個(gè)人和學(xué)校的信息系統(tǒng)和資源。

（3）l：表示行為無(wú)惡意的濫用或幼稚的錯(cuò)誤可能危害個(gè)人和學(xué)校的信息系統(tǒng)和資源。

行為結(jié)構(gòu)數(shù)據(jù)的采集一般使用問(wèn)卷調(diào)查、自我報(bào)告、面談交流等方式。

4）教學(xué)方案Q。

教學(xué)方案的優(yōu)劣直接影響學(xué)生的知識(shí)結(jié)構(gòu)、態(tài)度結(jié)構(gòu)、行為結(jié)構(gòu)的形成，針對(duì)非信息安全專業(yè)學(xué)生的特點(diǎn)，筆者擬采用教學(xué)方式：KAB評(píng)估→知識(shí)點(diǎn)講授→實(shí)踐操作。依據(jù)每次循環(huán)的評(píng)估結(jié)果，應(yīng)適當(dāng)調(diào)整教學(xué)方案，主要包括知識(shí)點(diǎn)和案例的增減，講授內(nèi)容和實(shí)踐操作的調(diào)整等。

結(jié)合Q（外部變量），模型驅(qū)動(dòng)的培養(yǎng)模式定義為W{A,K,I,M,Q}，每次循環(huán)實(shí)現(xiàn)模型Wi{A,K,I,M,Q}→Wi+1{A,K,I,M,Q}的進(jìn)化，見(jiàn)圖2。

圖2 模型驅(qū)動(dòng)的培養(yǎng)模式

表1 對(duì)信息安全方面的知識(shí)了解程度

表2 知識(shí)統(tǒng)計(jì)

4 方案實(shí)施

筆者提出的教學(xué)方案研究是以某財(cái)經(jīng)高校為背景，研究對(duì)象包括本科生和研究生，其專業(yè)包括計(jì)算機(jī)、非計(jì)算機(jī)理工類(lèi)、經(jīng)法管、文史哲教。教學(xué)過(guò)程中學(xué)生的知識(shí)、態(tài)度結(jié)構(gòu)、行為的KAB結(jié)構(gòu)評(píng)估采用問(wèn)卷調(diào)查、自我報(bào)告、座談?dòng)懻摰确绞剑渲谢诰W(wǎng)絡(luò)的問(wèn)卷調(diào)查具有匿名性和便利性，是評(píng)估的主要手段。為保證采集數(shù)據(jù)的準(zhǔn)確性，問(wèn)卷設(shè)計(jì)時(shí)確保KAB結(jié)構(gòu)內(nèi)部項(xiàng)目的Cronbachα系數(shù)高于0.7[12]，KAB結(jié)構(gòu)之間項(xiàng)目的相關(guān)關(guān)系βKIgt;0.8、βIMgt;0.7和βKMgt;0.1，即知識(shí)和態(tài)度、態(tài)度和行為是強(qiáng)正相關(guān)，而知識(shí)和行為是弱正相關(guān)[13]。

首先整體評(píng)估教學(xué)對(duì)象對(duì)信息安全知識(shí)的了解程度，結(jié)果見(jiàn)表1，顯示財(cái)經(jīng)高校的學(xué)生對(duì)信息安全的了解程度比較低，十分有必要培養(yǎng)學(xué)生的信息安全意識(shí)。

評(píng)估的目的是優(yōu)化當(dāng)前的教學(xué)方案，即針對(duì)當(dāng)前學(xué)生的KAB評(píng)估進(jìn)行適當(dāng)?shù)恼{(diào)整，例如關(guān)于網(wǎng)絡(luò)數(shù)據(jù)安全的KAB問(wèn)題。

（1）知識(shí)：了解https協(xié)議的相關(guān)技術(shù)。

（2）態(tài)度：在網(wǎng)絡(luò)中傳輸私密數(shù)據(jù)時(shí)，常常擔(dān)心有風(fēng)險(xiǎn)。

（3）行為：在填寫(xiě)私密數(shù)據(jù)時(shí)，會(huì)檢查網(wǎng)站是否使用了https功能。

調(diào)查結(jié)果見(jiàn)表2—4，結(jié)果顯示針對(duì)信息安全專業(yè)知識(shí)點(diǎn)的了解，65.81%的計(jì)算機(jī)類(lèi)學(xué)生的了解程度較好，45.83%的理工類(lèi)學(xué)生的了解程度較差，而絕大多數(shù)人文社科類(lèi)學(xué)生完全不了解。針對(duì)網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)的問(wèn)題，大部分學(xué)生的態(tài)度是比較謹(jǐn)慎的，可能是因?yàn)轭}目設(shè)置會(huì)引導(dǎo)學(xué)生下意識(shí)選擇比較好的答案。針對(duì)信息安全風(fēng)險(xiǎn)的行為，各個(gè)專業(yè)學(xué)生的行為得分都不理想，尤其是人文社科類(lèi)學(xué)生。

鑒于網(wǎng)絡(luò)數(shù)據(jù)安全的KAB調(diào)查結(jié)果，該知識(shí)點(diǎn)的教學(xué)方案設(shè)置為通俗講解https協(xié)議可以使學(xué)生增強(qiáng)對(duì)該技術(shù)的了解，威脅分析使學(xué)生端正態(tài)度，安全操作使學(xué)生學(xué)以致用，側(cè)重于知識(shí)和行為的教學(xué)，提高系數(shù)βKM的相關(guān)性。一系列的KAB調(diào)查分析結(jié)果構(gòu)成教學(xué)方案，體現(xiàn)“因材施教”的特點(diǎn)，階段性的評(píng)估形成循環(huán)漸進(jìn)的教學(xué)方案。

表3 態(tài)度統(tǒng)計(jì)

表4 行為統(tǒng)計(jì)

5 結(jié)語(yǔ)

評(píng)估模型可以及時(shí)發(fā)現(xiàn)學(xué)生信息安全意識(shí)的不足，動(dòng)態(tài)調(diào)整培養(yǎng)方案和教學(xué)內(nèi)容。教學(xué)過(guò)程具有動(dòng)態(tài)循環(huán)和循序漸進(jìn)的特點(diǎn)，每次在循環(huán)中培養(yǎng)模式的實(shí)施目標(biāo)明確、可操作性強(qiáng)。

該模型從知識(shí)、態(tài)度、行為等方面評(píng)估大學(xué)生的信息安全意識(shí)，問(wèn)卷題目的設(shè)計(jì)貼合KAB模型考察的角度，總的來(lái)說(shuō)效果很成功，真實(shí)反映了影響大學(xué)生信息安全意識(shí)的因素。然而，該模型存在一些缺陷，其問(wèn)題在于并沒(méi)有準(zhǔn)確算出KAB結(jié)構(gòu)之間的相關(guān)關(guān)系βKI、βIM和βKM，教學(xué)過(guò)程中學(xué)生的知識(shí)、態(tài)度、行為的KAB結(jié)構(gòu)評(píng)估采用網(wǎng)絡(luò)問(wèn)卷調(diào)查的方式，與教學(xué)方案實(shí)施后的效果對(duì)比只能采取主觀判斷，不夠客觀準(zhǔn)確，這也是我們下一步的研究重點(diǎn)。

[1]張煥國(guó).信息安全人才培養(yǎng)體系現(xiàn)狀與挑戰(zhàn)[J].信息網(wǎng)絡(luò)安全,2013(3):6.

[2]羅力.國(guó)民信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系構(gòu)建研究[J].重慶大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）,2012,18(3):81-86.

[3]毛新月,潘平,朱璇.信息載體安全風(fēng)險(xiǎn)評(píng)估課堂教學(xué)設(shè)計(jì)[J].計(jì)算機(jī)教育,2017(4):149-154.

[4]李紅靈.面向應(yīng)用的信息安全及實(shí)踐課程建設(shè)與改革[J].計(jì)算機(jī)教育,2017(2):22-24.

[5] Gorbatov V, Maluk A, Miloslavskaya N. Tolstoy A.Highly qualified information security personnel training in Russia[EB/OL].[2017-07-03]. http://link.springer.com/chapter/10.1007%2F1-4020-8145-6_10.

[6] Nesren S W. Improving organizational information security management: The impact of training and awareness-evaluating thesocio-technical impact on organisational information security policy management[D]. Bradford: Informatics and Media Universityof Bradford, 2013.

[7] Verine E. Information security awareness and training-the legal cost of untrained personal[EB/OL]. [2017-07-03]. http://icsa.cs.up.ac.za/issa/2005/Proceedings/Research/053_Article.pdf.

[8] Marks A. Exploring universities’ information systems security awareness in a changing higher education environment: Acomparative case study research[D]. Salford: University of Salford, 2007.

[9] Siponen M, Pahnila S, Mahmood M A. Compliance with information security policies: An empirical investigation[EB/OL]. [2017-07-03]. http://dl.acm.org/citation.cfm?id=1731117.

[10] Schultz E. Security training and awareness -fitting a square peg in a round hole[J]. ComputersSecurity, 2004(23): 1-2.

[11] James C. Information systems user security: A structured model of the knowing–doing gap [J]. Computers in Human Behavior ,2012(28): 1849-1858.

[12] Arachchilage N. A game design framework for avoiding phishing attacks[J]. Computers in Human Behavior, 2013(29): 706-714.

[13] Agata M, Tara Z, Kathryn P. Individual differences and Information Security Awareness[J]. Computers in Human Behavior,2016(69): 151-156.