案例驱动的大学生信息安全教育教学实践.doc

案例驱动的大学生信息安全教育教学实践 杨建强，姜洪溪，赵永标 （湖北文理学院数学与计算机科学学院，湖北襄阳441053） 摘要：基于前期的问卷调查结果，提出大学生信息安全教育的教学内容，说明教学案例和教学策略，介绍在新生计算机基础课程中进行教学实践的情况。 关键词：大学生；信息安全教育；案例驱动；教学实践 基金项目：湖北省教育科学规划研究项目（xxB202）；湖北省高等学校省级教学研究项目（xx370）。 第一作者简介：杨建强，男，副教授，研究方向为信息安全和无线网络技术，xfxy_yjq126.。 0引言 几年前，国内的一些学者已经对大学生信息安全教育提出了一些建议1-4。但是，受多种因素影响，大学生的信息安全教育问题并未引起大多数高校的重视。尽管如此，智能手机和计算机在大学生中的普及，却开始影响大学生对信息安全的认识。为了把握目前大学生的信息安全知识和安全意识情况，为大学生的信息安全教育提供参考，我们进行了问卷调查。结果表明，受电脑普及，特别是智能手机在学生中流行的影响，目前的大学生对信息安全知识有了一定的了解，具有一定的信息安全意识。不过，大学生的信息安全知识非常有限，缺乏系统性；他们的信息安全意识也不足以应付日益复杂的网络环境。调查结果还表明，大学生普遍非常重视信息安全教育，希望通过计算机基础课程学习信息安全知识，并建议采用案例驱动的教学方式5。基于调查结果，我们对信息安全的教学内容进行了总结和提炼，设计了教学案例和教学策略，并在部分班级计算机基础课程中进行了教学尝试。 1教学内容 大学生信息安全教育包括3个方面的内容：信息安全知识及防范技术；信息安全法律法规；信息安全伦理道德1-2,4,6。其中，第一部分是重点，第二、三部分也可以安排到法律基础、大学生思想道德修养等课程中5。信息安全内容非常庞杂，在计算机专业的信息安全课程中，通常需要30多个学时来完成理论课的教学。这意味着，要在计算机基础课程中嵌入信息安全教学内容，必须精简信息安全教学内容，压缩授课学时。所以，选择哪些信息安全知识作为教学内容就变得非常重要。我们认为，所选择的内容应该涵盖信息安全最基本的知识点，同时具有一定的系统性；学生学习后，能够对信息安全有一个系统的把握，掌握最基本的信息安全知识，提高信息安全意识，同时掌握实用信息安全防御技能。表1为知识单元及其对应的知识点。 2教学案例设计 根据前面给出的信息安全知识单元和知识点，可以设计出11个教学案例，其知识点的对应关系见表2。 案例1、2是与恶意软件有关的两个典型案例。案例3是经典密码案例。因为现代密码比较抽象，难以理解，借助经典密码有助于学生理解现代密码的有关概念。案例4、5应用非常广泛，是了解公钥密码技术非常好的案例。案例6比较常见，不过学生通常并不知道它的作用及背后的工作机制。案例7、8、9都是比较典型的安全事件，学生或多或少都了解一些。案例10中的工具是学生容易忽视，但却非常重要的安全工具。这些工具所涉及众多的信息安全知识也是学生需要了解或掌握的。案例11与学生日常使用的智能手机相关，有助于提高学生的安全防范技能。 另外，除了知识单元没有专门设计教学案例外，其他知识单元都有相应的教学案例。不过，知识单元实际上与大多数案例都有关系，其知识点可以放在其他案例中讲授。知识单元是对信息安全基本概念的介绍，受学时的限制，不建议设置教学案例。 3教学策略设计 总体上来说，信息安全的教学主要围绕表1的知识单元顺序进行。各知识单元的教学策略如下。 知识单元。以图例的方式简单描述信息安全事件的一些发展趋势，比如近几年恶意软件的发展趋势图、网络攻击变化趋势图等，然后给出信息安全的含义、目标、需求和意义。知识单元大约需要10分钟讲授完毕。 知识单元。引入案例1，因为很多学生都遇到过U盘病毒，所以教师可以指出U盘病毒是一种蠕虫病毒，然后给出蠕虫病毒的特征、危害。之后以一个感染了蠕虫病毒的U盘为例，演示手工清除U盘蠕虫病毒的过程，同时提醒学生防范U盘感染病毒的方法。对于案例2，以生活中发生的手机恶意软件（大多是木马程序）事件为例，比如“超级手机病毒”事件，手机扫描二维码中毒事件等。然后指出木马的特征，与蠕虫的区别。指出手机恶意软件传播的途径及危害。告知学生防范恶意软件的方法。比如，下载软件的时候注意是否可靠，别人的评价如何；为手机安装软件的时候，注意软件所请求的权限是否超出了它的功能；安装安全软件等。之后，指出传统病毒与蠕虫、木马的区别，并简单介绍其他类型的恶意软件及流氓/间谍软件。最后，提醒制作恶意软件是计算机犯罪行为，将要受到法律的制裁，并给出计算机犯罪的含义，以及相关法律法规的条文说明。这部分内容大约需要40分钟完成。 知识单元。首先说明加密的目的，然后给出密码学的一些基本概念，如明文、密文、密钥等。然后引入案例3，通过一个44阶的矩阵，演示整个“矩阵换位加密”过程，加密一个包含正好16个字符的明文。然后指出哪些是明文、密文和密钥。说明消息超过16个字符时的处理方法。然后指出“矩阵换位加密”中的密文字符仅仅是明文字符改变位置的结果，这叫置换；指出某些经典加密算法中的密文字符是不同于明文字符的另一类字符，这叫替代。之后，给出现代对称密码的基本原理，即现代对称加密算法本质上是置换和替代的多次重复。此时可以给出DES算法的框图，让学生进一步理解对称密码的基本原理。最后，指出目前广泛使用的对称加密算法3DES、AES等。这部分内容大约需要20分钟完成。 引入案例4，打开显示有下载软件的SHA1或MD5值的网页。提问学生是否知道SHA1或MD5的作用。然后指出SHA1或MD5是哈希算法，其作用是生成数据的指纹，可用来检测对原始数据的更改。接下来引入案例5，打开带有数字签名文件的属性对话框。比如QQ安装程序，查看数字签名的详细信息，指出数字签名的含义和作用，并说明QQ安装程序是经过腾讯公司签名的，如果显示“该数字签名正常”，则该程序是原始程序，否则被修改过，不要安装。接下来继续查看数字签名对应的数字证书，查看数字证书中的哈希算法（通常是SHA1）和签名算法（通常是SHA1RSA）。此时，就可以讲授公钥密码的一些概念了。和对称密码对比，指出公钥密码的特点。告诉学生RSA是流行的公钥密码算法。当学生记住这些概念之后，就可以指出数字证书的作用了：保证公钥的真实性。然后告诉学生证书对话框中的公钥。接着，进一步说明数字签名及验证签名的大致过程，并以QQ安装程序为例进行说明。到此，公钥密码、数字签名和数字证书的概念已经讲授完毕。建议进一步向学生说明，他们所看到的数字证书，实际上是由权威机构签名并颁发的，在证书路径上可以看到签名的权威机构，并让学生看一看计算机上已安装的“受信任的根证书颁发机构”列表。这部分内容大约需要30分钟完成。 知识单元。引入案例6，打开启用了安全连接的网页，比如中国银行的“个人客户网银登录”，提问学生该网页与普通网页有什么不同？然后，单击浏览器上的小锁，让学生看到“连接是加密的”字样；单击“查看证书”，告诉学生这个证书如果是被信任的，则说明所访问的网站是官方网站。接下来，打开铁路12306网站，单击“购票”，指出证书不被信任时电脑的表现。单击“继续浏览网站（不推荐）”，单击浏览器上方的“证书错误”，提醒学生注意显示的信息。进一步“查看证书”，解释不被信任的原因。接下来，说明如果所访问的网站的确是官方网站，如何让计算机信任它。根据需要，可以进一步说明“受信任的根证书颁发机构”的作用。到这里，就可以指出s与SSL的关系，以及SSL的作用了。之后，简单介绍一下SET的作用，并指出SSL和SET在应用上的主要区别。 引入案例7，如果有现成的钓鱼网站，直接打开它。如果没有，则找一个以往钓鱼网站的图片示例。比较真实网站和钓鱼网站的差别，指出钓鱼网站的危害性，并给出被钓鱼网站欺骗的实际案例。然后，指出识别和防范钓鱼网站的方法，比如通过网址识别、启用浏览器的假冒网站检测功能等。告诉学生不要轻信邮件、QQ、微信、微博等上面的链接，特别是要求给出敏感信息的链接。同时提醒这种网络欺诈行为也是一种计算机犯罪。案例6、7所涉及的知识点大约需要30分钟完成。 知识单元。引入案例8，给出典型的示例，比如xx年1月21日的国内大量网站无法访问这个事件。然后指出拒绝服务攻击的含义，并说明拒绝服务攻击只是网络攻击的一种形式。然后指出其他攻击形式，比如传播恶意软件、钓鱼网站、邮件欺骗、社会工程、网络窃听、网络扫描攻击等。给出网络攻击的目的、一般过程，以及防范技术和方法，比如防火墙及IDS。同时提醒学生，网络攻击也是一种犯罪行为。 引入案例9，指出从xx年年末开始，因特网用户资料不断遭到大规模泄露。打开与此相关的网络新闻报道，提问学生是否资料遭到泄漏。然后给出用户资料遭到泄漏的两种原因：用户资料库泄漏和撞库。告诉学生目前第一种情况越来越少，更多的是第二种情况。提醒学生不要在不同的网站上使用同样的账号和密码，特别是密码，否则会遭遇撞库攻击而影响到其他账户的安全。另外密码不能太简单，不要用生日、电话、QQ号码、亲朋好友宠物的名字等作为密码。案例8、9所涉及的内容大约需要30分钟完成。 知识单元。引入案例10，首先说明Windows系统已经提供了许多保障系统安全的工具。然后逐个演示Windows系统更新、Windows防火墙、WindowsDefender、MRT和EFS的基本操作。同时说明系统更新的作用及漏洞的含义，说明防火墙的作用，说明WindowsDefender与MRT的作用和它们的区别，说明EFS与对称及公钥密码的关系，并指出使用EFS时需要注意的事项。接下来，演示Windows账户设置及访问权限设置，指出它们的含义、作用，通过创建新的账户，并设置某个文件夹或文件的NTFS访问权限，让学生切实感受到Windows账户和NTFS相结合的强大之处，促使学生理解并掌握相应的操作技能。这部分内容大约需要40分钟完成。 知识单元。引入案例11，给出典型的示例。比如在公共的Wi-Fi环境中对信用卡信息进行操作，导致信用卡里的钱款被盗的新闻事件，使用公共Wi-Fi导致手机感染病毒的新闻事件，指出示例中的计算机犯罪行为。然后指出公共Wi-Fi可能带来的两类威胁：个人敏感信息的泄漏，和伪装Wi-Fi攻击。给出防范措施：不登录邮箱、微博，不操作网银等。另外，移动设备Wi-Fi连接仅在需要时打开；开启安全软件的网络保护和隐私保护功能。然后，指出移动设备的其他安全威胁，比如恶意软件、设备丢失等。提醒学生除了采用前面第单元提到的安全措施，还应该经常备份手机中的重要数据，开启手机锁码功能。这部分内容大约需要20分钟完成。 知识单元。本知识单元的知识点已经分散到他知识单元的案例中了，不需要专门的教学说明。 至此，信息安全的全部知识点都已讲授完毕。可以简单地总结一下所讲授的主要内容，并再次给出信息安全的含义和目标，促进学生对它们的理解和掌握。 4教学实践及效果 在两个xx级新生班级的计算机基础课程中，按照上面的教学策略，我们进行了信息安全的教学尝试。时间安排在计算机网络部分结束之后的两周内，共3个下午，每次2学时，实际使用学时不到6个。 在计算机基础课程结束之后（三周后），我们再次使用原来的调查问卷对这两个班的学生进行了调查（回收问卷120份），并和上一次对xx级学生（当时也是新生）调查的结果进行了比较。见表3、表4、表5。顺便说一下，上一次的调查问卷是基于学生没有经过系统的信息安全学习而设计的，其中有不少题目选项并不适合本次调查，所以表3、表4、表5中的题目选项要比文献5中对应的表少一些。 很明显，和xx级学生相比，xx级学生对信息安全术语的了解比例大幅度提升。 结合上一次的调查结果及分析5，表4中xx级学生对A、B、C三项的选择比例基本上是一致的，说明他们的确比较了解加密等安全技术。选项D的选择也说明了这一点。 很明显，xx级学生比xx级的学生有更强的信息安全意识。总之，经过比较系统的学习，尽管只使用了不到6个学时，学生对信息安全的基本知识已经有了比较深入的了解，信息安全意识也得到显著的提高。 5结语 信息安全素养是大学生应该具备的素养，许多学者都曾经对大学生信息安全教育进行过探索1-4,6-7，但结果不尽如人意。为了找到解决大学生信息安全教育的有效方法，我们在xx年下半年对大学生进行了问卷调查。根据调查结果，我们对大学生信息安全的教学内容进行了提炼，并把它们融入到11个案例中。在xx级新生的计算机基础课程中，我们按照所设计的教学策略进行了教学实践。结果表明，在计算机基础课程中至多增加6个学时的课时，就可以基本上解决大学生的信息安全教育问题。我们的探索为大学生信息安全教育提供了一个有效的解决方案。 参考文献： 1付沙,肖叶枝.试论加强高校网络信息安全教育J.当代教育论坛:学科教育研究,xx(5):81-82. 2肖红光,谭作文,周亚卉.论大学生信息安全意识教