大學生移動信息安全素養現狀及教學模式研究

郭勁赤，熊澤泉，朱 涵，楊 莉，高 山（華東師范大學圖書館）

隨著5G等移動網絡技術的發展以及以智能手機為代表的移動終端的快速普及，用戶的網絡活動逐漸轉移至移動端，移動互聯網正深刻地改變著人們的生活、學習、娛樂的方式。大學生作為最主要的移動用戶群體，具有一定的信息素養知識，但在現有的高校信息素養教學體系中，信息安全素養課程開設較少，特別是鮮有針對移動互聯網環境下的信息安全素養類的課程。那么，在缺乏移動信息安全素養教育的背景下，大學生的移動信息安全意識和能力如何？大學生移動信息安全素養主要受哪些因素影響？如何進一步提高大學生的移動信息安全素養？為了探索這一系列問題，筆者對上海市高校的在校大學生展開了問卷調查，對大學生的移動信息素養進行全面分析，以期能夠在高校信息素養課程中更好地開展移動信息安全素養教學，全面提高移動互聯網環境下的大學生信息素養。

1 國內外研究現狀

1.1 移動信息安全素養的概念

信息安全素養的定義來源于信息素養的概念，是指在信息化條件下，人們對信息安全的認識，以及對信息安全所表現出來的各種綜合能力，包括信息安全意識、信息安全知識、信息安全能力、信息倫理道德等具體內容［1］。其中，信息安全意識、知識、倫理道德主要屬于認知層面，而信息安全能力則主要屬于行為層面。移動信息安全素養則是指在移動互聯網環境下的信息安全素養，主要涉及個人用戶通過智能手機等移動終端設備訪問遠程的應用服務過程中所表現的信息安全意識、信息安全知識、信息安全能力、信息倫理道德等。

1.2 移動信息安全素養影響因素的相關研究

大學生移動信息安全素養的相關研究并不多見。在常見的研究中，一類研究關注了個體外在因素對大學生移動信息安全素養的影響，如Barn等發現族裔群體、性別及個體的IT知識水平影響了學生使用智能手機訪問數據的安全風險管理的程度［2］；周鳳飛等發現性別、信息安全知識的專業程度對大學生使用智能手機的信息安全行為有影響［3］。另一類研究則關注了大學生移動信息安全意識與移動信息安全行為之間的關系，如Slusky等發現大學生信息安全素養的主要問題在于不知道如何在真實環境中運用相關信息安全知識，信息安全能力低于其信息安全意識，作者提出應在大學生課程設計時加入更多以情境為基礎的信息安全能力訓練［4］；Ngoqo等則建立了一個信息安全行為分析框架，對大學生的移動信息安全意識與安全行為的關聯性進行研究，發現移動信息安全意識對用戶的信息安全行為起正向調節作用［5］；張曉娟等發現智能手機用戶的隱私關注程度對其信息安全行為意向具有顯著的正向影響，信任和以往經驗對智能手機用戶的信息安全行為意向具有顯著的正向影響，但是感知風險對信息安全行為意向的影響不顯著［6］。

從已有研究成果來看，多數研究發現信息安全意識對信息安全行為的正向調節作用，同時也有研究注意到信息安全意識不一定轉化為與之相匹配的信息安全行為。如明明知道一些行為可能會導致個人信息泄露，但仍然會受到外部因素的影響，出現偏離理性選擇的行為，這類問題被稱為自我約束的選擇問題，在行為經濟學上稱之為“雙曲線折線模型”“現期偏好偏向”［7］。現有的關于大學生移動信息安全素養的研究并未對此問題進行深入研究，本研究將調查大學生移動信息安全素養現狀及影響因素，并分析信息安全意識及信息安全行為之間的關系。

1.3 福格行為模型

福格行為模型由斯坦福說服力科技實驗室主任、心理學家福格提出。福格行為模型認為，一個行為得以發生，行為者首先需要有進行此行為的動機和操作此行為的能力，如果行為者有充足的動機和能力來施行既定行為，他們就會在被誘導/觸發時進行［8］。本研究試圖利用福格行為模型對用戶在移動場景下的信息安全意識、能力、觸發條件進行分析，探索如何提升大學生的信息安全意識和信息安全能力。

2 基于福格行為模型的信息安全素養教學模式

本研究借鑒Bukelwa Ngoqo和Stephen V.Flowerday提出的信息安全行為分析框架，結合福格行為模型，初步構成大學生信息安全素養教學模式。模型一級指標包括觸發移動信息安全行為的事件、移動信息安全意識、移動信息安全能力。觸發移動信息安全行為的事件是指，個體能夠認識到移動環境下存在的隱私信息泄露、網絡故意破壞、濫用有害信息、危險的系統或漏洞升級等不安全的事件；移動信息安全意識主要包括個體在移動環境中具有保護自我隱私信息的意識，具備移動信息獲取安全性的意識；移動信息安全能力指個體掌握移動環境中信息來源、獲取過程、信息存儲、信息保護等相關的信息安全知識，具備設置高強度密碼、個人敏感信息合理存儲、鑒別不明信息來源、下載安全文件、了解并使用防病毒軟件工具等移動信息安全能力。通過教授學習者認知常見移動信息安全的不安全事件，強化移動信息安全意識，學習移動信息安全能力，解決遇到的實際移動信息安全問題，提升信息安全素養。

3 移動環境下大學生信息安全素養調查分析

3.1 問卷發放與收集

本研究調查問卷來源于國家社會科學基金項目“高校圖書館移動信息素養教育的實踐研究”中的移動信息素養調查問卷“移動端的信息安全”，除個人信息采用單選題外，其余均采用5級量表。問卷以上海市高校的在校學生為調查對象，借助問卷星網上平臺進行在線調查，共回收完整問卷2,693份。為了保證問卷的質量，將用時5分鐘及以下的問卷視為無效問卷剔除，共剔除無效問卷253份，保留有效問卷2,440份，有效率90.61%。調查問卷的內容包括移動端的信息安全意識、信息安全能力以及調查對象的個人信息，如性別、年齡、專業等。調查樣本由71.7%的女生與28.3%的男生組成；年齡分布跨度為15歲至35歲；在專業分布上，文科、理科、工科、商科、醫科、藝術類以及其他專業分別占比36.7%、17.7%、9.7%、16.6%、8.6%、7.8%、3.0%；本科生、碩士生、博士生、專科生分別占比51.4%、32.8%、2.5%、13.3%。

3.2 數據分析與處理

采用Excel對數據進行描述性統計，采用IBM SPSS Statistics 23對各因素之間的相關性進行Pearson相關性分析。對每一問卷中涉及信息安全意識的得分，進行加總代表該被調查對象的信息安全意識水平，同樣方法獲得該被調查對象的信息安全能力水平。

3.3 調查結果分析

3.3.1 常見的觸發移動信息安全行為的事件

由于移動端安裝App主要來源為應用商店，且大部分應用商店（如蘋果的AppStore）具有較為嚴格的審核機制，病毒軟件難以侵入個人移動終端。因此，在本次調查的大學生中，遇到移動端信息安全事件最少的為移動設備中毒（平均得分2.28），其次為網絡欺詐（平均得分2.40）。發生頻次最多的移動信息安全事件為賬戶密碼被盜（平均得分2.47），其中僅22.18%的受訪者從未遇到過賬戶密碼被盜事件，也即有77.82%的受訪用戶曾發生過賬戶密碼被盜事件。由于賬戶密碼被盜并不一定像其他安全事件一樣有明顯的特征被用戶所察覺，如不法分子盜取用戶密碼后，并不進行密碼更改、盜用賬戶發送信息等顯性攻擊行為，而是采取高級持續性威脅攻擊的方式竊取用戶數據，普通用戶無法察覺此類攻擊行為，因此實際發生的賬戶密碼被盜的比例可能要高于我們所調查獲得的數據。由此可見網絡欺詐等網絡故意破壞行為，以及密碼盜用行為是移動環境下需要重要防范的非安全事件。

3.3.2 移動信息安全意識

隱私是人們區分“公共領域”和“個人空間”的重要工具，對于是否能夠正確地判斷個人隱私是一個人信息安全意識的一個重要表征，隨著互聯網的發展和社交媒體網絡的興起，個人隱私泄露問題愈發嚴重。本次調查結果顯示，在對個人信息隱私程度進行判別時，多數大學生對涉及個人隱私的項目有較強的防范意識（平均得分3.77）。其中賬號、密碼、個人生物識別信息、身份證號碼或護照號碼等都是受訪者認為最重要的個人隱私（得分均值均超過4.30）；住址、個人照片或視頻、電話號碼、個人地理位置信息這四項得分也均超過4.00；只有頭像、昵稱或網名這兩項得分低于3.00（見圖1）。結果顯示，受訪大學生多數具有較高的信息安全意識。

圖1 受訪大學生對個人隱私的認同度

在回答是否愿意用隱私交換便捷或效率時，43.62%的大學生表示非常不愿意，21.19%的大學生表示比較不愿意，總體意愿得分為2.026，充分說明了大學生對個人隱私保護有較為強烈的意愿。此外有21.36%表示一般，7.69%表示比較愿意，6.14%的大學生表示非常愿意。由此可知，即使在面對便捷/效率的誘惑時，大學生也能清楚地認識到潛在的隱私風險。在個人隱私保護的實際行為中，受訪大學生卻出現了與較高的移動信息安全意識截然矛盾的表現。如在第三方登錄App、安裝App或關注公眾號時，總是允許隱私授權的用戶達到24.47%，經常允許隱私授權的用戶達到22.91%，有時允許隱私授權的用戶達33.14%，偶爾允許隱私授權的用戶達13.01，而從不進行隱私授權的用戶僅占6.46%。

移動信息安全意識和行為不一致的現象同樣發生在大學生對個人地理位置信息的處理上。雖然個人地理位置信息被多數受訪者認為是重要的個人隱私信息，但是在使用App的過程中，允許程序一直使用定位功能的用戶仍有較高的比例。其中42.47%的受訪者在使用地圖/導航App時，會一直使用定位功能，41.41%的受訪者在使用即時通信App時會選擇一直使用定位功能，而在使用相機功能App時，也有近1/3的受訪者會一直使用定位功能。至少有超過56.22%的受訪者，對所有要求使用定位功能的App都使用過定位功能，甚至對于網絡直播、網絡新聞這類App，都分別有45.99%和47.95%的大學生選擇App在“需要時使用”定位功能（見圖2）。

圖2 受訪大學生在不同APP中使用個人地理位置的頻率

可見，多數用戶雖然有著較強的信息安全意識和意愿，但是在實際情境中，其意識往往受到自我表露、便捷等因素的影響而偏離理性，作出放棄個人隱私保護的行為。因此在教學過程中要強化學習者的實際信息安全意識，不僅在意愿上認識到信息安全的重要性，更要學會考量隱私交換便捷等行為，做到真正意義上的高移動信息安全意識。

3.3.3 移動信息安全行為

從大學生移動端的個人信息安全保護行為來看，設置開機密碼、不透露驗證碼給別人、選擇可靠App、不輕易點擊不明鏈接這四項是最常用的措施（平均得分分別為4.27、4.26、4.15和4.12），同時也是較易于實施的措施（見圖3）。相對來說，三次密碼不對恢復出廠設置和定期修改密碼則是最少受訪者采用的保護措施。受訪者表示，三次密碼不對恢復出廠設置會帶來潛在的個人數據丟失風險，且手機恢復過程較為煩瑣；而定期修改密碼則會帶來忘記密碼的風險，修改密碼的過程也需要耗費一定時間。可見，是否需要承擔一定的風險以及操作是否便捷對大學生移動信息安全行為有一定的調節作用。

圖3 受訪大學生移動端個人信息安全保護措施得分

3.3.4 大學生移動信息安全素養影響因素

由于受訪大學生信息安全意識與信息安全行為的不一致，本研究進一步考察了不同因素與移動信息安全意識和移動信息安全行為的相關性，以期能夠找出提高大學生移動信息安全素養的著力點。在因素的選擇上，除了考慮性別、學歷、專業等傳統的影響因素外，還考慮了受訪者家鄉所在地（省會城市、地級市、縣、鄉鎮）以及受訪者接受信息素養教育階段長度、利用移動設備上網時長以及總上網時長。對于受訪者家鄉所在地的考察，目的是擬檢驗受訪者長期生活地區經濟、教育發達水平的差異是否對大學生移動信息安全素養的發展程度有影響；對于總上網時長和移動設備上網時長的考察，其目的是擬檢驗受訪者的互聯網經驗/移動互聯網經驗是否有利于移動信息安全素養的形成；對于受訪者接受信息素養教育階段累計時長的考察，目的是擬檢驗信息素養教育是否對大學生移動信息安全素養有正向調節作用。相關性分析結果如表1所示。

表1 受訪大學生移動信息安全素養與人口統計學變量的相關系數

從相關性分析結果來看，雖然性別對移動信息安全意識、移動信息安全行為均有顯著性影響，但相關性水平非常低。此外，家鄉所在行政區的不同、接受信息素養教育時間的長短雖然也與移動信息安全行為有顯著相關性，但相關性水平同樣非常低。因此，我們認為大學生的性別、學歷、專業、家鄉所在地、每天上網時長以及接受信息素養教育階段的累計時長均未對大學生的移動信息安全素養造成重要影響。

4 移動環境下大學生信息安全素養教育

4.1 移動環境下大學生信息安全素養的特點

（1）信息安全意識和信息安全行為不匹配。隨著移動互聯網的發展，移動信息安全問題已成為一個非常普遍的社會問題，并隨著移動信息技術逐步滲入大學生生活、學習的各個環節，個人信息安全的問題也愈發突出，已有文獻已經證明，我國大學生信息安全素養水平普遍較低［3,9］。本研究發現，大學生移動信息安全意識普遍較強，然而移動信息安全行為卻與之不匹配。這種“人們習慣公開表達其強烈的隱私關注，但是在實際使用網絡平臺時并沒有表現出十分強烈的隱私關注”的現象，被稱為“隱私悖論”［10］。隱私悖論可以從以下兩方面進行解釋：一方面，移動信息環境迫使用戶“隱私讓渡”。中國消費者協會2018年8月發布的《App個人信息泄露情況調查報告》結果顯示，個人信息泄露總體情況比較嚴重，遇到過個人信息泄露情況的人數占比為85.2%，手機App過度采集個人信息呈現普遍趨勢。此外，手機App需要獲取的權限種類繁多，最突出的是獲取位置信息和訪問聯系人權限，而且存在App自身功能使用非必要的情況下獲取用戶隱私權限，增加了個人信息泄露的風險［11］。由此可見，在當前移動信息環境下如果不選擇隱私讓渡，就意味著手機使用過程的不便利，隱私讓渡已經逐漸從自愿行為轉為不得不服從。另一方面，移動信息安全行為的“有限理性”［12］認為“行為主體打算做到理性，但現實中卻只能有限度地實現理性”［13］。Westin認為信息隱私是消費者控制個人信息獲取和應用的一種狀態［14］，這種現象主要取決于移動網絡環境的外在影響，我們只能幫助大學生認識到用戶在移動端獲取信息時是信息消費行為的主體，不能為了泄露隱私獲得的短期利益而主動披露信息隱私，那將會帶來長期負面效應。

（2）移動信息安全能力欠缺。本研究發現，大學生信息安全素養能力的普遍缺失、接受信息素養教育階段的累計時長并未對大學生的移動信息安全素養造成影響。與長期以來信息安全素養教育內容與形式的單一不無關系。目前我國的信息素養教育體系中缺乏對信息安全素養，特別是信息安全能力的重視。縱觀各高校的信息素養課程，內容主要涉及信息檢索基礎知識、數據庫使用方法、網絡資源及檢索工具，部分學校加入了論文寫作與投稿、文獻管理軟件、知識產權相關知識和工具書介紹等［15］。大學生的信息安全知識主要來源于媒體的宣傳、他人經歷分享等。由于這些宣傳內容缺乏系統性、專業性，也很少涉及在實際生活中如何動手解決信息安全問題的內容，造成大學生在遭遇信息安全事件時無法自行有效解決。高校在相關師資的引進方面也略顯不足，大多數高校并未配備信息安全相關專業的教師，因此也無法形成系統性、專業性的信息安全培訓課程體系。

4.2 如何培養大學生移動信息安全素養

（1）認知觸發事件。在教學過程中可以全面呈現常見信息不安全案例，包括網絡故意破壞、密碼盜用、危險升級、有意識的信息保證等多主題的真實案例。如，展示哪些行為可能會導致移動終端的個人信息泄露、哪些行為可能是網絡欺騙等，從而建立真實情境幫助大學生全面認知不安全事件，以便遇到真實的信息安全事件時能夠觸發相關安全意識，實施保護信息安全的行為。

（2）強化意識。要強化大學生的信息安全意識，包括不輕易在使用移動網絡過程中泄露個人隱私、不輕易隨意獲取網絡信息，使其充分了解個人隱私泄露、賬號被盜、點擊不明來源鏈接等信息安全事件所帶來的危害，從而強化其進行個人信息安全保護的動機。在這方面政府已經開展了一些工作，如國家將每年9月的第三周設為“國家網絡安全宣傳周”，通過大量的案例、視頻等內容對民眾進行信息安全的普及教育。而高校需要根據大學生的移動網絡使用習慣開展更有針對性的信息安全教育，以激發移動信息安全的防范和保護意識。

（3）學習能力。要培養大學生移動信息安全能力，能力的培養不限于移動信息安全知識的教育，還需要學習相關的信息安全檢查、識別和積極應對等實際操作能力。如學會利用系統工具或第三方軟件對個人終端進行安全狀態的檢查與修復、學會對個人賬戶的登錄狀態進行定期檢查從而發現異常登錄、學會設置方便自己記憶的強壯密碼、會識別釣魚網站等。2019年12月發布的《App違法違規收集使用個人信息行為認定方法》，為App開發者、運營者自查自糾以及網絡用戶社會監督提供了指引。基于該“認定辦法”，在移動信息安全素養教育中，需要讓大學生了解個人信息的違規收集使用有哪些情況，應該如何予以判斷，以及如何進一步積極應對，從而培養解決移動信息安全問題的能力。只有具備了這些能力并能在現實生活中靈活運用，在遭遇信息安全事件時才能夠迅速觸發安全問題的解決行為。