信息安全素養測評系統的設計與實現

沈霞娟，高東懷，郭 佳，寧玉文

(1.第四軍醫大學 網絡中心，陜西 西安 710032；2.西北大學 現代教育技術中心，陜西 西安 710069)

信息安全素養測評系統的設計與實現

沈霞娟1，高東懷1，郭 佳2，寧玉文1

(1.第四軍醫大學 網絡中心，陜西 西安 710032；2.西北大學 現代教育技術中心，陜西 西安 710069)

為了有效增強人們的信息安全意識，實現信息安全素養的科學測量，文中設計并開發了一套在線信息安全素養測評系統。文中首先從測評目標、內容、方法和指標體系四個方面闡明了信息安全素養測評的標準體系，然后提出了信息安全素養測評系統的結構模型，詳細論述了題庫管理、智能組卷、在線測評、成績管理、統計分析等核心功能模塊，最后結合第四軍醫大學的實踐提出了一套可行的系統實施方案和必要的安全防護措施。結果表明，該系統可以詳細測量出個體信息安全意識、知識、技能與倫理四個維度的素養水平，能夠滿足信息安全專項教育和人才選拔的需求。

信息安全；素養；測評系統；評價標準

0 引 言

截止2014年12月，我國網民規模達6.49億，信息網絡正在重塑人們的學習、工作與生活方式。然而，面對復雜多變的網絡環境，我國網民的信息安全意識普遍較為薄弱，缺乏警惕性，《第35次中國互聯網絡發展狀況統計報告》指出2014年46.3%的網民遭遇過網絡安全問題[1]。習主席強調“沒有網絡安全就沒有國家安全，建設網絡強國需要過硬的自主技術、豐富的信息服務、良好的基礎設施和高素質的人才隊伍”[2]。因此，科學評價并有效提升人們的信息安全素養，已經成為我國信息素養教育的一項緊迫任務。

發達國家非常重視信息安全素養的教育與測評。美國自2009年開始將每年10月定為國家網絡安全意識月，并開展豐富多彩的信息安全宣傳、教育與競賽活動[3]。英國的Conscio科技公司與從事信息安全咨詢的Hapsis公司合作開發了由30個在線問題組成的信息安全意識評估儀(Information Security Awareness Meter，ISAM),主要對信息安全敏感度、知識和行為進行測量分析，并針對測評主體生成詳細的且具有精確診斷效果的報告書[4]。2012年馬來西亞理工大學針對銀行職員的信息安全素養展開研究[5]，并基于社會認知ABC(Affect-Behavior-Cognitive)評估模型[6]開發了相應的測評工具。我國目前針對信息安全素養的評價研究主要集中在指標體系[7]和測試量表[8]的編制上，缺乏高效實用的測評工具，難以實現信息安全素養的大規模、精細化測評。

因此，文中以教育測量理論為基礎，借鑒國外信息安全意識測評工具的設計思路，提出了信息安全素養測評標準體系，設計了信息安全素養測評系統的功能模型，建立了測評結果的多維分析機制，并制定了一套可行的系統實施方案。

1 信息安全素養測評標準體系

1.1 信息安全素養的內涵

信息安全素養是指在信息化條件下，個體針對維護信息安全所表現出來的意識、知識、技能、道德倫理等方面的綜合能力。其中：信息安全意識是指個體在信息活動中對信息安全重要性的認識水平，以及自覺獲取信息安全資源和察覺信息安全問題的敏銳性[9]；信息安全知識是指個體所需要的信息安全基本概念、基本原理和基本方法；信息安全技能是指為個體對信息安全問題做出防范、處理的技術和能力；信息安全倫理是指個體在信息行為中普遍認同和共同遵守的行為準則和道德規范。

這四個核心要素中，意識是先導，知識是基礎，技能是核心，倫理是規范，四者相輔相成，構成協調統一的整體[10]。

1.2 信息安全素養測評

信息安全素養測評屬于人才素質測評范疇，是指測評主體采用科學的方法，收集被測評者在信息安全活動領域中的表征信息，針對信息安全素養測評目標體系做出價值判斷的過程。

1.2.1 測評目標

信息安全素養測評是為了有效了解被試人員信息安全意識、知識、技能和倫理四個方面的真實水平，使其能夠安全可靠地應用信息技術，減少網絡失泄密事件的發生。測評結果既可以作為衡量信息安全教育成效的依據，也可為優化信息安全教育方案、選拔信息安全優秀人才提供支撐。

1.2.2 測評內容

美國心理學家麥克利蘭在1973年提出了著名的素質冰山模型，根據人員個體素質的不同表現將其劃分為表面的“冰山以上部分”和深藏的“冰山以下部分”[11]。在信息安全素養的測評中，信息安全知識和技能屬于“冰山以上部分”，其特征容易觀察與測量，且較易通過教育來改變和發展；信息安全意識和倫理屬于“冰山以下部分”，是人內在的、難以測量的部分，不太容易通過外界的影響而得到改變，但卻對人員的行為與表現起著關鍵性的作用。

1.2.3 測評方法

根據信息安全素養四類測評內容的不同表現特征，并考慮到計算機輔助測評實現的可能性，設計了精細化的分類測評方法。信息安全知識維度，采用選擇與判斷等通用客觀題型進行測量，主要考察被試者信息安全基本概念、原理和方法的掌握程度；信息安全技能維度，參考國家職稱計算機測評方式，為被測者提供模擬的計算機實驗環境，被試者需要根據測評任務完成相應的安全操作；信息安全意識維度，采用心理學領域成熟的李克特五點量表[12]進行測量，主要考察被試者對其信息安全意識高低水平的自我感知情況；信息安全倫理維度，參照執業醫師考試出題規范[13]，根據近年來發生的典型信息安全事件設計情境案例題，促進被試者認同并自覺遵守信息安全法規和網絡道德。

1.2.4 測評指標

信息安全素養的科學測評需要依據客觀有效的評價指標體系。筆者所在課題組采用過程-目標結構法和AHP層次分析法，通過咨詢16位領域專家，設計了包括4個一級指標，8個二級指標和18個三級指標的信息安全素養評價指標體系，已另文發表[14]，較為完整地反映了信息安全素養的核心要素以及評價要求。

2 信息安全素養測評系統的功能設計

為了有效提高信息安全素養測評的信息化和自動化程度，解決紙質測評閱卷工作量大、統計分析難的問題，依據測評指標體系，在教育測量理論的指導下，構建了由自主練習、在線測評、題庫管理、智能組卷、統計分析等13個功能模塊組成的信息安全素養在線測評系統。該系統采用B/S架構，邏輯上可劃分為前臺服務、后臺管理和系統設置三大業務功能區(見圖1)。

圖1 信息安全素養測評系統結構圖

2.1 前臺服務

2.1.1 注冊與登錄

系統提供自主注冊與批量導入兩種用戶開通方式。為了確保用戶信息的真實性和系統的安全性，用戶自主注冊時需要提供用戶名、密碼、真實姓名、身份證號等信息，批量導入時系統則提供規則Excel模板以滿足集中開戶的應用需求。注冊成功后，系統支持用戶名、手機號與身份證號三種登錄認證方式。

2.1.2 自主練習

自主練習模塊提供在線信息安全知識考學環境，被試者可以根據指標項、知識點、難度系數等查找相應的試題進行練習。每道試題有三次作答機會，若仍未答對，系統將提示正確答案和解析，并自動生成錯題集以便被試者復習使用。

2.1.3 在線測評

在線測評是系統的核心功能模塊，系統首先會呈現測評指導語，幫助其了解測評目的、方法和注意事項，然后進入測試環節(見圖2)。系統支持一個頁面一道題、一個頁面一類試題、一個頁面顯示所有試題三種測評環境，并通過不同顏色對被試者未作答、已作答、已標記、已瀏覽的題目進行分類標識。被試者完成題目作答后進行在線交卷，系統檢查是否存在漏題，若有會進行提示，反之交卷成功。信息安全四個維度的測評試題綜合排序，根據指標體系的設置及權重分類計算后生成素養總成績。

圖2 在線測評

2.2 后臺管理

2.2.1 題庫管理

題庫管理主要實現試題的增加、刪除、修改、查詢與(批量)導入/導出管理。系統依據信息安全素養評價指標體系建立多層級題庫目錄樹。從題目類型上看，系統不僅支持選擇、判斷、簡單、論述等常見題型，還支持李克特五點量表、技能操作等專用題型；從媒體表現形式上看，系統不僅支持文字題，還支持圖片、音頻、視頻等多媒體試題。試題錄入時，除了題干、選項、答案、分值等基本信息外，還需標注知識點、難度、區分度、教學要求等教育統計學屬性值，為精細化統計分析提供依據。

2.2.2 智能組卷

為了有效實現被試者信息安全意識、知識、技能和倫理四個維度的綜合測量，組卷過程中系統根據指標體系進行嚴格認證，只有當18個三級指標下均有對應題目時組卷方能成功，否則提示重組。該模塊支持三種組卷策略：

(1)隨機組卷，只需指定測評指標范圍、題目類型、題目數量便可自動生成試卷，同一次測評中被試者的試題及選項均不相同；

(2)條件組卷，可在隨機組卷的基礎上進一步增加質量控制因素，如試題難度系數、使用次數等優化生成試卷質量(見圖3)；

(3)手工組卷，允許教師自主選擇測評題目，能夠較好反映測評重點與關鍵指標項。

2.2.3 測評設置

測評設置模塊提供了豐富的個性化功能，以滿足大規模統一測評與各類自主測評的應用需求(見圖4)。針對測評時間，系統不僅支持測評有效時間段、答題開始時間、參考次數、倒計時功能的設定，還可以細粒度設定遲到時間以對考生進行約束；針對測評防舞弊，可以開啟測試監控設置，在測試過程中定時對考生進行拍照，確保測評的真實性與有效性；針對測評準備，系統支持預設測評指導語，以正確引導被試者客觀作答，減少主觀因素的干擾。

圖3 智能組卷

圖4 測評設置

2.2.4 成績管理

信息安全素養測評結果能夠為信息安全專項教育的科學開展提供參考，同時也可以作為信息安全專業人才選拔的依據。該測評系統遵循“分類測評，綜合計分”的成績生成原則，總分100分，及格線為60分。測評結果以評估報告的形式展示，包括被試者基本情況、測評時間、測評得分、評語與建議四部分(見圖5)。其中，系統將根據被試者在信息安全意識、知識、技能、倫理四個維度的得分情況分別給出評語，并根據試卷錯題自動提取對應知識點生成個性化學習建議，如您應進一步加強安全密碼設置、智能手機安全防護、防竊聽管理方面的知識學習，充分發揮測評對學習的診斷與導向作用。

圖5 信息安全素養測評報告

2.2.5 統計分析

(1)試卷質量分析。

試卷質量分析主要實現試卷質量的評估。系統采用經典測量理論的相關計算公式，提供平均分、標準差、優良率、試卷信度、試卷難度等指標的自動化分析和分數統計。

其中，試卷信度是指測驗結果的可靠程度，值在(0，1)之間，通用判斷標準為小于0.7將無法使用。系統采用克朗巴赫算法，公式如下[15]:

(1)

試卷難度是指一份試卷的總體難易程度，系統采用的計算公式如下[16]：

(2)

其中：W是試卷滿分值；pi與wi分別為第i道試題的難度和滿分值；n是試題總數。

(2)試題質量分析。

試題質量分析既可以實現單一試題的被抽次數、難度、區分度和正確率的分析，也可以對全部試題的題型分布、認知層次分布、使用次數分布進行分析，以便掌握試題的整體質量與使用情況，為進一步優化試題提供依據。

(3)信息安全素養群體分析。

信息安全素養群體分析可根據單位、年級、專業、性別等條件進行特定群體的篩選(如第四軍醫大學2014級臨床醫學專業學生)，并指定一個測評試卷進行分析，從而實現特定人群的總體平均分、方差、優秀率、及格率、試題正確率的統計分析。

(4)信息安全素養發展分析。

信息安全素養發展分析首先根據約束條件進行群體篩選，然后指定培養周期，系統自動給出多次測評結果，生成素養發展曲線，為管理人員跟蹤觀察信息安全教育培養過程中學員的素養水平變化提供客觀依據。

(5)被試者分析。

為了進一步研究信息安全素養水平與被試者自身因素之間的關系，系統根據測評得分設定不及格、及格、良好、優秀4等級，可根據性別、年齡、專業、學歷等篩選條件查看被試者的詳細分布情況，以便進行針對性的指導和教育。

2.3 系統設置

系統設置主要實現以下五種功能：

(1)用戶管理。系統支持用戶信息的新建、查詢、修改、刪除、分組與統計。

(2)權限管理。系統默認設置管理員、教師、學生、被試者四類角色，不同的角色分配不同的功能權限和數據權限。

(3)公告管理。教師和管理員可以發布測評公告、學習資源和測評報告等信息，支持公開發布與私人信件兩種信息發布方式。

(4)初始設置。主要完成題型定義、考生IP范圍設定、固定選項初始化等任務。

(5)日志管理。提供可視化系統日志查詢與展示，以便管理員快速定位異常問題，提高運維效率。

3 信息安全素養測評系統的實現

為了有效實現信息安全素養測評系統的設計思想，第四軍醫大學與北京眾恒志信科技開發有限公司合作完成了系統開發和部署。

3.1 系統部署方案

信息安全素養測評系統采用J2EE環境開發，部署方式為Apache+Tomcat+MySQL。為了解決大規模并發情況下單機的性能瓶頸問題，系統部署時采用了應用服務器集群模式實現負載均衡(見圖6)。系統支持本機集群和多機集群，可以將一臺機子上部署的多個系統分組組成本機集群，也可以將多個服務器上的系統組成多機集群，當其中一臺節點應用服務器出現故障時，后續連接自動轉移到正常服務器。

圖6 信息安全素養測評系統部署方案

3.2 系統安全防護

3.2.1 系統安全

信息安全素養測評系統本身的安全性和健壯性，是承擔大規模在線測評的必備因素。系統從以下五個方面實現安全防護：

(1)對系統管理員采取密碼+加密狗的認證方式，確保證書不可復制，保證系統管理員最高權限的唯一性，并且通過IP限制將管理員登錄地點限制于可控范圍內。

(2)通過系統日志記錄操作明細，實現對操作過程的實時跟蹤。

(3)用戶管理上采用身份驗證與權限劃分，嚴格限定各類用戶的權限范圍。

(4)當操作進程發生異常時，數據自動回滾，增強系統的健壯性。

(5)采取雙服務器模式進行容災備份，并對數據庫進行定期備份。

3.2.2 考試安全

系統從以下三個方面保障考試安全：

(1)測試界面打開時，系統采用Ajax隊列請求、sprites分批加載技術，將整張試卷分割成若干部分，每個用戶按照不同的隨機事件參數定時加載，保證考生迅速打開試卷。

(2)試卷提交時，采用定時與分布式提交機制，將考試的實時作答信息提交至服務器。

(3)提供導出考生答卷功能，將考試作答信息進行紙質存檔。

4 結束語

安全高效的應用信息技術是信息時代對人才綜合素質的必然要求，也是我國網絡強國戰略的重要內容。國內信息安全教育的實踐剛剛起步，尚未形成系統完善的評價體系。文中以教育測量理論為指導，從自動化測評的角度入手，嘗試開展了信息安全素養測評系統的功能設計和分析機制探討，并結合第四軍醫大學的實踐，給出了系統的實施與部署方案，為實現信息安全素養的科學測量提供新的思路和工具。

[1] 中國互聯網絡信息中心.第35次中國互聯網絡發展狀況統計報告[R].北京:中國互聯網絡信息中心,2015:21-22.

[2] 習近平.沒有網絡安全就沒有國家安全[EB/OL].[2015-06-25].http://www.gov.cn/ldhd/2014-02/27/content_2625036.htm.

[3] National cyber security awareness month champion[EB/OL].[2015-09-29].https://www.staysafeonline.org/ncsam/champions.

[4] Information security awareness meter[EB/OL].[2015-09-18].http://www.conscio-technologies.com/ index.php?option=com_content&view=article&id=134&Itemid=185&lang=en.

[5] Qasem B G H.Information security awareness level framework to assess bank employees:Maybank Taman University case study[D].Singapore:University of Technology Malaysia,2012.

[6] ABC assessment model[EB/OL].[2015-10-20].http://study.com/academy/lesson/the-abc-model-of-attitudes-affect-behavior-cognition.html.

[7] 羅 力.國民信息安全素養評價指標體系構建研究[J].重慶大學學報:社會科學版,2012,18(3):81-86.

[8] 高東懷,蔡 華,董李鵬,等.學生網絡信息安全素養評價量表設計[J].中國醫學教育技術,2013,27(2):173-177.

[9] 董李鵬.本科學員信息安全保密素養測評研究[D].西安:西北大學,2013.

[10] 沈霞娟，高東懷，許 浩，等.大學生信息安全素質教育探索[J].信息安全與通信保密,2014(3):54-55.

[11] 江勝名,潘植華,張 翔.素質冰山模型對中小企業人力資源管理的啟示[J].長春大學學報，2012,22(11):1317-1319.

[12] 劉國慶,趙守盈.Rasch模型在李克特量表中的應用[J].貴州師范大學學報：自然科學版,2012,30(1):13-16.

[13] 穆攀偉，肖海鵬，王淑珍，等.與國家執業醫師考試接軌的畢業考試實施與體會[J].中國高等醫學教育,2013(8):73-74.

[14] 蔡 華,高東懷,董李鵬.基于AHP的學員信息安全素養評價研究[J].信息技術,2013(1):188-192.

[15] 劉新平.教育統計與測評導論[M].北京:科學出版社,2008:192-206.

Design and Implementation of Information Security Literacy Evaluation System

SHEN Xia-juan1,GAO Dong-huai1,GUO Jia2,NING Yu-wen1

(1.Network Center,Fourth Military Medical University,Xi’an 710032,China； 2.Contemporary Educational Technology Center，Northwest University，Xi’an 710069，China)

In order to enhance people’s information security awareness and effectively measure people’s Information Security Literacy (ILS)，an online ILS evaluation system is designed and developed.Firstly,an ILS evaluation standard system including evaluation target,content,method and index is elaborated.Then,an construction model for ILS evaluation system is proposed.The main functions of the system，such as test database management,intelligent evaluation paper building,online evaluation,score management,statistics & analysis,are described in detail.Lastly,the implementation plan and necessary safety measures are carried out by taking the Fourth Military Medical University as an example.The results show that the system can measure the literacy level of information security awareness,knowledge,skills and ethics.The system can meet the needs of information security special education and talents selection.

information security;literacy;evaluation system;evaluation standard

2015-07-22

2015-10-26

時間：2016-03-22

中國高等教育學會信息化科研項目(2014XXH1201YB)：陜西省教育信息化科研項目(13JX03)

沈霞娟(1982-)，女，講師，碩士，研究方向為信息技術與安全管理；高東懷，教授，碩士，研究方向為教育信息化建設。

http://www.cnki.net/kcms/detail/61.1450.TP.20160322.1522.096.html

TP319

A

1673-629X(2016)04-0090-06

10.3969/j.issn.1673-629X.2016.04.020