2021-4-9 | 安全教育论文
本文作者:杨建强 李学锋 单位:襄樊学院数学与计算机科学学院
大学生信息安全教育存在的主要问题
对于大学生信息安全教育,目前国内各大高校普遍存在如下问题[2]:对大学生信息安全教育认识滞后.21世纪是信息的时代,为了适应社会需求,各个高校纷纷开设计算机基础课程及信息系统应用相关课程,但各高校对目前的信息安全威胁及其可能造成的影响认识严重不足,部分高校认为信息安全教育可有可无,他们未能深刻理解大学生信息安全教育与高素质人才培养的关系,对大学生信息安全教育认识严重滞后.缺乏对大学生信息安全教育的重视.很少有高校将大学生的信息安全教育纳入到大学生的培养体系和教学日程之中.尽管目前各高校普遍开设了计算机基础课程,该课程中或多或少有一些信息安全的内容,但其多半强调信息安全理论而缺少实用安全技能的介绍,因此对培养大学生信息安全意识及安全操作技能作用有限.大学生信息安全教育的方法不得当.首先,高校大学生信息安全教育缺乏规范化、制度化的管理.其次,信息安全教育措施及方法不得当,教学内容跟不上信息发展速度,引导性和实用性不强.最后,信息安全教育不够系统和规范,在法律规范、道德伦理、技术保障、安全意识培养方面存在不足之处,没有形成完整体系.
加强大学生信息安全教育的一些思考
针对上述问题,国内一些学者纷纷提出自己的看法,给出了一些有益的建议.比如通过“六个统一”,即统一领导、统一计划、统一内容、统一时间、统一教师、统一考评,把大学生信息安全教育纳入学校教学计划,使其步入规范化、制度化的轨道;利用多种教育形式开展大学生信息安全教育;信息安全教育的基本内容应包括法律规范、伦理道德和防范技术等三个方面[2];建立健全高校信息安全教育的运行机制,开设专门的信息安全教育课程[3];把大学生信息安全教育纳入到大学生素质教育培养体系中,把信息安全教育作为每个大学生的必修课程等等[1].这些观点或建议都很有道理,具有启发性,不过其中许多观点并不现实,比如开设专门的信息安全教育必修课程.当前国内各高校大学生要学习的课程已经很多了,学生的学习负担已经很重了,如果专门针对信息安全教育单独开设新的必修课程,显然很难实现.另外,虽然许多学者都提到了大学生信息安全教育的基本内容,但国内还没有哪个学者给出较合理的、具体的内容,尤其是信息安全技术方面的内容.总之,目前我国大学生信息安全教育还处于探索阶段.下面我们从教育内容、教育途径等方面谈谈自己的一些看法.大学信息安全教育的基本内容就教学内容而言,大学生信息安全教育大致可分为信息安全基本知识及实用安全技术、法律规范和伦理道德三个部分[3].信息安全基本知识、实用安全技术教育.
信息安全基本知识包括密码技术、数字签名、身份验证、访问控制、防火墙、入侵检测、灾难恢复、恶意软件、网络入侵等.实用安全技术包括上述理论知识的实际应用,比如Windows系统中的加密文件系统EFS、NTFS权限设置、常用的安全策略设置、账户安全、系统还原/备份、安全中心,以及PGP加密、典型恶意软件的防范技术、常见的网络中的欺骗及防范措施等.对于基本知识部分只需讲清楚基本概念及工作原理即可,不要涉及太深入的专业知识.这一部分是信息安全教育的重要内容,它主要培养学生识别信息安全威胁、规避信息安全风险的能力,以及提高学生基本的信息安全防护能力.计算机法律、法规基本知识教育.如同现实世界里一样,在互联网络中也需要遵守法律法规.我国的法律及有关互联网的规定、条例为维护网络安全提供了法律依据和保障.如《国家安全法》、《宪法》等法律对公民在有关信息活动中涉及国家安全的权利义务进行了规范;《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等法律直接约束计算机安全和互联网安全的行为;其他如《电子出版物管理暂行规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》等对信息内容、信息安全技术及信息安全产品的授权审批作了相关规定;刑法修订案补充了有关计算机犯罪的相关条款[4].教学中可以以这些法律、法规、条例为主要内容对大学生进行教育,增强其法律意识,使大学生明确计算机犯罪所要承担的责任,明白什么可以做,什么不可以做,从而能够自觉地遵守法律,矫正网上行为,同时学会用法律武器来维护自己的合法权益.网络伦理道德教育.法律的强制和技术的屏障对于威胁网络信息安全的行为总是有一定的局限性、滞后性,因此网络伦理道德教育也是非常必要的,它可以为信息安全构筑一道道德屏障.一些西方国家的高等学校已将“网络道德教育”纳入教育课程,如美国杜克大学就为学生开设了“伦理学和国际互联网络”的课程.
我国在这方面也已经作了有益的尝试,比如2001年由共青团中央、教育部等联合发布了《全国青少年网络文明公约》,它标志着我国青少年有了较为完备的网络行为道德规范.大学生信息安全教育的途径在计算机基础课程中把信息安全作为重点内容之一,并注重信息安全基本概念、基本理论知识的介绍.如前所述,单独开设新的信息安全必修课程并不现实.不过,目前各个高校都开设了计算机基础课程,该课程目前普遍增加了对信息安全知识的介绍.因此,借助计算机基础教育来加强的信息安全教育就成了大学生信息安全教育的重要途径.在目前许多高校的大学计算机基础课程中,信息安全并不是重点内容.要加强大学生的信息安全教育,就必须使大学计算机基础课程中的信息安全部分成为课程的重点.其具体内容包括三个方面,即信息安全基本知识教育,计算机法律、法规基本知识教育以及网络伦理道德教育.对于信息安全基本知识部分,要注重信息安全基本概念、基本理论知识的介绍,包括密码技术、数字签名、身份验证、访问控制、防火墙、入侵检测、灾难恢复、恶意软件等.而对于计算机法律、法规基本知识教育以及网络伦理道德教育,重点要让学生明白在网络上什么可以做,什么不可以做以及计算机犯罪的后果.这两部分的内容相对要少一些.开设全校性的信息安全选修课程,课程以实用安全技术为主,同时加强信息安全道德伦理和法律法规教育.大学生在计算机基础课程中初步了解了信息安全基本知识之后,必需依靠实用的安全技术、具体的安全事例来加强对基本理论知识的理解和掌握,真正做到学以致用.事实上,也只有这样信息安全选修课程才会受到大学生们的欢迎,从而提高大学生的信息安全意识,实现大学生信息安全教育的目的.信息安全选修课的内容要侧重于实用的安全技术,尤其当前流行的技术.比如Windows系统中账户安全、NTFS权限设置、EFS和磁盘加密、系统还原和备份、常用的安全策略设置、Internet内容分级设置及安全级别设置,以及PGP加密软件的使用、典型恶意软件的防范技术、U盘病毒的手工清除、典型的网络入侵技术、常见的网络中的欺骗及防范措施等.在教学过程中,应当向学生分析和演示各类近期发生的信息安全威胁,讲解和分析目前信息系统主要应用领域面临的各类信息安全陷阱以及各类典型的重大信息安全事件、计算机犯罪行为,促使他们吸取各类信息安全教训,使他们养成良好信息安全思维方式和日常操作习惯.