個人信息安全素養(yǎng)評測論文
有效的信息安全意識教育方法能夠幫助終端用戶學(xué)習(xí)信息安全知識,提高信息安全意識,來應(yīng)對各類信息安全問題。目前已有的信息安全意識教育方法在實施過程中,面臨如何了解學(xué)習(xí)者的學(xué)習(xí)需求以及評估教育效果等問題。本文為此設(shè)計實現(xiàn)了Android系統(tǒng)上的個人信息安全素養(yǎng)評測手機軟件。該軟件將信息安全相關(guān)問題以問答的形式呈現(xiàn)給用戶,檢測并記錄用戶的知識水平和基本技能水平,并能夠根據(jù)用戶的評估結(jié)果,確認(rèn)用戶信息安全素養(yǎng)水平的高低,并向用戶推薦適合自身安全知識掌握程度的學(xué)習(xí)內(nèi)容。該軟件采用移動客戶端和服務(wù)器端架構(gòu),借助移動平臺的優(yōu)勢,方便用戶進行自測和學(xué)習(xí)。該軟件能夠為信息安全意識教育的途徑普及和手段創(chuàng)新提供借鑒。
1 引言
在應(yīng)對信息安全威脅的防護體系中,人的安全意識和安全知識對于維護信息安全至關(guān)重要,提高個人的信息安全意識是信息安全防護體系中不可或缺的一個環(huán)節(jié)。人是信息活動的主體,相對于滲透防護系統(tǒng),欺騙用戶更容易實現(xiàn),攻擊者通常優(yōu)先選擇這條路徑發(fā)起攻擊。隨著社交網(wǎng)絡(luò)以及移動互聯(lián)網(wǎng)的發(fā)展,組織員工從事的在線活動越來越多,如逛社交網(wǎng)站、博客,利用即時聊天工具通信等,面臨的網(wǎng)絡(luò)危險越來越多,但他們中大部分人缺乏信息安全意識,不能感知身邊的威脅。
因此,如何提高人們的信息安全意識教育已經(jīng)成為大家重視的課題?ò退够鶎嶒炇业男畔踩珜<揖吞嵝延脩簦盒畔踩荒芡耆蕾囃獠繖C制,用戶還需從自身出發(fā),提升自我保護意識。來自全球1000名大公司信息安全高管提出,有必要加強用戶意識培訓(xùn)來防范針對社會工程學(xué)為主要攻擊手段的網(wǎng)絡(luò)威脅,如網(wǎng)絡(luò)釣魚、APT攻擊等。專家們也注意到,那些不理解或不遵循指令的用戶經(jīng)過培訓(xùn)后愿意遵循安全指令,從而提高組織的整個安全態(tài)勢。
有效的信息安全意識教育方法能夠幫助終端用戶學(xué)習(xí)信息安全知識,提高信息安全意識,來應(yīng)對各類信息安全問題。目前已有一些信息安全意識教育方法,主要包括六類:1)以紙質(zhì)材料和電子資料為媒介來教育并影響用戶的傳統(tǒng)信息安全教育方法;2)主要通過專家面向大眾的方式來影響個人的導(dǎo)師為主的安全教育方法;3)將傳統(tǒng)培訓(xùn)資料以Web頁面的方式呈現(xiàn)給用戶的基于Web頁面的安全教育方法;4)基于視頻的安全教育方法;5)基于游戲的安全教育方法;6)基于攻擊情境模擬的安全教育方法。
在這些信息安全意識教育方法的實施過程中,面臨一個很重要的問題,如何了解學(xué)習(xí)者的需求?如何評估教育的效果?
為此,本文設(shè)計并實現(xiàn)了Android平臺上的個人信息安全素養(yǎng)評測手機軟件。該軟件借助手機這個廣泛擁有、攜帶方便的通訊工具,為用戶提供方便、快捷地信息安全素養(yǎng)自測和學(xué)習(xí)。一方面,各種組織可以通過該軟件了解學(xué)習(xí)者目前知識的掌握程度,以便組織教學(xué)內(nèi)容;另一方面也可以在信息安全意識教育后了解學(xué)習(xí)者的學(xué)習(xí)情況,以評估教育效果。該軟件還能夠根據(jù)用戶的評估結(jié)果,確認(rèn)用戶信息安全意識水平的高低,并向用戶推薦適合用戶自身安全知識程度的學(xué)習(xí)材料。
2 軟件設(shè)計
本軟件為用戶提供的是移動客戶端的服務(wù)形式,可以使用戶在任何時間、地點都能方便地進行信息安全素養(yǎng)的自我測評,并學(xué)習(xí)推送的安全知識,以不斷提高自我的信息安全意識。用戶既可以憑借游客身份快速進行安全素養(yǎng)測試,也可以通過登錄/注冊安全途徑進行測試,軟件要求注冊用戶設(shè)置口令,保護用戶測試結(jié)果,以此保證用戶的隱私。一方面用戶可以自由選擇測試的主題,測試題的難度,另一方面軟件服務(wù)端可以參考注冊用戶歷史測評結(jié)果,推薦適合用戶信息安全意識水平的題目,為其提供人性化、智能化的信息安全知識推送服務(wù)。
2.1 架構(gòu)設(shè)計
本軟件采用手機客戶端和服務(wù)器端架構(gòu)。軟件結(jié)構(gòu)如圖1所示。
(1)服務(wù)端
本軟件服務(wù)器端主要的功能:在移動客戶端接入網(wǎng)絡(luò)時,接收客戶端用戶的注冊請求,審核驗證用戶的登錄身份是否正確,管理用戶個人賬戶信息;完成用戶身份認(rèn)證后,接收客戶端知識庫、測試題目更新請求,判斷服務(wù)器試題庫版本信息是否優(yōu)于客戶端,若前者優(yōu)于后者,則推送最新知識庫、測試題目給客戶端,完成安全測試試題和知識更新工作;記錄用戶歷史測評記錄信息,包括測評得分、試題知識類型、試題難度,并參考用戶的歷史評估成績,分析錯題涉及的主要知識類型,推薦適應(yīng)用戶安全水平的信息安全知識測試題,并推送錯題所屬知識類型的安全建議。主要工作流程如圖2所示。
(2)移動客戶端
移動客戶端主要功能包括:用戶登錄,接受軟件推薦的信息安全測試題,或者自主設(shè)定自己感興趣的測試題;答題完畢后提交試題,查看本次戶答題后的得分,并獲取相應(yīng)的安全素養(yǎng)評價;查看所回答題目的正確答案,彌補自己的安全意識漏洞,詳細學(xué)習(xí)相關(guān)安全知識,以提高用戶自身的安全意識。主要工作流程如圖3所示。
2.2 功能設(shè)計
本軟件采用模塊化組織形式,通過模塊分區(qū),進行各種功能的管理與應(yīng)用。該軟件的核心結(jié)構(gòu)主要包括登錄/注冊模塊、測評答題模塊、素養(yǎng)評測模塊、正解回放模塊、知識推送模塊、系統(tǒng)管理模塊,以上各功能模塊相互配合,發(fā)揮各自作用,構(gòu)成整個信息安全素養(yǎng)評測的應(yīng)用程序,主要模塊功能設(shè)計涉及幾方面。
1)登錄/注冊。軟件對用戶注冊的口令要求至少由數(shù)字、小寫字母、大寫字母、特殊字符中的任意兩項組成,同時規(guī)定口令必須由6~12個字符組成。軟件對所有的口令使用Hash函數(shù)進行消息摘要后存儲在數(shù)據(jù)庫中。此外,本軟件通過訪問控制等手段確保注冊用戶的'測試結(jié)果不會被非授權(quán)的第三方獲取。以上這些功能將確保系統(tǒng)的安全性和保護用戶的隱私。
2)測評答題。軟件會提供包括身份(密碼)安全、數(shù)據(jù)安全、設(shè)備和環(huán)境安全、主機安全、網(wǎng)絡(luò)安全、無線安全、應(yīng)用軟件安全、社交安全這九大知識類型,難度涉及高、中、低三種等級的題目給用戶,以適應(yīng)不同領(lǐng)域、不同知識程度、不同安全需求的用戶進行自我評測和學(xué)習(xí)。
3)素養(yǎng)評測。軟件為用戶提供當(dāng)次答題后的得分,并給出相應(yīng)的評價。另外,通過雷達圖顯示用戶各種知識類型掌握程度強弱的分布,方便用戶更直觀的了解自身哪一部分的安全知識有待提高,使得用戶可以有針對性地彌補自己安全意識的缺陷。
4)正解回放。用戶可以在每次答題結(jié)束之后用該功能查看當(dāng)次評測中每道題的正確答案,了解自己哪里出錯,并獲取有關(guān)題目知識點的詳細點評。這樣由點及面,層層推進,強化用戶的自我學(xué)習(xí),提高用戶的安全意識。
5)知識推送。用戶登錄后,軟件服務(wù)器參考用戶的歷史評估分?jǐn)?shù),分析錯題涉及的主要知識類型,推薦適應(yīng)用戶安全水平的信息安全知識測試題,并推送錯題所屬知識類型相關(guān)安全建議,以個性化和智能化的服務(wù)幫助用戶提高信息安全知識。此外,軟件可以在用戶接入網(wǎng)絡(luò)時,通過比較本次評分與預(yù)先設(shè)置的報警值的大小給出用戶警示,評分偏小時,軟件將會推送安全提醒信息,提示用戶保護網(wǎng)絡(luò)環(huán)境下個人隱私。
6)系統(tǒng)管理。用戶可以每隔一段時間更改自己的賬戶口令,切實維護口令安全。此外,用戶可以在連接網(wǎng)絡(luò)的情況下,申請試題更新,客戶端下載最新的信息安全意識測試題庫,獲得最新安全知識。
3 軟件實現(xiàn)
3.1 開發(fā)環(huán)境及工具
1)JDK。JDK(Java SE Development Kit),也就是Java標(biāo)準(zhǔn)開發(fā)包,是Sun公司提供的基礎(chǔ)Java語言開發(fā)工具,該工具系統(tǒng)包含Java語言的編譯工具、運行工具以及執(zhí)行程序的環(huán)境(即JRE)。系統(tǒng)選用JDK1.6作為Java的開發(fā)工具。
2)Eclipse IDE,一個多用途的開發(fā)工具平臺。系統(tǒng)選用Eclipse 3.7(代號Indigo)版作為本次開發(fā)平臺。
3)Android開發(fā)工具。ADT,基于Eclipse的Android開發(fā)工具擴充套件(Android Development Tools plugin),Eclipse的ADT插件通過把包括模擬器、.class-to-.dex轉(zhuǎn)換器等開發(fā)工具直接集成到IDE中來簡化Android開發(fā);Android SDK,即Android程序開發(fā)包(Software Development Kit),Android程序開發(fā)套件。
4)SQLite。它是一款輕型的數(shù)據(jù)庫,是遵守ACID的關(guān)系型數(shù)據(jù)庫管理系統(tǒng),它的設(shè)計目標(biāo)是嵌入式的,而且已經(jīng)在很多嵌入式產(chǎn)品中使用可它。SQLite占用資源非常的低,它能夠支持主流操作系統(tǒng),并可以很好地和很多程序語言結(jié)合。
5)Tomcat,是Apache旗下的一款免費的開放源代碼的Web 應(yīng)用服務(wù)器,屬于輕量級應(yīng)用服務(wù)器。
3.2 軟件界面實現(xiàn)
Android為開發(fā)人員提供了基于XML(Extensible Markup Language)文件的用戶界面(UI)開發(fā)模塊,通過采用XML文件來進行界面布局,將布局界面的代碼和邏輯控制的Java代碼分離開來,使應(yīng)用程序的結(jié)構(gòu)更加清晰,為軟件提供了一種非常簡單、方便的方法來控制UI界面[5]。本軟件參考界面設(shè)計的“黃金規(guī)則”[6],組合使用View(視圖)、Textview(文本框)、EditText(編輯框)、Button(按鈕)、Menu(菜單)、Layout(布局)等Android系統(tǒng)自帶的界面設(shè)置控件,設(shè)計出軟件各個界面,整體軟件界面格調(diào)基于偏藍色,呈現(xiàn)安全主題的厚重感,盡可能確保了軟件設(shè)計的一致性。設(shè)計的主界面包含“開始評估”、“評估結(jié)果”、“安全Tips”、“關(guān)于我們”、“登錄”、“注冊”的形象化按鈕,如圖4所示,讓不同層次用戶直觀了解軟件提供的功能,實現(xiàn)了普遍而可用的特性;設(shè)計了友好的會話交互框,如軟件退出時的提示信息,如圖5所示;設(shè)計了豐富的軟件反饋信息,如注冊時,使用正則表達式判斷密碼長度、密碼類型是否符合設(shè)計準(zhǔn)則要求,通過Toast控件給用戶帶來軟件操作溫馨提示,易于用戶接受。
另外,使用RadioButton、CheckBox控件以及LinearLayout線性布局,設(shè)計出單選題、多選題、判斷題的Activity界面,如圖6所示的多選題。
3.3 軟件關(guān)鍵技術(shù)實現(xiàn)
3.3.1數(shù)據(jù)庫設(shè)計
軟件采用SQLite數(shù)據(jù)庫存儲數(shù)據(jù),創(chuàng)建數(shù)據(jù)庫InformationSecurity。首先創(chuàng)建題目表Question,這是整個題庫設(shè)計的關(guān)鍵點。在Question表里,系統(tǒng)創(chuàng)建題目難度等級的字段rank,主要包括低、中、高,來區(qū)分不同難度的試題;創(chuàng)建題目主題字段category,主要包含身份(密碼)安全、數(shù)據(jù)安全、設(shè)備和環(huán)境安全、主機安全、網(wǎng)絡(luò)安全、無線安全、應(yīng)用系統(tǒng)安全、社交安全,通過表中一個字段囊括當(dāng)前主要的安全子領(lǐng)域,為用戶提供更加豐富的安全知識;創(chuàng)建能力級別字段abilityrank,主要包括安全常識、安全原理、安全技術(shù);創(chuàng)建安全場景字段context,包括公用場景、工作場景、家庭場景以及三者之間的相互組合。
3.3.2 試題生成
試題集中判斷題、單選題、多選題分別有對應(yīng)的三種Activity界面。軟件會根據(jù)用戶選擇的試題難度和主題類別,從試題數(shù)據(jù)庫里按照關(guān)鍵字:題目主題字段category、題目難度等級字段rank,抽取出試題集生成臨時試題庫。然后,使用Java中Set集合,其特點是不允許包含相同的元素,存儲10道題的題號。具體過程就是重復(fù)10次,每次隨機取臨時試題庫中題目的題號,放入Set集合中,直到Set集個數(shù)為10時,即Set集中已生成各不相同的10道試題號,終止試題生成過程,最終按照生成的試題號,抽取出此次的測試題,按照試題的題目類型(判斷題、多選題、單選題),分別跳轉(zhuǎn)到對應(yīng)的activity界面,形成每一次的測試題集。
3.3.3 評估及結(jié)果可視化
用戶完成試題并提交后,軟件通過記錄用戶當(dāng)前各題的選項結(jié)果,判斷是否匹配對應(yīng)試題庫中題目的正確選項,按照每道題的設(shè)定的分?jǐn)?shù),計算當(dāng)次得分。
3.3.4感知和知識推薦
軟件通過一個全局字符串?dāng)?shù)組,來記錄用戶當(dāng)前試題集的各題選項,全面感知用戶的答題情況,再與各題的正確選項進行匹配,便于軟件對試題評分;通過用戶評測得分表userscore,記錄注冊用戶的歷史測評成績,方便與當(dāng)前的測試結(jié)果縱向比較,幫助用戶更好地了解自己的安全意識。
4 軟件運行情況及特色總結(jié)
4.1 軟件運行情況
用戶首先下載本軟件的安裝包,安裝軟件后,用戶點擊應(yīng)用圖標(biāo),進入軟件的首頁面。用戶輸入自己的賬戶、口令,進入答題系統(tǒng),開始評估,如圖8所示,用戶可選擇“低”、“中”、“高”三種難度類型,也可以選擇自己感興趣的測試主題。軟件會根據(jù)用戶的選擇,生成對應(yīng)的試題集,生成的答題題型包括判斷題、單選題、多選題。答題結(jié)束后,提交答卷,點擊“測評結(jié)果”,如圖7所示,獲取本次的評測結(jié)果;點擊“安全Tips”,將會向用戶提供這次答題的答案和參考建議,用戶點擊每題列表,如圖9所示,就可以查看此題的詳細解答,系統(tǒng)會提供詳細的安全知識參考,以便用戶進行安全知識學(xué)習(xí)。
4.2 軟件特色
1)評估和教育相結(jié)合。用戶通過答題,獲取相應(yīng)的評估結(jié)果,軟件會給出用戶的安全素養(yǎng)評估結(jié)果,并且會提供用戶所做題目的正確答案以及詳細的安全知識介紹,方便用戶在安全評估的同時,學(xué)習(xí)對應(yīng)的安全知識。
2)感知和知識推薦。軟件一方面可以記錄用戶評估試題的各個選項,以及相應(yīng)的試題難度和主題類別信息;另一方面可以記錄用戶的測評得分,提供歷史測評結(jié)果回放,方便縱向比較用戶信息安全意識水平。此外,軟件根據(jù)用戶的評估結(jié)果,確認(rèn)用戶信息安全意識水平的高低,并向用戶推薦適合自身安全知識掌握程度的題目。
3)客觀評估與結(jié)果可視化。軟件感知用戶答題選項,判斷是否匹配對應(yīng)題目的正確選項,參照題目的分?jǐn)?shù)設(shè)定,客觀計算用戶評估成績,并將評估成績通過雷達圖直觀顯示出來,全方位分析用戶的信息安全素養(yǎng)水平。
4)提供碎片化學(xué)習(xí)途徑。用戶通過移動客戶端,可以在任意時間、任意地點、任意場景下,進行信息安全知識的學(xué)習(xí),充分體現(xiàn)了泛在學(xué)習(xí)的特點。用戶使用該系統(tǒng)短短幾分鐘就可以完成一次測試和學(xué)習(xí),不斷的碎片化測試和學(xué)
5 結(jié)束語
提高個人的信息安全意識是信息安全防護體系中不可或缺的一個環(huán)節(jié),這已經(jīng)成為人們的共識。目前已有一些信息安全意識教育方法能夠幫助終端用戶學(xué)習(xí)信息安全知識,提高信息安全意識,來應(yīng)對各類網(wǎng)絡(luò)安全問題。本文設(shè)計實現(xiàn)的基于Android系統(tǒng)上的個人信息安全素養(yǎng)評測手機軟件,能夠解決這些方法在實施中面臨的如何了解學(xué)習(xí)者的需求以及評估教育效果等問題。
【個人信息安全素養(yǎng)評測論文】相關(guān)文章: