沈霞娟，寧玉文，高東懷

第四軍醫(yī)大學網(wǎng)絡(luò)中心，西安710032

信息技術(shù)是一把雙刃劍，在給大學生的學習、科研、生活提供極大便利的同時，也帶來了各種信息安全隱患。面對日漸復雜的信息安全威脅以及連續(xù)出現(xiàn)的校園信息安全事件，如何有效提高大學生的信息安全意識和能力，已成為高校信息素養(yǎng)教育亟需解決的問題之一。然而，我國在信息安全教育方面起步較晚，許多高校尚未深刻理解大學生信息安全教育與高素質(zhì)人才培養(yǎng)之間的關(guān)系，對信息安全教育的重要性認識不足，大學生的信息安全意識整體較低［1］。美國將信息安全作為保持經(jīng)濟和科技核心競爭力的關(guān)鍵影響因素，在信息安全教育的政策計劃、教育實踐、宣傳推廣、資源服務(wù)等方面開展了大量有意義的研究與實踐探索。

1 美國信息安全教育的政策計劃

1999年，美國制定了《國家信息安全戰(zhàn)略框架》，明確提出了信息空間安全意識教育，啟動了國家網(wǎng)絡(luò)安全教育培訓計劃(NIETP)。通過在政府、學術(shù)界與企業(yè)界間建立合作關(guān)系，圍繞國家信息基礎(chǔ)設(shè)施保護，開展培訓工作。2000年，美國發(fā)布了《信息系統(tǒng)保護國家計劃》，啟動了聯(lián)邦計算機服務(wù)(FCS)項目、服務(wù)獎學金(SFS)項目、中小學拓廣項目、聯(lián)邦范圍內(nèi)的意識培養(yǎng)項目以及計算機公民項目以加強信息安全教育和培訓［2］。2003年，美國國家標準技術(shù)研究院(NIST)發(fā)布了《信息技術(shù)安全意識和培訓項目建設(shè)指南》，規(guī)范了信息技術(shù)安全意識和培訓項目的設(shè)計、開發(fā)、應用和評價要求［3］。2009年，美國將10月定為國家網(wǎng)絡(luò)安全意識月，面向家庭、學校、企業(yè)、政府等各類互聯(lián)網(wǎng)用戶開展大規(guī)模的信息安全意識宣傳、教育和培訓活動。

2 美國高校信息安全教育的培養(yǎng)模式

為了培養(yǎng)具有良好信息安全素養(yǎng)的數(shù)字公民，美國高校積極響應國家信息安全教育政策，多數(shù)院校已經(jīng)在IT服務(wù)部門中設(shè)立了信息安全辦公室，并通過開設(shè)課程、組織研討、開發(fā)教學游戲等方式提升大學生的信息安全意識與能力。

2．1 開設(shè)信息安全培訓課程

開設(shè)培訓課程是目前美國高校進行信息安全教育最常用的方式。這些課程一般以短訓課程為主，培訓方式和培訓要求具有較強的針對性。比如:斯坦福大學通過《計算機安全意識》在線課程對學生進行培訓，重在使其掌握必備的信息安全基礎(chǔ)知識和技能，并要熟悉大學的信息安全規(guī)章制度［4］;佛吉尼亞州立大學啟動IT安全專項活動，并把信息安全教育作為一項系統(tǒng)工程來抓，要求學生、教工、職工每年只少參與一次IT安全培訓，并取得課程結(jié)業(yè)證書，才能繼續(xù)使用大學各類信息資源。

2．2 組織信息安全研討會

組織研討會是美國高校進行信息安全教育的另一種重要形式。如堪薩斯州立大學2008-2010年的信息安全會議主題涉及郵件安全、辦公設(shè)備安全、信用卡安全、移動設(shè)備安全等方面。2011年該校開始將會議常規(guī)化，每月舉辦一次信息技術(shù)安全圓桌探討會，由信息安全技術(shù)專家講解相關(guān)的信息安全防護技術(shù)措施與管理要求［5］。

2．3 開展信息安全意識運動

開展信息安全意識專項運動是美國高校響應國家網(wǎng)絡(luò)安全意識月政策的一種直接形式。例如:田納西大學的信息安全意識運動，不但舉辦各類信息安全宣傳活動，而且由信息安全辦公室和新技術(shù)中心共同制作了病毒防護、密碼設(shè)置、敏感數(shù)據(jù)存儲、間諜軟件、垃圾郵件、網(wǎng)絡(luò)釣魚、文件共享與版權(quán)等專題教學視頻，對學生進行信息安全知識和技能進行專項培訓［6］。

2．4 開發(fā)信息安全教育游戲

游戲教學是近年來備受關(guān)注的一種寓教于樂的教學模式，它能夠充分調(diào)動學生的積極性，增強教學內(nèi)容的趣味性和吸引力?？▋?nèi)基梅隆大學充分發(fā)揮自身計算機專業(yè)的優(yōu)勢，開發(fā)了信息安全教育在線游戲，并以其科學的教學設(shè)計和精良的制作水準，獲得本校師生和同行院校的認可。例如:該校開發(fā)的反釣魚網(wǎng)絡(luò)游戲Anti-Phishing Phil和Anti-Phishing Phyllis，教育用戶如何辨認釣魚網(wǎng)站，如何在瀏覽器中尋找網(wǎng)站暗示信息，如何通過搜索引擎找到合法網(wǎng)站，進而避免被黑客釣魚［7］。

2．5 編制信息安全測驗問卷

為了有效評估學生的信息安全能力水平，喬治梅森大學信息技術(shù)中心編制了信息技術(shù)安全測驗問卷［8］。問卷重點考察學生對信息安全威脅的重視程度、常用信息安全技能的掌握狀況以及對大學信息安全政策的了解程度。該問卷既是大學生進行信息安全能力自我評估的工具，同時也作為大學制定信息安全教育計劃的重要依據(jù)。

此外，不少高校還綜合利用上述方式開展信息安全教育，比較典型的是麻省理工學院。該校在課程培訓方面，不但針對信息安全技能薄弱的用戶提供了自主開發(fā)的《計算機安全意識基礎(chǔ)課程》，而且引入了美國國立衛(wèi)生研究院(NIH)的《信息安全與保密意識培訓課程》，以及德克薩斯農(nóng)工大學的培訓課程;在學術(shù)活動方面，麻省理工學院積極響應國家網(wǎng)絡(luò)安全意識月活動和高等教育信息化協(xié)會［EDUCAUSE:由高等院校系統(tǒng)交流組織(college and university systems exchange，CAUSE)與大學校際交流委員會(interuniversity communications council，EDUCOM)合并而成立］信息安全意識視頻大賽，組織信息安全研討會，編制信息安全常見問題集;教學游戲方面，則引入了卡內(nèi)基梅隆大學的反釣魚游戲以及美國聯(lián)邦貿(mào)易委員會制作的OnGuard Online Games系列游戲［9］。

3 美國高校信息安全教育的宣傳推廣

良好的宣傳推廣能夠使社會充分認識并認可信息安全教育的重要性，為教育實踐活動的開展創(chuàng)設(shè)良好的輿論氛圍。美國以高等教育信息化協(xié)會(EDUCAUSE)和國家網(wǎng)絡(luò)安全聯(lián)盟(national cyber security alliance，NCSA)為代表的組織機構(gòu)通過開展專項比賽、啟動專項活動、建立專題網(wǎng)站等形式加大信息安全教育的宣傳推廣。

3．1 高校教育信息化協(xié)會的專項比賽

EDUCAUSE是一個非營利組織，它和下一代互聯(lián)網(wǎng)聯(lián)合組建了高等教育信息安全委員會，其主要職能是積極發(fā)展和推動重要IT資產(chǎn)和基礎(chǔ)設(shè)施保障方案的有效實踐，進一步提升高等教育領(lǐng)域的信息安全與隱私保護。EDUCAUSE自2006年起舉辦高校信息安全意識海報與視頻大賽，參賽作品不僅通過EDUCAUSE網(wǎng)站進行官方宣傳，而且還在You Tube、Facebook和Twitter等主流網(wǎng)絡(luò)媒體中同步發(fā)布，引起了美國高校的廣泛關(guān)注和積極參與。

2006年首屆美國年度高校信息安全意識視頻大賽主要評選兩類宣傳計算機安全意識的作品，包括描述一系列安全話題的短片和專注于某個安全問題的專題片，組委會共收到17所高校的62部參賽作品。2007年第二屆比賽中，引入了媒體的宣傳優(yōu)勢—美國探索頻道加入了承辦方，組委會共收到來自24所高校的56部參賽作品。原定在2008年舉行的第三屆比賽因故推遲到2009年，新增了承辦機構(gòu)CyberWATCH，并增設(shè)了信息安全意識宣傳海報的評選，比賽規(guī)模進一步擴大，共收到來自31所高校的87部參賽作品［10］。2011年舉行的第四屆比賽吸收查普曼大學作為承辦方之一，這是高等學校首次成為信息安全海報與視頻大賽的承辦方，進一步凸顯了信息安全教育“源于大學，用于大學”的比賽初衷。

3．2 國家網(wǎng)絡(luò)安全聯(lián)盟的專項活動

NCSA是一個公私合營的非盈利組織，主要負責執(zhí)行互聯(lián)網(wǎng)方面的公共教育和普及工作，幫助數(shù)字時代的公民安全地使用網(wǎng)絡(luò)并保護他們所使用的網(wǎng)絡(luò)。NCSA不僅是美國國家網(wǎng)絡(luò)安全意識月的主要發(fā)啟者和承辦方之一，而且針對大學生開展了信息安全意識提升高等教育運動。該運動啟動于2009年，目標是增加大學生的網(wǎng)絡(luò)安全知識和防護技能。針對高校管理者，NCSA圍繞“我能做什么”和“我該怎么做”兩個方面提出了加強網(wǎng)絡(luò)信息安全意識的建議;針對高校大學生，則進一步明確了3C要求，即網(wǎng)絡(luò)信息安全(CyberSecurity)、網(wǎng)絡(luò)人身安全(Cyber Safety)和網(wǎng)絡(luò)倫理道德(CyberEthics)。全美高校積極響應此項活動，普渡大學、佛吉尼亞大學、達特茅斯學院、波士頓學院等八所高校被選定為合作伙伴院校。

4 美國高校信息安全教育的資源服務(wù)

美國信息安全教育的有效實施離不開豐富的教學資源。美國不少信息安全企業(yè)都專門設(shè)立了教育資源開發(fā)中心，提供各類教育資源服務(wù)。比如:SANS公司針對信息安全意識培訓，不但開設(shè)了《信息安全導論》、《軟件安全意識》、《計算機與網(wǎng)絡(luò)安全意識》、《SANS安全概要》等收費課程，而且以信息安全閱覽室的形式提供了海報、視頻、報告、論文等豐富的免費資源［11］;而Native Intelligence，Inc．公司則提供了60 s的安全教育短片、7 min的微型課程以及15-45 min意識喚醒課程以及由近300幅圖片構(gòu)成的信息安全宣傳海報庫［12］。

從上述分析可知，我國高校要深入推進大學生信息安全教育，必須注意以下三個問題:首先，科學的政策支持是信息安全教育順利開展的前提。從1999年的國家信息安全教育培訓計劃到2009年的國家信息安全意識月活動逐步勾勒出了美國在信息安全教育方面的政策脈絡(luò)，表現(xiàn)出很強的層次性和銜接性，同時更表現(xiàn)出一種戰(zhàn)略性。其次，和諧的多方聯(lián)動是信息安全教育有效實施的保障。在美國，以EDUCAUSE和NCSA為代表的非營利性組織借助自身的機構(gòu)優(yōu)勢加大信息安全教育的宣傳，營造良好的教育氛圍;信息安全企業(yè)利用自身的技術(shù)優(yōu)勢開發(fā)信息安全教育專項資源，提供優(yōu)質(zhì)的培訓服務(wù);高校則通過開展各類專項教育實踐活動，落實信息安全意識培養(yǎng)任務(wù)。我國高校應充分借鑒其成功做法，充分發(fā)揮各類教育組織和信息安全企業(yè)的優(yōu)勢和力量，協(xié)力完成信息安全教育任務(wù)。最后，豐富的實踐模式是信息安全教育深入推進的關(guān)鍵。我國高校應盡快將信息安全教育課程納入大學生素質(zhì)教育培養(yǎng)體系，采取以課程為主，競賽、游戲、研討等非正式學習形式為輔的多元培養(yǎng)方案，并用知行統(tǒng)一的標準檢驗信息安全教育的成效。

［1］肖紅光，譚作文，周亞卉．論大學生信息安全意識教育［J］．當代教育理論與實踐，2009，(9):29-31

［2］左曉棟，趙戰(zhàn)生．美國《信息系統(tǒng)保護國家計劃》簡析［J］．中國金融電腦，2001，(4):4-7

［3］Wilson M，Hash J．Building an Information Technology Security Awareness and Training Program［R］．NIST Special Publication，2003:11-31

［4］Stanford University．Computer Security User Awareness Training［EB/OL］．http://www．stanford．edu/group/security/securecomputing/training/index．html，2011-02-25

［5］Kansas State University．IT Security Training［EB/OL］．http://www．k-state．edu/its/security/training，2011-03-20

［6］Tennessee University．Security Awareness Campaign［EB/OL］．http://security．tennessee．edu/training．shtml，2011-03-20

［7］Carnegie Mellon University．Anti-Phishing Phyllis［EB/OL］．http://www．cmu．edu/iso/aware/phyllis/index．html，2011-03-26

［8］George Mason University．Information Technology Security Quiz［EB/OL］．http://security．gmu．edu/quiz，2011-3-26

［9］MIT．Information Security Awareness and Education［EB/OL］．http://ist．mit．edu/security/awareness，2011-3-26

［10］蔣莉，楊培靜．歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識［J］．中國教育網(wǎng)絡(luò)，2008，(8):33-35

［11］SANS．Information Security Resources［EB/OL］．http://www．sans．org/information_security．php，2011-4-25

［12］Native Intelligence，Inc．Security Awareness Programs［EB/OL］．http://www．nativeintelligence．com/index．a(chǎn)sp，2011-4-25