美國高校信息安全教育探析及啟示

沈霞娟，寧玉文，高東懷

第四軍醫大學網絡中心，西安710032

信息技術是一把雙刃劍，在給大學生的學習、科研、生活提供極大便利的同時，也帶來了各種信息安全隱患。面對日漸復雜的信息安全威脅以及連續出現的校園信息安全事件，如何有效提高大學生的信息安全意識和能力，已成為高校信息素養教育亟需解決的問題之一。然而，我國在信息安全教育方面起步較晚，許多高校尚未深刻理解大學生信息安全教育與高素質人才培養之間的關系，對信息安全教育的重要性認識不足，大學生的信息安全意識整體較低［1］。美國將信息安全作為保持經濟和科技核心競爭力的關鍵影響因素，在信息安全教育的政策計劃、教育實踐、宣傳推廣、資源服務等方面開展了大量有意義的研究與實踐探索。

1 美國信息安全教育的政策計劃

1999年，美國制定了《國家信息安全戰略框架》，明確提出了信息空間安全意識教育，啟動了國家網絡安全教育培訓計劃(NIETP)。通過在政府、學術界與企業界間建立合作關系，圍繞國家信息基礎設施保護，開展培訓工作。2000年，美國發布了《信息系統保護國家計劃》，啟動了聯邦計算機服務(FCS)項目、服務獎學金(SFS)項目、中小學拓廣項目、聯邦范圍內的意識培養項目以及計算機公民項目以加強信息安全教育和培訓［2］。2003年，美國國家標準技術研究院(NIST)發布了《信息技術安全意識和培訓項目建設指南》，規范了信息技術安全意識和培訓項目的設計、開發、應用和評價要求［3］。2009年，美國將10月定為國家網絡安全意識月，面向家庭、學校、企業、政府等各類互聯網用戶開展大規模的信息安全意識宣傳、教育和培訓活動。

2 美國高校信息安全教育的培養模式

為了培養具有良好信息安全素養的數字公民，美國高校積極響應國家信息安全教育政策，多數院校已經在IT服務部門中設立了信息安全辦公室，并通過開設課程、組織研討、開發教學游戲等方式提升大學生的信息安全意識與能力。

2．1 開設信息安全培訓課程

開設培訓課程是目前美國高校進行信息安全教育最常用的方式。這些課程一般以短訓課程為主，培訓方式和培訓要求具有較強的針對性。比如:斯坦福大學通過《計算機安全意識》在線課程對學生進行培訓，重在使其掌握必備的信息安全基礎知識和技能，并要熟悉大學的信息安全規章制度［4］;佛吉尼亞州立大學啟動IT安全專項活動，并把信息安全教育作為一項系統工程來抓，要求學生、教工、職工每年只少參與一次IT安全培訓，并取得課程結業證書，才能繼續使用大學各類信息資源。

2．2 組織信息安全研討會

組織研討會是美國高校進行信息安全教育的另一種重要形式。如堪薩斯州立大學2008-2010年的信息安全會議主題涉及郵件安全、辦公設備安全、信用卡安全、移動設備安全等方面。2011年該校開始將會議常規化，每月舉辦一次信息技術安全圓桌探討會，由信息安全技術專家講解相關的信息安全防護技術措施與管理要求［5］。

2．3 開展信息安全意識運動

開展信息安全意識專項運動是美國高校響應國家網絡安全意識月政策的一種直接形式。例如:田納西大學的信息安全意識運動，不但舉辦各類信息安全宣傳活動，而且由信息安全辦公室和新技術中心共同制作了病毒防護、密碼設置、敏感數據存儲、間諜軟件、垃圾郵件、網絡釣魚、文件共享與版權等專題教學視頻，對學生進行信息安全知識和技能進行專項培訓［6］。

2．4 開發信息安全教育游戲

游戲教學是近年來備受關注的一種寓教于樂的教學模式，它能夠充分調動學生的積極性，增強教學內容的趣味性和吸引力。卡內基梅隆大學充分發揮自身計算機專業的優勢，開發了信息安全教育在線游戲，并以其科學的教學設計和精良的制作水準，獲得本校師生和同行院校的認可。例如:該校開發的反釣魚網絡游戲Anti-Phishing Phil和Anti-Phishing Phyllis，教育用戶如何辨認釣魚網站，如何在瀏覽器中尋找網站暗示信息，如何通過搜索引擎找到合法網站，進而避免被黑客釣魚［7］。

2．5 編制信息安全測驗問卷

為了有效評估學生的信息安全能力水平，喬治梅森大學信息技術中心編制了信息技術安全測驗問卷［8］。問卷重點考察學生對信息安全威脅的重視程度、常用信息安全技能的掌握狀況以及對大學信息安全政策的了解程度。該問卷既是大學生進行信息安全能力自我評估的工具，同時也作為大學制定信息安全教育計劃的重要依據。

此外，不少高校還綜合利用上述方式開展信息安全教育，比較典型的是麻省理工學院。該校在課程培訓方面，不但針對信息安全技能薄弱的用戶提供了自主開發的《計算機安全意識基礎課程》，而且引入了美國國立衛生研究院(NIH)的《信息安全與保密意識培訓課程》，以及德克薩斯農工大學的培訓課程;在學術活動方面，麻省理工學院積極響應國家網絡安全意識月活動和高等教育信息化協會［EDUCAUSE:由高等院校系統交流組織(college and university systems exchange，CAUSE)與大學校際交流委員會(interuniversity communications council，EDUCOM)合并而成立］信息安全意識視頻大賽，組織信息安全研討會，編制信息安全常見問題集;教學游戲方面，則引入了卡內基梅隆大學的反釣魚游戲以及美國聯邦貿易委員會制作的OnGuard Online Games系列游戲［9］。

3 美國高校信息安全教育的宣傳推廣

良好的宣傳推廣能夠使社會充分認識并認可信息安全教育的重要性，為教育實踐活動的開展創設良好的輿論氛圍。美國以高等教育信息化協會(EDUCAUSE)和國家網絡安全聯盟(national cyber security alliance，NCSA)為代表的組織機構通過開展專項比賽、啟動專項活動、建立專題網站等形式加大信息安全教育的宣傳推廣。

3．1 高校教育信息化協會的專項比賽

EDUCAUSE是一個非營利組織，它和下一代互聯網聯合組建了高等教育信息安全委員會，其主要職能是積極發展和推動重要IT資產和基礎設施保障方案的有效實踐，進一步提升高等教育領域的信息安全與隱私保護。EDUCAUSE自2006年起舉辦高校信息安全意識海報與視頻大賽，參賽作品不僅通過EDUCAUSE網站進行官方宣傳，而且還在You Tube、Facebook和Twitter等主流網絡媒體中同步發布，引起了美國高校的廣泛關注和積極參與。

2006年首屆美國年度高校信息安全意識視頻大賽主要評選兩類宣傳計算機安全意識的作品，包括描述一系列安全話題的短片和專注于某個安全問題的專題片，組委會共收到17所高校的62部參賽作品。2007年第二屆比賽中，引入了媒體的宣傳優勢—美國探索頻道加入了承辦方，組委會共收到來自24所高校的56部參賽作品。原定在2008年舉行的第三屆比賽因故推遲到2009年，新增了承辦機構CyberWATCH，并增設了信息安全意識宣傳海報的評選，比賽規模進一步擴大，共收到來自31所高校的87部參賽作品［10］。2011年舉行的第四屆比賽吸收查普曼大學作為承辦方之一，這是高等學校首次成為信息安全海報與視頻大賽的承辦方，進一步凸顯了信息安全教育“源于大學，用于大學”的比賽初衷。

3．2 國家網絡安全聯盟的專項活動

NCSA是一個公私合營的非盈利組織，主要負責執行互聯網方面的公共教育和普及工作，幫助數字時代的公民安全地使用網絡并保護他們所使用的網絡。NCSA不僅是美國國家網絡安全意識月的主要發啟者和承辦方之一，而且針對大學生開展了信息安全意識提升高等教育運動。該運動啟動于2009年，目標是增加大學生的網絡安全知識和防護技能。針對高校管理者，NCSA圍繞“我能做什么”和“我該怎么做”兩個方面提出了加強網絡信息安全意識的建議;針對高校大學生，則進一步明確了3C要求，即網絡信息安全(CyberSecurity)、網絡人身安全(Cyber Safety)和網絡倫理道德(CyberEthics)。全美高校積極響應此項活動，普渡大學、佛吉尼亞大學、達特茅斯學院、波士頓學院等八所高校被選定為合作伙伴院校。

4 美國高校信息安全教育的資源服務

美國信息安全教育的有效實施離不開豐富的教學資源。美國不少信息安全企業都專門設立了教育資源開發中心，提供各類教育資源服務。比如:SANS公司針對信息安全意識培訓，不但開設了《信息安全導論》、《軟件安全意識》、《計算機與網絡安全意識》、《SANS安全概要》等收費課程，而且以信息安全閱覽室的形式提供了海報、視頻、報告、論文等豐富的免費資源［11］;而Native Intelligence，Inc．公司則提供了60 s的安全教育短片、7 min的微型課程以及15-45 min意識喚醒課程以及由近300幅圖片構成的信息安全宣傳海報庫［12］。

從上述分析可知，我國高校要深入推進大學生信息安全教育，必須注意以下三個問題:首先，科學的政策支持是信息安全教育順利開展的前提。從1999年的國家信息安全教育培訓計劃到2009年的國家信息安全意識月活動逐步勾勒出了美國在信息安全教育方面的政策脈絡，表現出很強的層次性和銜接性，同時更表現出一種戰略性。其次，和諧的多方聯動是信息安全教育有效實施的保障。在美國，以EDUCAUSE和NCSA為代表的非營利性組織借助自身的機構優勢加大信息安全教育的宣傳，營造良好的教育氛圍;信息安全企業利用自身的技術優勢開發信息安全教育專項資源，提供優質的培訓服務;高校則通過開展各類專項教育實踐活動，落實信息安全意識培養任務。我國高校應充分借鑒其成功做法，充分發揮各類教育組織和信息安全企業的優勢和力量，協力完成信息安全教育任務。最后，豐富的實踐模式是信息安全教育深入推進的關鍵。我國高校應盡快將信息安全教育課程納入大學生素質教育培養體系，采取以課程為主，競賽、游戲、研討等非正式學習形式為輔的多元培養方案，并用知行統一的標準檢驗信息安全教育的成效。

［1］肖紅光，譚作文，周亞卉．論大學生信息安全意識教育［J］．當代教育理論與實踐，2009，(9):29-31

［2］左曉棟，趙戰生．美國《信息系統保護國家計劃》簡析［J］．中國金融電腦，2001，(4):4-7

［3］Wilson M，Hash J．Building an Information Technology Security Awareness and Training Program［R］．NIST Special Publication，2003:11-31

［4］Stanford University．Computer Security User Awareness Training［EB/OL］．http://www．stanford．edu/group/security/securecomputing/training/index．html，2011-02-25

［5］Kansas State University．IT Security Training［EB/OL］．http://www．k-state．edu/its/security/training，2011-03-20

［6］Tennessee University．Security Awareness Campaign［EB/OL］．http://security．tennessee．edu/training．shtml，2011-03-20

［7］Carnegie Mellon University．Anti-Phishing Phyllis［EB/OL］．http://www．cmu．edu/iso/aware/phyllis/index．html，2011-03-26

［8］George Mason University．Information Technology Security Quiz［EB/OL］．http://security．gmu．edu/quiz，2011-3-26

［9］MIT．Information Security Awareness and Education［EB/OL］．http://ist．mit．edu/security/awareness，2011-3-26

［10］蔣莉，楊培靜．歐美國家如何培養網絡安全意識［J］．中國教育網絡，2008，(8):33-35

［11］SANS．Information Security Resources［EB/OL］．http://www．sans．org/information_security．php，2011-4-25

［12］Native Intelligence，Inc．Security Awareness Programs［EB/OL］．http://www．nativeintelligence．com/index．asp，2011-4-25