沈霞娟，宁玉文，高东怀

第四军医大学网络中心，西安710032

信息技术是一把双刃剑，在给大学生的学习、科研、生活提供极大便利的同时，也带来了各种信息安全隐患。面对日渐复杂的信息安全威胁以及连续出现的校园信息安全事件，如何有效提高大学生的信息安全意识和能力，已成为高校信息素养教育亟需解决的问题之一。然而，我国在信息安全教育方面起步较晚，许多高校尚未深刻理解大学生信息安全教育与高素质人才培养之间的关系，对信息安全教育的重要性认识不足，大学生的信息安全意识整体较低［1］。美国将信息安全作为保持经济和科技核心竞争力的关键影响因素，在信息安全教育的政策计划、教育实践、宣传推广、资源服务等方面开展了大量有意义的研究与实践探索。

1 美国信息安全教育的政策计划

1999年，美国制定了《国家信息安全战略框架》，明确提出了信息空间安全意识教育，启动了国家网络安全教育培训计划(NIETP)。通过在政府、学术界与企业界间建立合作关系，围绕国家信息基础设施保护，开展培训工作。2000年，美国发布了《信息系统保护国家计划》，启动了联邦计算机服务(FCS)项目、服务奖学金(SFS)项目、中小学拓广项目、联邦范围内的意识培养项目以及计算机公民项目以加强信息安全教育和培训［2］。2003年，美国国家标准技术研究院(NIST)发布了《信息技术安全意识和培训项目建设指南》，规范了信息技术安全意识和培训项目的设计、开发、应用和评价要求［3］。2009年，美国将10月定为国家网络安全意识月，面向家庭、学校、企业、政府等各类互联网用户开展大规模的信息安全意识宣传、教育和培训活动。

2 美国高校信息安全教育的培养模式

为了培养具有良好信息安全素养的数字公民，美国高校积极响应国家信息安全教育政策，多数院校已经在IT服务部门中设立了信息安全办公室，并通过开设课程、组织研讨、开发教学游戏等方式提升大学生的信息安全意识与能力。

2．1 开设信息安全培训课程

开设培训课程是目前美国高校进行信息安全教育最常用的方式。这些课程一般以短训课程为主，培训方式和培训要求具有较强的针对性。比如:斯坦福大学通过《计算机安全意识》在线课程对学生进行培训，重在使其掌握必备的信息安全基础知识和技能，并要熟悉大学的信息安全规章制度［4］;佛吉尼亚州立大学启动IT安全专项活动，并把信息安全教育作为一项系统工程来抓，要求学生、教工、职工每年只少参与一次IT安全培训，并取得课程结业证书，才能继续使用大学各类信息资源。

2．2 组织信息安全研讨会

组织研讨会是美国高校进行信息安全教育的另一种重要形式。如堪萨斯州立大学2008-2010年的信息安全会议主题涉及邮件安全、办公设备安全、信用卡安全、移动设备安全等方面。2011年该校开始将会议常规化，每月举办一次信息技术安全圆桌探讨会，由信息安全技术专家讲解相关的信息安全防护技术措施与管理要求［5］。

2．3 开展信息安全意识运动

开展信息安全意识专项运动是美国高校响应国家网络安全意识月政策的一种直接形式。例如:田纳西大学的信息安全意识运动，不但举办各类信息安全宣传活动，而且由信息安全办公室和新技术中心共同制作了病毒防护、密码设置、敏感数据存储、间谍软件、垃圾邮件、网络钓鱼、文件共享与版权等专题教学视频，对学生进行信息安全知识和技能进行专项培训［6］。

2．4 开发信息安全教育游戏

游戏教学是近年来备受关注的一种寓教于乐的教学模式，它能够充分调动学生的积极性，增强教学内容的趣味性和吸引力。卡内基梅隆大学充分发挥自身计算机专业的优势，开发了信息安全教育在线游戏，并以其科学的教学设计和精良的制作水准，获得本校师生和同行院校的认可。例如:该校开发的反钓鱼网络游戏Anti-Phishing Phil和Anti-Phishing Phyllis，教育用户如何辨认钓鱼网站，如何在浏览器中寻找网站暗示信息，如何通过搜索引擎找到合法网站，进而避免被黑客钓鱼［7］。

2．5 编制信息安全测验问卷

为了有效评估学生的信息安全能力水平，乔治梅森大学信息技术中心编制了信息技术安全测验问卷［8］。问卷重点考察学生对信息安全威胁的重视程度、常用信息安全技能的掌握状况以及对大学信息安全政策的了解程度。该问卷既是大学生进行信息安全能力自我评估的工具，同时也作为大学制定信息安全教育计划的重要依据。

此外，不少高校还综合利用上述方式开展信息安全教育，比较典型的是麻省理工学院。该校在课程培训方面，不但针对信息安全技能薄弱的用户提供了自主开发的《计算机安全意识基础课程》，而且引入了美国国立卫生研究院(NIH)的《信息安全与保密意识培训课程》，以及德克萨斯农工大学的培训课程;在学术活动方面，麻省理工学院积极响应国家网络安全意识月活动和高等教育信息化协会［EDUCAUSE:由高等院校系统交流组织(college and university systems exchange，CAUSE)与大学校际交流委员会(interuniversity communications council，EDUCOM)合并而成立］信息安全意识视频大赛，组织信息安全研讨会，编制信息安全常见问题集;教学游戏方面，则引入了卡内基梅隆大学的反钓鱼游戏以及美国联邦贸易委员会制作的OnGuard Online Games系列游戏［9］。

3 美国高校信息安全教育的宣传推广

良好的宣传推广能够使社会充分认识并认可信息安全教育的重要性，为教育实践活动的开展创设良好的舆论氛围。美国以高等教育信息化协会(EDUCAUSE)和国家网络安全联盟(national cyber security alliance，NCSA)为代表的组织机构通过开展专项比赛、启动专项活动、建立专题网站等形式加大信息安全教育的宣传推广。

3．1 高校教育信息化协会的专项比赛

EDUCAUSE是一个非营利组织，它和下一代互联网联合组建了高等教育信息安全委员会，其主要职能是积极发展和推动重要IT资产和基础设施保障方案的有效实践，进一步提升高等教育领域的信息安全与隐私保护。EDUCAUSE自2006年起举办高校信息安全意识海报与视频大赛，参赛作品不仅通过EDUCAUSE网站进行官方宣传，而且还在You Tube、Facebook和Twitter等主流网络媒体中同步发布，引起了美国高校的广泛关注和积极参与。

2006年首届美国年度高校信息安全意识视频大赛主要评选两类宣传计算机安全意识的作品，包括描述一系列安全话题的短片和专注于某个安全问题的专题片，组委会共收到17所高校的62部参赛作品。2007年第二届比赛中，引入了媒体的宣传优势—美国探索频道加入了承办方，组委会共收到来自24所高校的56部参赛作品。原定在2008年举行的第三届比赛因故推迟到2009年，新增了承办机构CyberWATCH，并增设了信息安全意识宣传海报的评选，比赛规模进一步扩大，共收到来自31所高校的87部参赛作品［10］。2011年举行的第四届比赛吸收查普曼大学作为承办方之一，这是高等学校首次成为信息安全海报与视频大赛的承办方，进一步凸显了信息安全教育“源于大学，用于大学”的比赛初衷。

3．2 国家网络安全联盟的专项活动

NCSA是一个公私合营的非盈利组织，主要负责执行互联网方面的公共教育和普及工作，帮助数字时代的公民安全地使用网络并保护他们所使用的网络。NCSA不仅是美国国家网络安全意识月的主要发启者和承办方之一，而且针对大学生开展了信息安全意识提升高等教育运动。该运动启动于2009年，目标是增加大学生的网络安全知识和防护技能。针对高校管理者，NCSA围绕“我能做什么”和“我该怎么做”两个方面提出了加强网络信息安全意识的建议;针对高校大学生，则进一步明确了3C要求，即网络信息安全(CyberSecurity)、网络人身安全(Cyber Safety)和网络伦理道德(CyberEthics)。全美高校积极响应此项活动，普渡大学、佛吉尼亚大学、达特茅斯学院、波士顿学院等八所高校被选定为合作伙伴院校。

4 美国高校信息安全教育的资源服务

美国信息安全教育的有效实施离不开丰富的教学资源。美国不少信息安全企业都专门设立了教育资源开发中心，提供各类教育资源服务。比如:SANS公司针对信息安全意识培训，不但开设了《信息安全导论》、《软件安全意识》、《计算机与网络安全意识》、《SANS安全概要》等收费课程，而且以信息安全阅览室的形式提供了海报、视频、报告、论文等丰富的免费资源［11］;而Native Intelligence，Inc．公司则提供了60 s的安全教育短片、7 min的微型课程以及15-45 min意识唤醒课程以及由近300幅图片构成的信息安全宣传海报库［12］。

从上述分析可知，我国高校要深入推进大学生信息安全教育，必须注意以下三个问题:首先，科学的政策支持是信息安全教育顺利开展的前提。从1999年的国家信息安全教育培训计划到2009年的国家信息安全意识月活动逐步勾勒出了美国在信息安全教育方面的政策脉络，表现出很强的层次性和衔接性，同时更表现出一种战略性。其次，和谐的多方联动是信息安全教育有效实施的保障。在美国，以EDUCAUSE和NCSA为代表的非营利性组织借助自身的机构优势加大信息安全教育的宣传，营造良好的教育氛围;信息安全企业利用自身的技术优势开发信息安全教育专项资源，提供优质的培训服务;高校则通过开展各类专项教育实践活动，落实信息安全意识培养任务。我国高校应充分借鉴其成功做法，充分发挥各类教育组织和信息安全企业的优势和力量，协力完成信息安全教育任务。最后，丰富的实践模式是信息安全教育深入推进的关键。我国高校应尽快将信息安全教育课程纳入大学生素质教育培养体系，采取以课程为主，竞赛、游戏、研讨等非正式学习形式为辅的多元培养方案，并用知行统一的标准检验信息安全教育的成效。

［1］肖红光，谭作文，周亚卉．论大学生信息安全意识教育［J］．当代教育理论与实践，2009，(9):29-31

［2］左晓栋，赵战生．美国《信息系统保护国家计划》简析［J］．中国金融电脑，2001，(4):4-7

［3］Wilson M，Hash J．Building an Information Technology Security Awareness and Training Program［R］．NIST Special Publication，2003:11-31

［4］Stanford University．Computer Security User Awareness Training［EB/OL］．http://www．stanford．edu/group/security/securecomputing/training/index．html，2011-02-25

［5］Kansas State University．IT Security Training［EB/OL］．http://www．k-state．edu/its/security/training，2011-03-20

［6］Tennessee University．Security Awareness Campaign［EB/OL］．http://security．tennessee．edu/training．shtml，2011-03-20

［7］Carnegie Mellon University．Anti-Phishing Phyllis［EB/OL］．http://www．cmu．edu/iso/aware/phyllis/index．html，2011-03-26

［8］George Mason University．Information Technology Security Quiz［EB/OL］．http://security．gmu．edu/quiz，2011-3-26

［9］MIT．Information Security Awareness and Education［EB/OL］．http://ist．mit．edu/security/awareness，2011-3-26

［10］蒋莉，杨培静．欧美国家如何培养网络安全意识［J］．中国教育网络，2008，(8):33-35

［11］SANS．Information Security Resources［EB/OL］．http://www．sans．org/information_security．php，2011-4-25

［12］Native Intelligence，Inc．Security Awareness Programs［EB/OL］．http://www．nativeintelligence．com/index．asp，2011-4-25