蔡立炉,邓庆安,杨 刚
(1.安徽财贸职业学院,安徽 合肥 230601;2.温州大学 教师教育学院,浙江 温州 325035)
安徽省高职教师信息安全意识现状调查与策略研究*
蔡立炉1,邓庆安1,杨 刚2
(1.安徽财贸职业学院,安徽 合肥 230601;2.温州大学 教师教育学院,浙江 温州 325035)
高职院校教育信息化的发展十分迅速,各种信息化应用正改变着教师的教学、科研和思维方式。然而,信息化在给教师带来便利的同时,作为教育信息化重要基石的信息安全问题却不容乐观,“棱镜门”和教师被诈骗事件更是敲响了校园信息安全警钟。本文对安徽省高职院校部分教师信息安全意识进行了调查和统计,对结果进行了详细的分析,对在研究中发现的问题进行思考并提出了相应的建议。
高职教师;信息安全意识;教育信息化;师资培训
随着以网络技术为代表的信息技术在高等职业教育领域应用的日益广泛和深入,信息技术已渗透并服务于高职教育学校教学、科研、管理等领域,信息技术在为高职教师的教学、学习和生活提供了便利和快捷的同时,信息安全问题也随之而来,如试题泄密、文档丢失、校园信息系统瘫痪等等。信息安全问题不但给教育主管部门和学校造成了巨大的负面影响,也给教师造成了不可挽回的损失,甚至“直接关系到高等教育信息化的发展进程”。[1]因此,对高职教师信息安全状况做深入的调查研究,一方面是应学校之需,有助于提高教师的信息安全意识,提升高校教师的信息技术素养;另一方面由于教师的信息安全意识会潜移默化地影响学生,教师信息安全素养的提高也有助于培养学生“做一个有社会责任感、有道德感的信息技术使用者”。[2]
截至2017年6月,安徽省高职高专院校共76所,调查组在安徽省各地区选择了共65所高职高专作为调查单位,抽样高校包括国家示范、省级示范和一般高职院校,在所受调查的院校中,随机选取一定数量的授课教师进行调查。所涉教师的任教学科含理工、农林、医药、经济、艺术和体育,涵盖了安徽各高职院校所开设的全部专业类别,因此调查具有较好的代表性,具有一定的参考价值。
本研究主要采取问卷调查的方法,此外还采用教师访谈等多种研究方法。2015年9月-2017年3月调查组在安徽省各地区高职院校发放了问卷调查,并通过第三方调查网站进行了网络调查。2016年3月-2016年9月,对参加“国培计划”、安徽省教育厅高职高专院校骨干教师主干课程培训班和“双师素质”暑期培训班的部分学员进行了访谈。
本次调查包括以下几个方面的内容:①教师个人信息安全事件发生情况;②教师信息安全防范意识(终端安全、个人信息与密码保护意识、数据安全意识、上网安全意识、网银使用);③教师的信息安全培训情况。
本次调查发放问卷共5300份,回收5030份,其中有效问卷4817份。问卷分布如图1所示。填写问卷的教师高级职称占3.70%,中级职称占71.60%;从教师年龄上来看,其中50岁以上的教师占6%,中年教师占41%,青年教师占53%,男女比例约为3:2。
图1 问卷分布
计算机与信息网络技术的飞速发展为教师教育教学、科研和生活提供了极大便捷的同时,信息安全事件也随之日益显现。在被调查的教师中,曾遭遇过个人信息安全事件的师生所占比例(见图2)如下:教师遭遇过计算机文件丢失的占29.60%;教师个人信息资料被窃占8.20%;教师网上注册的账号被盗占12.10%;个人计算机系统瘫痪占32.90%;从未遭遇的占17.20%。
图2 教师电脑终端信息安全事件情况
在对教师使用智能手机、iPad等其他移动终端是否遇到过恶意插件、病毒攻击的情况进行调查时,结果(见图3)显示,59.70%的受访者终端遇到过病毒、木马、恶意插件的攻击,还有25.60%的受访者不确定自己的电脑是否受到过攻击,从来没遇到过的人数比例仅占19.60%。
图3 智能终端受到恶意插件、病毒、木马攻击情况
结合图2的调查数据表明,大多数教师在工作和生活过程中经历过信息安全事件,且造成了一定的损失,作为移动学习、移动支付的智能终端也遭受了攻击,但暴露出的安全性问题还不像计算机那么严重。
教师在教学、科研中要经常利用电脑等其他终端制作课件、查找资源、互动交流等。数据丢失与泄密,不但影响教师的工作和生活,甚至会产生灾难性后果,为此要求各学科教师具有良好的信息安全意识,只有把人的安全防范意识提升到一个相当高的地步,才能够从根本上降低信息安全的风险。[3]问卷针对教师终端安全意识、个人信息与密码保护意识、数据安全意识、上网安全意识四个方面来考察高职教师的信息安全意识。
(1)终端安全意识
终端密码设置:为电脑、智能手机及其他终端设密码是有效防止他人窃取数据、保护终端信息安全一项极为重要的措施。调查结果(见图4)显示,仅有18.30%的受访教师为自己的终端同时设了密码;还有54.40%的受访者为电脑终端设置了密码,但是对智能手机、iPad等其他终端未设置密码;6.50%的受访者电脑终端没密码,但其他终端设置了密码;18.10%的受访者的所有终端都没有设置密码。
图4 终端设置密码情况
终端的系统升级:漏洞指软件设计实现过程中被引入的、在数据访问或行为逻辑等方面的缺陷,它可能被攻击者利用从而使程序行为违背一定的安全策略。[4]漏洞如果不补,轻则耗尽系统资源,重则感染病毒和木马、造成隐私的泄露,甚至会产生经济上的损失!因此为保护终端安全,需要教师及时下载安装补丁并做更新。数据(见图5)表明有近11.70%的教师会定期升级更新,近41.30%的教师是想起来才去更新系统。高达47.05%的教师不知道如何做升级且不做升级。
图5 下载补丁及升级情况
终端安全软件:由于高校内部局域网开放共享的特点,使分布在各台主机中的重要信息资源处于一种高风险的状态,很容易受到来自系统内部和外部的非法访问。U盘文件无法正确读取、系统运行速度减慢、存储的容量异常减少、数据丢失等都是终端被病毒感染的表现。因此,安装杀毒、防火墙等安全软件并定期升级就显得尤为重要。
调查结果(见图6)显示,所有受访者中,35.2%的教师从没安装杀毒软件,在安装了杀毒软件的教师中,定期升级病毒库的占50.40%,从不升级病毒库的占35.70%,想起来才升级的占13.90%。也就是说,没有遵守安全杀毒规范的占受访教师的59.60%。
图6 杀毒软件升级更新
目前常用的移动终端包括智能手机、PDA、平板电脑等,随着定位服务、云服务等新功能的更加普及和移动学习的深入发展,威胁移动终端安全的病毒、攻击等事件也层出不穷,但从目前使用移动终端的安全软件情况来看,安装相关安全软件的教师仅占14.60%。因此如何营造一个绿色健康的移动终端环境并增加教师安全防范意识是值得重视的一个问题。
(2)个人信息与密码保护意识
当前,无论是使用微博,还是使用邮箱抑或是论坛都要求网民进行注册并提交个人相关信息和资料,如姓名、证件号码、联系方式等个人基本信息,有的网站还需要用户实名认证。在受访的教师中,65.30%的受访者曾经将自己的个人信息发布在网上,34.70%的受访者从未在网上公布过个人信息。
入网访问控制是保证网络资源不被非法使用、网络安全防范和保护的主要策略。它提供了防止对计算机进行未授权访问的第一道防线,因此遵循安全规则、正确运用密码策略就显得尤为重要。密码有强密码和弱密码之分,强密码长度至少为八个字符,应包含大写字母、小写字母、数字和键盘上的符号。密码越强,就越能保护计算机免受黑客和恶意软件的侵害。所有受访者中,92.10%的受访教师为电脑终端设置了密码,仅有7.90%的受访者不设密码。在设置密码的受访教师中,符合强密码条件的仅占7%。为涉及个人信息安全服务的邮箱、微博、网银账户、网络教学平台等设置不同的密码,是相对安全的习惯。调查结果(见图7)显示,受访者平时个人常用服务的密码设置,43%的受访者选择的是大部分相同或相似,少部分相同或相似的占24.80%,都不一样的占25.40%,完全一样的占6.80%。
图7 不同环境的密码设置
保护密码的另一个有效途径是定期更换密码,“更换密码的时间至少为90天一次”。[5]调查结果(见图8)显示,从不更换密码的教师为20.30%,3~6个月更换一次的教师占受访教师的53.50%,1~3个月更换一次的占18.60%,选择30天以内更换密码的教师仅有7.60%。
图8 密码更新情况
(3)数据安全意识
数据备份:数据备份是容灾的基础,作为一种数据安全策略,备份是数据保持高可用性的最后一道防线,也是避免数据丢失和保证数据安全的最基本也是最后的保障。[6]所有受访教师中,仅有16.40%的人会定期给电脑做备份,不做备份的比例达到了47%,不定期做备份的比例为36.60%。(见图9)
图9 数据备份情况
数据加密:通过对电脑和移动存储设备中敏感数据加密,能减少因存储介质失窃或丢失而造成的损失。调查结果显示,对敏感数据进行加密的仅有29.70%,高达71.30%的教师没有或者不知道对数据进行加密。
外借移动存储设备:教师在教学科研中,经常会出现向学生和其他人员外借移动硬盘、U盘等移动介质的现象,在移动存储盘外借时,比较安全的办法是,把重要的数据进行处理,收回移动存储介质时,要先养成杀毒的习惯,避免在这一过程中出现重要数据(如考试题)盗取和病毒的感染。调查结果(见图10)显示,从来不外借的教师占14.60%,67.50%的教师会在查看之后再外借,直接借出移动存储设备的占17.90%。
图10 外借移动存储设备
(4)上网安全意识
陌生邮件的处理:E-mail作为教师使用频率较高的通信工具,它的安全性如何将成为教师信息安全防护的一个重要因素。但当前的邮件系统大多采用简单邮件传输协议(SMTP),缺乏有效的安全保护机制,因此面临着“窃听、假冒和垃圾邮件等安全问题的困扰”。[7]良好的邮件处理习惯能在一定程度上降低这种风险,调查(见图11)表明,面对陌生邮件,不看并直接删除的受访教师占31.89%,查看后再删除或者举报的占64.32%,看并且保留或者回复的教师仅有3.79%。
图11 不明邮件的处理情况
邮件附件的处理:电子邮件附件非常方便和流行,这也使其成为了攻击者最常用的工具之一,在打开任何电子邮件附件之前比较安全的做法是首先进行病毒和木马扫描。调查结果(见图12)显示,当收到附件后,所有受访教师中先查杀病毒再查看的占57.20%,下载后直接打开附件的占38.30%,还有4.50%的教师选择直接删除附件。
图12 邮件附件的处理
即时通讯记录的防护意识:即时通讯软件如微信、QQ是互联网一个非常重要的应用,教师利用其和学生进行同步或异步交流,但随着聊天记录查看工具的流行,用户的聊天记录也存在被窃取的风险,如何才能保护自己通讯记录的信息安全同样需要高度关注。调查显示,61.20%的受访教师不知道聊天记录的保存位置;在知道聊天记录保存位置的教师中,仅有2.10%的教师知道如何给聊天记录加密。
二维码扫描与生成:随着移动互联网和智能手机的普及以及二维码产业的蓬勃发展,通过扫描二维码进行移动支付、获取信息广告推送、网站跳转的方式也越来越普及。但二维码也会被用于不良企图,成为病毒木马、钓鱼网站传播新渠道,由此引发信息篡改、信息泄露、病毒等安全问题。调查结果显示,受访教师中63.36%对街头及网上发布的不明来历的二维码不会直接扫描,保持较高的警惕性,15.21%的教师由于对二维码存在认知误区曾经扫描过来历不明的二维码。在被问及二维码扫描工具与生成器软件的下载时,有65.77%的教师选择在官网下载,还有35.23%的教师会选择手机论坛以及无安全检测的电子市场下载。
WiFi安全:WiFi(Wireless Fidelity)是当前应用最为广泛的WLAN(无线局域网)技术。WiFi的便捷性极大地方便了人们的生活,然而由于 WiFi在移动设备和传输媒介方面的特殊性,使一些攻击更容易实施。[8]因此,WiFi所面临的安全问题更多,安全威胁也更加严重。调查(见图13)表明,面对陌生的免费无密码的WiFi随意将终端设备接入的受访教师占48.16%,通过软件检测后再接入免密码的占27.29%,从不使用免费WiFi的仅仅占24.56%。
图13 WiFi的接入
网银安全:淘宝、京东、当当等网络商城的迅猛发展促使了在线支付的繁荣。网上银行以快捷方便高效逐渐受到人们的青睐,但是有一些不法分子通过假网站、木马(特洛伊)软件等盗取网银信息,造成网购用户的财产损失。加强网上银行用户的身份管理,防止用户身份的泄露,是当前公认的预防网上银行安全隐患的最有效措施。调查结果显示,在使用网银的受访的教师中,曾在办公室、图书馆等公共场所使用电脑操作网上银行的占41.80%。而使用网银时,因故暂离机器时,62%的受访教师会及时退出网上银行,并带走移动证书或动态口令卡等认证工具。
(1)教师对培训所持的态度
要使教师观念上接纳信息安全技术并具有一定的防范能力,培训是一个有效、快捷、省钱的方法。数据(见图 14)表明,绝大多数教师已经意识到培训的重要性。
图14 教师对信息安全培训所持的态度
(2)教师参加信息安全培训的情况
为提高教师的信息安全素养,部分高校也组织了教师参加各种培训。调查结果显示,40.40%的教师(多为高校中从事信息安全专业、计算机网络技术专业的教师)参加过信息安全培训,大多数教师参加了校本培训,只有很小一部分教师参加了省级培训,参加国家级培训的教师只占被调查教师总数的1.50%。
(3)教师对培训的期望
为了提高培训的绩效,问卷针对培训的内容、方式征求了教师的意见。培训内容主要分为安全意识培训、安全知识培训、安全技术培训。在培训内容方面,53.70%的教师认为应该在安全技术方面接受培训,27.40%的教师认为培训应提供更多的实际攻防案例,还有18.90%教师期望在理念和意识方面得到提高。
在培训授课方式方面,63.60%的教师更加倾向的培训方式是混合学习,16.60%的愿意采用传统课堂讲授的方式,期望提供网络教学方式的占19.80%。
数据分析的结果表明,安徽省高职教师在教育信息化的进程中,通过前期的培训,高职教师对电脑的使用有较强的基本技能,对硬件的保护有一定的意识,但对个人隐私的保护、垃圾邮件、虚假广告和不良信息的屏蔽意识还需要不断地提升与加强。根据前面的分析结果,对提高我省高职院校教师的信息安全意识提出几点建议:
将信息安全作为学校教育信息化建设的重要组成部分。学校领导要对本校信息的系统安全建设、制度管理提出要求,以此来推动学校信息化建设的进程。同时在信息安全技术人才的引进、培养与使用方面有所创新,在人员编制、福利待遇、职称评定等方面给予明确的政策支持。
信息安全是人、管理、技术的有机结合,其中人是根本,管理是关键,技术是保证。[9]高校应将信息安全知识和技能的教育培训纳入到教育技术培训课程中,并将相关的教学内容、课程实验与学校的信息安全工作联系起来,在实现有关内容教学目标的同时,也起到对学校信息安全的促进与保障作用。
灵活的、多元的培训方式有利于提高教师培训的质量,根据各校教师的实际,培训课应采取分散自学与集中上课相结合、自主研修与专家引领相结合、线下学习与网上辅导相结合,采用案例解剖、活动体验、翻转课堂、微视频等形式,踏准时代的节奏,满足教师碎片化、多终端的学习需要,不断提高培训绩效。
当前,高职校园内部计算机节点多、信息系统多为联邦模式。[10]机房技术及安全标准较低,设备运行环境存在不少隐患,这些对信息系统安全构成一定威胁,因此,加大对网络安全基础设施方面的建设为教师营造一个高效、通用、安全的网络环境就尤为必要。
信息安全风险评估应结合自评估和检查评估两种方式。高职院校自身应定期运用系统安全风险评估的思想和规范对校园信息安全风险进行全面的识别、分析和评估,以减少潜在的安全风险。此外,教育主管部门也应重视信息安全风险评估工作,对高校的安全状况和风险态势进行分析评估,纳入相应等级的安全建设和管理,为高校信息化、数字化健康发展保驾护航。
要实现校园的信息安全,必须“以人为本”,围绕着“人”这个安全主体,提高教职工的信息安全意识水平,打造好校园坚实的“人力”防火墙。教师信息安全意识的培养是一个渐进的过程,并不能一蹴而就,需要我们适应教育信息化发展的趋势,结合各高职院校具体情况和要求,积极探索出提高高职院校教师信息安全意识的新途径。
[1]李华.高等教育信息化发展中的几个热点问题研究——网络安全与信息管理 [J].电化教育研究,2009(9): 70-73.
[2]南国农.怎样理解信息技术及其教师素养形成[J].现代远程教育研究,2013(1):3-6.
[3]董峰,周鹏旭.面向云计算平台的多层免疫入侵检测模型[J].计算机工程与应用,2016(21):101-104.
[4]杜国真.数字化校园网络的安全现状及防御对策[J].网络安全技术与应用,2017(4):141-142.
[5]胡振宇,蒋建春.密码学基础与安全应用[M].北京:北京邮电大学出版社,2008.10:65-67.
[6]许维龙,张彦,朱洪亮,辛阳.基于HDFS的数据备份系统的设计与实现[J].信息网络安全,2012(10):59-60.
[7]陈少华,樊晓光,禚真福,黄金科,孙贤明.一种基于身份的Ad Hoc优化密钥管理方案[J].计算机工程,2016 (4):131-136.
[8]张明.WiFi安全问题和安全策略[J].信息安全与技术,2015(11):45-48.
[9]朱建明,高博.社交金融的信息安全风险分析与防范[J].网络信息安全学报,2016(3):64-67.
[10]谢克武.高校校园网络安全现状及防范对策[J].电子技术与软件工程,2017(1):195-196.
G443
A
1673-8454(2017)23-0054-05
教育部人文社科青年基金项目“新生代教师数字化学习研究”(课题编号:13YJC880094);安徽省自然科学重点研究项目“基于智能三维互动技术的在线虚拟实验平台的开发与实践”(课题编号:KJ2016A008)。
(编辑:王天鹏)