国外高校如何开展安全素养教育?
在超级互联世界,网络的流通与发达要求对人们的网络安全意识进行培训,教育领域尤甚。
自2020年新冠疫情暴发以来,全球各大高校纷纷启用网络课堂,教育领域受到的网络攻击也因此显著增加。2019年身份盗窃资源中心(ITRC)发布的报告曾指出,教育行业60%的数据泄露由未经授权的访问引起。
相比于黑客对技术系统的直接攻击,登录账号和密码被盗更可能成为数据泄露的原因。为提升学生员工的网络安全素养,国外高校通过采取各类措施,提供各种资源、工具和信息,来帮助师生员工更好应对网络安全风险与网络攻击。
问答手册与指南
普渡大学&加州大学伯克利分校
2020年9月,普渡大学发布的文章《给大学生的网络安全指南:你应该做的七件事》指出,在超级互联世界,网络的流通与发达要求对人们的网络安全意识进行培训,教育领域尤甚。文章特别强调,为加强网络安全意识,学生应当做的七件事分别为:保护个人设备、保护私密信息、在使用公共电子设备时保障安全、确保网站安全、及时更新设备系统、使用多因素验证方式以及安全地卖出二手设备。
普渡大学全球网络安全项目教员罗昂达·奇科博士表示,大学生面对的互联网风险普遍存在,因此必须强调网络安全意识的培训。在她看来,当下几乎每个人都在上网,但整个社会还没有得到足够的教育,如果没有正确保护电子设备,潜在的危害就会显现。
非正常网络活动,如恶意软件和网络诈骗等,以各种方式影响着学生。据美国教育专业杂志《教育技术》报道,自学生使用个人电脑和家庭WiFi网络参加线上网课以来,潜在攻击载体的数量迅速增加。因此,除普渡大学外,加州大学伯克利分校也在官方网站上发布文章,为教师、家长和学生提供信息,帮助其识别常见网络威胁,以及提供保障网络安全的行动指引。
文章指出,对于学生来说,常见网络攻击类型有:数据盗窃、恶意软件、社交媒体诈骗信息、钓鱼网站、摄像头被入侵、基于社会工程学的伪装者以及冒充者的欺骗。针对上述问题,文章给予学生的网络安全提示有:避免分享个人信息,安装杀毒软件、及时更新软件、警惕钓鱼邮件和谨慎点击未知网页。
知识竞赛与挑战
维多利亚大学
为响应加拿大网络安全意识月,自2018年起,维多利亚大学每年10月都会发起为期1个月的 CyberAware倡议。在此期间,学生将有机会掌握必要的工具,保障自身网络安全。
在2021年的倡议中,维多利亚大学举办了网络安全知识竞赛,以提升学生们的网络安全意识并鼓励其学习相关知识。所有加拿大本土学生(魁北克除外)都可以参与竞赛,学生们需要在限定时间内参与线上答题,并且只有一次机会,成绩最好的五名学生将被授予100加元的购物卡作为奖励。
同时,学校在校园内也布置了相应的展台,学生们可以通过游玩网络安全游戏来赢取礼品,并与网络安全专家聊天,以及参与其他更多活动。
此外,学校首席信息安全官纳维·巴斯在学校官方社交帐户上也进行了在线问答,回答大家关于安全口令、账户保护以及如何进入网络安全领域工作等问题。巴斯指出,保护网络安全的关键是设置强密码、不与他人分享密码、不重复使用单一密码。
同时,巴斯负责编辑、更新名为Phish Bowl的学校官方博客,每天向校园社群通报最新的网络钓鱼诈骗骗局,总结受骗学生的经验,并帮助其他同学学习和预防。他强调,学生应在使用社交媒体时保护自己,并重视内容私密度与受众范围。
华盛顿大学塔科马校区
2021年10月,为迎接第18届网络安全月的到来,华盛顿大学塔科马分校发起“网络安全意识挑战”活动。华盛顿大学塔科马分校的信息技术部门和网络安全与领导力硕士项目共同赞助了此次挑战活动,希望借此提升大众的网络安全意识。
华盛顿大学的全体学生、K-12学生以及社区成员都可以参加此次挑战。挑战内容为制作2~3分钟以网络安全为主题的短视频,可以是通过实践告诉他人如何降低网络安全风险,也可以是教他人如何保护自身社交媒体与线上安全。
视频内容不限,严肃、有趣、活泼、创意十足的视频投稿,都会被接受,参与者需要把视频投稿到特定网站。评委小组将评选获奖者,排名靠前的投稿人将获得迷你电脑等奖品。
视频学习与平台合作
卡耐基梅隆大学&加州大学
卡耐基梅隆大学信息服务办公室为学生提供了内容丰富且免费的网络安全视频,它们分别是由 Archer News和网络新闻记者凯瑞·汤姆连森出品的网络安全教育系列视频,美国国家网络安全联盟(National Cybersecurity Alliance)、Adobe和Speechless公司出品的“保护线上安全”系列视频,Proofpoint安全教育平台出品的“恶意软件时刻”系列视频和“60秒了解网络安全”视频。这些视频来自于学校的合作组织和附属机构,并以寓教于乐的方式为学生们提供有关网络安全的提示、技巧和行为示例。
面对信息系统和数据安全所受到的日益增长的威胁,加州大学也采取行动,要求学校所有员工必须参加 50 分钟的网络安全意识培训课程。
加州大学认为,大学社区的每个成员都有责任保护学校的信息资产。因此,这项培训计划将帮助员工更好地履行责任,有助于防御未来的网络攻击。而且,学会保护信息资产不仅仅有利于学校本身,也有利于员工个人和其家庭。
纽约大学
随着技术的发展,各类新兴技术不断加强着系统的网络安全防御力,因此网络攻击者开始试图绕过技术防御,从人身上发掘“漏洞”。为有效防止此类状况发生,纽约大学信息技术部向学校员工提供免费的网络安全意识培训课程。
纽约大学选择与著名网络安全意识教育和培训平台KnowBe4进行合作,培训课程由平台提供,经纽约大学全球信息安全办公室审查后,合适的网络安全意识培训课程将被推荐给纽约大学全球所有校区的员工。网络安全意识培训的内容包括视频、游戏、新闻简报、网络钓鱼模拟和海报等。
除此之外,纽约大学还建立了网络安全信息与警告的官方网页,定期发布各类操作系统的更新信息以及对潜在网络攻击的警告,并为学校师生提供相关安全保护建议。
美国K-12网络安全法案签署生效
为应对近年来K-12学校遭遇的越来越多的数据安全事件,2021年10月8日,美国总统拜登签署《2021年K-12网络安全法案》并使其正式生效。
该法案授权网络安全和基础设施安全局(CISA)进行如下行动:首先,对K-12机构面临的网络风险进行具体研究;其次,根据研究结果,项目主任将为K-12学校制定网络安全准则提供建议;最后,项目团队将为K-12学校的领导创建一个网络安全意识在线培训工具包。
非营利组织K-12安全信息交流中心(K12 SIX)的国家主任道格·莱文指出,随着校园和教室运行越来越多地依赖技术,学校面临的网络安全挑战也越来越频繁与重大。法案的通过突显了形势的严峻以及调动联邦资源应对挑战的重要性。
虽然美国少数的几个州,如德克萨斯州、纽约州和新罕布什尔州,已经采取措施加强学区网络安全风险管理,但该法案标志着联邦政府首次正式涉足这一领域。
同时,该法案的通过将促使相关机构更深入地挖掘K-12数据安全的系统性问题——如缺乏K-12网络安全预期和标准、不统一的校园网络事件报告要求以及缺乏资源来充分保护学校免受木马病毒和网络钓鱼攻击等。
现在,联邦政府可以采取一些常识性的举措来帮助解决这些问题。研究结果、相关建议和在线工具包都将由国土安全部的官方网站提供,根据法案,学校将自愿决定是否采纳研究后提出的建议。
法案的通过有助于未来推进更深入的K-12的网络安全立法行动,并成为以解决系统性问题为目的的长期立法过程中的第一步。
整理:王雅静
投稿或合作,请联系:eduinfo@cernet.com
往期推荐
欢迎分享、在看与点赞
积极留言,更会有意外惊喜~