大学生信息安全素养分析与形成

大学生信息安全素养分析与形成

摘要:针对当前大学生信息安全素养缺失现象,从社会工程学的角度分析讨论大学生信息安全素养形成的措施和方法。通过实践证实,在培养大学生信息安全素养方面取得了较好的效果。

关键词:信息安全;信息素养;安全意识教育

信息素养的本质是全球信息化需要人们具备的一种基本素质和能力。信息安全素养的定义来源于信息素养的概念,是指人们所具有的信息安全方面的素养,是人员整体素养的一部分,也是现代社会成员适应信息化条件下的各项工作的基本能力之一。随着网络的迅速发展和高校校园网的建设与应用,大学生已成为网络信息社会的主要群体之一。在就业压力不断增大、价值观多元化、信息泛滥的网络社会环境下,面对日渐突出的信息安全问题以及连续呈现的校园网络犯罪事件,如何通过教育的方式来提高大学生的信息安全素养,已成为广泛关注的重要问题。

本文针对当前大学生信息安全素养存在的缺失现象,在分析讨论信息安全素养形成的基础上,结合具体实践经验,探索培养大学生信息安全素养的有效措施和方法。

1信息安全素养的缺失现象

所谓信息安全素养是指在信息化条件下,人们对信息安全的认识,以及对信息安全所表现出来的各种综合能力,包括信息安全意识、信息安全知识、信息安全能力、信息伦理道德等具体内容。然而,从网络信息安全视角看,当前大学生的信息安全素养存在许多缺失现象。

1.1网络信息安全意识差,抵御能力弱

不断迅速发展应用的互联网,既是大学生提高信息素质的有效途径,也是其信息安全素养形成的挑战。这主要体现在两个方面:一是互联网信息覆盖面广、传播快、更新及时,为学生求知、了解世界带来极大便利;二是互联网已成为思想文化信息的集散地和社会舆论的放大器。近年来,社会现实生活中的重大事件都在网络上成为公众关注的焦点,这些网络信息热点一旦形成,各种舆论交织在一起,并快速“发酵”,逐渐升级成为舆论风暴,对大学生的心理乃至行为造成极大冲击。由于大学生网络安全意识差,抵御不良信息侵蚀的能力相对薄弱,致使校园网络犯罪接连不断。这不仅给社会政治、经济发展带来一定程度的影响,也给青少年的健康成长带来了严重后果。

1.2信息安全知识少,难辨信息优劣真伪

互联网作为经济社会发展的战略制高点,充斥着观念冲突、利益矛盾,甚至战

争。目前外资控制下的中国互联网产业着实令人担忧。在过去的10余年里,从Web1.0的门户网站、搜索引擎、电子商务到Web2.0的博客、论坛,外资纷至沓来。在这样一个网络信息模式面前,处在成长期的大学生网民由于信息安全知识少,难辨信息优劣真伪,易于触犯网络信息安全法制法规。譬如,滥用信息技术制造传播信息垃圾和计算机病毒;编造虚假信息对他人进行诽谤;利用网络进行欺诈;浏览、下载、传播黄赌邪信息;窃取他人商业秘密或公开兜售、抄袭他人论文等智力成果等;非法侵入、攻击或破坏他人信息系统等。更为严重的是,许多学生对上述行为缺乏最基本的是非认知和价值判断。比如在制造计算机病毒,破坏他人计算机系统后还到处渲染,引以为荣耀;有的学生破译他人系统密码,侵入他人网络后还要留下“到此一游”的标记以炫耀自己的“才智”;有相当数量的大学生崇拜并渴望能成为“黑客”。正是在这种思想支配下,不少青年学生盲目地走上了网络犯罪道路。

1.3信息伦理道德薄弱,容易受骗上当

互联网中形形色色的思潮、观念,甚至是色情、暴力信息成为影响、误导甚至诱使大学生犯罪的重要因素。据有关统计数字表明,在网络犯罪的人群中,18岁至25岁的占了45%。这表明,以高智商为特征的大学生群体应该称得上是网络犯罪的“易感人群”之一[1]。由于大学生这个特殊群体具有接受新生事物快的心理特点,他们的网络犯罪多以“网络贩黄”、“网络病毒传播”等为基本形式。特别是大量真假难辩,甚至是低俗淫秽信息也在互联网上传播,不同程度地侵蚀着大学生的思想认识。据调查,超过40%的学生承认经常上网浏览不良信息会弱化道德自律意识和社会责任感。

2从社会工程学视角看信息安全素养

信息素养的概念最早是由美国信息业协会主席保罗·泽考斯基于1974年在美国全国图书馆与情报科学委员会上提出来的。他认为信息素养是“利用大量的信息工具及主要信息源使问题得到解答的技术与技能。” 随着信息技术的社会化以及信息安全形势的复杂化,人们对信息安全的认识不断加深,提出了信息安全素养的概念。

2.1良好的信息安全素养是信息安全管理的重要基础

从技术角度解决信息安全问题非常重要且非常必要,因为信息安全,更准确地说是从事信息安全的人,关注的主要是信息技术和资产的可用性、完整性和机密性。但是,信息安全管理则更重要。由于技术总是落后于信息安全形势的发展而发展,而技术的应用及作用发挥总要依靠管理来实施和完成。然而,若从社会工程学的角度或者从安全管理的角度来说,信息安全不是一劳永逸的,必须以动态的思维去加以认识,不断更新安全知识,提高应对网络攻击的防御能力,即需要持续的安全意识和教育,由此可见,信息安全素养的培养是必不可少的。社会成员具有良好的信息安全素养是信息安全管理的重要基础。有权威专家认为,通常应该有40%的信息安全预算用在人的信息安全素养培养上,通过一系列的安全技术和意识的培训、教育,来提高人员信息安全素质,提升安全管理水平。作为处在学习阶

段的大学生群体,更要提高其信息安全素养水平,包括不断增强信息安全意识、掌握信息安全知识、提高信息安全能力、具备良好的信息伦理道德。

2.2基本的信息安全素养是抵御网络安全攻击的有效手段

通俗地讲,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。利用社会工程学实施网络攻击,是黑客常用的网络攻击方法。社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。也就是说,社会工程学攻击的目的是,未经授权就可以访问、使用和泄漏信息系统、网络及数据,而使用的手段则是以欺骗目标人物(通常是经过授权的合法用户)为主。譬如,目前一些黑客将网络钓鱼技术与跨站点脚本技术结合起来,在邮件给出的链接中嵌入脚本。用户点击邮件中此类链接后,除了会被带到一个正常的站点(例如某银行网站)之外,恶意脚本还会在用户计算机上弹出一个小窗口,该窗口酷似网上银行的登录界面,一般用户很难发觉真伪。除了用假冒窗口骗取用户输入账号、口令外,恶意脚本还很可能在后台种植木马,导致更大的破坏。更为严重的是,利用跨站点脚本技术,黑客还可以在网上银行的动态页面中嵌入预先设计好的内容,将点击链接的用户直接导向指定网站。对于这类利用社会工程学方法诱骗用户的方法,只要用户具备一定的信息安全素养,就可抵御许多网络攻击。

2.3具备一定的信息安全素养是信息化社会成员的基本要求

截至2009年12月,据资料显示,我国网民规模已达3.84亿,互联网普及率进一步提升,达到28.9% [2]。随着计算机网络基础设施的进一步完善,互联网大国的规模已经显现,具备一定的信息安全素养是信息化社会成员的基本要求。但是,就大学生而言,信息安全素养急待加强,从高等学校系统内逐年上升的计算机病毒感染、数据丢失等信息安全事件分析可知,人为素养原因引起的信息安全事件占了很大比例。其中,有不够重视信息安全引起的,有不遵守规章制度引起的,有信息安全产品使用不当引起的,等等。尽管网络系统不断提升防火墙技术,安装了许多安全防护及入侵检测系统,制订了较完备的网络安全规章制度,但安全问题和隐患还是很多,譬如网络服务器经常被DDOS攻击。这些问题的发生大多来源于学生,有的没按要求进行有关安全设置;有的违反规定使用移动介质;有的违反规定共享使用计算机目录;有的不遵守制度安装非工作程序;有的甚至不会使用查杀病毒产品等。与其他安全工作一样,信息安全关键在人,如何提高大学生的信息安全素养,成为信息安全教育工作中紧迫而重要的任务。

3信息安全素养的形成与提高

大学生网民既可能是网络健康文化的主要创造力量,也可能是网络不良文化的制造者和受害者,关键是如何培养他们形成良好的信息安全素养。信息安全素质培养应该包括和重视网络信息意识、网络信息伦理教育、网络道德教育、网络文化和信息安全的相关法律法规教育等多个方面。

3.1信息安全意识教育的内容与组织