互联网安全论文:大学生互联网安全教学分析

互联网安全论文:大学生互联网安全教学分析

本文作者:杨建强 李学锋 单位:襄樊学院数学与计算机科学学院

大学生信息安全教育存在的主要问题

对于大学生信息安全教育,目前国内各大高校普遍存在如下问题[2]:对大学生信息安全教育认识滞后.21世纪是信息的时代,为了适应社会需求,各个高校纷纷开设计算机基础课程及信息系统应用相关课程,但各高校对目前的信息安全威胁及其可能造成的影响认识严重不足,部分高校认为信息安全教育可有可无,他们未能深刻理解大学生信息安全教育与高素质人才培养的关系,对大学生信息安全教育认识严重滞后.缺乏对大学生信息安全教育的重视.很少有高校将大学生的信息安全教育纳入到大学生的培养体系和教学日程之中.尽管目前各高校普遍开设了计算机基础课程,该课程中或多或少有一些信息安全的内容,但其多半强调信息安全理论而缺少实用安全技能的介绍,因此对培养大学生信息安全意识及安全操作技能作用有限.大学生信息安全教育的方法不得当.首先,高校大学生信息安全教育缺乏规范化、制度化的管理.其次,信息安全教育措施及方法不得当,教学内容跟不上信息发展速度,引导性和实用性不强.最后,信息安全教育不够系统和规范,在法律规范、道德伦理、技术保障、安全意识培养方面存在不足之处,没有形成完整体系.

加强大学生信息安全教育的一些思考

针对上述问题,国内一些学者纷纷提出自己的看法,给出了一些有益的建议.比如通过“六个统一”,即统一领导、统一计划、统一内容、统一时间、统一教师、统一考评,把大学生信息安全教育纳入学校教学计划,使其步入规范化、制度化的轨道;利用多种教育形式开展大学生信息安全教育;信息安全教育的基本内容应包括法律规范、伦理道德和防范技术等三个方面[2];建立健全高校信息安全教育的运行机制,开设专门的信息安全教育课程[3];把大学生信息安全教育纳入到大学生素质教育培养体系中,把信息安全教育作为每个大学生的必修课程等等[1].这些观点或建议都很有道理,具有启发性,不过其中许多观点并不现实,比如开设专门的信息安全教育必修课程.当前国内各高校大学生要学习的课程已经很多了,学生的学习负担已经很重了,如果专门针对信息安全教育单独开设新的必修课程,显然很难实现.另外,虽然许多学者都提到了大学生信息安全教育的基本内容,但国内还没有哪个学者给出较合理的、具体的内容,尤其是信息安全技术方面的内容.总之,目前我国大学生信息安全教育还处于探索阶段.下面我们从教育内容、教育途径等方面谈谈自己的一些看法.大学信息安全教育的基本内容就教学内容而言,大学生信息安全教育大致可分为信息安全基本知识及实用安全技术、法律规范和伦理道德三个部分[3].信息安全基本知识、实用安全技术教育.

信息安全基本知识包括密码技术、数字签名、身份验证、访问控制、防火墙、入侵检测、灾难恢复、恶意软件、网络入侵等.实用安全技术包括上述理论知识的实际应用,比如Windows系统中的加密文件系统EFS、NTFS权限设置、常用的安全策略设置、账户安全、系统还原/备份、安全中心,以及PGP加密、典型恶意软件的防范技术、常见的网络中的欺骗及防范措施等.对于基本知识部分只需讲清楚基本概念及工作原理即可,不要涉及太深入的专业知识.这一部分是信息安全教育的重要内容,它主要培养学生识别信息安全威胁、规避信息安全风险的能力,以及提高学生基本的信息安全防护能力.计算机法律、法规基本知识教育.如同现实世界里一样,在互联网络中也需要遵守法律法规.我国的法律及有关互联网的规定、条例为维护网络安全提供了法律依据和保障.如《国家安全法》、《宪法》等法律对公民在有关信息活动中涉及国家安全的权利义务进行了规范;《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等法律直接约束计算机安全和互联网安全的行为;其他如《电子出版物管理暂行规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》等对信息内容、信息安全技术及信息安全产品的授权审批作了相关规定;刑法修订案补充了有关计算机犯罪的相关条款[4].教学中可以以这些法律、法规、条例为主要内容对大学生进行教育,增强其法律意识,使大学生明确计算机犯罪所要承担的责任,明白什么可以做,什么不可以做,从而能够自觉地遵守法律,矫正网上行为,同时学会用法律武器来维护自己的合法权益.网络伦理道德教育.法律的强制和技术的屏障对于威胁网络信息安全的行为总是有一定的局限性、滞后性,因此网络伦理道德教育也是非常必要的,它可以为信息安全构筑一道道德屏障.一些西方国家的高等学校已将“网络道德教育”纳入教育课程,如美国杜克大学就为学生开设了“伦理学和国际互联网络”的课程.

我国在这方面也已经作了有益的尝试,比如2001年由共青团中央、教育部等联合了《全国青少年网络文明公约》,它标志着我国青少年有了较为完备的网络行为道德规范.大学生信息安全教育的途径在计算机基础课程中把信息安全作为重点内容之一,并注重信息安全基本概念、基本理论知识的介绍.如前所述,单独开设新的信息安全必修课程并不现实.不过,目前各个高校都开设了计算机基础课程,该课程目前普遍增加了对信息安全知识的介绍.因此,借助计算机基础教育来加强的信息安全教育就成了大学生信息安全教育的重要途径.在目前许多高校的大学计算机基础课程中,信息安全并不是重点内容.要加强大学生的信息安全教育,就必须使大学计算机基础课程中的信息安全部分成为课程的重点.其具体内容包括三个方面,即信息安全基本知识教育,计算机法律、法规基本知识教育以及网络伦理道德教育.对于信息安全基本知识部分,要注重信息安全基本概念、基本理论知识的介绍,包括密码技术、数字签名、身份验证、访问控制、防火墙、入侵检测、灾难恢复、恶意软件等.而对于计算机法律、法规基本知识教育以及网络伦理道德教育,重点要让学生明白在网络上什么可以做,什么不可以做以及计算机犯罪的后果.这两部分的内容相对要少一些.开设全校性的信息安全选修课程,课程以实用安全技术为主,同时加强信息安全道德伦理和法律法规教育.大学生在计算机基础课程中初步了解了信息安全基本知识之后,必需依靠实用的安全技术、具体的安全事例来加强对基本理论知识的理解和掌握,真正做到学以致用.事实上,也只有这样信息安全选修课程才会受到大学生们的欢迎,从而提高大学生的信息安全意识,实现大学生信息安全教育的目的.信息安全选修课的内容要侧重于实用的安全技术,尤其当前流行的技术.比如Windows系统中账户安全、NTFS权限设置、EFS和磁盘加密、系统还原和备份、常用的安全策略设置、Internet内容分级设置及安全级别设置,以及PGP加密软件的使用、典型恶意软件的防范技术、U盘病毒的手工清除、典型的网络入侵技术、常见的网络中的欺骗及防范措施等.在教学过程中,应当向学生分析和演示各类近期发生的信息安全威胁,讲解和分析目前信息系统主要应用领域面临的各类信息安全陷阱以及各类典型的重大信息安全事件、计算机犯罪行为,促使他们吸取各类信息安全教训,使他们养成良好信息安全思维方式和日常操作习惯.#p#分页标题#e#

在目前的思想政治课程中融入计算机法律法规、伦理道德的教学内容.比如在《法律基础》课程中增加相关的“信息安全法律法规”章节,在《大学生思想道德修养》课程中融入信息安全道德修养的教学内容[5].与信息安全选修课相比,这里可能比较缺少具体实例的演示.充分运用高校其他教育资源,积极开展信息安全意识教育.通过开展信息安全学术研讨会、信息安全知识竞赛、信息安全知识讲座等多样化的教育形式,促使大学生主动学习信息安全知识,提高他们的信息安全意识.通过校报、校园网络、广播、宣传栏等全方位的进行信息安全知识、计算机法律法规及网络伦理道德教育.在信息安全选修课中采用无教材的教学模式如果信息安全选修课以实用安全技术为主要教学内容,那么,采用无教材的教学模式更加符合计算机安全技术快速发展的特点.计算机技术日新月异,与之相应的信息安全技术也是如此.比如,随着操作系统体系结构的变化,传统的计算机病毒现在几乎消失了,而蠕虫、木马成了目前危害计算机安全的主角.现在人们经常谈到的病毒实际上是蠕虫、木马或者流氓软件,它们已经不是传统意义上的病毒,工作原理已有很大的不同.另外,新的危害网络安全的技术也出现了,比如网页钓鱼、跨站脚本攻击技术以及专门针对智能手机等移动设备的恶意软件和入侵技术.除了入侵方式和恶意软件在发生变化,防范网络入侵和恶意软件的安全技术也在不断更新.比如微软从Windows2000开始增加了EFS,以方便用户加密文件,保护个人隐私;从WindowsXP开始内置防火墙,以防范来自网络的入侵;从WindowsVista开始增加了用户账户控制UAC和BitLocker,前者用以防止恶意软件和间谍软件在未经许可的情况下在计算机上安装或对计算机进行更改,后者用于对整个驱动器加密(此项功能在最新的Windows7中又有新的改进).所以,在信息安全选修课中采用无教材的教学模式是恰当的.

当然,这里的“无教材教学”,并非真正不要教材,而是指教师在教学过程中遵循学科的原理,抓住课程的重点和难点,根据课程内容的难易程度和相关性,打破已有教材或讲义的原有次序,去掉陈旧的知识,增加最新的技术,突出知识的系统性、先进性和实用性[6].在教学中弱化传统教学手段,充分利用计算机网络、图书馆引导学生自己获取知识.对于信息安全选修课来说,系统性要求任课教师对信息安全的基本原理和安全机制非常熟悉,对课程内容了如指掌,在撇开教材的情况下,引导学生通过网络查找相关资料,促使他们对重点难点问题进行独立的思考和钻研,对重要的实践内容进行尝试和实验.先进性要求任课教师不断关注计算机及信息安全的前沿知识和最新发展动向,引导学生从网络资源中学习,不断吐故纳新.实用性,就是要理论联系实际,强调学以致用,提高学生的实际应用能力.在信息安全选修课中实施无教材教学的教学模式,应该把网络教学作为重要的教学手段,把网络教学和传统教学等同看待,有时甚至比传统教学更重要.要充分利用网络资源,吸取最新信息安全技术成果,充实教学内容.要有针对性地给出一些目前正在发生的网络安全事件,引导学生去探知真相,搞清楚事件中涉及的工作原理和机制,明确哪些行为触犯了法律,哪些行为不符合道德规范.定期或不定期地组织学生交流学习成果,把学生在学习中遇到的问题进行归纳,提出解决问题的方案,并引导学生自己解决.课程考核的时候,重点考核学生的综合分析能力和实际动手能力,不定考试范围,不考死记硬背的题目.在信息安全选修课中注重实际动手能力的培养信息安全教育绝不能仅仅局限于理论知识的传授,必须采取理论与实践相结合的方法,给学生提供实践的机会,使他们掌握实际动手解决问题的基本能力.信息安全选修课中有一些实践内容可以在学生个人机或计算机基础实验室里进行,但有些实践内容需要特定的软件或硬件配置,比如跨站脚本攻击和DDos网络入侵攻击,这是普通个人计算机和计算机基础实验室所不具备的.这部分实践内容需要专门的实验室,可以在计算机基础或计算机专业实验室的基础上,建立信息安全实验室.信息安全实验室应以网络环境为基础,对外连接因特网,内部设置几个相对独立的网络群,安装一些常见的信息安全系统和设备,根据普遍存在的网络和信息安全现象,组成模拟信息安全实验环境.

结语

互联网络正在改变着大学生的学习、生活和思维模式,影响着他们的世界观.加强信息安全教育,能够保证高校学生身心健康发展,能够最大限度地保证学生免受网上不良信息的侵害,避免学生本身违法犯罪的发生,为培养高素质人才提供保障.目前国内大学生信息安全教育还处于探索阶段,文章探讨了信息安全教育的内容、教育的途径以及教学模式等,为国内大学生信息安全教育提出了一些有益的建议.