大学生信息安全素养分析与形成

大学生信息安全素养分析与形成
摘要:针对当前大学生信息安全素养缺失现象,从社会工程学的角度分析讨论大学生信息安全素养形成的措施和方法。

通过实践证实,在培养大学生信息安全素养方面取得了较好的效果。

关键词:信息安全;信息素养;安全意识教育
信息素养的本质是全球信息化需要人们具备的一种基本素质和能力。

信息安全素养的定义来源于信息素养的概念,是指人们所具有的信息安全方面的素养,是人员整体素养的一部分,也是现代社会成员适应信息化条件下的各项工作的基本能力之一。

随着网络的迅速发展和高校校园网的建设与应用,大学生已成为网络信息社会的主要群体之一。

在就业压力不断增大、价值观多元化、信息泛滥的网络社会环境下,面对日渐突出的信息安全问题以及连续呈现的校园网络犯罪事件,如何通过教育的方式来提高大学生的信息安全素养,已成为广泛关注的重要问题。

本文针对当前大学生信息安全素养存在的缺失现象,在分析讨论信息安全素养形成的基础上,结合具体实践经验,探索培养大学生信息安全素养的有效措施和方法。

1信息安全素养的缺失现象
所谓信息安全素养是指在信息化条件下,人们对信息安全的认识,以及对信息安全所表现出来的各种综合能力,包括信息安全意识、信息安全知识、信息安全能力、信息伦理道德等具体内容。

然而,从网络信息安全视角看,当前大学生的信息安全素养存在许多缺失现象。

1.1网络信息安全意识差,抵御能力弱
不断迅速发展应用的互联网,既是大学生提高信息素质的有效途径,也是其信息安全素养形成的挑战。

这主要体现在两个方面:一是互联网信息覆盖面广、传播快、更新及时,为学生求知、了解世界带来极大便利;二是互联网已成为思想文化信息的集散地和社会舆论的放大器。

近年来,社会现实生活中的重大事件都在网络上成为公众关注的焦点,这些网络信息热点一旦形成,各种舆论交织在一起,并快速“发酵”,逐渐升级成为舆论风暴,对大学生的心理乃至行为造成极大冲击。

由于大学生网络安全意识差,抵御不良信息侵蚀的能力相对薄弱,致使校园网络犯罪接连不断。

这不仅给社会政治、经济发展带来一定程度的影响,也给青少年的健康成长带来了严重后果。

1.2信息安全知识少,难辨信息优劣真伪
互联网作为经济社会发展的战略制高点,充斥着观念冲突、利益矛盾,甚至战
争。

目前外资控制下的中国互联网产业着实令人担忧。

在过去的10余年里,从Web1.0的门户网站、搜索引擎、电子商务到Web2.0的博客、论坛,外资纷至沓来。

在这样一个网络信息模式面前,处在成长期的大学生网民由于信息安全知识少,难辨信息优劣真伪,易于触犯网络信息安全法制法规。

譬如,滥用信息技术制造传播信息垃圾和计算机病毒;编造虚假信息对他人进行诽谤;利用网络进行欺诈;浏览、下载、传播黄赌邪信息;窃取他人商业秘密或公开兜售、抄袭他人论文等智力成果等;非法侵入、攻击或破坏他人信息系统等。

更为严重的是,许多学生对上述行为缺乏最基本的是非认知和价值判断。

比如在制造计算机病毒,破坏他人计算机系统后还到处渲染,引以为荣耀;有的学生破译他人系统密码,侵入他人网络后还要留下“到此一游”的标记以炫耀自己的“才智”;有相当数量的大学生崇拜并渴望能成为“黑客”。

正是在这种思想支配下,不少青年学生盲目地走上了网络犯罪道路。

1.3信息伦理道德薄弱,容易受骗上当
互联网中形形色色的思潮、观念,甚至是色情、暴力信息成为影响、误导甚至诱使大学生犯罪的重要因素。

据有关统计数字表明,在网络犯罪的人群中,18岁至25岁的占了45%。

这表明,以高智商为特征的大学生群体应该称得上是网络犯罪的“易感人群”之一[1]。

由于大学生这个特殊群体具有接受新生事物快的心理特点,他们的网络犯罪多以“网络贩黄”、“网络病毒传播”等为基本形式。

特别是大量真假难辩,甚至是低俗淫秽信息也在互联网上传播,不同程度地侵蚀着大学生的思想认识。

据调查,超过40%的学生承认经常上网浏览不良信息会弱化道德自律意识和社会责任感。

2从社会工程学视角看信息安全素养
信息素养的概念最早是由美国信息业协会主席保罗·泽考斯基于1974年在美国全国图书馆与情报科学委员会上提出来的。

他认为信息素养是“利用大量的信息工具及主要信息源使问题得到解答的技术与技能。

” 随着信息技术的社会化以及信息安全形势的复杂化,人们对信息安全的认识不断加深,提出了信息安全素养的概念。

2.1良好的信息安全素养是信息安全管理的重要基础
从技术角度解决信息安全问题非常重要且非常必要,因为信息安全,更准确地说是从事信息安全的人,关注的主要是信息技术和资产的可用性、完整性和机密性。

但是,信息安全管理则更重要。

由于技术总是落后于信息安全形势的发展而发展,而技术的应用及作用发挥总要依靠管理来实施和完成。

然而,若从社会工程学的角度或者从安全管理的角度来说,信息安全不是一劳永逸的,必须以动态的思维去加以认识,不断更新安全知识,提高应对网络攻击的防御能力,即需要持续的安全意识和教育,由此可见,信息安全素养的培养是必不可少的。

社会成员具有良好的信息安全素养是信息安全管理的重要基础。

有权威专家认为,通常应该有40%的信息安全预算用在人的信息安全素养培养上,通过一系列的安全技术和意识的培训、教育,来提高人员信息安全素质,提升安全管理水平。

作为处在学习阶
段的大学生群体,更要提高其信息安全素养水平,包括不断增强信息安全意识、掌握信息安全知识、提高信息安全能力、具备良好的信息伦理道德。

2.2基本的信息安全素养是抵御网络安全攻击的有效手段
通俗地讲,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。

利用社会工程学实施网络攻击,是黑客常用的网络攻击方法。

社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。

也就是说,社会工程学攻击的目的是,未经授权就可以访问、使用和泄漏信息系统、网络及数据,而使用的手段则是以欺骗目标人物(通常是经过授权的合法用户)为主。

譬如,目前一些黑客将网络钓鱼技术与跨站点脚本技术结合起来,在邮件给出的链接中嵌入脚本。

用户点击邮件中此类链接后,除了会被带到一个正常的站点(例如某银行网站)之外,恶意脚本还会在用户计算机上弹出一个小窗口,该窗口酷似网上银行的登录界面,一般用户很难发觉真伪。

除了用假冒窗口骗取用户输入账号、口令外,恶意脚本还很可能在后台种植木马,导致更大的破坏。

更为严重的是,利用跨站点脚本技术,黑客还可以在网上银行的动态页面中嵌入预先设计好的内容,将点击链接的用户直接导向指定网站。

对于这类利用社会工程学方法诱骗用户的方法,只要用户具备一定的信息安全素养,就可抵御许多网络攻击。

2.3具备一定的信息安全素养是信息化社会成员的基本要求
截至2009年12月,据资料显示,我国网民规模已达3.84亿,互联网普及率进一步提升,达到28.9% [2]。

随着计算机网络基础设施的进一步完善,互联网大国的规模已经显现,具备一定的信息安全素养是信息化社会成员的基本要求。

但是,就大学生而言,信息安全素养急待加强,从高等学校系统内逐年上升的计算机病毒感染、数据丢失等信息安全事件分析可知,人为素养原因引起的信息安全事件占了很大比例。

其中,有不够重视信息安全引起的,有不遵守规章制度引起的,有信息安全产品使用不当引起的,等等。

尽管网络系统不断提升防火墙技术,安装了许多安全防护及入侵检测系统,制订了较完备的网络安全规章制度,但安全问题和隐患还是很多,譬如网络服务器经常被DDOS攻击。

这些问题的发生大多来源于学生,有的没按要求进行有关安全设置;有的违反规定使用移动介质;有的违反规定共享使用计算机目录;有的不遵守制度安装非工作程序;有的甚至不会使用查杀病毒产品等。

与其他安全工作一样,信息安全关键在人,如何提高大学生的信息安全素养,成为信息安全教育工作中紧迫而重要的任务。

3信息安全素养的形成与提高
大学生网民既可能是网络健康文化的主要创造力量,也可能是网络不良文化的制造者和受害者,关键是如何培养他们形成良好的信息安全素养。

信息安全素质培养应该包括和重视网络信息意识、网络信息伦理教育、网络道德教育、网络文化和信息安全的相关法律法规教育等多个方面。

3.1信息安全意识教育的内容与组织
增强信息安全意识,首先是要防御社会工程学攻击,最有效的方式是通过管理上的手段(包括安全策略、标准和流程等)来对合法用户的日常操作进行规范,并加强用户安全意识的教育。

大学生作为一般的网络用户,必须有理解以下各条目的安全意识:1)安全策略、标准和流程;2)物理和信息资产所面临的安全威胁;3)开放网络环境面临的安全威胁;4)需要遵守的法律法规;5)需要遵守的学校信息管理部门制订的规章制度;6)如何辨识和保护敏感(或机密)信息;7)如何存储、标记和传输机密信息;8)若发生可疑或已确认的安全事件,应向谁报告,如何报告;9)电子邮件和互联网安全使用策略和流程;10)社会工程学。

在实际工作中,把安全意识教育作为组织信息安全计划中的一部分来进行是十分有效的。

在开始安全意识教育计划之前,先明确安全意识教育的目的:所有的大学生必须了解自己最基本的安全责任,了解校园网所面临的信息安全威胁,以良好的网络使用习惯防御校园网风险并保护信息系统。

3.2构筑完整的网络信息安全保障体系
强化校园网络管理,构筑网络信息安全保障体系,既是学校网络信息安全的一项重要工作,也是提高大学生信息安全素养的基础条件。

只有高度重视校园网络的管理和监控工作,认真抓好校园网络有害信息的过滤,不断提高技术防范水平,让大学生在比较完善的信息安全保障体系下,自然而然地形成信息安全素养。

构筑网络信息安全保障体系,既包括采用先进的网络安全技术防范,也包含制订严格的安全管理制度,还要依靠法律法规的约束。

通过对网络系统面临的威胁进行风险评估[3],集成先进的安全技术、采取严格的管理措施、强化法律意识,才能形成有效地安全防护体系。

1) 采用先进的网络安全技术加固信息网络系统。

先进的安全技术不仅是网络信息安全的物质条件保证,也具有传播网络信息安全知识的作用。

例如,通过使用登录控制、防火墙、入侵监测系统等,既加固了网络信息系统,也可以让学生了解熟悉相应的安全技术,提高网络安全能力。

2) 不断制订、完善网络安全管理制度,做到有章必依。

目前,多数高校都拥有自己信息网络管理机构,并建立了相应的网络安全管理规章制度,但重要的是严格执行这些规章制度。

不但要经常修订、改进内部管理、用户管理和授权管理机制,还要采取多种形式经常进行安全教育与培训,提高学生的网络安全意识。

3) 网络信息安全法律、法规学习制度化、日常化。

安全的基石是法律、法规。

面对日趋严重的网络犯罪,需要严格执行与网络安全相关的法律、法规。

互联网是一种新生事物,过去由于缺乏相应的法律法规,无法可依,导致网络上的计算机犯罪处于无序状态。

近年来,我国已经颁布多种与网络安全相关的法律、法规,要通过不同的形式,组织学生学习《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国电子签名法》等,强化信息安全法制观念,遏制、震慑网络犯罪。

4结语
面对目前大学生信息安全素养存在的诸多问题,结合信息安全教育实际状况,利用信息化教育的优势充实和完善信息素养教育内容,灵活选择适合信息安全保密教育的教学形式,在培养大学生信息安全素养方面作了有益的探索。

通过认真研究思想教育工作的特点和规律,不断营造良好的网络舆论环境,充分发挥网络的教育功能,进行网络道德教育,增强了学生的国家安全意识、社会责任意识和个人自律意识,以及自觉遵守网络管理法规,共同维护校园网络安全的意识。

通过实践证实,这些措施和方法在培养大学生信息安全素养方面取得了较好的实际效果。

参考文献:
[1] 谢应霞. 大学生网络犯罪的成因及预防对策探析[J]. 理论界,2010(2):80-81.
[2] 中国互联网络信息中心(CNNIC). 第25次中国互联网络发展状况统计报告[EB/OL]. [2010-04-15]. . Cn/html/Dir/2010/01/15/5767.htm.
Undergraduates’Information Security Literacy Analysis and Formation
LIU Feng
(Nanjing Institute of Technology, Nanjing 211167, China)
Abstract: For lack of information security literacy undergraduates, from the view of social engineering, we discusses the methods to training students’information security literacy. Certified by practice, it achieves good results.
Key words: information security; information literacy; security awareness
(编辑:郭小明)。