信息安全意識培養應納入大學生素質教育培養體系

摘要：本文論述了大學生信息安全意識培養的必要性，同時對大學生信息安全教育培養的課程體系給出了具體建議。

關鍵詞：信息安全意識；信息系統；培養體系

中圖分類號：G642文獻標識碼：B

1大學生信息安全意識培養的必要性分析

(1) 大學生離不開信息和信息系統

隨著計算機的普及與互聯網技術的不斷發展，越來越多的大學生開始使用互聯網絡，他們利用互聯網來查閱資料、撰寫論文、存儲文檔、收發電子郵件、進行技術交流，或是交友聊天、或是游戲娛樂等。大學生已經習慣從互聯網絡中獲得信息，他們慢慢學會利用現有的信息技術來擴充自己的知識、提高自己的學習效率、擴展自己的交友范圍，計算機和互聯網已經開始明顯地改變大學生的日常生活和學習方式，大學生們已經越來越依賴互聯網絡。

與此同時，隨著信息技術的快速發展，各種各樣的信息設備和信息系統不斷出現。對大學生來說，U盤、移動硬盤、數碼相機、數碼攝像機、智能手機、ATM機、MP3、MP4、MD、GPS設備等信息設備越來越普遍。這些設備大大地改變了大學生們的日常生活，大學生們已經習慣和依賴于這些信息設備。

大學生的生活離不開信息和信息系統，信息時代也在不斷要求大學生們必須學會和掌握各種信息工具和信息系統。21世紀是信息的時代，當大學生們畢業走上工作崗位，他們每天將不可避免地接觸到大量的信息、信息設備及信息系統。在目前的大學教育中，各大高校紛紛開設計算機應用和信息系統基礎課程，教會他們如何快捷方便地去使用功能強大的信息系統。

(2) 信息世界充滿了信息安全威脅

從認識論上說，信息是指有價值的消息。信息是一種有價值的資產，信息資產的價值是通過信息的眾多屬性(保密性、可用性、完整性、不可否認性等)來體現的。也這正因為信息是有價值的，所以其存在安全風險(即可能造成這些屬性的喪失)。

女大學生裸聊被敲詐事件、新加坡南洋理工學院?；ㄊ謾C性愛短片網上流傳導致自殺事件、2006年引起網絡大地震的銅須事件、2007年驚現于互聯網的踩貓事件所引發的人肉搜索事件、2008年震驚全球的艷照門事件、2007年熊貓燒香等病毒全球大面積感染事件、2008年趨勢科技等數千網站被掛馬的黑客事件等等真實的案例無不深深地警示著我們：信息世界充滿安全威脅，并且各種安全威脅層出不窮，與日劇增。

信息安全威脅主要來自于兩個方面：物理威脅和人為威脅。物理威脅包括硬件故障、供電終端、火災、雷電、地震、盜竊等。人為威脅則包括系統漏洞、內部人員威脅、黑客滲透、社會工程以及來自于惡意程序(木馬后門、病毒和蠕蟲、邏輯炸彈、拒絕服務、僵尸程序等)的威脅。

所有的信息安全威脅實質上是對信息的各種屬性進行了破壞，從而導致信息價值的喪失。譬如，盜竊可能導致信息資產的可用性和保密性的喪失，拒絕服務攻擊導致信息資產的可用性喪失，惡意程序攻擊(如熊貓燒香病毒)導致信息資產的完整性、保密性和可用性的喪失。目前，來自于物理世界和互聯網的信息安全威脅已經越來越泛濫，入侵方式更加多樣化，并已經給用戶帶來了非常嚴重的損失[1]。

(3) 大學生的信息安全意識普遍非常薄弱

一個不得不引起重視的事實是：目前高校大學生的信息安全意識普遍非常薄弱，即使是計算機專業的學生也毫不例外。2006年，筆者組織8個問卷小組在武漢大學理學部、信息學部、工學部、醫學部、計算機學院、化學學院、各行政單位及筆者當時主講的“信息安全概論”通識教育課課堂上共投放了信息安全問卷近1400份。該問卷對問卷對象的信息安全意識進行了一些基本的調查。通過對問卷調查結果及隨后的跟蹤宣傳進行詳細分析可以發現，目前高校師生的信息安全意識極其薄弱，并且計算機學院學生的信息安全意識并不明顯比其他學院學生高，教職員工的信息安全意識并不比學生的信息安全意識高，在少數問卷問題上，教職員工的答案所表現出的信息安全意識普遍低于學生給出的答案。關于該次問卷的具體分析可見參考文獻[2]。

目前由于學生信息安全意識薄弱所導致的各類安全事件日益增多，大學生目前普遍對其所面臨的信息安全威脅認識不足，他們在遇到信息安全風險時無法正確地規避風險和進行有效防護。

近幾年來，筆者每學期均面向全校各專業本科生開設“信息安全概論”與“上網安全與信息安全意識”課程各一次，分別為18學時。從目前的教學情況來看，學生在課程之前信息安全意識普遍都非常薄弱，經過18個學時的學習之后，絕大部分學生信息安全意識都能夠得到明顯提高，但學生同時普遍反映課程課時太少，希望學校可以為課程安排更多的課時，大學生對信息安全意識培養的要求是非常強烈的。

(4) 信息安全事件可能造成的影響

對于每一位大學生來說，目前以及將來他們都會掌握一定的信息安全資產，這些資產可能包括：他們的個人身份信息、求職簡歷、科研論文、課程作業、網上聊天記錄、往來信件、私密照片和視頻、各類系統賬戶口令、企業商業文檔、國家涉密文檔、企業內部信息等。每一類信息資產根據其信息價值和實際信息安全事件的不同，將會產生不同的影響。我們可以將信息安全威脅所產生的影響分類如下：

1) 隱私或機密信息泄密

信息的保密性喪失可能導致個人隱私被公開，企業內部機密甚至國家機密被泄露，這將給個人、單位甚至國家造成嚴重損失。譬如，女大學生裸聊被敲詐事件、銅須事件、陳冠?！捌G照門”事件、湖北宜昌女教師“裸照風波案”、可口可樂公司泄密案、奧運開幕式彩排泄密事件等。該類威脅通常會給個人帶來嚴重的心理負擔，對企業和國家則可能會造成嚴重的經濟損失、政治影響或外交風波。

2) 信息丟失或被破壞導致不可用

人為的誤操作，頻發的各類黑客病毒事件以及各類物理威脅(如地震、盜竊、火災、水災等)容易導致信息系統或設備不可用。譬如，病毒導致移動介質或硬盤數據被破壞，系統重裝格式化誤操作導致的硬盤數據丟失，盜竊引起的計算機設備丟失，DDoS攻擊導致服務器無法訪問等。典型的案例如唐山僵尸網絡案。當造成這類信息安全威脅時，會對信息擁有者造成較大的各類損失，大大降低其工作效率，嚴重影響其工作進度。

3) 信息被非授權修改、刪除

該類事件對團體會造成較大的影響。譬如部分政府網站或高校首頁或數據庫被黑客篡改，典型的案例如海南破獲的雇傭黑客篡改高校網站詐騙考生案等。

另外，信息安全威脅還可能造成信息的可控性、不可否認性、真實性等屬性的喪失，導致信息擁有者面臨各類損失。

2我國信息安全教育培養現狀令人堪憂

世界各國歷來重視信息安全人才培養，紛紛出臺了各類教育項目。譬如美國政府在其“信息系統保護國家計劃”中針對聯邦政府的信息安全工作制定了：“聯邦計算機服務(FCS)項目”、針對研究生和本科生提供的“服務獎學金(SFS)項目”、針對中小學生的“中小學拓廣項目”、面向聯邦內部所有人的“聯邦范圍內的意識培養項目”，而針對聯邦外部其也制定了“計算機公民項目”。美國政府的這些信息安全教育項目表現出了很強的層次性和銜接性，同時更表現出一種戰略性。[3]

如何有效整體地提高我國普通高校大學生的信息安全意識，提高他們對信息安全風險的基本防護能力，已經成為我國每一所普通高校不得不面對和深入思考的問題。目前，我國各大高校對大學生信息安全教育普遍存在如下幾個問題：

(1) 對大學生信息安全教育認識滯后

21世紀是信息的世紀，為適應社會需求，各大高校紛紛開設計算機基礎及信息系統應用相關課程，但各大高校對目前的信息安全威脅及其可能造成的重要影響認識不足，部分高校認為信息安全教育可有可無，他們不能深刻認識到進行信息安全教育與培養高素質合格人才之間的關系。

(2) 對大學生信息安全教育重視程度遠遠不夠

目前，很少有高校將大學生的信息安全教育納入到大學生的培養體系和教學日程之中。有些高校開設了信息安全公選課程，但課程的容納人數和規模很難滿足信息安全教育培養需求。

武漢大學自2005年開始陸續開設了4門全校通識教育課程(“信息安全概論”、“上網安全與信息安全意識”、“惡意代碼的分析與對抗”和“Internet應用安全”)用于培養大學生的信息安全意識和提高他們基本的信息安全防護能力，但盡管如此，這離整體提高全校學生的信息安全意識還存在較大差距，畢竟選修該課程的學生相對于全校學生來說，他們只是一小部分，校內師生的整體信息安全意識依然普遍處于較低的水平。武漢大學在全校通識教育課程中設置4門課程用于提高學生的信息安全意識，這在全國高校中是比較突出的。但從目前的學生實際情況來看，單純地依靠通識教育課程來提高全校師生的整體信息安全意識是非常不夠的。

(3) 對大學生信息安全教育的方法不得當

首先，高校大學生信息安全教育制度不健全，沒有納入規范化、制度化的管理。其次，信息安全教育措施及方法不得當，教學內容跟不上信息發展速度，引導性和實用性不強。再次，信息安全教育不夠系統和規范，在法律規范、道德倫理、技術保障、安全意識培養方面存在缺陷，沒有形成完整體系[4]。

可見，我國目前在信息安全教育上所做的工作還遠遠不夠。

3信息安全教育培養方案建議

信息安全對我國來說是一個新興的特殊的領域。筆者認為，我國高校信息安全教育的培養體系應該至少包括如下一些內容：

(1) 培養學生識別信息安全威脅、規避信息安全風險的能力

本部分內容旨在提高學生對信息及信息資產價值的理解，同時提高他們在接觸和使用信息及信息系統時識別信息安全威脅并規避信息安全風險的能力。在本環節教學過程中，應當向學生分析和演示各類近期發生的實際信息安全威脅，講解和分析目前信息系統主要應用領域面臨的各類信息安全陷阱，以及各類典型的重大信息安全事件，促使他們吸取各類信息安全教訓，培養他們養成良好信息安全思維方式和日常操作習慣。

(2) 提高學生基本的信息安全防護能力

本部分內容旨在促使學生了解目前入侵者常用的大致入侵流程和技術手段和目前惡意程序傳播的常見途徑和觸發方式，同時提高學生利用已有信息安全技術和防護軟件來保護各類個人或單位、國家信息不受非法侵犯的能力。譬如，操作系統的安全設置，數據恢復軟件、常用的加解密軟件、常用的反病毒軟件及防火墻的選擇與使用等。

(3) 加強學生信息安全道德倫理和法律法規教育

信息安全技術是一把雙刃劍，掌握信息安全技術可以有效地保護自身信息，但如果不具備良好的信息安全道德倫理，也很容易對他人的信息安全造成嚴重威脅。與此同時，我們還必須向學生宣傳信息安全方面的法律法規，促使他們利用相關法律法規保護自己，同時對他們自己的行為也有一定約束，以免對他人造成傷害。

在培養方式上，筆者認為可以采用如下幾種形式：①組織各類講座，多開展宣傳活動；②建立專門的信息安全意識學習網站；③廣泛開設全校性公共選修課程；④在各類信息系統課程(如計算機基礎)中增加信息安全意識培養內容；⑤單獨開設大學生公共必修課程等。筆者認為，從目前的信息安全現狀和發展趨勢來看，信息安全意識培養有望在不久的將來成為大學生必修內容之一。

4結束語

加強大學生信息安全意識培養具有重要戰略意義。國家教育部和各大高校應該充分認識到大學生信息安全教育的重要性和必要性，信息安全意識培養應盡快納入大學生素質教育培養體系。

參考文獻：

[1] 瑞星公司. 2007年中國大陸地區電腦病毒疫情互聯網安全報告[EB/OL]. http://www.rising.com.cn/2007/annual/index.htm.

[2] 彭國軍，張煥國. 論高校師生信息安全意識培養的必要性[C]. 全國計算機新科技與計算機繼續教育論文集[M]. 成都:西南交通大學出版社，2005.

[3] 左曉棟. 綜述:美國政府信息安全教育項目[J]. 計算機安全，2001，(04).

[4] 陳世偉，熊花. 大學生網絡信息安全教育探析[J]. 武漢科技學院學報，2005，(01).