大学生信息安全通识教育探析
2018-06-02张磊于莉莉王斌刘义
张磊 于莉莉 王斌 刘义
摘要:当前大学生在受到信息安全威胁时表现的极为脆弱,并易导致极为严重的后果。针对当前信息安全通识教育的现状以及信息安全教育存在的问题,进行了针对社会工程学以及信息安全教育体系两个方面的探析,并提出对应的观点和策略。以此,提高大学生信息安全素质为信息安全通识教育提供尝试和借鉴。
关键词:信息安全;通识教育;社会工程学;教育体系
中图分类号:TP391.7 文献标识码:A 文章编号:1009-3044(2018)10-0169-02
Abstract: At present, college students are extremely vulnerable to the threat of information security, and lead to extremely serious consequences. In view of the current condition of information security liberal education as well as problems of information security education, two aspects such as social engineering and information security system are analyzed. Then this paper puts forward the corresponding ideas and strategies. In this way, the information security quality of college students is provided and provide information security through education.
Key words: information security; liberal education; Social Engineering; education system
随着智能手机、平板电脑的普及,人们逐步进入到网络信息时代,信息网络化逐渐成为当前信息社会的代名词。大量的个人以及商业信息通过网络伸入社会的各个角落,成为当今文化传播的一个重要手段。但是,随着更多的个人信息被网络化之后,网络信息的真实性以及个人信息泄露造成的隐私威胁逐渐被人民所重视[1]。2016年的魏则西事件以及同年的徐玉玉事件为网络信息安全,尤其是大学生信息安全敲响了警钟。
作为信息化、立体化社会治安防控体系的一个重要组成部分,网络信息安全成为当前社会普遍认识并逐渐重视起来的一个新的方向。国家于2014年专门成立了空间网络安全一级学科,并在2016年12月发布了《国家网络空间安全战略》,这标志着信息安全已经成为国家战略级的重要发展标准。尽管当前信息安全问题极为突出,同时得到了几乎全社会的极大关注,信息安全教育,尤其是大学生信息安全通识教育仍缺乏进行深入的、系统的研究[2,3]。并且未充分发挥高校信息安全教育所应具有的教学效果。仅2016年就发生多起轰动社会的大学生因网络安全问题遭受危害的事件[4]。针对目前大学生信息安全通识教育尚未解决且未能有效提高大学生整体信息安全素质的问题,本文从社会工程学信息安全威胁以及大学生信息安全素质提升两个主要方面入手,初步探析如何建立信息化、立体化的社会治安防控体系,为大学生信息安全通识教育提供切实可行的理论依据。同时通过对大学生信息安全问题的探析,提高大学生信息安全素质,降低因信息安全问题造成的大学生人身安全问题。
2 信息安全通识教育所面对的问题
大学生信息安全通识教育是以大学生这一特殊群体在信息安全问题的处理上为基础进行相关研究的[5,6]。作为刚刚迈出中学大门,从父母的关心下走入半个社会的大学校园的大学生们。一方面,他们具有走出家门能够独立生活的自豪感和恐惧感,他们摆脱了父母约束具有独立处理个人经济生活的经济支配权利;另一方面,他们又具有较高的文化知识水平和新鲜事物接受能力,能够很好地使用信息化工具获得大量的网络信息。这两种特性造成了大学生成为了网络安全问题的首要受害者[7]。另外,当前的大学生的网络安全教育工作主要是由学校教学辅导员来完成的,因为学科和知识层次的差异,辅导员很难将信息安全专业方面的知识传授给当前的大学生。同时,学校开设的计算机类信息化教育所提及的信息安全问题又多是对计算机病毒、木马等传统信息安全威胁的防范措施,很少会涉及更多关于社会工程学防范问题以及信息安全具体知识方面的知识传授。
因此,信息安全通识教育应主要面向两个方面的信息安全威胁展开教育:社会工程学防范知识传授和信息安全教育体系的构建。
3社会工程学防范知识传授
社会工程学(Social Engineering,又被翻译为:社交工程学)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定義是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学(简称公安社工学)和网络社会工程学[8]。社会工程学是臭名昭著的黑客米特尼克悔改后在《欺骗的艺术》中所提出,但其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。但在我国黑客集体中还在不断使用其手段欺骗无知网民制造违法行为,社会影响恶劣,一直受到公安机关的严厉打击。
比较典型的社会工程学信息安全攻击案例可以用下面的一个真实案例加以说明。在2005年左右,大学生经常会接到连续的无法接起来的电话,部分大学生在不堪骚扰的情况下关闭了手机,而社会工程学的攻击者则给这些学生的父母打去电话,并让其父母拨打他们的电话已验证其所说的欺骗他们父母谎话的真伪,当这些大学生再次打开手机的时候,他们收到的是父母打来询问身体怎么样是否脱离危险并且已经给他汇去大量现金的电话。这种骗术在很短的时间里蔓延了很多城市,很多大学生及其父母遭受了大量的经济损失。
针对这样的问题,我们首先应该在日常的大学生计算机基础知识教学中,增加对社会工程学防范知识的教授,使得接受课程教育的大学生能够具备对自身信息的防范意识,不会在一些非安全的网站、移动终端上填报自身的真实信息。同时,能够针对社会工程学获取大学生背景知识信息的途径加以保护,降低攻击者获得学生基本身份信息的概率。其次,加强对大学生基本信息的管理教育,这方面的教育不仅包括大学生同样包括能够掌握大学生基本信息的有关部门,约束有关部门对大学生真实信息的发布频率,同时采用隐私保护策略降低攻击者对大学生真实信息的关联性。最后,通过信息安全教育在大学生中间建立社会工程学攻击防控体系,使得类似网络校园贷等新型的信息安全威胁能够被广大学生所识破,降低学生遭受信息基于社会工程学攻击的概率。
4信息安全教育体系
针对大学生的信息安全教育不再仅仅局限于当前大学生,正如前面我们所说的针对大学生基本信息的管理应该防范社会工程学一样,大学生的信息安全教育体系应该包括大学生、学生辅导员、计算机基础教学人员甚至是教学管理人员。这种体系应该是一个信息化、立体化的安全体系。因此,将信息安全教育体系分为三层,包括大学生信息安全通识教育、教育人员信息安全教育、管理人员信息安全教育。
大学生信息安全通识教育主要指教学辅导员以及专业计算机基础教师对大学生进行的信息安全教育,这种教育应在保障以往针对计算机安全知识和病毒、木马防范教育的基础上,增加对大学生个人隐私信息保护、网络信息的安全防范、社会工程学攻击的防护等多种信息安全知识的传授。因此,这一层需要网络信息安全教育人员具有一定的网络信息安全知识,能够通过网络信息安全事件推导出攻击者所采用的攻击方法,并针对已有的攻击范例推测出潜在的攻击行为,通过专门信息安全知识的讲授提高大学生信息安全防范的水平。
教育人员信息安全教育是指对大学生进行信息安全教育的直接教育人员,这些人员应首先了解或掌握信息安全教育的严峻性和真实性,具有一定的信息安全威胁防范能力。这些教育人员应该是被专门的信息安全研究人员(如:公安部门、高校信息安全培训部门)培训过并取得合格认证的相关人员。因此,在这一层上应该聘请或组织大量的信息安全讲座或培训,提高信息安全教育人员的素质,以便更好的解决大学生信息安全防范和信息安全威胁的处理问题。
最后,管理人员的信息安全教育。无法否认,当前很大一部分大学生的基础数据是通过管理人员的不经意处理方式造成的泄露。在社会工程学中有一个很经典的案例就是针对的管理人员的不经意处理。当一个攻击者熟悉某一管理部门的办事流程,那么课程会出现这样的情况。某一天,管理人员甲收到了一个电话,声称是另一个部门其不太熟悉的管理人员,他说是某一学生的专业导师,现在正在出差找不到该学生的联系方式,需要该管理人员帮着提供一下联系方式。正常情况下,作为同事且又不涉及机密信息,管理人员甲可能会很乐意的将该学生的联系方式发给这位“专业导师”,而这位“专业导师”可以用获得的学生电话号码完成很多攻击行为,例如上面我们所说的攻击方式。因此,管理人员同样需要加入的大学生信息安全的教育体系,从另一个层面增强大学生信息安全的保护能力,提高信息安全问题的防范意识,降低信息安全攻击所带来的迫害。
基于以上三层信息安全教育结构体系,我们可以很明确的建立信息化、立体化的大学生信息安全防控机制,并依据这种机制提高大学生的信息安全攻击防范能力,从根本上降低信息安全问题对当代大学生经济安全甚至是人身安全所带来的不利影响。同时,基于大学生信息安全通识教育体系结构的建立,也可增前与大学生相关如学生父母、大学生周边人群的信息安全防范意识,通过大学生的信息安全知识辐射的影响,逐步扩大信息安全防范范围,最终为建立以信息化为支撑,立体化社会治安防控体系提供有利的理论基础和实践检测。
5 结语
大学生作为社会活动的活跃因素,表现出不确定性和脆弱性两方面,这使得在遭受信息安全威胁的情况下,大学生这一群体所造成的伤害极为巨大。针对信息安全通识教育问题,本文在社会工程学和信息安全教育体系两方面提出了相应的信息安全通识教育方案。但是,由于威胁手段的层出不穷,信息安全通识教育仍需不断完善与发展。
参考文献:
[1]王静. 大学生网络信息安全教育探析[J]. 网络安全技术与应用, 2014(1):167-168.
[2]张艺璇, 张春柳, 周建芳. 大学生网络信息安全研究——以江苏省南京市为例[J]. 中国教育信息化, 2017(15):62-64.
[3]沈霞娟, 高東怀, 许浩,等. 大学生信息安全素质教育探索[J]. 信息安全与通信保密, 2014(3):54-55.
[4]吴卓茜, 张雪蕾, 刘志群. 高校大学生信息素养教育体系的构建——以西安工程大学为例[J]. 农业图书情报学刊, 2017, 29(8):132-136.
[5] 赵越. 高校大学生网络信息安全教育探索与实践[J]. 电脑知识与技术, 2014(24):5735-5736.
[6]杨建强, 姜洪溪, 赵永标. 案例驱动的大学生信息安全教育教学实践[J]. 计算机教育, 2015, No.242(14):93-97.
[7]曹健. 大学生信息安全教育现状[J]. 经营管理者, 2013(16):274-274.
[8]杨海东. 网络信息时代大学生安全教育所面临的挑战与对策[J]. 时代教育, 2017(7):107-108.