大学生移动信息安全素养现状及教学模式研究

2021-02-24 05:18郭劲赤熊泽泉华东师范大学图书馆
图书馆理论与实践 2021年6期
关键词:密码信息安全意识

郭劲赤,熊泽泉,朱 涵,杨 莉,高 山(华东师范大学图书馆)

随着5G等移动网络技术的发展以及以智能手机为代表的移动终端的快速普及,用户的网络活动逐渐转移至移动端,移动互联网正深刻地改变着人们的生活、学习、娱乐的方式。大学生作为最主要的移动用户群体,具有一定的信息素养知识,但在现有的高校信息素养教学体系中,信息安全素养课程开设较少,特别是鲜有针对移动互联网环境下的信息安全素养类的课程。那么,在缺乏移动信息安全素养教育的背景下,大学生的移动信息安全意识和能力如何?大学生移动信息安全素养主要受哪些因素影响?如何进一步提高大学生的移动信息安全素养?为了探索这一系列问题,笔者对上海市高校的在校大学生展开了问卷调查,对大学生的移动信息素养进行全面分析,以期能够在高校信息素养课程中更好地开展移动信息安全素养教学,全面提高移动互联网环境下的大学生信息素养。

1 国内外研究现状

1.1 移动信息安全素养的概念

信息安全素养的定义来源于信息素养的概念,是指在信息化条件下,人们对信息安全的认识,以及对信息安全所表现出来的各种综合能力,包括信息安全意识、信息安全知识、信息安全能力、信息伦理道德等具体内容[1]。其中,信息安全意识、知识、伦理道德主要属于认知层面,而信息安全能力则主要属于行为层面。移动信息安全素养则是指在移动互联网环境下的信息安全素养,主要涉及个人用户通过智能手机等移动终端设备访问远程的应用服务过程中所表现的信息安全意识、信息安全知识、信息安全能力、信息伦理道德等。

1.2 移动信息安全素养影响因素的相关研究

大学生移动信息安全素养的相关研究并不多见。在常见的研究中,一类研究关注了个体外在因素对大学生移动信息安全素养的影响,如Barn等发现族裔群体、性别及个体的IT知识水平影响了学生使用智能手机访问数据的安全风险管理的程度[2];周凤飞等发现性别、信息安全知识的专业程度对大学生使用智能手机的信息安全行为有影响[3]。另一类研究则关注了大学生移动信息安全意识与移动信息安全行为之间的关系,如Slusky等发现大学生信息安全素养的主要问题在于不知道如何在真实环境中运用相关信息安全知识,信息安全能力低于其信息安全意识,作者提出应在大学生课程设计时加入更多以情境为基础的信息安全能力训练[4];Ngoqo等则建立了一个信息安全行为分析框架,对大学生的移动信息安全意识与安全行为的关联性进行研究,发现移动信息安全意识对用户的信息安全行为起正向调节作用[5];张晓娟等发现智能手机用户的隐私关注程度对其信息安全行为意向具有显著的正向影响,信任和以往经验对智能手机用户的信息安全行为意向具有显著的正向影响,但是感知风险对信息安全行为意向的影响不显著[6]。

从已有研究成果来看,多数研究发现信息安全意识对信息安全行为的正向调节作用,同时也有研究注意到信息安全意识不一定转化为与之相匹配的信息安全行为。如明明知道一些行为可能会导致个人信息泄露,但仍然会受到外部因素的影响,出现偏离理性选择的行为,这类问题被称为自我约束的选择问题,在行为经济学上称之为“双曲线折线模型”“现期偏好偏向”[7]。现有的关于大学生移动信息安全素养的研究并未对此问题进行深入研究,本研究将调查大学生移动信息安全素养现状及影响因素,并分析信息安全意识及信息安全行为之间的关系。

1.3 福格行为模型

福格行为模型由斯坦福说服力科技实验室主任、心理学家福格提出。福格行为模型认为,一个行为得以发生,行为者首先需要有进行此行为的动机和操作此行为的能力,如果行为者有充足的动机和能力来施行既定行为,他们就会在被诱导/触发时进行[8]。本研究试图利用福格行为模型对用户在移动场景下的信息安全意识、能力、触发条件进行分析,探索如何提升大学生的信息安全意识和信息安全能力。

2 基于福格行为模型的信息安全素养教学模式

本研究借鉴Bukelwa Ngoqo和Stephen V.Flowerday提出的信息安全行为分析框架,结合福格行为模型,初步构成大学生信息安全素养教学模式。模型一级指标包括触发移动信息安全行为的事件、移动信息安全意识、移动信息安全能力。触发移动信息安全行为的事件是指,个体能够认识到移动环境下存在的隐私信息泄露、网络故意破坏、滥用有害信息、危险的系统或漏洞升级等不安全的事件;移动信息安全意识主要包括个体在移动环境中具有保护自我隐私信息的意识,具备移动信息获取安全性的意识;移动信息安全能力指个体掌握移动环境中信息来源、获取过程、信息存储、信息保护等相关的信息安全知识,具备设置高强度密码、个人敏感信息合理存储、鉴别不明信息来源、下载安全文件、了解并使用防病毒软件工具等移动信息安全能力。通过教授学习者认知常见移动信息安全的不安全事件,强化移动信息安全意识,学习移动信息安全能力,解决遇到的实际移动信息安全问题,提升信息安全素养。

3 移动环境下大学生信息安全素养调查分析

3.1 问卷发放与收集

本研究调查问卷来源于国家社会科学基金项目“高校图书馆移动信息素养教育的实践研究”中的移动信息素养调查问卷“移动端的信息安全”,除个人信息采用单选题外,其余均采用5级量表。问卷以上海市高校的在校学生为调查对象,借助问卷星网上平台进行在线调查,共回收完整问卷2,693份。为了保证问卷的质量,将用时5分钟及以下的问卷视为无效问卷剔除,共剔除无效问卷253份,保留有效问卷2,440份,有效率90.61%。调查问卷的内容包括移动端的信息安全意识、信息安全能力以及调查对象的个人信息,如性别、年龄、专业等。调查样本由71.7%的女生与28.3%的男生组成;年龄分布跨度为15岁至35岁;在专业分布上,文科、理科、工科、商科、医科、艺术类以及其他专业分别占比36.7%、17.7%、9.7%、16.6%、8.6%、7.8%、3.0%;本科生、硕士生、博士生、专科生分别占比51.4%、32.8%、2.5%、13.3%。

3.2 数据分析与处理

采用Excel对数据进行描述性统计,采用IBM SPSS Statistics 23对各因素之间的相关性进行Pearson相关性分析。对每一问卷中涉及信息安全意识的得分,进行加总代表该被调查对象的信息安全意识水平,同样方法获得该被调查对象的信息安全能力水平。

3.3 调查结果分析

3.3.1 常见的触发移动信息安全行为的事件

由于移动端安装App主要来源为应用商店,且大部分应用商店(如苹果的AppStore)具有较为严格的审核机制,病毒软件难以侵入个人移动终端。因此,在本次调查的大学生中,遇到移动端信息安全事件最少的为移动设备中毒(平均得分2.28),其次为网络欺诈(平均得分2.40)。发生频次最多的移动信息安全事件为账户密码被盗(平均得分2.47),其中仅22.18%的受访者从未遇到过账户密码被盗事件,也即有77.82%的受访用户曾发生过账户密码被盗事件。由于账户密码被盗并不一定像其他安全事件一样有明显的特征被用户所察觉,如不法分子盗取用户密码后,并不进行密码更改、盗用账户发送信息等显性攻击行为,而是采取高级持续性威胁攻击的方式窃取用户数据,普通用户无法察觉此类攻击行为,因此实际发生的账户密码被盗的比例可能要高于我们所调查获得的数据。由此可见网络欺诈等网络故意破坏行为,以及密码盗用行为是移动环境下需要重要防范的非安全事件。

3.3.2 移动信息安全意识

隐私是人们区分“公共领域”和“个人空间”的重要工具,对于是否能够正确地判断个人隐私是一个人信息安全意识的一个重要表征,随着互联网的发展和社交媒体网络的兴起,个人隐私泄露问题愈发严重。本次调查结果显示,在对个人信息隐私程度进行判别时,多数大学生对涉及个人隐私的项目有较强的防范意识(平均得分3.77)。其中账号、密码、个人生物识别信息、身份证号码或护照号码等都是受访者认为最重要的个人隐私(得分均值均超过4.30);住址、个人照片或视频、电话号码、个人地理位置信息这四项得分也均超过4.00;只有头像、昵称或网名这两项得分低于3.00(见图1)。结果显示,受访大学生多数具有较高的信息安全意识。

图1 受访大学生对个人隐私的认同度

在回答是否愿意用隐私交换便捷或效率时,43.62%的大学生表示非常不愿意,21.19%的大学生表示比较不愿意,总体意愿得分为2.026,充分说明了大学生对个人隐私保护有较为强烈的意愿。此外有21.36%表示一般,7.69%表示比较愿意,6.14%的大学生表示非常愿意。由此可知,即使在面对便捷/效率的诱惑时,大学生也能清楚地认识到潜在的隐私风险。在个人隐私保护的实际行为中,受访大学生却出现了与较高的移动信息安全意识截然矛盾的表现。如在第三方登录App、安装App或关注公众号时,总是允许隐私授权的用户达到24.47%,经常允许隐私授权的用户达到22.91%,有时允许隐私授权的用户达33.14%,偶尔允许隐私授权的用户达13.01,而从不进行隐私授权的用户仅占6.46%。

移动信息安全意识和行为不一致的现象同样发生在大学生对个人地理位置信息的处理上。虽然个人地理位置信息被多数受访者认为是重要的个人隐私信息,但是在使用App的过程中,允许程序一直使用定位功能的用户仍有较高的比例。其中42.47%的受访者在使用地图/导航App时,会一直使用定位功能,41.41%的受访者在使用即时通信App时会选择一直使用定位功能,而在使用相机功能App时,也有近1/3的受访者会一直使用定位功能。至少有超过56.22%的受访者,对所有要求使用定位功能的App都使用过定位功能,甚至对于网络直播、网络新闻这类App,都分别有45.99%和47.95%的大学生选择App在“需要时使用”定位功能(见图2)。

图2 受访大学生在不同APP中使用个人地理位置的频率

可见,多数用户虽然有着较强的信息安全意识和意愿,但是在实际情境中,其意识往往受到自我表露、便捷等因素的影响而偏离理性,作出放弃个人隐私保护的行为。因此在教学过程中要强化学习者的实际信息安全意识,不仅在意愿上认识到信息安全的重要性,更要学会考量隐私交换便捷等行为,做到真正意义上的高移动信息安全意识。

3.3.3 移动信息安全行为

从大学生移动端的个人信息安全保护行为来看,设置开机密码、不透露验证码给别人、选择可靠App、不轻易点击不明链接这四项是最常用的措施(平均得分分别为4.27、4.26、4.15和4.12),同时也是较易于实施的措施(见图3)。相对来说,三次密码不对恢复出厂设置和定期修改密码则是最少受访者采用的保护措施。受访者表示,三次密码不对恢复出厂设置会带来潜在的个人数据丢失风险,且手机恢复过程较为烦琐;而定期修改密码则会带来忘记密码的风险,修改密码的过程也需要耗费一定时间。可见,是否需要承担一定的风险以及操作是否便捷对大学生移动信息安全行为有一定的调节作用。

图3 受访大学生移动端个人信息安全保护措施得分

3.3.4 大学生移动信息安全素养影响因素

由于受访大学生信息安全意识与信息安全行为的不一致,本研究进一步考察了不同因素与移动信息安全意识和移动信息安全行为的相关性,以期能够找出提高大学生移动信息安全素养的着力点。在因素的选择上,除了考虑性别、学历、专业等传统的影响因素外,还考虑了受访者家乡所在地(省会城市、地级市、县、乡镇)以及受访者接受信息素养教育阶段长度、利用移动设备上网时长以及总上网时长。对于受访者家乡所在地的考察,目的是拟检验受访者长期生活地区经济、教育发达水平的差异是否对大学生移动信息安全素养的发展程度有影响;对于总上网时长和移动设备上网时长的考察,其目的是拟检验受访者的互联网经验/移动互联网经验是否有利于移动信息安全素养的形成;对于受访者接受信息素养教育阶段累计时长的考察,目的是拟检验信息素养教育是否对大学生移动信息安全素养有正向调节作用。相关性分析结果如表1所示。

表1 受访大学生移动信息安全素养与人口统计学变量的相关系数

从相关性分析结果来看,虽然性别对移动信息安全意识、移动信息安全行为均有显著性影响,但相关性水平非常低。此外,家乡所在行政区的不同、接受信息素养教育时间的长短虽然也与移动信息安全行为有显著相关性,但相关性水平同样非常低。因此,我们认为大学生的性别、学历、专业、家乡所在地、每天上网时长以及接受信息素养教育阶段的累计时长均未对大学生的移动信息安全素养造成重要影响。

4 移动环境下大学生信息安全素养教育

4.1 移动环境下大学生信息安全素养的特点

(1)信息安全意识和信息安全行为不匹配。随着移动互联网的发展,移动信息安全问题已成为一个非常普遍的社会问题,并随着移动信息技术逐步渗入大学生生活、学习的各个环节,个人信息安全的问题也愈发突出,已有文献已经证明,我国大学生信息安全素养水平普遍较低[3,9]。本研究发现,大学生移动信息安全意识普遍较强,然而移动信息安全行为却与之不匹配。这种“人们习惯公开表达其强烈的隐私关注,但是在实际使用网络平台时并没有表现出十分强烈的隐私关注”的现象,被称为“隐私悖论”[10]。隐私悖论可以从以下两方面进行解释:一方面,移动信息环境迫使用户“隐私让渡”。中国消费者协会2018年8月发布的《App个人信息泄露情况调查报告》结果显示,个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为85.2%,手机App过度采集个人信息呈现普遍趋势。此外,手机App需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限,而且存在App自身功能使用非必要的情况下获取用户隐私权限,增加了个人信息泄露的风险[11]。由此可见,在当前移动信息环境下如果不选择隐私让渡,就意味着手机使用过程的不便利,隐私让渡已经逐渐从自愿行为转为不得不服从。另一方面,移动信息安全行为的“有限理性”[12]认为“行为主体打算做到理性,但现实中却只能有限度地实现理性”[13]。Westin认为信息隐私是消费者控制个人信息获取和应用的一种状态[14],这种现象主要取决于移动网络环境的外在影响,我们只能帮助大学生认识到用户在移动端获取信息时是信息消费行为的主体,不能为了泄露隐私获得的短期利益而主动披露信息隐私,那将会带来长期负面效应。

(2)移动信息安全能力欠缺。本研究发现,大学生信息安全素养能力的普遍缺失、接受信息素养教育阶段的累计时长并未对大学生的移动信息安全素养造成影响。与长期以来信息安全素养教育内容与形式的单一不无关系。目前我国的信息素养教育体系中缺乏对信息安全素养,特别是信息安全能力的重视。纵观各高校的信息素养课程,内容主要涉及信息检索基础知识、数据库使用方法、网络资源及检索工具,部分学校加入了论文写作与投稿、文献管理软件、知识产权相关知识和工具书介绍等[15]。大学生的信息安全知识主要来源于媒体的宣传、他人经历分享等。由于这些宣传内容缺乏系统性、专业性,也很少涉及在实际生活中如何动手解决信息安全问题的内容,造成大学生在遭遇信息安全事件时无法自行有效解决。高校在相关师资的引进方面也略显不足,大多数高校并未配备信息安全相关专业的教师,因此也无法形成系统性、专业性的信息安全培训课程体系。

4.2 如何培养大学生移动信息安全素养

(1)认知触发事件。在教学过程中可以全面呈现常见信息不安全案例,包括网络故意破坏、密码盗用、危险升级、有意识的信息保证等多主题的真实案例。如,展示哪些行为可能会导致移动终端的个人信息泄露、哪些行为可能是网络欺骗等,从而建立真实情境帮助大学生全面认知不安全事件,以便遇到真实的信息安全事件时能够触发相关安全意识,实施保护信息安全的行为。

(2)强化意识。要强化大学生的信息安全意识,包括不轻易在使用移动网络过程中泄露个人隐私、不轻易随意获取网络信息,使其充分了解个人隐私泄露、账号被盗、点击不明来源链接等信息安全事件所带来的危害,从而强化其进行个人信息安全保护的动机。在这方面政府已经开展了一些工作,如国家将每年9月的第三周设为“国家网络安全宣传周”,通过大量的案例、视频等内容对民众进行信息安全的普及教育。而高校需要根据大学生的移动网络使用习惯开展更有针对性的信息安全教育,以激发移动信息安全的防范和保护意识。

(3)学习能力。要培养大学生移动信息安全能力,能力的培养不限于移动信息安全知识的教育,还需要学习相关的信息安全检查、识别和积极应对等实际操作能力。如学会利用系统工具或第三方软件对个人终端进行安全状态的检查与修复、学会对个人账户的登录状态进行定期检查从而发现异常登录、学会设置方便自己记忆的强壮密码、会识别钓鱼网站等。2019年12月发布的《App违法违规收集使用个人信息行为认定方法》,为App开发者、运营者自查自纠以及网络用户社会监督提供了指引。基于该“认定办法”,在移动信息安全素养教育中,需要让大学生了解个人信息的违规收集使用有哪些情况,应该如何予以判断,以及如何进一步积极应对,从而培养解决移动信息安全问题的能力。只有具备了这些能力并能在现实生活中灵活运用,在遭遇信息安全事件时才能够迅速触发安全问题的解决行为。

猜你喜欢
密码信息安全意识
人的意识可以“上传”吗?
密码里的爱
基于三级等级保护的CBTC信号系统信息安全方案设计
密码抗倭立奇功
计算机网络信息安全及防护策略
增强“四个意识”发挥“四大作用”
高校信息安全防护
意识不会死
强化五个意识 坚持五个履职
密码藏在何处