有效的資訊保安意識教育方法能夠幫助終端使用者學習資訊保安知識,提高資訊保安意識,來應對各類資訊保安問題。目前已有的資訊保安意識教育方法在實施過程中,面臨如何瞭解學習者的學習需求以及評估教育效果等問題。本文為此設計實現了Android系統上的個人資訊保安素養評測手機軟體。該軟體將資訊保安相關問題以問答的形式呈現給使用者,檢測並記錄使用者的知識水平和基本技能水平,並能夠根據使用者的評估結果,確認使用者資訊保安素養水平的高低,並向用戶推薦適合自身安全知識掌握程度的學習內容。該軟體採用移動客戶端和伺服器端架構,藉助移動平臺的優勢,方便使用者進行自測和學習。該軟體能夠為資訊保安意識教育的途徑普及和手段創新提供借鑑。
1 引言
在應對資訊保安威脅的防護體系中,人的安全意識和安全知識對於維護資訊保安至關重要,提高個人的資訊保安意識是資訊保安防護體系中不可或缺的一個環節。人是資訊活動的主體,相對於滲透防護系統,欺騙使用者更容易實現,攻擊者通常優先選擇這條路徑發起攻擊。隨著社交網路以及移動網際網路的發展,組織員工從事的線上活動越來越多,如逛社交網站、部落格,利用即時聊天工具通訊等,面臨的網路危險越來越多,但他們中大部分人缺乏資訊保安意識,不能感知身邊的威脅。
因此,如何提高人們的資訊保安意識教育已經成為大家重視的課題。卡巴斯基實驗室的資訊保安專家就提醒使用者:資訊保安不能完全依賴外部機制,使用者還需從自身出發,提升自我保護意識。來自全球1000名大公司資訊保安高管提出,有必要加強使用者意識培訓來防範針對社會工程學為主要攻擊手段的網路威脅,如網路釣魚、APT攻擊等。專家們也注意到,那些不理解或不遵循指令的使用者經過培訓後願意遵循安全指令,從而提高組織的整個安全態勢。
有效的資訊保安意識教育方法能夠幫助終端使用者學習資訊保安知識,提高資訊保安意識,來應對各類資訊保安問題。目前已有一些資訊保安意識教育方法,主要包括六類:1)以紙質材料和電子資料為媒介來教育並影響使用者的傳統資訊保安教育方法;2)主要通過專家面向大眾的方式來影響個人的導師為主的安全教育方法;3)將傳統培訓資料以Web頁面的方式呈現給使用者的基於Web頁面的安全教育方法;4)基於視訊的安全教育方法;5)基於遊戲的安全教育方法;6)基於攻擊情境模擬的安全教育方法。
在這些資訊保安意識教育方法的實施過程中,面臨一個很重要的問題,如何瞭解學習者的需求?如何評估教育的效果?
為此,本文設計並實現了Android平臺上的個人資訊保安素養評測手機軟體。該軟體藉助手機這個廣泛擁有、攜帶方便的通訊工具,為使用者提供方便、快捷地資訊保安素養自測和學習。一方面,各種組織可以通過該軟體瞭解學習者目前知識的掌握程度,以便組織教學內容;另一方面也可以在資訊保安意識教育後瞭解學習者的學習情況,以評估教育效果。該軟體還能夠根據使用者的評估結果,確認使用者資訊保安意識水平的高低,並向用戶推薦適合使用者自身安全知識程度的學習材料。
2 軟體設計
本軟體為使用者提供的是移動客戶端的服務形式,可以使使用者在任何時間、地點都能方便地進行資訊保安素養的自我測評,並學習推送的安全知識,以不斷提高自我的資訊保安意識。使用者既可以憑藉遊客身份快速進行安全素養測試,也可以通過登入/註冊安全途徑進行測試,軟體要求註冊使用者設定口令,保護使用者測試結果,以此保證使用者的隱私。一方面使用者可以自由選擇測試的主題,測試題的難度,另一方面軟體服務端可以參考註冊使用者歷史測評結果,推薦適合使用者資訊保安意識水平的題目,為其提供人性化、智慧化的資訊保安知識推送服務。
2.1 架構設計
本軟體採用手機客戶端和伺服器端架構。軟體結構如圖1所示。
(1)服務端
本軟體伺服器端主要的功能:在移動客戶端接入網路時,接收客戶端使用者的註冊請求,稽核驗證使用者的登入身份是否正確,管理使用者個人賬戶資訊;完成使用者身份認證後,接收客戶端知識庫、測試題目更新請求,判斷伺服器試題庫版本資訊是否優於客戶端,若前者優於後者,則推送最新知識庫、測試題目給客戶端,完成安全測試試題和知識更新工作;記錄使用者歷史測評記錄資訊,包括測評得分、試題知識型別、試題難度,並參考使用者的歷史評估成績,分析錯題涉及的主要知識型別,推薦適應使用者安全水平的資訊保安知識測試題,並推送錯題所屬知識型別的安全建議。主要工作流程如圖2所示。
(2)移動客戶端
移動客戶端主要功能包括:使用者登入,接受軟體推薦的資訊保安測試題,或者自主設定自己感興趣的測試題;答題完畢後提交試題,檢視本次戶答題後的得分,並獲取相應的安全素養評價;檢視所回答題目的正確答案,彌補自己的安全意識漏洞,詳細學習相關安全知識,以提高使用者自身的安全意識。主要工作流程如圖3所示。
2.2 功能設計
本軟體採用模組化組織形式,通過模組分割槽,進行各種功能的管理與應用。該軟體的核心結構主要包括登入/註冊模組、測評答題模組、素養評測模組、正解回放模組、知識推送模組、系統管理模組,以上各功能模組相互配合,發揮各自作用,構成整個資訊保安素養評測的應用程式,主要模組功能設計涉及幾方面。
1)登入/註冊。軟體對使用者註冊的口令要求至少由數字、小寫字母、大寫字母、特殊字元中的任意兩項組成,同時規定口令必須由6~12個字元組成。軟體對所有的口令使用Hash函式進行訊息摘要後儲存在資料庫中。此外,本軟體通過訪問控制等手段確保註冊使用者的'測試結果不會被非授權的第三方獲取。以上這些功能將確保系統的安全性和保護使用者的隱私。
2)測評答題。軟體會提供包括身份(密碼)安全、資料安全、裝置和環境安全、主機安全、網路安全、無線安全、應用軟體安全、社交安全這九大知識型別,難度涉及高、中、低三種等級的題目給使用者,以適應不同領域、不同知識程度、不同安全需求的使用者進行自我評測和學習。
3)素養評測。軟體為使用者提供當次答題後的得分,並給出相應的評價。另外,通過雷達圖顯示使用者各種知識型別掌握程度強弱的分佈,方便使用者更直觀的瞭解自身哪一部分的安全知識有待提高,使得使用者可以有針對性地彌補自己安全意識的缺陷。
4)正解回放。使用者可以在每次答題結束之後用該功能檢視當次評測中每道題的正確答案,瞭解自己哪裡出錯,並獲取有關題目知識點的詳細點評。這樣由點及面,層層推進,強化使用者的自我學習,提高使用者的安全意識。
5)知識推送。使用者登入後,軟體伺服器參考使用者的歷史評估分數,分析錯題涉及的主要知識型別,推薦適應使用者安全水平的資訊保安知識測試題,並推送錯題所屬知識型別相關安全建議,以個性化和智慧化的服務幫助使用者提高資訊保安知識。此外,軟體可以在使用者接入網路時,通過比較本次評分與預先設定的報警值的大小給出使用者警示,評分偏小時,軟體將會推送安全提醒資訊,提示使用者保護網路環境下個人隱私。
6)系統管理。使用者可以每隔一段時間更改自己的賬戶口令,切實維護口令安全。此外,使用者可以在連線網路的情況下,申請試題更新,客戶端下載最新的資訊保安意識測試題庫,獲得最新安全知識。
3 軟體實現
3.1 開發環境及工具
1)JDK。JDK(Java SE Development Kit),也就是Java標準開發包,是Sun公司提供的基礎Java語言開發工具,該工具系統包含Java語言的編譯工具、執行工具以及執行程式的環境(即JRE)。系統選用JDK1.6作為Java的開發工具。
2)Eclipse IDE,一個多用途的開發工具平臺。系統選用Eclipse 3.7(代號Indigo)版作為本次開發平臺。
3)Android開發工具。ADT,基於Eclipse的Android開發工具擴充套件(Android Development Tools plugin),Eclipse的ADT外掛通過把包括模擬器、轉換器等開發工具直接整合到IDE中來簡化Android開發;Android SDK,即Android程式開發包(Software Development Kit),Android程式開發套件。
4)SQLite。它是一款輕型的資料庫,是遵守ACID的關係型資料庫管理系統,它的設計目標是嵌入式的,而且已經在很多嵌入式產品中使用可它。SQLite佔用資源非常的低,它能夠支援主流作業系統,並可以很好地和很多程式語言結合。
5)Tomcat,是Apache旗下的一款免費的開放原始碼的Web 應用伺服器,屬於輕量級應用伺服器。
3.2 軟體介面實現
Android為開發人員提供了基於XML(Extensible Markup Language)檔案的使用者介面(UI)開發模組,通過採用XML檔案來進行介面佈局,將佈局介面的程式碼和邏輯控制的Java程式碼分離開來,使應用程式的結構更加清晰,為軟體提供了一種非常簡單、方便的方法來控制UI介面[5]。本軟體參考介面設計的“黃金規則”[6],組合使用View(檢視)、Textview(文字框)、EditText(編輯框)、Button(按鈕)、Menu(選單)、Layout(佈局)等Android系統自帶的介面設定控制元件,設計出軟體各個介面,整體軟體介面格調基於偏藍色,呈現安全主題的厚重感,儘可能確保了軟體設計的一致性。設計的主介面包含“開始評估”、“評估結果”、“安全Tips”、“關於我們”、“登入”、“註冊”的形象化按鈕,如圖4所示,讓不同層次使用者直觀瞭解軟體提供的功能,實現了普遍而可用的特性;設計了友好的會話互動框,如軟體退出時的提示資訊,如圖5所示;設計了豐富的軟體反饋資訊,如註冊時,使用正則表示式判斷密碼長度、密碼型別是否符合設計準則要求,通過Toast控制元件給使用者帶來軟體操作溫馨提示,易於使用者接受。
另外,使用RadioButton、CheckBox控制元件以及LinearLayout線性佈局,設計出單選題、多選題、判斷題的Activity介面,如圖6所示的多選題。
3.3 軟體關鍵技術實現
3.3.1資料庫設計
軟體採用SQLite資料庫儲存資料,建立資料庫InformationSecurity。首先建立題目表Question,這是整個題庫設計的關鍵點。在Question表裡,系統建立題目難度等級的欄位rank,主要包括低、中、高,來區分不同難度的試題;建立題目主題欄位category,主要包含身份(密碼)安全、資料安全、裝置和環境安全、主機安全、網路安全、無線安全、應用系統安全、社交安全,通過表中一個欄位囊括當前主要的安全子領域,為使用者提供更加豐富的安全知識;建立能力級別欄位abilityrank,主要包括安全常識、安全原理、安全技術;建立安全場景欄位context,包括公用場景、工作場景、家庭場景以及三者之間的相互組合。
3.3.2 試題生成
試題集中判斷題、單選題、多選題分別有對應的三種Activity介面。軟體會根據使用者選擇的試題難度和主題類別,從試題資料庫裡按照關鍵字:題目主題欄位category、題目難度等級欄位rank,抽取出試題集生成臨時試題庫。然後,使用Java中Set集合,其特點是不允許包含相同的元素,儲存10道題的題號。具體過程就是重複10次,每次隨機取臨時試題庫中題目的題號,放入Set集合中,直到Set集個數為10時,即Set集中已生成各不相同的10道試題號,終止試題生成過程,最終按照生成的試題號,抽取出此次的測試題,按照試題的題目型別(判斷題、多選題、單選題),分別跳轉到對應的activity介面,形成每一次的測試題集。
3.3.3 評估及結果視覺化
使用者完成試題並提交後,軟體通過記錄使用者當前各題的選項結果,判斷是否匹配對應試題庫中題目的正確選項,按照每道題的設定的分數,計算當次得分。
3.3.4感知和知識推薦
軟體通過一個全域性字串陣列,來記錄使用者當前試題集的各題選項,全面感知使用者的答題情況,再與各題的正確選項進行匹配,便於軟體對試題評分;通過使用者評測得分表userscore,記錄註冊使用者的歷史測評成績,方便與當前的測試結果縱向比較,幫助使用者更好地瞭解自己的安全意識。
4 軟體執行情況及特色總結
4.1 軟體執行情況
使用者首先下載本軟體的安裝包,安裝軟體後,使用者點選應用圖示,進入軟體的首頁面。使用者輸入自己的賬戶、口令,進入答題系統,開始評估,如圖8所示,使用者可選擇“低”、“中”、“高”三種難度型別,也可以選擇自己感興趣的測試主題。軟體會根據使用者的選擇,生成對應的試題集,生成的答題題型包括判斷題、單選題、多選題。答題結束後,提交答卷,點選“測評結果”,如圖7所示,獲取本次的評測結果;點選“安全Tips”,將會向用戶提供這次答題的答案和參考建議,使用者點選每題列表,如圖9所示,就可以檢視此題的詳細解答,系統會提供詳細的安全知識參考,以便使用者進行安全知識學習。
4.2 軟體特色
1)評估和教育相結合。使用者通過答題,獲取相應的評估結果,軟體會給出使用者的安全素養評估結果,並且會提供使用者所做題目的正確答案以及詳細的安全知識介紹,方便使用者在安全評估的同時,學習對應的安全知識。
2)感知和知識推薦。軟體一方面可以記錄使用者評估試題的各個選項,以及相應的試題難度和主題類別資訊;另一方面可以記錄使用者的測評得分,提供歷史測評結果回放,方便縱向比較使用者資訊保安意識水平。此外,軟體根據使用者的評估結果,確認使用者資訊保安意識水平的高低,並向用戶推薦適合自身安全知識掌握程度的題目。
3)客觀評估與結果視覺化。軟體感知使用者答題選項,判斷是否匹配對應題目的正確選項,參照題目的分數設定,客觀計算使用者評估成績,並將評估成績通過雷達圖直觀顯示出來,全方位分析使用者的資訊保安素養水平。
4)提供碎片化學習途徑。使用者通過移動客戶端,可以在任意時間、任意地點、任意場景下,進行資訊保安知識的學習,充分體現了泛在學習的特點。使用者使用該系統短短几分鐘就可以完成一次測試和學習,不斷的碎片化測試和學
5 結束語
提高個人的資訊保安意識是資訊保安防護體系中不可或缺的一個環節,這已經成為人們的共識。目前已有一些資訊保安意識教育方法能夠幫助終端使用者學習資訊保安知識,提高資訊保安意識,來應對各類網路安全問題。本文設計實現的基於Android系統上的個人資訊保安素養評測手機軟體,能夠解決這些方法在實施中面臨的如何瞭解學習者的需求以及評估教育效果等問題。