本文作者：楊建強 李學(xué)鋒 單位：襄樊學(xué)院數(shù)學(xué)與計算機科學(xué)學(xué)院

大學(xué)生信息安全教育存在的主要問題

對于大學(xué)生信息安全教育，目前國內(nèi)各大高校普遍存在如下問題[2]：對大學(xué)生信息安全教育認(rèn)識滯后.21世紀(jì)是信息的時代，為了適應(yīng)社會需求，各個高校紛紛開設(shè)計算機基礎(chǔ)課程及信息系統(tǒng)應(yīng)用相關(guān)課程，但各高校對目前的信息安全威脅及其可能造成的影響認(rèn)識嚴(yán)重不足，部分高校認(rèn)為信息安全教育可有可無，他們未能深刻理解大學(xué)生信息安全教育與高素質(zhì)人才培養(yǎng)的關(guān)系，對大學(xué)生信息安全教育認(rèn)識嚴(yán)重滯后.缺乏對大學(xué)生信息安全教育的重視.很少有高校將大學(xué)生的信息安全教育納入到大學(xué)生的培養(yǎng)體系和教學(xué)日程之中.盡管目前各高校普遍開設(shè)了計算機基礎(chǔ)課程，該課程中或多或少有一些信息安全的內(nèi)容，但其多半強調(diào)信息安全理論而缺少實用安全技能的介紹，因此對培養(yǎng)大學(xué)生信息安全意識及安全操作技能作用有限.大學(xué)生信息安全教育的方法不得當(dāng).首先，高校大學(xué)生信息安全教育缺乏規(guī)范化、制度化的管理.其次，信息安全教育措施及方法不得當(dāng)，教學(xué)內(nèi)容跟不上信息發(fā)展速度，引導(dǎo)性和實用性不強.最后，信息安全教育不夠系統(tǒng)和規(guī)范，在法律規(guī)范、道德倫理、技術(shù)保障、安全意識培養(yǎng)方面存在不足之處，沒有形成完整體系.

加強大學(xué)生信息安全教育的一些思考

針對上述問題，國內(nèi)一些學(xué)者紛紛提出自己的看法，給出了一些有益的建議.比如通過“六個統(tǒng)一”，即統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一計劃、統(tǒng)一內(nèi)容、統(tǒng)一時間、統(tǒng)一教師、統(tǒng)一考評，把大學(xué)生信息安全教育納入學(xué)校教學(xué)計劃，使其步入規(guī)范化、制度化的軌道；利用多種教育形式開展大學(xué)生信息安全教育；信息安全教育的基本內(nèi)容應(yīng)包括法律規(guī)范、倫理道德和防范技術(shù)等三個方面[2]；建立健全高校信息安全教育的運行機制，開設(shè)專門的信息安全教育課程[3]；把大學(xué)生信息安全教育納入到大學(xué)生素質(zhì)教育培養(yǎng)體系中，把信息安全教育作為每個大學(xué)生的必修課程等等[1].這些觀點或建議都很有道理，具有啟發(fā)性，不過其中許多觀點并不現(xiàn)實，比如開設(shè)專門的信息安全教育必修課程.當(dāng)前國內(nèi)各高校大學(xué)生要學(xué)習(xí)的課程已經(jīng)很多了，學(xué)生的學(xué)習(xí)負(fù)擔(dān)已經(jīng)很重了，如果專門針對信息安全教育單獨開設(shè)新的必修課程，顯然很難實現(xiàn).另外，雖然許多學(xué)者都提到了大學(xué)生信息安全教育的基本內(nèi)容，但國內(nèi)還沒有哪個學(xué)者給出較合理的、具體的內(nèi)容，尤其是信息安全技術(shù)方面的內(nèi)容.總之，目前我國大學(xué)生信息安全教育還處于探索階段.下面我們從教育內(nèi)容、教育途徑等方面談?wù)勛约旱囊恍┛捶?大學(xué)信息安全教育的基本內(nèi)容就教學(xué)內(nèi)容而言，大學(xué)生信息安全教育大致可分為信息安全基本知識及實用安全技術(shù)、法律規(guī)范和倫理道德三個部分[3].信息安全基本知識、實用安全技術(shù)教育.

信息安全基本知識包括密碼技術(shù)、數(shù)字簽名、身份驗證、訪問控制、防火墻、入侵檢測、災(zāi)難恢復(fù)、惡意軟件、網(wǎng)絡(luò)入侵等.實用安全技術(shù)包括上述理論知識的實際應(yīng)用，比如Windows系統(tǒng)中的加密文件系統(tǒng)EFS、NTFS權(quán)限設(shè)置、常用的安全策略設(shè)置、賬戶安全、系統(tǒng)還原/備份、安全中心，以及PGP加密、典型惡意軟件的防范技術(shù)、常見的網(wǎng)絡(luò)中的欺騙及防范措施等.對于基本知識部分只需講清楚基本概念及工作原理即可，不要涉及太深入的專業(yè)知識.這一部分是信息安全教育的重要內(nèi)容，它主要培養(yǎng)學(xué)生識別信息安全威脅、規(guī)避信息安全風(fēng)險的能力，以及提高學(xué)生基本的信息安全防護(hù)能力.計算機法律、法規(guī)基本知識教育.如同現(xiàn)實世界里一樣，在互聯(lián)網(wǎng)絡(luò)中也需要遵守法律法規(guī).我國的法律及有關(guān)互聯(lián)網(wǎng)的規(guī)定、條例為維護(hù)網(wǎng)絡(luò)安全提供了法律依據(jù)和保障.如《國家安全法》、《憲法》等法律對公民在有關(guān)信息活動中涉及國家安全的權(quán)利義務(wù)進(jìn)行了規(guī)范；《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等法律直接約束計算機安全和互聯(lián)網(wǎng)安全的行為；其他如《電子出版物管理暫行規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》等對信息內(nèi)容、信息安全技術(shù)及信息安全產(chǎn)品的授權(quán)審批作了相關(guān)規(guī)定；刑法修訂案補充了有關(guān)計算機犯罪的相關(guān)條款[4].教學(xué)中可以以這些法律、法規(guī)、條例為主要內(nèi)容對大學(xué)生進(jìn)行教育，增強其法律意識，使大學(xué)生明確計算機犯罪所要承擔(dān)的責(zé)任，明白什么可以做，什么不可以做，從而能夠自覺地遵守法律，矯正網(wǎng)上行為，同時學(xué)會用法律武器來維護(hù)自己的合法權(quán)益.網(wǎng)絡(luò)倫理道德教育.法律的強制和技術(shù)的屏障對于威脅網(wǎng)絡(luò)信息安全的行為總是有一定的局限性、滯后性，因此網(wǎng)絡(luò)倫理道德教育也是非常必要的，它可以為信息安全構(gòu)筑一道道德屏障.一些西方國家的高等學(xué)校已將“網(wǎng)絡(luò)道德教育”納入教育課程，如美國杜克大學(xué)就為學(xué)生開設(shè)了“倫理學(xué)和國際互聯(lián)網(wǎng)絡(luò)”的課程.

我國在這方面也已經(jīng)作了有益的嘗試，比如2001年由共青團(tuán)中央、教育部等聯(lián)合發(fā)布了《全國青少年網(wǎng)絡(luò)文明公約》，它標(biāo)志著我國青少年有了較為完備的網(wǎng)絡(luò)行為道德規(guī)范.大學(xué)生信息安全教育的途徑在計算機基礎(chǔ)課程中把信息安全作為重點內(nèi)容之一，并注重信息安全基本概念、基本理論知識的介紹.如前所述，單獨開設(shè)新的信息安全必修課程并不現(xiàn)實.不過，目前各個高校都開設(shè)了計算機基礎(chǔ)課程，該課程目前普遍增加了對信息安全知識的介紹.因此，借助計算機基礎(chǔ)教育來加強的信息安全教育就成了大學(xué)生信息安全教育的重要途徑.在目前許多高校的大學(xué)計算機基礎(chǔ)課程中，信息安全并不是重點內(nèi)容.要加強大學(xué)生的信息安全教育，就必須使大學(xué)計算機基礎(chǔ)課程中的信息安全部分成為課程的重點.其具體內(nèi)容包括三個方面，即信息安全基本知識教育，計算機法律、法規(guī)基本知識教育以及網(wǎng)絡(luò)倫理道德教育.對于信息安全基本知識部分，要注重信息安全基本概念、基本理論知識的介紹，包括密碼技術(shù)、數(shù)字簽名、身份驗證、訪問控制、防火墻、入侵檢測、災(zāi)難恢復(fù)、惡意軟件等.而對于計算機法律、法規(guī)基本知識教育以及網(wǎng)絡(luò)倫理道德教育，重點要讓學(xué)生明白在網(wǎng)絡(luò)上什么可以做，什么不可以做以及計算機犯罪的后果.這兩部分的內(nèi)容相對要少一些.開設(shè)全校性的信息安全選修課程，課程以實用安全技術(shù)為主，同時加強信息安全道德倫理和法律法規(guī)教育.大學(xué)生在計算機基礎(chǔ)課程中初步了解了信息安全基本知識之后，必需依靠實用的安全技術(shù)、具體的安全事例來加強對基本理論知識的理解和掌握，真正做到學(xué)以致用.事實上，也只有這樣信息安全選修課程才會受到大學(xué)生們的歡迎，從而提高大學(xué)生的信息安全意識，實現(xiàn)大學(xué)生信息安全教育的目的.信息安全選修課的內(nèi)容要側(cè)重于實用的安全技術(shù)，尤其當(dāng)前流行的技術(shù).比如Windows系統(tǒng)中賬戶安全、NTFS權(quán)限設(shè)置、EFS和磁盤加密、系統(tǒng)還原和備份、常用的安全策略設(shè)置、Internet內(nèi)容分級設(shè)置及安全級別設(shè)置，以及PGP加密軟件的使用、典型惡意軟件的防范技術(shù)、U盤病毒的手工清除、典型的網(wǎng)絡(luò)入侵技術(shù)、常見的網(wǎng)絡(luò)中的欺騙及防范措施等.在教學(xué)過程中，應(yīng)當(dāng)向?qū)W生分析和演示各類近期發(fā)生的信息安全威脅，講解和分析目前信息系統(tǒng)主要應(yīng)用領(lǐng)域面臨的各類信息安全陷阱以及各類典型的重大信息安全事件、計算機犯罪行為，促使他們吸取各類信息安全教訓(xùn)，使他們養(yǎng)成良好信息安全思維方式和日常操作習(xí)慣.