張磊　于莉莉　王斌　劉義

摘要：當(dāng)前大學(xué)生在受到信息安全威脅時表現(xiàn)的極為脆弱，并易導(dǎo)致極為嚴(yán)重的后果。針對當(dāng)前信息安全通識教育的現(xiàn)狀以及信息安全教育存在的問題，進(jìn)行了針對社會工程學(xué)以及信息安全教育體系兩個方面的探析，并提出對應(yīng)的觀點和策略。以此，提高大學(xué)生信息安全素質(zhì)為信息安全通識教育提供嘗試和借鑒。

關(guān)鍵詞：信息安全；通識教育；社會工程學(xué)；教育體系

中圖分類號：TP391.7 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）10-0169-02

Abstract： At present， college students are extremely vulnerable to the threat of information security， and lead to extremely serious consequences. In view of the current condition of information security liberal education as well as problems of information security education， two aspects such as social engineering and information security system are analyzed. Then this paper puts forward the corresponding ideas and strategies. In this way， the information security quality of college students is provided and provide information security through education.

Key words： information security； liberal education； Social Engineering； education system

隨著智能手機(jī)、平板電腦的普及，人們逐步進(jìn)入到網(wǎng)絡(luò)信息時代，信息網(wǎng)絡(luò)化逐漸成為當(dāng)前信息社會的代名詞。大量的個人以及商業(yè)信息通過網(wǎng)絡(luò)伸入社會的各個角落，成為當(dāng)今文化傳播的一個重要手段。但是，隨著更多的個人信息被網(wǎng)絡(luò)化之后，網(wǎng)絡(luò)信息的真實性以及個人信息泄露造成的隱私威脅逐漸被人民所重視[1]。2016年的魏則西事件以及同年的徐玉玉事件為網(wǎng)絡(luò)信息安全，尤其是大學(xué)生信息安全敲響了警鐘。

作為信息化、立體化社會治安防控體系的一個重要組成部分，網(wǎng)絡(luò)信息安全成為當(dāng)前社會普遍認(rèn)識并逐漸重視起來的一個新的方向。國家于2014年專門成立了空間網(wǎng)絡(luò)安全一級學(xué)科，并在2016年12月發(fā)布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，這標(biāo)志著信息安全已經(jīng)成為國家戰(zhàn)略級的重要發(fā)展標(biāo)準(zhǔn)。盡管當(dāng)前信息安全問題極為突出，同時得到了幾乎全社會的極大關(guān)注，信息安全教育，尤其是大學(xué)生信息安全通識教育仍缺乏進(jìn)行深入的、系統(tǒng)的研究[2，3]。并且未充分發(fā)揮高校信息安全教育所應(yīng)具有的教學(xué)效果。僅2016年就發(fā)生多起轟動社會的大學(xué)生因網(wǎng)絡(luò)安全問題遭受危害的事件[4]。針對目前大學(xué)生信息安全通識教育尚未解決且未能有效提高大學(xué)生整體信息安全素質(zhì)的問題，本文從社會工程學(xué)信息安全威脅以及大學(xué)生信息安全素質(zhì)提升兩個主要方面入手，初步探析如何建立信息化、立體化的社會治安防控體系，為大學(xué)生信息安全通識教育提供切實可行的理論依據(jù)。同時通過對大學(xué)生信息安全問題的探析，提高大學(xué)生信息安全素質(zhì)，降低因信息安全問題造成的大學(xué)生人身安全問題。

2 信息安全通識教育所面對的問題

大學(xué)生信息安全通識教育是以大學(xué)生這一特殊群體在信息安全問題的處理上為基礎(chǔ)進(jìn)行相關(guān)研究的[5，6]。作為剛剛邁出中學(xué)大門，從父母的關(guān)心下走入半個社會的大學(xué)校園的大學(xué)生們。一方面，他們具有走出家門能夠獨立生活的自豪感和恐懼感，他們擺脫了父母約束具有獨立處理個人經(jīng)濟(jì)生活的經(jīng)濟(jì)支配權(quán)利；另一方面，他們又具有較高的文化知識水平和新鮮事物接受能力，能夠很好地使用信息化工具獲得大量的網(wǎng)絡(luò)信息。這兩種特性造成了大學(xué)生成為了網(wǎng)絡(luò)安全問題的首要受害者[7]。另外，當(dāng)前的大學(xué)生的網(wǎng)絡(luò)安全教育工作主要是由學(xué)校教學(xué)輔導(dǎo)員來完成的，因為學(xué)科和知識層次的差異，輔導(dǎo)員很難將信息安全專業(yè)方面的知識傳授給當(dāng)前的大學(xué)生。同時，學(xué)校開設(shè)的計算機(jī)類信息化教育所提及的信息安全問題又多是對計算機(jī)病毒、木馬等傳統(tǒng)信息安全威脅的防范措施，很少會涉及更多關(guān)于社會工程學(xué)防范問題以及信息安全具體知識方面的知識傳授。

因此，信息安全通識教育應(yīng)主要面向兩個方面的信息安全威脅展開教育：社會工程學(xué)防范知識傳授和信息安全教育體系的構(gòu)建。

3社會工程學(xué)防范知識傳授

社會工程學(xué)（Social Engineering，又被翻譯為：社交工程學(xué)）在上世紀(jì)60年代左右作為正式的學(xué)科出現(xiàn)，廣義社會工程學(xué)的定義是：建立理論并通過利用自然的、社會的和制度上的途徑來逐步地解決各種復(fù)雜的社會問題，經(jīng)過多年的應(yīng)用發(fā)展，社會工程學(xué)逐漸產(chǎn)生出了分支學(xué)科，如公安社會工程學(xué)（簡稱公安社工學(xué)）和網(wǎng)絡(luò)社會工程學(xué)[8]。社會工程學(xué)是臭名昭著的黑客米特尼克悔改后在《欺騙的藝術(shù)》中所提出，但其初始目的是讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò)安全，提高警惕，防止沒必要的個人損失。但在我國黑客集體中還在不斷使用其手段欺騙無知網(wǎng)民制造違法行為，社會影響惡劣，一直受到公安機(jī)關(guān)的嚴(yán)厲打擊。

比較典型的社會工程學(xué)信息安全攻擊案例可以用下面的一個真實案例加以說明。在2005年左右，大學(xué)生經(jīng)常會接到連續(xù)的無法接起來的電話，部分大學(xué)生在不堪騷擾的情況下關(guān)閉了手機(jī)，而社會工程學(xué)的攻擊者則給這些學(xué)生的父母打去電話，并讓其父母撥打他們的電話已驗證其所說的欺騙他們父母謊話的真?zhèn)?，?dāng)這些大學(xué)生再次打開手機(jī)的時候，他們收到的是父母打來詢問身體怎么樣是否脫離危險并且已經(jīng)給他匯去大量現(xiàn)金的電話。這種騙術(shù)在很短的時間里蔓延了很多城市，很多大學(xué)生及其父母遭受了大量的經(jīng)濟(jì)損失。

針對這樣的問題，我們首先應(yīng)該在日常的大學(xué)生計算機(jī)基礎(chǔ)知識教學(xué)中，增加對社會工程學(xué)防范知識的教授，使得接受課程教育的大學(xué)生能夠具備對自身信息的防范意識，不會在一些非安全的網(wǎng)站、移動終端上填報自身的真實信息。同時，能夠針對社會工程學(xué)獲取大學(xué)生背景知識信息的途徑加以保護(hù)，降低攻擊者獲得學(xué)生基本身份信息的概率。其次，加強對大學(xué)生基本信息的管理教育，這方面的教育不僅包括大學(xué)生同樣包括能夠掌握大學(xué)生基本信息的有關(guān)部門，約束有關(guān)部門對大學(xué)生真實信息的發(fā)布頻率，同時采用隱私保護(hù)策略降低攻擊者對大學(xué)生真實信息的關(guān)聯(lián)性。最后，通過信息安全教育在大學(xué)生中間建立社會工程學(xué)攻擊防控體系，使得類似網(wǎng)絡(luò)校園貸等新型的信息安全威脅能夠被廣大學(xué)生所識破，降低學(xué)生遭受信息基于社會工程學(xué)攻擊的概率。

4信息安全教育體系

針對大學(xué)生的信息安全教育不再僅僅局限于當(dāng)前大學(xué)生，正如前面我們所說的針對大學(xué)生基本信息的管理應(yīng)該防范社會工程學(xué)一樣，大學(xué)生的信息安全教育體系應(yīng)該包括大學(xué)生、學(xué)生輔導(dǎo)員、計算機(jī)基礎(chǔ)教學(xué)人員甚至是教學(xué)管理人員。這種體系應(yīng)該是一個信息化、立體化的安全體系。因此，將信息安全教育體系分為三層，包括大學(xué)生信息安全通識教育、教育人員信息安全教育、管理人員信息安全教育。

大學(xué)生信息安全通識教育主要指教學(xué)輔導(dǎo)員以及專業(yè)計算機(jī)基礎(chǔ)教師對大學(xué)生進(jìn)行的信息安全教育，這種教育應(yīng)在保障以往針對計算機(jī)安全知識和病毒、木馬防范教育的基礎(chǔ)上，增加對大學(xué)生個人隱私信息保護(hù)、網(wǎng)絡(luò)信息的安全防范、社會工程學(xué)攻擊的防護(hù)等多種信息安全知識的傳授。因此，這一層需要網(wǎng)絡(luò)信息安全教育人員具有一定的網(wǎng)絡(luò)信息安全知識，能夠通過網(wǎng)絡(luò)信息安全事件推導(dǎo)出攻擊者所采用的攻擊方法，并針對已有的攻擊范例推測出潛在的攻擊行為，通過專門信息安全知識的講授提高大學(xué)生信息安全防范的水平。

教育人員信息安全教育是指對大學(xué)生進(jìn)行信息安全教育的直接教育人員，這些人員應(yīng)首先了解或掌握信息安全教育的嚴(yán)峻性和真實性，具有一定的信息安全威脅防范能力。這些教育人員應(yīng)該是被專門的信息安全研究人員（如：公安部門、高校信息安全培訓(xùn)部門）培訓(xùn)過并取得合格認(rèn)證的相關(guān)人員。因此，在這一層上應(yīng)該聘請或組織大量的信息安全講座或培訓(xùn)，提高信息安全教育人員的素質(zhì)，以便更好的解決大學(xué)生信息安全防范和信息安全威脅的處理問題。

最后，管理人員的信息安全教育。無法否認(rèn)，當(dāng)前很大一部分大學(xué)生的基礎(chǔ)數(shù)據(jù)是通過管理人員的不經(jīng)意處理方式造成的泄露。在社會工程學(xué)中有一個很經(jīng)典的案例就是針對的管理人員的不經(jīng)意處理。當(dāng)一個攻擊者熟悉某一管理部門的辦事流程，那么課程會出現(xiàn)這樣的情況。某一天，管理人員甲收到了一個電話，聲稱是另一個部門其不太熟悉的管理人員，他說是某一學(xué)生的專業(yè)導(dǎo)師，現(xiàn)在正在出差找不到該學(xué)生的聯(lián)系方式，需要該管理人員幫著提供一下聯(lián)系方式。正常情況下，作為同事且又不涉及機(jī)密信息，管理人員甲可能會很樂意的將該學(xué)生的聯(lián)系方式發(fā)給這位“專業(yè)導(dǎo)師”，而這位“專業(yè)導(dǎo)師”可以用獲得的學(xué)生電話號碼完成很多攻擊行為，例如上面我們所說的攻擊方式。因此，管理人員同樣需要加入的大學(xué)生信息安全的教育體系，從另一個層面增強大學(xué)生信息安全的保護(hù)能力，提高信息安全問題的防范意識，降低信息安全攻擊所帶來的迫害。

基于以上三層信息安全教育結(jié)構(gòu)體系，我們可以很明確的建立信息化、立體化的大學(xué)生信息安全防控機(jī)制，并依據(jù)這種機(jī)制提高大學(xué)生的信息安全攻擊防范能力，從根本上降低信息安全問題對當(dāng)代大學(xué)生經(jīng)濟(jì)安全甚至是人身安全所帶來的不利影響。同時，基于大學(xué)生信息安全通識教育體系結(jié)構(gòu)的建立，也可增前與大學(xué)生相關(guān)如學(xué)生父母、大學(xué)生周邊人群的信息安全防范意識，通過大學(xué)生的信息安全知識輻射的影響，逐步擴(kuò)大信息安全防范范圍，最終為建立以信息化為支撐，立體化社會治安防控體系提供有利的理論基礎(chǔ)和實踐檢測。

5 結(jié)語

大學(xué)生作為社會活動的活躍因素，表現(xiàn)出不確定性和脆弱性兩方面，這使得在遭受信息安全威脅的情況下，大學(xué)生這一群體所造成的傷害極為巨大。針對信息安全通識教育問題，本文在社會工程學(xué)和信息安全教育體系兩方面提出了相應(yīng)的信息安全通識教育方案。但是，由于威脅手段的層出不窮，信息安全通識教育仍需不斷完善與發(fā)展。

參考文獻(xiàn)：

[1]王靜. 大學(xué)生網(wǎng)絡(luò)信息安全教育探析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2014（1）：167-168.

[2]張藝璇， 張春柳， 周建芳. 大學(xué)生網(wǎng)絡(luò)信息安全研究——以江蘇省南京市為例[J]. 中國教育信息化， 2017（15）：62-64.

[3]沈霞娟， 高東懷， 許浩，等. 大學(xué)生信息安全素質(zhì)教育探索[J]. 信息安全與通信保密， 2014（3）：54-55.

[4]吳卓茜， 張雪蕾， 劉志群. 高校大學(xué)生信息素養(yǎng)教育體系的構(gòu)建——以西安工程大學(xué)為例[J]. 農(nóng)業(yè)圖書情報學(xué)刊， 2017， 29（8）：132-136.

[5] 趙越. 高校大學(xué)生網(wǎng)絡(luò)信息安全教育探索與實踐[J]. 電腦知識與技術(shù)， 2014（24）：5735-5736.

[6]楊建強， 姜洪溪， 趙永標(biāo). 案例驅(qū)動的大學(xué)生信息安全教育教學(xué)實踐[J]. 計算機(jī)教育， 2015， No.242（14）：93-97.

[7]曹健. 大學(xué)生信息安全教育現(xiàn)狀[J]. 經(jīng)營管理者， 2013（16）：274-274.

[8]楊海東. 網(wǎng)絡(luò)信息時代大學(xué)生安全教育所面臨的挑戰(zhàn)與對策[J]. 時代教育， 2017（7）：107-108.