美國高校信息安全教育探析及啟示

沈霞娟，寧玉文，高東懷

第四軍醫(yī)大學(xué)網(wǎng)絡(luò)中心，西安710032

信息技術(shù)是一把雙刃劍，在給大學(xué)生的學(xué)習(xí)、科研、生活提供極大便利的同時(shí)，也帶來了各種信息安全隱患。面對日漸復(fù)雜的信息安全威脅以及連續(xù)出現(xiàn)的校園信息安全事件，如何有效提高大學(xué)生的信息安全意識和能力，已成為高校信息素養(yǎng)教育亟需解決的問題之一。然而，我國在信息安全教育方面起步較晚，許多高校尚未深刻理解大學(xué)生信息安全教育與高素質(zhì)人才培養(yǎng)之間的關(guān)系，對信息安全教育的重要性認(rèn)識不足，大學(xué)生的信息安全意識整體較低［1］。美國將信息安全作為保持經(jīng)濟(jì)和科技核心競爭力的關(guān)鍵影響因素，在信息安全教育的政策計(jì)劃、教育實(shí)踐、宣傳推廣、資源服務(wù)等方面開展了大量有意義的研究與實(shí)踐探索。

1 美國信息安全教育的政策計(jì)劃

1999年，美國制定了《國家信息安全戰(zhàn)略框架》，明確提出了信息空間安全意識教育，啟動了國家網(wǎng)絡(luò)安全教育培訓(xùn)計(jì)劃(NIETP)。通過在政府、學(xué)術(shù)界與企業(yè)界間建立合作關(guān)系，圍繞國家信息基礎(chǔ)設(shè)施保護(hù)，開展培訓(xùn)工作。2000年，美國發(fā)布了《信息系統(tǒng)保護(hù)國家計(jì)劃》，啟動了聯(lián)邦計(jì)算機(jī)服務(wù)(FCS)項(xiàng)目、服務(wù)獎學(xué)金(SFS)項(xiàng)目、中小學(xué)拓廣項(xiàng)目、聯(lián)邦范圍內(nèi)的意識培養(yǎng)項(xiàng)目以及計(jì)算機(jī)公民項(xiàng)目以加強(qiáng)信息安全教育和培訓(xùn)［2］。2003年，美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)發(fā)布了《信息技術(shù)安全意識和培訓(xùn)項(xiàng)目建設(shè)指南》，規(guī)范了信息技術(shù)安全意識和培訓(xùn)項(xiàng)目的設(shè)計(jì)、開發(fā)、應(yīng)用和評價(jià)要求［3］。2009年，美國將10月定為國家網(wǎng)絡(luò)安全意識月，面向家庭、學(xué)校、企業(yè)、政府等各類互聯(lián)網(wǎng)用戶開展大規(guī)模的信息安全意識宣傳、教育和培訓(xùn)活動。

2 美國高校信息安全教育的培養(yǎng)模式

為了培養(yǎng)具有良好信息安全素養(yǎng)的數(shù)字公民，美國高校積極響應(yīng)國家信息安全教育政策，多數(shù)院校已經(jīng)在IT服務(wù)部門中設(shè)立了信息安全辦公室，并通過開設(shè)課程、組織研討、開發(fā)教學(xué)游戲等方式提升大學(xué)生的信息安全意識與能力。

2．1 開設(shè)信息安全培訓(xùn)課程

開設(shè)培訓(xùn)課程是目前美國高校進(jìn)行信息安全教育最常用的方式。這些課程一般以短訓(xùn)課程為主，培訓(xùn)方式和培訓(xùn)要求具有較強(qiáng)的針對性。比如:斯坦福大學(xué)通過《計(jì)算機(jī)安全意識》在線課程對學(xué)生進(jìn)行培訓(xùn)，重在使其掌握必備的信息安全基礎(chǔ)知識和技能，并要熟悉大學(xué)的信息安全規(guī)章制度［4］;佛吉尼亞州立大學(xué)啟動IT安全專項(xiàng)活動，并把信息安全教育作為一項(xiàng)系統(tǒng)工程來抓，要求學(xué)生、教工、職工每年只少參與一次IT安全培訓(xùn)，并取得課程結(jié)業(yè)證書，才能繼續(xù)使用大學(xué)各類信息資源。

2．2 組織信息安全研討會

組織研討會是美國高校進(jìn)行信息安全教育的另一種重要形式。如堪薩斯州立大學(xué)2008-2010年的信息安全會議主題涉及郵件安全、辦公設(shè)備安全、信用卡安全、移動設(shè)備安全等方面。2011年該校開始將會議常規(guī)化，每月舉辦一次信息技術(shù)安全圓桌探討會，由信息安全技術(shù)專家講解相關(guān)的信息安全防護(hù)技術(shù)措施與管理要求［5］。

2．3 開展信息安全意識運(yùn)動

開展信息安全意識專項(xiàng)運(yùn)動是美國高校響應(yīng)國家網(wǎng)絡(luò)安全意識月政策的一種直接形式。例如:田納西大學(xué)的信息安全意識運(yùn)動，不但舉辦各類信息安全宣傳活動，而且由信息安全辦公室和新技術(shù)中心共同制作了病毒防護(hù)、密碼設(shè)置、敏感數(shù)據(jù)存儲、間諜軟件、垃圾郵件、網(wǎng)絡(luò)釣魚、文件共享與版權(quán)等專題教學(xué)視頻，對學(xué)生進(jìn)行信息安全知識和技能進(jìn)行專項(xiàng)培訓(xùn)［6］。

2．4 開發(fā)信息安全教育游戲

游戲教學(xué)是近年來備受關(guān)注的一種寓教于樂的教學(xué)模式，它能夠充分調(diào)動學(xué)生的積極性，增強(qiáng)教學(xué)內(nèi)容的趣味性和吸引力。卡內(nèi)基梅隆大學(xué)充分發(fā)揮自身計(jì)算機(jī)專業(yè)的優(yōu)勢，開發(fā)了信息安全教育在線游戲，并以其科學(xué)的教學(xué)設(shè)計(jì)和精良的制作水準(zhǔn)，獲得本校師生和同行院校的認(rèn)可。例如:該校開發(fā)的反釣魚網(wǎng)絡(luò)游戲Anti-Phishing Phil和Anti-Phishing Phyllis，教育用戶如何辨認(rèn)釣魚網(wǎng)站，如何在瀏覽器中尋找網(wǎng)站暗示信息，如何通過搜索引擎找到合法網(wǎng)站，進(jìn)而避免被黑客釣魚［7］。

2．5 編制信息安全測驗(yàn)問卷

為了有效評估學(xué)生的信息安全能力水平，喬治梅森大學(xué)信息技術(shù)中心編制了信息技術(shù)安全測驗(yàn)問卷［8］。問卷重點(diǎn)考察學(xué)生對信息安全威脅的重視程度、常用信息安全技能的掌握狀況以及對大學(xué)信息安全政策的了解程度。該問卷既是大學(xué)生進(jìn)行信息安全能力自我評估的工具，同時(shí)也作為大學(xué)制定信息安全教育計(jì)劃的重要依據(jù)。

此外，不少高校還綜合利用上述方式開展信息安全教育，比較典型的是麻省理工學(xué)院。該校在課程培訓(xùn)方面，不但針對信息安全技能薄弱的用戶提供了自主開發(fā)的《計(jì)算機(jī)安全意識基礎(chǔ)課程》，而且引入了美國國立衛(wèi)生研究院(NIH)的《信息安全與保密意識培訓(xùn)課程》，以及德克薩斯農(nóng)工大學(xué)的培訓(xùn)課程;在學(xué)術(shù)活動方面，麻省理工學(xué)院積極響應(yīng)國家網(wǎng)絡(luò)安全意識月活動和高等教育信息化協(xié)會［EDUCAUSE:由高等院校系統(tǒng)交流組織(college and university systems exchange，CAUSE)與大學(xué)校際交流委員會(interuniversity communications council，EDUCOM)合并而成立］信息安全意識視頻大賽，組織信息安全研討會，編制信息安全常見問題集;教學(xué)游戲方面，則引入了卡內(nèi)基梅隆大學(xué)的反釣魚游戲以及美國聯(lián)邦貿(mào)易委員會制作的OnGuard Online Games系列游戲［9］。

3 美國高校信息安全教育的宣傳推廣

良好的宣傳推廣能夠使社會充分認(rèn)識并認(rèn)可信息安全教育的重要性，為教育實(shí)踐活動的開展創(chuàng)設(shè)良好的輿論氛圍。美國以高等教育信息化協(xié)會(EDUCAUSE)和國家網(wǎng)絡(luò)安全聯(lián)盟(national cyber security alliance，NCSA)為代表的組織機(jī)構(gòu)通過開展專項(xiàng)比賽、啟動專項(xiàng)活動、建立專題網(wǎng)站等形式加大信息安全教育的宣傳推廣。

3．1 高校教育信息化協(xié)會的專項(xiàng)比賽

EDUCAUSE是一個非營利組織，它和下一代互聯(lián)網(wǎng)聯(lián)合組建了高等教育信息安全委員會，其主要職能是積極發(fā)展和推動重要IT資產(chǎn)和基礎(chǔ)設(shè)施保障方案的有效實(shí)踐，進(jìn)一步提升高等教育領(lǐng)域的信息安全與隱私保護(hù)。EDUCAUSE自2006年起舉辦高校信息安全意識海報(bào)與視頻大賽，參賽作品不僅通過EDUCAUSE網(wǎng)站進(jìn)行官方宣傳，而且還在You Tube、Facebook和Twitter等主流網(wǎng)絡(luò)媒體中同步發(fā)布，引起了美國高校的廣泛關(guān)注和積極參與。

2006年首屆美國年度高校信息安全意識視頻大賽主要評選兩類宣傳計(jì)算機(jī)安全意識的作品，包括描述一系列安全話題的短片和專注于某個安全問題的專題片，組委會共收到17所高校的62部參賽作品。2007年第二屆比賽中，引入了媒體的宣傳優(yōu)勢—美國探索頻道加入了承辦方，組委會共收到來自24所高校的56部參賽作品。原定在2008年舉行的第三屆比賽因故推遲到2009年，新增了承辦機(jī)構(gòu)CyberWATCH，并增設(shè)了信息安全意識宣傳海報(bào)的評選，比賽規(guī)模進(jìn)一步擴(kuò)大，共收到來自31所高校的87部參賽作品［10］。2011年舉行的第四屆比賽吸收查普曼大學(xué)作為承辦方之一，這是高等學(xué)校首次成為信息安全海報(bào)與視頻大賽的承辦方，進(jìn)一步凸顯了信息安全教育“源于大學(xué)，用于大學(xué)”的比賽初衷。

3．2 國家網(wǎng)絡(luò)安全聯(lián)盟的專項(xiàng)活動

NCSA是一個公私合營的非盈利組織，主要負(fù)責(zé)執(zhí)行互聯(lián)網(wǎng)方面的公共教育和普及工作，幫助數(shù)字時(shí)代的公民安全地使用網(wǎng)絡(luò)并保護(hù)他們所使用的網(wǎng)絡(luò)。NCSA不僅是美國國家網(wǎng)絡(luò)安全意識月的主要發(fā)啟者和承辦方之一，而且針對大學(xué)生開展了信息安全意識提升高等教育運(yùn)動。該運(yùn)動啟動于2009年，目標(biāo)是增加大學(xué)生的網(wǎng)絡(luò)安全知識和防護(hù)技能。針對高校管理者，NCSA圍繞“我能做什么”和“我該怎么做”兩個方面提出了加強(qiáng)網(wǎng)絡(luò)信息安全意識的建議;針對高校大學(xué)生，則進(jìn)一步明確了3C要求，即網(wǎng)絡(luò)信息安全(CyberSecurity)、網(wǎng)絡(luò)人身安全(Cyber Safety)和網(wǎng)絡(luò)倫理道德(CyberEthics)。全美高校積極響應(yīng)此項(xiàng)活動，普渡大學(xué)、佛吉尼亞大學(xué)、達(dá)特茅斯學(xué)院、波士頓學(xué)院等八所高校被選定為合作伙伴院校。

4 美國高校信息安全教育的資源服務(wù)

美國信息安全教育的有效實(shí)施離不開豐富的教學(xué)資源。美國不少信息安全企業(yè)都專門設(shè)立了教育資源開發(fā)中心，提供各類教育資源服務(wù)。比如:SANS公司針對信息安全意識培訓(xùn)，不但開設(shè)了《信息安全導(dǎo)論》、《軟件安全意識》、《計(jì)算機(jī)與網(wǎng)絡(luò)安全意識》、《SANS安全概要》等收費(fèi)課程，而且以信息安全閱覽室的形式提供了海報(bào)、視頻、報(bào)告、論文等豐富的免費(fèi)資源［11］;而Native Intelligence，Inc．公司則提供了60 s的安全教育短片、7 min的微型課程以及15-45 min意識喚醒課程以及由近300幅圖片構(gòu)成的信息安全宣傳海報(bào)庫［12］。

從上述分析可知，我國高校要深入推進(jìn)大學(xué)生信息安全教育，必須注意以下三個問題:首先，科學(xué)的政策支持是信息安全教育順利開展的前提。從1999年的國家信息安全教育培訓(xùn)計(jì)劃到2009年的國家信息安全意識月活動逐步勾勒出了美國在信息安全教育方面的政策脈絡(luò)，表現(xiàn)出很強(qiáng)的層次性和銜接性，同時(shí)更表現(xiàn)出一種戰(zhàn)略性。其次，和諧的多方聯(lián)動是信息安全教育有效實(shí)施的保障。在美國，以EDUCAUSE和NCSA為代表的非營利性組織借助自身的機(jī)構(gòu)優(yōu)勢加大信息安全教育的宣傳，營造良好的教育氛圍;信息安全企業(yè)利用自身的技術(shù)優(yōu)勢開發(fā)信息安全教育專項(xiàng)資源，提供優(yōu)質(zhì)的培訓(xùn)服務(wù);高校則通過開展各類專項(xiàng)教育實(shí)踐活動，落實(shí)信息安全意識培養(yǎng)任務(wù)。我國高校應(yīng)充分借鑒其成功做法，充分發(fā)揮各類教育組織和信息安全企業(yè)的優(yōu)勢和力量，協(xié)力完成信息安全教育任務(wù)。最后，豐富的實(shí)踐模式是信息安全教育深入推進(jìn)的關(guān)鍵。我國高校應(yīng)盡快將信息安全教育課程納入大學(xué)生素質(zhì)教育培養(yǎng)體系，采取以課程為主，競賽、游戲、研討等非正式學(xué)習(xí)形式為輔的多元培養(yǎng)方案，并用知行統(tǒng)一的標(biāo)準(zhǔn)檢驗(yàn)信息安全教育的成效。

［1］肖紅光，譚作文，周亞卉．論大學(xué)生信息安全意識教育［J］．當(dāng)代教育理論與實(shí)踐，2009，(9):29-31

［2］左曉棟，趙戰(zhàn)生．美國《信息系統(tǒng)保護(hù)國家計(jì)劃》簡析［J］．中國金融電腦，2001，(4):4-7

［3］Wilson M，Hash J．Building an Information Technology Security Awareness and Training Program［R］．NIST Special Publication，2003:11-31

［4］Stanford University．Computer Security User Awareness Training［EB/OL］．http://www．stanford．edu/group/security/securecomputing/training/index．html，2011-02-25

［5］Kansas State University．IT Security Training［EB/OL］．http://www．k-state．edu/its/security/training，2011-03-20

［6］Tennessee University．Security Awareness Campaign［EB/OL］．http://security．tennessee．edu/training．shtml，2011-03-20

［7］Carnegie Mellon University．Anti-Phishing Phyllis［EB/OL］．http://www．cmu．edu/iso/aware/phyllis/index．html，2011-03-26

［8］George Mason University．Information Technology Security Quiz［EB/OL］．http://security．gmu．edu/quiz，2011-3-26

［9］MIT．Information Security Awareness and Education［EB/OL］．http://ist．mit．edu/security/awareness，2011-3-26

［10］蔣莉，楊培靜．歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識［J］．中國教育網(wǎng)絡(luò)，2008，(8):33-35

［11］SANS．Information Security Resources［EB/OL］．http://www．sans．org/information_security．php，2011-4-25

［12］Native Intelligence，Inc．Security Awareness Programs［EB/OL］．http://www．nativeintelligence．com/index．a(chǎn)sp，2011-4-25