基于评估模型驱动的信息安全意识教学方案研究.docVIP

基于评估模型驱动的信息安全意识教学方案研究 孙夫雄 曹甜 吕锦 中南财经政法大学信息与安全工程学院 X 关注成功！ 加关注后您将方便地在 我的关注中得到本文献的被引频次变化的通知！ 新浪微博 腾讯微博 人人网 开心网 豆瓣网 网易微博 摘????要： 针对大学生信息安全意识教育问题, 在相关调研的基础上, 提出基于评估模型驱动的教学方案。以财经学校为背景, 具体阐述该教学方案实施的过程和方法 , 一方面体现“因材施教”的优点, 另一方面使教学过程具有动态循环和循序渐进的特点。 关键词： 信息安全意识; KAB模式; 评估模型; 作者简介：孙夫雄, 男, 副教授, 研究方向为信息安全, stxsfx@。 基金：中南财经政法大学研究生创新教育计划项目 (2016J1408) 0 引言 2016年3月举行的全国两会第四次会议将以网络安全为核心的网络强国战略作为“十三五”规划的重要组成部分。习近平总书记在中央网络安全和信息化领导小组第一次会议上提出, 网络安全是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。同年4月份, 习近平总书记再次对网络安全和信息化工作发表了重要讲话, 强调在当今世界, 信息化发展很快, 网络安全威胁和风险日益突出, 国家级、有组织的高强度网络攻击, 对每一个国家来说都是一个难题。 网络安全的维护不仅需要信息安全高等教育人才, 更需要具有较高素质和信息安全意识的全民参与和维护。大学生将在各个部门担任重要岗位, 接触大量的信息资源, 由于自身知识结构的局限性, 可能因为信息安全意识不高或缺乏自我保护意识的问题, 存在将国家或个人信息泄漏的风险, 因此建立针对非计算机专业大学生的信息安全意识培养和评估模式尤为重要。 1 相关研究 针对日益严重的信息安全威胁, 在信息安全人才与信息安全意识培养领域, 国内外学者进行了大量卓有成效的研究。武汉大学张焕国教授论述了当前互联网+新时代下信息安全人才培养体系的现状与挑战[1];学者罗力提出了一个国民信息安全素养评价指标体系[2];文献[3-4]从课堂教学的角度, 研究了信息安全风险评估和信息安全实践等方面的建设和改革;国外学者Gorbatov等研究了俄国高素质信息安全人才的培养方案[5];Waly在其博士论文中系统地研究了信息安全意识培训的目标、实施方案对组织信息安全的影响[6];Verine Etsebeth从诉讼成本论述了信息安全意识和培训的必要性, 建议管理层必须意识到信息安全是一个业务的推动力, 而不是一个商业的抑制剂[7];Marks A定量实证调查了435个高等教育机构, 发现仅有1/3的被调查教育机构为学生和工作人员安排了安全意识的培训, 并研究如何提高安全意识水平的模式[8]。 文献调研显示信息安全专业人才教育体系的改进和创新是当前国内外研究的焦点, 但缺乏针对非计算机专业大学生, 特别是人文社科类学生的信息安全意识培养体系。关于信息安全意识培养研究模式通常针对企事业单位的信息系统进行安全评估, 调查工作人员对信息安全问题的想法、认识和态度, 然后进行短期的安全意识培训[9], 该模式对组织信息安全保障的有效性及是否能提高员工信息安全意识的水平是存疑的[10]。 在校大学生接受新事物的程度高且可塑性较好, 系统地进行信息安全意识培养能达到更好的成效, 笔者针对非信息安全专业大学生的特点, 提出基于评估模型驱动的信息安全意识教学方案。 2 评估模型 2003年国际信息安全论坛 (ISF, 2003) 定义信息安全意识是组织成员对信息安全重要性、信息安全对组织影响程度、对信息安全的个人责任感和行为等方面的认知程度。信息安全意识虽是一个不可见的模糊概念, 但信息安全意识具有指向性, 从某种程度上, 信息安全知识决定了用户的安全态度, 用户的安全态度决定了用户的行为。 针对人员的信息安全意识调查和评估, 现在有越来越多的文献致力于将现有的行为模型应用到信息安全领域。这些行为模型包括计划行为理论、健康信念模型、保护动机理论以及知识—态度—行为理论 (KAB) 模型。这些模型最开始是从健康、犯罪学和环境心理学领域发展起来的[11]。笔者借鉴KAB模型来构建评估模型, 见图1。 图1 评估模型W ??下载原图 图1中评估模型W{A, K, I, M}定义如下: (1) A= (A1, A2, A3) =K×I×M, 代表信息安全意识等级高、中和低 (h, m, l) 。 (2) K= (K1, …, Ki, Kn) 代表知识结构, 大小为n×3, 对应各个知识点的理解等级分为高、中和低 (h, m, l) 。 (3) I= (I1, …, Ii, In) 代表态度结构, 大小为n×3, 对应各个安全问题所持态度等级分为高、中和低