對信息安全的理解精選(五篇)
發(fā)布時(shí)間:2023-10-11 17:26:29
序言:作為思想的載體和知識的探索者,寫作是一種獨(dú)特的藝術(shù),我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇對信息安全的理解,期待它們能激發(fā)您的靈感。
篇1
關(guān)鍵詞:用戶參與;信息安全;信息安全意識;業(yè)務(wù)流程結(jié)合;
作者簡介:謝宗曉(1979-),男,山東日照人,南開大學(xué)商學(xué)院博士研究生,研究方向:信息安全管理、網(wǎng)絡(luò)組織與治理等。
1引言
無論信息安全的關(guān)注點(diǎn)從單點(diǎn)轉(zhuǎn)向系統(tǒng),還是其手段從單純的技術(shù)/管理轉(zhuǎn)向體系,安全體系的核心始終都是用戶。因?yàn)樵谒邪踩珯C(jī)制中,一方面,用戶是機(jī)器系統(tǒng)的使用者,也是安全策略的執(zhí)行者,作為主體方存在;另一方面,用戶是安全策略約束的對象,作為客體方存在。
用戶在信息安全實(shí)踐中的作用往往被認(rèn)為是消極的,有些研究認(rèn)為,在任何系統(tǒng)的安全機(jī)制中,人是最薄弱的環(huán)節(jié)[1-2]。但是,目前不存在完全不需要用戶參與就能夠智能識別并適應(yīng)環(huán)境變化的安全防護(hù)系統(tǒng),就這點(diǎn)而言,用戶參與在現(xiàn)階段是不可避免的。此外,ISO/IEC27001:2005指出,信息安全的主要目的是確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險(xiǎn)最小化、投資回報(bào)和商業(yè)機(jī)遇最大化,也就是說信息安全是基于業(yè)務(wù)要求的適當(dāng)安全,過度的安全往往意味著浪費(fèi)。Spears等[3]的研究表明,用戶參與風(fēng)險(xiǎn)評估和控制措施設(shè)計(jì)過程可以提供足夠的業(yè)務(wù)信息,避免不切實(shí)際的安全控制,使實(shí)現(xiàn)適當(dāng)?shù)陌踩蔀榭赡堋R虼耍脩魠⑴c在信息安全實(shí)踐中是必須和必要的,本研究的目的是探討用戶參與在信息安全管理(informationsecuritymanagement,ISM)有效性中的作用。
2相關(guān)研究評述
2.1用戶參與
用戶參與的研究開始于20世紀(jì)60年代[4-5],目前多集中在信息系統(tǒng)開發(fā)領(lǐng)域中,在相當(dāng)長的一段時(shí)間內(nèi),用戶參與和用戶涉入的概念被認(rèn)為同義。Barki等[4,6]第一次將用戶涉入與用戶參與的概念分離,認(rèn)為用戶參與是系統(tǒng)開發(fā)過程中用戶執(zhí)行的一系列行為或活動(dòng),用戶涉入是用戶對一個(gè)系統(tǒng)的重要性以及與個(gè)體關(guān)聯(lián)程度認(rèn)識的主觀心理狀態(tài)。
用戶參與理論假設(shè)用戶參與與以系統(tǒng)質(zhì)量、用戶滿意度、用戶接受度、系統(tǒng)應(yīng)用等定義的系統(tǒng)成功之間存在關(guān)聯(lián)[5],其中隱含的含義為,在信息系統(tǒng)開發(fā)過程中的用戶參與并不是必須的,而在信息安全實(shí)踐中的用戶參與則明顯不同,只有部分參與與全員參與的區(qū)別,并不存在是否參與的區(qū)別。Doll等[7]認(rèn)為,在強(qiáng)制環(huán)境下,用戶涉入與用戶參與沒有區(qū)別。由于用戶參與在信息安全情境中已經(jīng)隱含了強(qiáng)制環(huán)境的含義,因此本研究也認(rèn)為用戶涉入與用戶參與同義。為了研究方便以及與信息系統(tǒng)開發(fā)過程形成更好的對應(yīng),本研究中的用戶參與是指用戶在安全策略制定過程中的一系列行為或活動(dòng)。
在信息安全研究領(lǐng)域,絕大多數(shù)研究都在關(guān)注安全功能的實(shí)現(xiàn),Dhillon等[8]在對文獻(xiàn)進(jìn)行分類梳理后認(rèn)為,信息安全研究主流必然從關(guān)注功能的范式轉(zhuǎn)向基于社會-組織視角的研究;Ashenden[9]反思人在信息安全管理中的作用,認(rèn)為其中來自人的挑戰(zhàn)被忽視了,并建議從管理學(xué)和組織行為學(xué)的角度研究信息安全管理所面臨的困境。之后涌現(xiàn)出的基于社會-組織視角的信息安全相關(guān)研究中,人的因素明顯成為熱點(diǎn),Johnston等[10]認(rèn)為恐懼訴求會影響員工遵守安全策略;Bulgurcu等[11]認(rèn)為員工遵守安全策略受規(guī)范信念和自我效能等因素的影響。
但是,這些關(guān)注員工遵守安全策略的研究與以往的功能范式研究假設(shè)前提一樣,即用戶參與(在信息安全中一般稱作人的參與)是作為消極因素出現(xiàn),這在信息安全風(fēng)險(xiǎn)評估和管理中尤為明顯。一般認(rèn)為人工評估是目前信息系統(tǒng)復(fù)雜到無法進(jìn)行全定量化和全自動(dòng)化評估時(shí)不得不采取的一個(gè)補(bǔ)充手段[12-14],如何去掉信息安全風(fēng)險(xiǎn)評估和管理過程中人的參與也成為其中的重要研究目標(biāo)之一[15]。
在信息安全情境中,專門研究用戶參與的文獻(xiàn)較少,僅有Spears等[3,16]探討用戶參與在信息安全風(fēng)險(xiǎn)管理中的作用,并得出用戶參與對信息安全風(fēng)險(xiǎn)管理有正向作用的結(jié)論,但對用戶參與在信息安全中的定義未進(jìn)行深入探討,直接用信息系統(tǒng)開發(fā)中的系統(tǒng)開發(fā)替代風(fēng)險(xiǎn)管理。問題在于,在定義信息安全術(shù)語的ISO/IEC27000:2009以及類似文獻(xiàn)中并沒有明確的用戶參與的詞匯,只有管理者、用戶以及全員參與等相關(guān)或相似詞匯。更重要的是,信息安全的概念比信息系統(tǒng)安全的概念大得多,后者主要圍繞信息系統(tǒng)展開,前者則包括與信息有關(guān)的所有方面,如信息系統(tǒng)安全、環(huán)境安全、通信安全和人員安全等各個(gè)方面。
2.2信息安全管理有效性
什么是成功有效的信息安全管理,目前并沒有統(tǒng)一的標(biāo)準(zhǔn)。無論是DeLone等[17]研究中涉及的6個(gè)維度的信息系統(tǒng)成功模型,還是He等[18]得到的2組8個(gè)因變量,都是關(guān)注信息系統(tǒng)的成功應(yīng)用,其本質(zhì)是效率或便利性的提高。但是幾乎所有的安全控制都增加了系統(tǒng)的操作復(fù)雜度,從而降低了效率,或者說,安全性與便利性存在某種程度上的矛盾。信息系統(tǒng)成功和信息安全管理成功指向不同的目標(biāo),因此,在信息安全管理情境下不能直接引用已有的信息系統(tǒng)成功模型。
已有的信息安全研究中對于有效性的表述各不相同。Chang等[19]在探討組織文化對安全管理有效性影響時(shí),將有效性表述為安全管理有效性,并用保密性、完整性、可用性和可核查性作為變量來表征;D'Arcy等[20]在研究員工安全意識對信息系統(tǒng)誤用的影響時(shí),將有效性表述為有效的安全對策;Brady[21]在研究影響信息安全法律法規(guī)符合性的影響因素時(shí),將有效性表述為安全有效性,并延用了Chang等[19]的研究構(gòu)念。
無論表述為哪個(gè)概念,絕大部分的研究在討論有效性時(shí)都是依據(jù)安全屬性和安全目的進(jìn)行判斷。ISO/IEC27002:2005對信息安全的定義是保持信息的保密性、完整性、可用性,也可包括真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。這個(gè)定義本身就包含了信息安全管理的主要目標(biāo),也包括了7個(gè)最常見的安全屬性描述。實(shí)際上學(xué)術(shù)界普遍認(rèn)可的信息安全的3個(gè)核心屬性是保密性、完整性和可用性,也稱為信息安全金三角或CIA(confidentiality,integrity,availability)框架[22],而對真實(shí)性、可核查性、不可否認(rèn)性和可靠性的認(rèn)識則各有不同。為了研究方便,本研究選取3個(gè)核心屬性表征信息安全管理的有效性。當(dāng)然,有效的信息安全管理還要考慮更多的因素,如應(yīng)該遵循成本效益分析的原則[23-24]等。
2.3信息安全管理體系
信息安全管理體系(informationsecuritymanagementsystem,ISMS)概念最初源于BS7799,它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全,包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源等內(nèi)容。信息安全管理體系的支撐標(biāo)準(zhǔn)是ISO/IEC27000標(biāo)準(zhǔn)族,共有60個(gè)標(biāo)準(zhǔn),編號為ISO/IEC27000~ISO/IEC27059,其中最重要的標(biāo)準(zhǔn)ISO/IEC27001:2005和ISO/IEC27002:2005已經(jīng)被等同為國家標(biāo)準(zhǔn),即GB/T22080-2008和GB/T22081-2008。
本研究以信息安全管理體系為背景研究用戶參與在信息安全管理中的作用,選擇信息安全管理體系作為研究用戶參與的背景主要原因如下。
(1)一般認(rèn)為信息安全管理體系是信息安全管理的一個(gè)可接受模型或最佳實(shí)踐[19,23-25],而且目前信息安全管理體系應(yīng)用非常廣泛。截至2011年6月,世界范圍內(nèi)已經(jīng)通過信息安全管理體系注冊的組織共有7279家,中國有497家(http:∥iso27001certificates.com/)。
(2)信息安全管理體系包括可能涉及的所有信息安全管理活動(dòng),ISO/IEC27000標(biāo)準(zhǔn)族不但給出建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全的基于業(yè)務(wù)風(fēng)險(xiǎn)的方法,而且還給出信息安全管理體系的要求、實(shí)用規(guī)則、審核指南以及相關(guān)安全域的具體指南等,僅ISO/IEC27002:2005信息安全管理實(shí)用規(guī)則就包括11個(gè)控制域、39個(gè)控制目標(biāo)、133項(xiàng)控制措施。
(3)信息安全管理體系相關(guān)標(biāo)準(zhǔn)是鼓勵(lì)用戶參與的,部署過程按照Plan-Do-Check-Act的戴明環(huán),階段劃分明顯,而且大部分的部署組織會申請第三方認(rèn)證,并在中國認(rèn)證認(rèn)可協(xié)會注冊,因此研究者可以非常清晰地判斷組織是否部署了信息安全相關(guān)措施、是否在信息安全實(shí)踐中有用戶參與行為等。
3研究假設(shè)和模型構(gòu)建
3.1用戶參與對信息安全管理有效性的直接影響
Ives等[26]對1959年至1981年的用戶參與與信息管理系統(tǒng)成功之間關(guān)系的實(shí)證研究進(jìn)行梳理發(fā)現(xiàn),22項(xiàng)研究中有8項(xiàng)表明用戶涉入與系統(tǒng)成功正相關(guān);Cavaye[27]對1982年至1992年的研究分析得出的結(jié)果基本類似,19項(xiàng)研究中有7項(xiàng)表明用戶涉入與系統(tǒng)成功正相關(guān),部分研究是無定論或負(fù)相關(guān);He等[18]從464項(xiàng)研究中選擇82項(xiàng)實(shí)證性研究進(jìn)行元分析,認(rèn)為用戶參與和信息系統(tǒng)開發(fā)的態(tài)度和行為與生產(chǎn)率存在不同程度的正相關(guān)。
雖然信息系統(tǒng)成功和信息安全管理成功指向不同的目標(biāo),但兩者的開發(fā)過程存在極大的相似性。信息安全管理體系的部署過程實(shí)際上是一整套安全策略體系的開發(fā)過程,可認(rèn)為是系統(tǒng)開發(fā)的一種,信息系統(tǒng)開發(fā)的過程包括需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、編碼、測試、上線、維護(hù)升級等階段,信息安全管理體系的部署過程包括風(fēng)險(xiǎn)評估、體系設(shè)計(jì)、文件設(shè)計(jì)與編寫、試運(yùn)行、持續(xù)改進(jìn)等過程。信息系統(tǒng)開發(fā)與信息安全管理體系部署的對應(yīng)關(guān)系見圖1。
基于此,本研究提出假設(shè)。
H1用戶參與對信息安全管理有效性有顯著的正向作用。
3.2信息安全意識及其中介作用
信息安全良好實(shí)踐(thestandardofgoodpracticeforinformationsecurity,SoGP)將信息安全意識定義為組織內(nèi)所有的員工理解信息安全的重要性,清楚組織所適用的安全級別,知悉并履行個(gè)人的安全職責(zé)。
用戶參與到建立信息安全管理體系的過程中,并承擔(dān)各種安全責(zé)任,可以加深用戶對信息安全的理解。Spears等[3]通過研究認(rèn)為,用戶參與到信息安全風(fēng)險(xiǎn)管理的過程中可以提高組織對信息安全風(fēng)險(xiǎn)和控制措施的重視程度,從而提高用戶的信息安全意識。基于此,本研究提出假設(shè)。
H2用戶參與對信息安全意識有顯著的正向作用。
Kruger等[28]認(rèn)為,安全控制的應(yīng)用效果依賴于積極的安全環(huán)境,其中每個(gè)人都具有較高的信息安全意識,都理解并執(zhí)行組織內(nèi)的程序和規(guī)程;反之,在消極的安全環(huán)境中,安全控制不但得不到有效的應(yīng)用,甚至?xí)灰?guī)避和濫用。按動(dòng)機(jī)分,主要有以下兩種情況。
(1)故意的。如銀行業(yè)務(wù)系統(tǒng)用戶的非法外聯(lián),由于不理解信息安全的重要性,不了解后果的嚴(yán)重性,這類用戶往往并不知悉組織的信息安全懲戒措施或相關(guān)的法律法規(guī),可以歸結(jié)為信息安全意識薄弱。
(2)無意的。如服裝設(shè)計(jì)人員不知悉哪些信息需要保密、哪些信息可以公開,將作廢的設(shè)計(jì)圖紙隨手扔進(jìn)垃圾箱,這可能導(dǎo)致信息泄漏,影響信息的保密性。再如,有些用戶對主機(jī)的安全操作規(guī)程不了解,隨便重啟服務(wù)器,這可能導(dǎo)致宕機(jī),并由此影響信息的可用性。
這些導(dǎo)致信息安全管理失效的行為或多或少與信息安全意識相關(guān)聯(lián)。
基于此,本研究提出假設(shè)。
H3信息安全意識對信息安全管理有效性有顯著的正向作用。
H4信息安全意識在用戶參與與信息安全管理有效性的關(guān)系中起中介作用。
3.3業(yè)務(wù)流程結(jié)合及其中介作用
系統(tǒng)質(zhì)量理論認(rèn)為,用戶參與可以使開發(fā)者真正了解系統(tǒng)需求,從而提高系統(tǒng)質(zhì)量[29-31]。在信息安全管理情境中,沒有涉及質(zhì)量這一概念,ISO9000:2005對質(zhì)量的定義是,一組固有特性滿足要求的程度,按照這個(gè)定義,信息安全管理的要求是滿足組織業(yè)務(wù)對安全的需要。用戶(尤其是業(yè)務(wù)流程負(fù)責(zé)人)參與到信息安全管理的建設(shè)過程中可以使安全策略開發(fā)者了解業(yè)務(wù)過程,同時(shí)也使他們自己更加理解安全策略目的,從而促進(jìn)安全策略與業(yè)務(wù)流程進(jìn)行結(jié)合,提高安全策略的質(zhì)量。Spears等[3]的研究證實(shí)用戶參與可以使信息安全風(fēng)險(xiǎn)管理更加符合業(yè)務(wù)情境。基于此,本研究提出假設(shè)。
H5用戶參與對業(yè)務(wù)流程結(jié)合有顯著的正向作用。
對用戶參與信息系統(tǒng)開發(fā)與系統(tǒng)使用之間關(guān)系的研究表明,只有在可選擇應(yīng)用的環(huán)境中進(jìn)行研究才有意義[17]。但Barki等[4]認(rèn)為,即使在強(qiáng)制應(yīng)用環(huán)境中,用戶還是可以根據(jù)自己的判斷(如態(tài)度和意愿)控制使用的程度,而信息系統(tǒng)的使用程度正是信息系統(tǒng)成功的參數(shù)之一。
信息安全管理是強(qiáng)制環(huán)境,但是在實(shí)際應(yīng)用中安全策略的設(shè)計(jì)者出于盡職免責(zé)的心態(tài),很容易陷入過度安全的狀態(tài),而業(yè)務(wù)流程負(fù)責(zé)人出于對自身利益的考慮則希望盡量減少安全控制對正常業(yè)務(wù)的影響,這種矛盾的存在往往會導(dǎo)致安全策略使用程度(被遵循程度)降低,即安全策略未得到有效實(shí)施。
由安全主管和業(yè)務(wù)流程人員共同參與設(shè)計(jì)安全策略是解決這個(gè)矛盾的途徑之一,這個(gè)過程往往是一個(gè)博弈的過程,最后一般會使組織的安全策略符合基線標(biāo)準(zhǔn)。只有這種充分考慮了業(yè)務(wù)要求的安全策略才能得到高“使用程度”,進(jìn)而提高信息安全管理的有效性。因此,本研究提出假設(shè)。
H6業(yè)務(wù)流程結(jié)合對信息安全管理有效性有顯著的正向作用。
H7業(yè)務(wù)流程結(jié)合在用戶參與與信息安全管理有效性的關(guān)系中起中介作用。
綜上所述,提出本研究模型,如圖2所示。
4研究設(shè)計(jì)
4.1樣本選擇
研究者從2011年6月前通過信息安全管理體系認(rèn)證的497家中國公司隨機(jī)抽取30家,給每家公司發(fā)放10份問卷,以郵寄的方式將問卷發(fā)放給被選公司的信息安全負(fù)責(zé)人,隨后以第三方認(rèn)證機(jī)構(gòu)電話確認(rèn)的方式,請公司信息安全負(fù)責(zé)人組織公司相關(guān)成員填寫問卷,并以郵寄的方式回收問卷。收回256份問卷,剔除問題填寫不完整的22份問卷,最終納入數(shù)據(jù)分析的問卷共234份,問卷的有效率為78%。填寫問卷人員的描述性統(tǒng)計(jì)如表1所示,其中男性占60.684%,女性占39.316%,與目前信息安全從業(yè)人員性別比例基本相符。
4.2變量和測量
4.2.1自變量:用戶參與
用戶參與沿用Barki等[6]和Spears等[3]的測量框架,按項(xiàng)目階段確定關(guān)鍵活動(dòng)。信息安全管理體系采用PDCA框架模型,階段劃分明確,本研究也采用分階段羅列關(guān)鍵活動(dòng)的方法對用戶參與程度進(jìn)行測量,每階段選取7項(xiàng)關(guān)鍵活動(dòng),用戶參與其中一項(xiàng)得1分,否則為0,以此類推,每個(gè)階段的用戶參與結(jié)果最小值為0,最大值為7。
用戶參與問卷以ISO/IEC27001:2005和謝宗曉等[22,32]描述的信息安全管理體系部署過程中一系列關(guān)鍵活動(dòng)為基礎(chǔ),選擇36項(xiàng)關(guān)鍵活動(dòng),其中計(jì)劃階段12項(xiàng)、執(zhí)行階段12項(xiàng)、檢查階段8項(xiàng)、改進(jìn)階段4項(xiàng),并把檢查和改進(jìn)階段合并為12項(xiàng)。在信息安全管理體系從業(yè)人員中選取22人,采用多選項(xiàng)-多選擇量表的方法,限定從業(yè)人員分別從36項(xiàng)關(guān)鍵活動(dòng)中選擇7個(gè)認(rèn)為最重要的選項(xiàng),從業(yè)人員分布見表2,選擇結(jié)果統(tǒng)計(jì)見表3。
4.2.2中介變量:信息安全意識和業(yè)務(wù)流程結(jié)合
無論在薩班斯奧克斯利法案還是在信息安全管理體系的情境下,信息安全意識和業(yè)務(wù)流程結(jié)合的含義基本一致,都是為了提高信息安全管理的有效性。信息安全意識量表和業(yè)務(wù)流程結(jié)合量表修改自Spears等[3]的問卷,該問卷為Likert7點(diǎn)量表,1為非常反對,7為非常支持。
4.2.3因變量:信息安全管理有效性
采用Chang等[19]設(shè)計(jì)、Brady[21]沿用并修改的Likert7點(diǎn)量表測量信息安全管理有效性,1為非常反對,7為非常支持。
由于信息安全意識、業(yè)務(wù)流程結(jié)合和信息安全管理有效性的測量量表引用自英文文獻(xiàn),為了保證問卷的有效性,研究者將英文翻譯成中文,請兩名中文專業(yè)碩士研究生對問卷的行文進(jìn)行修改以符合中文習(xí)慣,然后請兩位信息安全領(lǐng)域的專家比對問卷的中英文內(nèi)容并審核確認(rèn),所有變量及問卷項(xiàng)見表4。
4.3構(gòu)建有效性
用戶參與、信息安全意識、業(yè)務(wù)流程結(jié)合和信息安全管理有效性4個(gè)潛變量的信度(Cronbach'sα)、均值、標(biāo)準(zhǔn)差、極值和相關(guān)系數(shù)如表5所示。用戶參與、信息安全意識、業(yè)務(wù)流程結(jié)合、信息安全管理有效性的Cronbach'sα系數(shù)分別為0.723、0.802、0.640、0.948,信度較高,在可接受范圍內(nèi)。Mithas等[33]認(rèn)為,來源于實(shí)踐、經(jīng)過長期的實(shí)踐檢驗(yàn)且有權(quán)威來源的量表(如國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn))能夠保證測量的效度。本研究中問卷的測量符合以上要求,因此能夠保證效度。
4個(gè)潛變量之間的相關(guān)系數(shù)全部達(dá)到顯著相關(guān),數(shù)據(jù)適合多重中介模型檢驗(yàn)。
5實(shí)證結(jié)果和分析
5.1同源方差分析
由于本研究中變量數(shù)據(jù)均來源于自稱式問卷調(diào)查,容易導(dǎo)致變量之間的關(guān)系不能反映潛在構(gòu)念之間的真實(shí)關(guān)系,即共同方法偏差的存在容易導(dǎo)致構(gòu)念效度的降低,甚至影響研究假設(shè)的接受或拒絕,增加犯Ⅰ類錯(cuò)誤或Ⅱ類錯(cuò)誤的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法,本研究采取驗(yàn)證性因子分析方法分兩步對問卷共同方法偏差進(jìn)行分析,檢驗(yàn)結(jié)果如表6所示。
采用Harman單因子檢驗(yàn)方法對用戶參與、信息安全意識、業(yè)務(wù)流程結(jié)合和信息安全管理有效性進(jìn)行檢驗(yàn),如果方法變異明顯存在,驗(yàn)證性因子分析的結(jié)果容易析出一個(gè)單獨(dú)因子或者一個(gè)公因子解釋大部分變異[37]。由表6可知,單因子模型的擬合指標(biāo)沒有達(dá)到可以接受的標(biāo)準(zhǔn),NNFI=0.848,CFI=0.863,RMSEA=0.186。然而Harman單因子檢驗(yàn)方法的假設(shè)前提存在明顯的缺陷,除非存在非常嚴(yán)重的同源偏差問題,否則一個(gè)公因子解釋大部分變量變異的情況一般不會出現(xiàn)。為進(jìn)一步探查同源偏差的可能性,本研究采用不可測量潛在方法進(jìn)行因子檢驗(yàn),比較有共同方法偏差的模型與沒有共同方法偏差的模型,如果后者的擬合指數(shù)優(yōu)于前者的擬合指數(shù),表明變量數(shù)據(jù)不存在共同方法偏差。由表6可知,四因子模型的擬合指數(shù)比較好,RMSEA<0.080,CFI>0.900,NNFI>0.900,對四因子模型與其他3個(gè)競爭模型的χ2和AIC指標(biāo)(值越小越好)[38]進(jìn)行比較,無共同方法偏差的四因子模型明顯優(yōu)于其他3個(gè)有共同方法偏差的模型,說明各變量間不存在明顯的同源方差,用戶參與、信息安全意識、業(yè)務(wù)流程結(jié)合和信息安全管理有效性具有良好的區(qū)分效度。
5.2結(jié)果分析
多重中介模型的驗(yàn)證方法有多種,MacKinnon等[39]提到14種驗(yàn)證路徑的方法,在所有驗(yàn)證方法中,Preacher等[40]和Sobel[41]都推薦Bootstrapping方法,認(rèn)為該方法模型參數(shù)估計(jì)更為穩(wěn)健,結(jié)論也更可靠,更能避免Ⅰ類錯(cuò)誤,尤其是進(jìn)行多重中介研究時(shí)。本研究采用Bootstrapping方法,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0驗(yàn)證多重中介模型。按照提出的研究假設(shè),將用戶參與設(shè)定為自變量,將信息安全意識和業(yè)務(wù)流程結(jié)合設(shè)定為中介變量,將信息安全管理有效性設(shè)定為因變量,樣本數(shù)量設(shè)置為5000,置信區(qū)間設(shè)置為95%,對如下方程回歸系數(shù)的顯著性進(jìn)行檢驗(yàn),結(jié)果見表7和表8。
其中,c、a1、a2、c'、b1和b2為回歸系數(shù),ε1~ε4為殘差。
由表7可知,c=0.674(p<0.001),達(dá)到顯著水平,表明用戶參與程度的不同顯著影響信息安全管理有效性的高低,支持H1,同時(shí)也為中介效應(yīng)的檢驗(yàn)提供了基礎(chǔ)。a1=0.555(p<0.001),a2=0.421(p<0.001),表明用戶參與對信息安全意識和業(yè)務(wù)流程結(jié)合有顯著正向作用,支持H2和H5。b1=0.279(p<0.050),b2=0.183(p<0.050),表明信息安全意識和業(yè)務(wù)流程結(jié)合對信息安全管理有效性有顯著正向作用,支持H3和H6。
整體模型指標(biāo)中,F(xiàn)=26.508,p=0.000,說明自變量用戶參與通過中介變量信息安全意識和業(yè)務(wù)流程結(jié)合對因變量信息安全管理有效性的影響達(dá)到顯著水平。此外,模型的解釋率R2為0.247,表明還有其他變量能夠納入模型,這也是下一步研究的方向。
由表8可知,用戶參與對信息安全管理有效性總的間接效應(yīng)為0.155(a1b1)+0.077(a2b2)=0.232,對應(yīng)的Z檢驗(yàn)結(jié)果為3.581(p=0.000),偏差矯正與增進(jìn)95%bootstrap置信區(qū)間為{0.120,0.352},置信區(qū)間不包括零。因此,拒絕總的間接效應(yīng)為零的虛無假設(shè),表明總的間接效應(yīng)顯著。
在多重中介方法中,不但要關(guān)注總的間接效應(yīng),也要關(guān)注單獨(dú)的中介效應(yīng),由表8可知,中介效應(yīng)值如下。通過信息安全意識:a1b1=0.155(Z=2.569,p<0.050),偏差矯正與增進(jìn)95%Bootstrap置信區(qū)間為{0.048,0.270},置信區(qū)間不包括零;通過業(yè)務(wù)流程結(jié)合:a2b2=0.077(Z=1.967,p<0.050),偏差矯正與增進(jìn)95%Bootstrap置信區(qū)間為{0.018,0.162},置信區(qū)間不包括零。由此可見,信息安全意識和業(yè)務(wù)流程結(jié)合的中介效應(yīng)顯著,支持H4和H7。此外,兩個(gè)中介效應(yīng)的置信區(qū)間有重合的部分,且兩者比較檢驗(yàn)結(jié)果不顯著(Z=0.992,p>0.050),可以認(rèn)為兩個(gè)中介變量起到的中介作用沒有顯著差異,同等重要。
本研究概念模型的驗(yàn)證如圖3所示。
6討論
(1)本研究驗(yàn)證了用戶參與在信息安全管理中的正向作用,這對安全機(jī)制不能完全脫離人而運(yùn)轉(zhuǎn)的情況具有非常積極的意義。
(2)本研究解釋了用戶參與如何正向影響信息安全管理有效性。Spears等[3]驗(yàn)證了在薩班斯奧克斯利法案情境下用戶參與對控制措施績效的正向作用,但是并未揭示用戶參與如何影響控制措施績效。本研究通過構(gòu)造多重中介模型,揭示了用戶參與可以有效地提高員工的信息安全意識,促進(jìn)業(yè)務(wù)流程結(jié)合,使組織的信息安全管理體系更加符合組織的實(shí)際安全需求,最終促進(jìn)信息安全管理有效性。
(3)本研究采用多重中介的驗(yàn)證模型,應(yīng)用Preacher等[40]提供的SPSS宏,多重中介模型可以更清晰地揭示用戶參與影響信息安全管理有效性的路徑。
本研究結(jié)論對管理實(shí)踐具有一定的指導(dǎo)意義,主要體現(xiàn)在標(biāo)準(zhǔn)制定和安全實(shí)踐兩個(gè)方面。
(1)本研究證實(shí)了用戶參與的重要性和積極作用,為信息安全相關(guān)標(biāo)準(zhǔn)的制定、完善和提高提供了新的視角和依據(jù)。
(2)大部分組織的安全負(fù)責(zé)人都會盡量減少人在安全機(jī)制中的比重,以減少執(zhí)行的不確定性,這導(dǎo)致2010年至2011年68%的組織在安全技術(shù)方面的投入超過整體安全預(yù)算的10%,僅17%的組織在終端用戶安全意識教育方面的投入超過整體安全預(yù)算的10%,有35%的組織還不足1%;同時(shí),有41.100%的受訪組織經(jīng)歷了信息安全事件,攻擊源來自內(nèi)部用戶濫用網(wǎng)絡(luò)或郵件的占24.800%[42]。顯然,組織的安全負(fù)責(zé)人應(yīng)該將安全預(yù)算的分配更多地傾斜到終端用戶身上。對信息安全管理體系的咨詢和認(rèn)證人員而言,在咨詢和認(rèn)證的過程中,不應(yīng)僅關(guān)注安全技術(shù)的部署和安全制度的設(shè)計(jì),也應(yīng)關(guān)注如何鼓勵(lì)用戶參與到所有可能的活動(dòng)中,并承擔(dān)更多的責(zé)任。
7結(jié)論
篇2
【關(guān)鍵詞】 心血管內(nèi)科;護(hù)理;不安全因素;對策
隨著現(xiàn)今人們生活習(xí)慣的改變,心血管疾病的發(fā)生率越來越高,但是心血管內(nèi)科也是極易發(fā)生醫(yī)療糾紛的科室,除了與心血管系統(tǒng)疾病本身具有病因復(fù)雜、病情兇猛有關(guān)外,許多護(hù)理問題也時(shí)常引起不必要的糾紛。因此在對患者進(jìn)行護(hù)理時(shí),相關(guān)人員應(yīng)給予一定的重視。本文將我院2009年11月至2010年11月期間心血管內(nèi)科的50例患者作為研究對象,就心血管內(nèi)科護(hù)理的不安全因素進(jìn)行解析,并尋求改進(jìn)措施、探索相應(yīng)對策,為提高醫(yī)護(hù)人員的抗風(fēng)險(xiǎn)水平提供參考。
1 資料與方法
1.1 一般資料 抽取2009年11月至2010年11月期間心血管內(nèi)科的患者50例,隨機(jī)分為兩組,對照組和觀察組。對照組中有25例心血管內(nèi)科患者,患者的年齡段在42歲至80歲之間,平均年齡為(58.6±1.3)歲,其中男性16例,女性9例。觀察組中有25例心血管內(nèi)科患者,患者的年齡段在45歲至78歲之間,平均年齡為(60.2±1.5)歲,其中男性15例,女性10例。兩組患者在年齡、性別、疾病類型、疾病程度等各方面均無顯著差異(P﹥0.05),具有一定的可比性。
1.2 方法 對對照組中的心血管患者采取常規(guī)護(hù)理,即對患者進(jìn)行藥物、飲食等方面的護(hù)理。而對觀察組中的患者采取改良護(hù)理。即在對心血管內(nèi)科患者護(hù)理過程中的不安全因素進(jìn)行了解后,針對其不安全因素對其相關(guān)護(hù)理進(jìn)行改良。通過對兩組心血管內(nèi)科患者進(jìn)行問卷調(diào)查,了解患者對于護(hù)理的滿意程度,并且進(jìn)行比較分析。調(diào)查問卷實(shí)行百分制,其中80分至100分為滿意,60分至80分為比較滿意,60分以下為不滿意。
1.3 數(shù)據(jù)處理 將數(shù)據(jù)進(jìn)行分析,組間對比應(yīng)用t檢驗(yàn);數(shù)據(jù)采用例數(shù)(n)、百分?jǐn)?shù)(%)表示,P
2 結(jié) 果
對照組25例中,滿意9例(36%),比較滿意12例(48.0%),不滿意4例(16.0%),總滿意度84.0%;觀察組25例,滿意13例(52.0%),比較滿意11例(44.0%),不滿意1例(4.0%),總滿意度96.0%,因此相對于對照組,觀察組中心血管內(nèi)科患者對于護(hù)理的滿意程度更高,P
3 討 論
心血管疾病隨著生活習(xí)慣的改變,其發(fā)生率越來越高,并且其對于人們的生活質(zhì)量有一定的影響。在對患者進(jìn)行疾病治療時(shí),相關(guān)護(hù)理的質(zhì)量對于患者的疾病治療效果有一定的影響,而在對患者進(jìn)行相關(guān)護(hù)理時(shí)出現(xiàn)一定的不安全因素,應(yīng)針對其不安全因素對護(hù)理進(jìn)行一定的改良[1]。
由相關(guān)調(diào)查可以得知,在對心血管內(nèi)科患者進(jìn)行相關(guān)護(hù)理時(shí),存在一定的不安全因素。第一,由于心血管內(nèi)科的相關(guān)藥物和醫(yī)療器材等品種較多且較為復(fù)雜,在對患者進(jìn)行用藥時(shí),相關(guān)藥物的選擇以及劑量的使用時(shí),若沒有嚴(yán)格的按照藥物配伍進(jìn)行[2],對于患者的生命安全會造成一定的影響,在對醫(yī)療器材的使用上,若不能詳細(xì)了解使用程序或手法不熟練,例如日常除顫器的維護(hù)和管理出現(xiàn)紕漏,急救時(shí)儀器發(fā)生故障等,往往會延誤救治時(shí)機(jī),釀成安全事故。第二,心血管內(nèi)科的護(hù)理人員由于每天必須面對危重患者,所需承受的精神壓力和工作壓力巨大,在對患者進(jìn)行相關(guān)護(hù)理時(shí),尤其是工作繁復(fù)和緊張時(shí),有些護(hù)理人員難免會出現(xiàn)負(fù)面情緒,言辭使用不當(dāng),造成一定誤解。另一方面,在患者的疾病改變情況時(shí)相關(guān)護(hù)理人員并沒有進(jìn)行及時(shí)以及準(zhǔn)確的記錄,從而導(dǎo)致對于患者的疾病改變情況模糊。第三,患者及其家屬對于醫(yī)院醫(yī)療技術(shù)水平往往期望較高,而對于疾病本身相關(guān)知識則了解不多,在病情發(fā)生變化或突然惡化時(shí),往往不能接受事實(shí)而出現(xiàn)不良情緒,在患者和護(hù)理人員之間溝通不善時(shí)時(shí)常會引起糾紛,一定程度上影響了患者的相關(guān)護(hù)理質(zhì)量[3]。第四,患者在治療過程中未遵醫(yī)囑,或者自身癥狀不明顯時(shí)采取輕視態(tài)度,不能按時(shí)服藥,擅自離開病房,不注意對自己的保護(hù),出現(xiàn)問題時(shí)經(jīng)常將責(zé)任歸咎于醫(yī)護(hù)人員[4]。
在對心血管內(nèi)科患者進(jìn)行護(hù)理時(shí),針對所出現(xiàn)的上述不安全因素進(jìn)行相應(yīng)的改良。首先,應(yīng)加強(qiáng)相關(guān)護(hù)理人員的職業(yè)素養(yǎng)以及專業(yè)知識,從而有效的減少護(hù)患糾紛以及不必要的錯(cuò)誤。并且在對患者進(jìn)行相關(guān)心血管藥物的使用時(shí),應(yīng)根據(jù)患者的具體疾病情況,并且嚴(yán)格按照相關(guān)配伍原則對患者進(jìn)行用藥。第二,對患者進(jìn)行疾病相關(guān)知識的教育,增強(qiáng)與病患的溝通和交流,使患者對于疾病治療以及相關(guān)用藥有一定的了解[5]。從而有效的減少由于患者對于疾病相關(guān)知識的不了解而導(dǎo)致的錯(cuò)誤。第三,相關(guān)護(hù)理人員應(yīng)積極的耐心的與患者進(jìn)行溝通,對于患者的心理變化進(jìn)行及時(shí)的了解,對患者進(jìn)行相關(guān)的心理指導(dǎo),從而使得患者在進(jìn)行相關(guān)疾病護(hù)理時(shí)能夠以較為積極的心態(tài)進(jìn)行治療。第四,應(yīng)對患者的生命癥狀進(jìn)行密切的關(guān)注,患者應(yīng)定期的進(jìn)行相關(guān)檢查,若患者出現(xiàn)異常應(yīng)及時(shí)的進(jìn)行相應(yīng)的處理。第五,加強(qiáng)醫(yī)護(hù)人員的法律知識學(xué)習(xí),在工作過程中能用法律知識來減少不安全事件的發(fā)生,并且在醫(yī)患糾紛時(shí)用法律手段來捍衛(wèi)自己的權(quán)利[6]。第六,加強(qiáng)醫(yī)療器械的日常管理和維護(hù),確保器材能夠正常使用,定期開展護(hù)理人員對于醫(yī)療器材使用和維護(hù)的培訓(xùn),減少因儀器方面的差錯(cuò)引起的醫(yī)療事故。
由試驗(yàn)結(jié)果可以得知,對照組中對于護(hù)理滿意的患者有21例,占84.0%;而觀察組中對于護(hù)理滿意的患者有24例,占96.0%,兩組患者對于護(hù)理均較為滿意,但是相對于對照組,觀察組中心血管內(nèi)科患者對于護(hù)理的滿意程度更高(P
所以,在對心血管內(nèi)科患者進(jìn)行相關(guān)護(hù)理時(shí),應(yīng)針對護(hù)理過程中的不安全因素進(jìn)行相應(yīng)的改良,通過提高護(hù)理人員的專業(yè)知識以及職業(yè)素養(yǎng),加強(qiáng)護(hù)患溝通,從而有效的改善護(hù)理質(zhì)量,有一定的積極意義。
參考文獻(xiàn)
[1] 孫菊,梁艷平.淺析心血管內(nèi)科護(hù)理的不安全因素及其對策[J].心理醫(yī)生(下半月版),2012,(7):155- 155.
[2] 朱鳳珍,陳玉華,麻薇等.心血管內(nèi)科護(hù)理中潛在不安全因素分析[J].吉林醫(yī)學(xué),2007,28(6):846- 847.
[3] 包惠玲.心血管內(nèi)科護(hù)理中不安全因素分析[J].中國高等醫(yī)學(xué)教育,2011,(1):117- 118.
[4] 周柳嫦.心血管內(nèi)科護(hù)理中不安全因素分析[J].中國醫(yī)藥導(dǎo)報(bào),2010,7(16):197- 200.
篇3
【摘要】目的:觀察美托洛爾緩釋片在慢性心力衰竭合并阻塞性肺疾病患者治療中的療效。方法:收集2007年10月-2011年10月期間我院收治的52例慢性心力衰竭合并阻塞性肺疾病患者,將其隨機(jī)分為2組,對照組采用利尿、擴(kuò)血管、強(qiáng)心治療,治療組在對照組的基礎(chǔ)上加用美托洛爾緩釋片,治療10周后觀察,臨床癥狀、體征、心率、血壓、心功能變化情況。結(jié)果:治療組患者各項(xiàng)指標(biāo)均明顯改善,病人生活質(zhì)量明顯提高。結(jié)論:美托洛爾緩釋片可作為治療慢性心力衰竭合并阻塞性肺疾病患者的有效藥物應(yīng)用于臨床。
【關(guān)鍵詞】慢性阻塞性肺病; 慢性心力衰竭;療效
國內(nèi)相關(guān)學(xué)者和資料[1-2]研究表明慢性心力衰竭合并慢性阻塞性肺病(英文縮寫C0PD)的病人治療難度大,治療后患者的預(yù)后比較差。臨床中公認(rèn)-受體阻滯劑,可改善患者的心功能和臨床癥狀,提高患者的存活率和患者的生活質(zhì)量,降低患者的病死率。近些年來應(yīng)用-受體阻滯劑治療心力衰竭已成為臨床醫(yī)學(xué)領(lǐng)域研究的熱點(diǎn)。本文中筆者自2007年10月至2011年10月期間在筆者所在的醫(yī)院應(yīng)用一受體阻滯劑治療慢性心力衰竭合并阻塞性肺炎的患者52例,收到比較良好的臨床療效,現(xiàn)總結(jié)報(bào)道如下。
1 材料和方法
1.1 一般資料:本文中筆者收集自2007年12月~2011年10月期間我院內(nèi)科收治的52例心力衰竭合并阻塞性肺炎患者,將所有心力衰竭合并阻塞性肺炎患者隨機(jī)分為治療組和對照組,其中治療組患者28例,對照組患者24例。治療組中女7例,男17例,患者年齡35歲~79歲,平均61.9歲。治療組中心功能Ⅳ級6例,Ⅲ級12例,Ⅱ級1O例對照組中男性患者16例,女性患者12例,患者年齡3O歲~81歲,平均年齡64.3歲。對照組心功能Ⅳ級4例,Ⅲ級12例,Ⅱ級8例。兩組在病程、年齡、發(fā)病、性別、心衰分級上經(jīng)均衡性檢驗(yàn)差異無顯著性。
1.2 治療方法:對照組患者給予常規(guī)應(yīng)用洋地黃制劑、利尿劑及培哚普利。
治療組患者在對照組患者治療方法的基礎(chǔ)上加服美托洛爾緩釋片(哈爾濱制藥集團(tuán)制藥總廠生產(chǎn))l1.875mg,每天1次開始,根據(jù)病人耐受程度的不同每2周增加劑量1次,每次遞增劑量為11.875mg,逐漸達(dá)到目標(biāo)劑量47.5mg 95mg,1次/日。
1.3 西醫(yī)護(hù)理:無效:患者的心功能無改善或加重;有效:患者的心功能改善I級;顯效:患者的心功能改善Ⅱ級以上。
1.4 統(tǒng)計(jì)學(xué)方法:采用卡方檢驗(yàn)及t 檢驗(yàn)。
2 結(jié)果
2.1 2組治療前后心率比較
2.2 2組心功能改善情況比較差異有顯著性(P
3 討論
慢性心力衰竭合并阻塞性肺疾病是一種比較常見的臨床綜合征,慢性心力衰竭合并阻塞性肺疾病是各種病因的心臟病發(fā)展到終末階段所致。利尿、強(qiáng)心和改善血流動(dòng)力學(xué)是以前針對慢性心力衰竭合并阻塞性肺疾病的治療的主要方法,然而這種治療方法的長期療效并不是十分理想,患者產(chǎn)生心力衰竭的時(shí)候交感神經(jīng)興奮使心臟負(fù)荷加重,心肌缺血、缺氧加重,心率增快,心電不穩(wěn),讓患者容易出現(xiàn)心律失常的情況,而臨床中我們發(fā)現(xiàn)-受體阻滯劑治療心力衰竭不僅可擴(kuò)張患者的血管,延長患者的心室充盈時(shí)間,降低患者的心肌能量消耗,減輕患者的心臟前后負(fù)荷,改善患者的血流動(dòng)力學(xué),改善患者的心室收縮舒張功能,從而提高慢性心力衰竭合并阻塞性肺疾病患者的生活質(zhì)量和運(yùn)動(dòng)耐量,而且還能對抗心力衰竭時(shí)循環(huán)血中兒茶酚胺增高對心肌的損害,提高遠(yuǎn)期生存率,降低猝死率和病死率。
本文中筆者選用美托洛爾緩釋片聯(lián)合常規(guī)療法治療慢性心力衰竭合并阻塞性肺疾病療效顯著,并且元?dú)獐熜黠@,患者的心功能改善明顯。本文中筆者在應(yīng)用美托洛爾緩釋片治療該疾病時(shí)由小劑量開始,根據(jù)患者耐受情況逐漸增加劑量,這一點(diǎn)值得注意。
通過本文研究表明,應(yīng)用美托洛爾緩釋片(哈爾濱制藥集團(tuán)制藥總廠生產(chǎn))后,慢性心力衰竭合并阻塞性肺疾病患者的心功能得到改善,從而減輕家庭、社會的經(jīng)濟(jì)負(fù)擔(dān),節(jié)省醫(yī)療資源。建議應(yīng)盡早給予慢性心力衰竭合并阻塞性肺疾病患者美托洛爾緩釋片治療。
參考文獻(xiàn)
[1] 葉任高,陸再英.內(nèi)科學(xué)[M].6版.北京:人民衛(wèi)生出版社,2004:166.
[2] 戴閨柱.心力衰竭診斷與治療研究進(jìn)展[J].中華心血管病雜志,2003,31:641-645.
[3] 中華心血管病雜志編輯委員會.慢性收縮性心力衰竭治療建議[J].中華心血管病雜志,2001,30:7-23.
[4] 楊孜,李蓉,石凌懿,等.早發(fā)型重度先兆子癇的臨床界定及保守治療探討[J].中華婦產(chǎn)科雜志,2005,40(5):302-305.
[5] 李春華,武文惠.49例早發(fā)型重度子癇前期臨床分析[J].臨床醫(yī)藥實(shí)踐,2009,18(15):336 338.
篇4
一、引言
信息安全學(xué)科是在信息技術(shù)及其應(yīng)用的快速發(fā)展中逐漸形成的,它針對信息生成、存儲、傳輸、處理和交互的各個(gè)環(huán)節(jié),用數(shù)學(xué)方法刻畫和描述其變換的過程和狀態(tài),建立安全控制與管理模型,進(jìn)而保障信息及信息系統(tǒng)的高安全性、高可信性和高可用性。在當(dāng)前信息化和經(jīng)濟(jì)全球化的時(shí)代背景下,做好民族高校信息安全領(lǐng)域的教學(xué)研究工作,為國家儲備適應(yīng)全球形勢變化的復(fù)合型信息安全人才越發(fā)重要。
中南民族大學(xué)在信息安全人才培養(yǎng)方面做了很多工作。其計(jì)算機(jī)科學(xué)學(xué)院、數(shù)學(xué)與統(tǒng)計(jì)學(xué)學(xué)院在本科階段開設(shè)了信息安全方面的課程,計(jì)算機(jī)科學(xué)學(xué)院的信息安全專業(yè)碩士點(diǎn)于2012年開始招生。其中計(jì)算機(jī)科學(xué)學(xué)院從2006年開設(shè)《信息安全》雙語課程。信息安全教學(xué)研究方面還有長足的發(fā)展提升空間。
針對信息安全課程的特點(diǎn),結(jié)合我們雙語教學(xué)的經(jīng)驗(yàn)和體會,就《信息安全》雙語課程教學(xué)提出幾點(diǎn)新的和若干建議,其中關(guān)于教材的論述等課程相關(guān)情況見孟博老師的論文[1]。
二、信息安全課程特點(diǎn)
《信息安全》難教,學(xué)生難懂,實(shí)驗(yàn)難做。我們組成員以信息安全專業(yè)領(lǐng)域?yàn)榻虒W(xué)內(nèi)容,進(jìn)行教學(xué)模式與教學(xué)方法的研究與實(shí)踐。
《信息安全》課程特點(diǎn)[1-3]:
1.信息安全學(xué)科基礎(chǔ)涉及面廣。信息安全是一門新興的學(xué)科,也是一門綜合性很強(qiáng)的交叉學(xué)科,涉及密碼學(xué)、通信、數(shù)學(xué)、計(jì)算機(jī)等諸多學(xué)科。
2.信息安全專業(yè)基礎(chǔ)課程要求多。要想較好地掌握這門課程,需要學(xué)習(xí)數(shù)學(xué)基礎(chǔ)課程、電路基礎(chǔ)課程、密碼學(xué)基礎(chǔ)課程、計(jì)算機(jī)理論基礎(chǔ)課程、網(wǎng)絡(luò)通信基礎(chǔ)課程等。
3.信息安全專業(yè)前沿性強(qiáng),知識更新快。信息安全專業(yè)是圍繞攻防、對抗策略和技術(shù)展開研究的,隨著科學(xué)技術(shù)的發(fā)展,該研究領(lǐng)域的知識創(chuàng)新多且快。
我們在信息安全課程傳授的過程中面臨的困難如下所示:
(1)民族院校的學(xué)生專業(yè)素質(zhì)和英語素質(zhì)高低不齊;
(2)信息安全相關(guān)的資源分散;
(3)英語語言的教學(xué)與專業(yè)教育的脫節(jié);
(4)理論知識和實(shí)踐知識結(jié)合不緊密。
根據(jù)信息安全課程的特點(diǎn),只有保持信息安全傳授內(nèi)容理論與實(shí)踐知識的先進(jìn)性,及時(shí)了解該學(xué)科最新研究發(fā)展動(dòng)態(tài)和前沿,才能培養(yǎng)出具有實(shí)踐和創(chuàng)新能力的高層次高素質(zhì)人才。結(jié)合我們面臨的困難,考慮到兩個(gè)因素:(1)信息安全相關(guān)的前沿知識的語言載體是主要英語;(2)在課堂上嘗試將理論知識和實(shí)踐知識有機(jī)的結(jié)合起來,我們研究并實(shí)踐將虛擬仿真實(shí)驗(yàn)和CLIL雙語教學(xué)應(yīng)用到信息安全課程傳授中的模式。
三、虛擬仿真實(shí)驗(yàn)的概念及模式
虛擬仿真實(shí)驗(yàn)教學(xué)是學(xué)科專業(yè)與信息技術(shù)深度融合的產(chǎn)物,運(yùn)用虛擬現(xiàn)實(shí)技術(shù)模擬實(shí)物實(shí)驗(yàn)的計(jì)算機(jī)輔助教學(xué)軟件。目前的國內(nèi)外模擬仿真軟件總結(jié)如下。
PSPICE[4]是由SPICE(Simulation Program with Integrated Circuit Emphasis)發(fā)展而來的用于微機(jī)系列的通用電子電路功能的仿真,是一個(gè)多功能的電路模擬試驗(yàn)平臺;Tina Pro[5]是歐洲D(zhuǎn)esignSoft公司研發(fā)的一個(gè)電子設(shè)計(jì)自動(dòng)化軟件,它用于模擬與數(shù)字電路的仿真分析和設(shè)計(jì)研究,分析結(jié)果可以很好地展現(xiàn)在圖表或虛擬設(shè)備中;CircuitMaker[6]軟件用于電子電路仿真實(shí)驗(yàn),是一種用于電路描述與仿真的語言與仿真器軟件,用于檢測電路的連接和功能的完整性;Proteus[7]軟件是英國Labcenter electronics公司的EDA軟件,提供仿真單片機(jī)及外圍器件的工具,該軟件將電路仿真軟件、PCB設(shè)計(jì)軟件和虛擬模型仿真軟件三合一的設(shè)計(jì)平臺;Boson NetSim[8]模擬Cisco路由器、交換機(jī),可自定義網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及連接。
根據(jù)《教育信息化十年發(fā)展規(guī)劃(2011-2020年)》,教育部于2013年開始啟動(dòng)了開展了國家級虛擬仿真實(shí)驗(yàn)教學(xué)中心建設(shè)工作。北京郵電大學(xué)建設(shè)了國家級北郵電子信息虛擬仿真實(shí)驗(yàn)教學(xué)中心,開發(fā)了“開放式虛擬仿真實(shí)驗(yàn)教學(xué)管理平臺”[9,10]。我們嘗試將該平臺作為信息安全課堂的輔助教學(xué),其中一個(gè)教學(xué)內(nèi)容使用虛擬仿真平臺進(jìn)行的網(wǎng)絡(luò)構(gòu)建,如圖1所示。
四、CLIL雙語教學(xué)的概念及模式
雙語教學(xué)是在教學(xué)過程中使用除母語以外的一種外語,通過兩種語言作為教學(xué)媒介,并在教學(xué)過程中提高學(xué)生的專業(yè)能力和外語水平。關(guān)于雙語教學(xué)的模式,有多種不同的分類,如美國的“過渡式”、加拿大等“法語浸入式”等模式。20世紀(jì)20年代,CLIL(Content and Language IntegratedLeaning)[11-13]廣泛應(yīng)用于歐洲的雙語教學(xué)領(lǐng)域。CLIL中文譯為內(nèi)容和語言的融合學(xué)習(xí),是指將一門或多門外語作為非語言學(xué)科的教學(xué)語言,在此過程中,語言和學(xué)科將共同發(fā)揮作用。以學(xué)科內(nèi)容為核心,使用真實(shí)的語言及語言材料,在課堂教學(xué)中注重學(xué)生的語言、認(rèn)知和情感等因素。CLIL是歐盟在“培養(yǎng)多語言能力公民、促進(jìn)語言教學(xué)的發(fā)展和多樣化”的決議框架下推動(dòng)歐盟各國開展的一種雙語教學(xué)模式。這種模式相對于源于北美被全球普遍采納的浸入式雙語教學(xué),為雙語教學(xué)的理論研究和實(shí)踐教學(xué)都做出了具有革新意義的貢獻(xiàn)。
選擇英語作為學(xué)習(xí)信息安全學(xué)科知識的語言媒介,是因?yàn)橛⒄Z是當(dāng)今國際各種領(lǐng)域的交流合作中使用頻率最高的語言種類。為了使學(xué)生適應(yīng)國際化教育、產(chǎn)業(yè)的發(fā)展趨勢,有效獲得更多、更新的學(xué)科知識和科技信息,并能夠把我們的科技成果推向世界,高等教育承擔(dān)起培養(yǎng)具有國際視野、具備國際競爭能力的創(chuàng)新型、復(fù)合型高級專門人才的責(zé)任,而雙語教學(xué)可以說是承擔(dān)責(zé)任的前提或必要條件。特別是CLIL雙語教學(xué)模式對于中國的雙語教學(xué)更具有實(shí)際的借鑒意義。CLIL雙語教學(xué)模式可分為三個(gè)方面的內(nèi)容,如圖2所示。
1.內(nèi)容相關(guān)的學(xué)習(xí)(Content-related learning)。在課堂上使用的全英語教學(xué)材料,該材料是否合適教學(xué),主要看以下幾個(gè)方面:通過本教學(xué)材料的學(xué)習(xí),學(xué)生可否掌握兩個(gè)以上的知識點(diǎn);量化掌握知識的目標(biāo);通過什么策略讓學(xué)生來掌握這些知識點(diǎn),比如在學(xué)生已有知識的層面上通過視覺、或頭腦風(fēng)暴活動(dòng)、以更友好的方式展示知識點(diǎn)、通過不同的學(xué)習(xí)方式如游戲或者視頻支持、安排有挑戰(zhàn)性的任務(wù)給學(xué)生來完成;
2.語言相關(guān)的學(xué)習(xí)(Language-related learning)。解釋可能影響學(xué)生理解文章的單詞;量化和語言相關(guān)的學(xué)習(xí)掌握指標(biāo);寫出讓學(xué)習(xí)者完成目標(biāo)需要用到的策略,如盡量將英文材料通俗易懂、將關(guān)鍵詞標(biāo)下劃線、英文材料提供詞匯表等;
3.學(xué)習(xí)技能相關(guān)的學(xué)習(xí)(Learning skills-related learning)。標(biāo)出技能相關(guān)的目標(biāo);量化這些目標(biāo);設(shè)計(jì)好的策略幫助學(xué)習(xí)者完成這些目標(biāo),比如重新組織知識點(diǎn)、通過圖表等分析知識點(diǎn)等。
CLIL雙語教學(xué)模式認(rèn)為人的認(rèn)知過程可分為5個(gè)漸進(jìn)過程,即記憶、理解、運(yùn)用、分析、評價(jià)、創(chuàng)造(Remember,Understand,Apply,Analyse,Evaluate,Create)。其中記憶、理解、運(yùn)用是低層次的思維能力因?yàn)樗麄兏唧w,而分析、評價(jià)、創(chuàng)造是高層次的思維能力因?yàn)樗麄兏橄蟆?/p>
五、課程設(shè)置教學(xué)實(shí)踐方案
通過對現(xiàn)有理論和實(shí)踐經(jīng)驗(yàn)的研究和探索,采用虛擬仿真實(shí)驗(yàn)和CLIL雙語教學(xué)方法應(yīng)用到信息安全的課程教學(xué)實(shí)踐中。課程設(shè)置方案氛圍準(zhǔn)備階段、CLIL教學(xué)階段、虛擬仿真實(shí)驗(yàn)階段,各階段描述如下:
1.準(zhǔn)備階段:配發(fā)講義,其內(nèi)容主要與《Cryptography and Network Security Principles and Practice,F(xiàn)ifth Edition》(密碼編碼學(xué)與網(wǎng)絡(luò)安全-原理與實(shí)踐)課程內(nèi)容接近,補(bǔ)充專業(yè)詞匯和常見表達(dá)方式。該階段按照教學(xué)進(jìn)度安排學(xué)生自學(xué)并熟悉專業(yè)詞匯,同時(shí)利用CLIL教學(xué)中針對詞匯測試的有趣方法對學(xué)生進(jìn)行詞匯量的教學(xué)和測試。
2.CLIL教學(xué)階段。教學(xué)過程中給出不同的和密碼算法相關(guān)的英文版本供學(xué)生閱讀、參考和討論。在此基礎(chǔ)上,針對不同的密碼算法設(shè)計(jì)有特色的相關(guān)的簡單的任務(wù),教師講解,學(xué)生組成團(tuán)隊(duì)合作,在給定的時(shí)間內(nèi)呈現(xiàn)設(shè)計(jì)方案并且陳述其方案,交流的過程主要使用英語完成。
3.虛擬仿真實(shí)驗(yàn)階段。在教學(xué)過程中,在算法很抽象或者熟悉相關(guān)密碼算法后,老師通過虛擬仿真實(shí)驗(yàn)平臺展示該算法的原理或?qū)嶋H應(yīng)用,將抽象內(nèi)容形象化和具體化。安排學(xué)生組成團(tuán)隊(duì)利用虛擬仿真實(shí)驗(yàn)平臺設(shè)計(jì)網(wǎng)絡(luò)安全實(shí)驗(yàn),進(jìn)一步鞏固、實(shí)踐其所學(xué)習(xí)的密碼理論知識。
六、信息安全雙語課程教學(xué)的心得與體會
將虛擬仿真實(shí)驗(yàn)和基于CLIL的雙語教學(xué)引入到信息安全的課堂教學(xué)中,使得教學(xué)模式和方法多樣化、智能化、規(guī)范化、國際化,旨在提高學(xué)生專業(yè)英語聽說寫能力;加強(qiáng)創(chuàng)新精神和實(shí)踐能力的培養(yǎng);更生動(dòng)形象傳達(dá)不易理解的知識。具體意義如圖3描述,總結(jié)如下:
1.引入CLIL雙語教學(xué)理論,將語言和學(xué)科融合進(jìn)教學(xué)。學(xué)習(xí)探討國際上主流的被大家認(rèn)可的雙語教學(xué)理論如CLIL,在此基礎(chǔ)上探索適合民族院校學(xué)生特點(diǎn)的教學(xué)方式方法,在《信息安全》專業(yè)課程的講授過程中將英語的語言能力培養(yǎng)與信息安全的專業(yè)內(nèi)容融合起來一起學(xué)習(xí),在此過程中,語言和學(xué)科將共同發(fā)揮作用。旨在提高學(xué)生的專業(yè)英語能力、擴(kuò)大學(xué)生的知識面,為國家培養(yǎng)高素質(zhì)復(fù)合型專業(yè)人才隊(duì)伍。
2.搭建虛擬仿真實(shí)驗(yàn)平臺,將理論和實(shí)踐融合進(jìn)教學(xué)。在課堂教學(xué)過程將動(dòng)畫模擬、虛擬仿真、遠(yuǎn)程實(shí)驗(yàn)和實(shí)物實(shí)驗(yàn)優(yōu)化組合,探索各類案例的優(yōu)勢互補(bǔ),旨在調(diào)動(dòng)學(xué)生學(xué)習(xí)積極性、啟迪思維、激發(fā)潛能。通過虛擬仿真實(shí)驗(yàn)平臺,整合信息安全的相關(guān)資源,提供智能化的教學(xué)服務(wù)同時(shí),培養(yǎng)學(xué)生的創(chuàng)新能力和動(dòng)手能力。
本論文的探索方法將是鼓勵(lì)課前預(yù)習(xí)、課程參與、課后實(shí)踐。講授方式的選擇將會優(yōu)化組合教學(xué)模式,激發(fā)學(xué)生學(xué)習(xí)熱情,提高學(xué)習(xí)的主動(dòng)性,提高學(xué)生的上課注意力。通過CLIL模式中各類學(xué)習(xí)技巧,逐步提高學(xué)生的英語能力和專業(yè)素質(zhì)。
七、總結(jié)
本論文探索將CLIL雙語教學(xué)模式和虛擬仿真實(shí)驗(yàn)應(yīng)用到信息安全的課程教學(xué)過程中。學(xué)習(xí)探討適合信息安全課程特點(diǎn)和民族院校教學(xué)特點(diǎn)的雙語教學(xué)理論如CLIL雙語教學(xué)模式,在《信息安全》專業(yè)課程的講授過程中將英語的語言能力培養(yǎng)與信息安全的專業(yè)內(nèi)容融合起來一起學(xué)習(xí),語言和學(xué)科將共同發(fā)揮作用;同時(shí)運(yùn)用虛擬仿真實(shí)驗(yàn)等輔助手段,將信息安全的理論知識和實(shí)踐知識結(jié)合起來,提高學(xué)生對信息安全專業(yè)的認(rèn)知程度。我們所做的努力最終的目標(biāo)是讓學(xué)生從記憶、理解、運(yùn)用知識到能分析、評價(jià)、創(chuàng)造知識的轉(zhuǎn)變,為社會培養(yǎng)大量既有豐富的專業(yè)知識又精通英語的高素質(zhì)復(fù)合型人才。
篇5
信息安全大致可以分為兩個(gè)方面一個(gè)是管理層方面;另一個(gè)是網(wǎng)絡(luò)方面。本段將會對這兩個(gè)方面所包含的內(nèi)容作一下概述,以方便企業(yè)在進(jìn)行信息安全管理制度的建立上可以進(jìn)行全方位的掌控。
1.1管理層方面
管理層方面的信息安全大致也包括物理層方面和管理層方面。
(1)物理層方面的信息安全主要是指物理環(huán)境建設(shè)安全尤其是信息中心物理環(huán)境安全。環(huán)境安全包括防火防水防自然災(zāi)害和物理災(zāi)害等。在環(huán)境安全中,企業(yè)必須要有足夠的認(rèn)識,機(jī)房建設(shè)要嚴(yán)格按國家機(jī)房建設(shè)標(biāo)準(zhǔn)進(jìn)行,做好防雷、防水、防靜電等安全措施,從而杜絕各類安全隱患的發(fā)生。對企業(yè)內(nèi)部員工要加強(qiáng)計(jì)算機(jī)安全使用規(guī)程的教育,確保計(jì)算機(jī)在安全的環(huán)境中使用,保證人長時(shí)間離開計(jì)算機(jī)時(shí)斷開電源以確保安全。
(2)管理層方面的信息安全主要是指企業(yè)內(nèi)部的管理制度建立是否完善,執(zhí)行效果如何,企業(yè)內(nèi)部員工對于信息安全的認(rèn)識程度,企業(yè)內(nèi)部員工職業(yè)道德的培養(yǎng),企業(yè)內(nèi)部員工信息安全的教育培訓(xùn),網(wǎng)絡(luò)技術(shù)人員技術(shù)能力的審核與培訓(xùn)以及企業(yè)內(nèi)部部門的分工等。企業(yè)必須要建立完善的信息安全管理制度,這個(gè)制度是由一個(gè)總的管理制度和各部門的管理制度和監(jiān)督制度共同構(gòu)成的。每一個(gè)部門根據(jù)信息資產(chǎn)內(nèi)容的不同應(yīng)該有自己相應(yīng)的信息安全管理制度以確保制度的行之有效。其次要設(shè)有完善的監(jiān)督機(jī)制來配合管理制度的實(shí)施,一個(gè)制度的建立,必須要能夠執(zhí)行下去,且執(zhí)行過程是有效的才能夠發(fā)揮管理制度的功效。而監(jiān)督機(jī)制就是對制度執(zhí)行情況的進(jìn)行監(jiān)測,對執(zhí)行的效果進(jìn)行審核作用的機(jī)制。其次是對于企業(yè)員工的職業(yè)素養(yǎng)和信息安全的教育培訓(xùn),這方面將在下一部分進(jìn)行具體論述。最后就是對干企業(yè)內(nèi)部各部門之間的分工。在一個(gè)企業(yè)內(nèi)部是有一套自己的工作流程的,但是這個(gè)工作流程是伴隨著信息的流動(dòng)產(chǎn)生的。所以在信息流動(dòng)的過程中需要將信息轉(zhuǎn)變的過程進(jìn)行分工,以此來保障信息在局部過程中的完整性,以防止一個(gè)環(huán)節(jié)出現(xiàn)問題導(dǎo)致全局崩潰的情況發(fā)生。對此,企業(yè)內(nèi)部不但要細(xì)化工作流程,對于信息轉(zhuǎn)化過程也要進(jìn)行分工,以防止問題的發(fā)生。
1.2網(wǎng)絡(luò)層方面
網(wǎng)絡(luò)層方面的信息安全主要是指網(wǎng)絡(luò),系統(tǒng)和應(yīng)用三個(gè)方面。在網(wǎng)絡(luò)層方面的信息安全不只存在于IT部門,它應(yīng)該在整個(gè)企業(yè)內(nèi)部的員工中都得到重視。(1)網(wǎng)絡(luò)。主要是包括網(wǎng)絡(luò)上的信息以及設(shè)備的安全性能。其中可細(xì)化為網(wǎng)絡(luò)層身份的認(rèn)證,系統(tǒng)的安全,信息數(shù)據(jù)傳輸過程中的保密性,真實(shí)性和完整性以及網(wǎng)絡(luò)資源的訪問控制等。而這些網(wǎng)絡(luò)層的信息安全出現(xiàn)問題,可能導(dǎo)致有網(wǎng)絡(luò)黑客的侵入,計(jì)算機(jī)犯罪,信息丟失,信息竊取等威脅的存在。
(2)系統(tǒng)。造成系統(tǒng)層信息安全威脅的原因,可能出在兩個(gè)方面:操作系統(tǒng)本身就存在安全隱患,在配置操作系統(tǒng)的過程中存在安全配置的問題。
(3)應(yīng)用。在應(yīng)用層影響信息安全的問題上,是指應(yīng)用軟件以及一些業(yè)務(wù)往來數(shù)據(jù)的安全,例如即時(shí)通訊系統(tǒng)和電子郵件等。當(dāng)然,也包括一些病毒的入侵,對于系統(tǒng)所造成的威脅。
二、信息安全教育
2.1保密協(xié)議
在信息安全教育培訓(xùn)的第一步需要對保密協(xié)議進(jìn)行細(xì)致設(shè)計(jì)。有的企業(yè)認(rèn)為,保密協(xié)議應(yīng)該只針對于不同部門間需要保密的內(nèi)容進(jìn)行設(shè)計(jì),使不同部門的員工簽署不同的保密協(xié)議。這是不妥的想法,而且也比較繁善。雖然不同部門間員工經(jīng)常涉及到的信息保密不同,但有可能員工會有不同部門間的調(diào)配或者是不同部門間信息的相互獲取。所以在保密協(xié)議上要讓員工簽署的是整個(gè)企業(yè)內(nèi)所有需要保密的內(nèi)容都要進(jìn)行保密協(xié)議的確認(rèn)。有些企業(yè)認(rèn)為保密協(xié)議的簽署應(yīng)該是在員工熟悉信息安全制度和進(jìn)行安全教育培訓(xùn)之后再進(jìn)行。這也是不妥的想法,因?yàn)樵趩T工進(jìn)入公司的那一刻幵始,他就開始接觸企業(yè)內(nèi)的信息,所以需要員工在簽署勞動(dòng)合同的同時(shí)就要進(jìn)行保密協(xié)議的簽署。在新員工簽署保密協(xié)議的時(shí)候,企業(yè)的人力資源部門如果沒有對新員工講解企業(yè)保密協(xié)議,新員工對保密協(xié)議的內(nèi)容都不了解而盲目簽署,這使保密協(xié)議形同虛設(shè),并不能發(fā)揮真正的作用,新員工對干信息安全的重要性也就得不到足夠的重視,所以必須認(rèn)真講解保密協(xié)議內(nèi)容后,使員工理解保密協(xié)議的重要性再進(jìn)行簽署。
2.2信息安全管理制度
信息安全管理制度確立以后,需要對員工進(jìn)行信息安全制度的培訓(xùn)。在培訓(xùn)過程中,企業(yè)不光要對于員工本崗位信息安全內(nèi)容作介紹,對于其他部門信息安全內(nèi)容也要做介紹,以確保員工形成信息安全的意識。在企業(yè)內(nèi)部,很多員工對于信息安全的意識不夠,甚至認(rèn)為企業(yè)的信息根本就沒有什么重要性,在工作外的時(shí)間里隨意的就將企業(yè)的一些重要信息透露出去從而可能導(dǎo)致企業(yè)受到損失。對此,加強(qiáng)企業(yè)內(nèi)部員工的信息安全教育培訓(xùn)是十分重要的。其中培訓(xùn)可以分為兩個(gè)部分。(1)對于企業(yè)內(nèi)部所有員工進(jìn)行信息安全意識的教育培訓(xùn)。(2)對于企業(yè)內(nèi)部的信息技術(shù)人員進(jìn)行扣關(guān)技術(shù)知識的教育培訓(xùn)。
2.3員工職業(yè)素養(yǎng)的教育
在企業(yè)內(nèi)部對員工的職業(yè)素養(yǎng)也需要進(jìn)行培訓(xùn)。譬如對干一些業(yè)務(wù)員來說,職業(yè)素養(yǎng)的培訓(xùn)是非常重要的,業(yè)務(wù)員手中掌握的業(yè)務(wù)信息對于企業(yè)來說是至關(guān)重要的信息,如果這方面的信息出現(xiàn)問題就可能導(dǎo)致企業(yè)業(yè)務(wù)的流失,以及業(yè)務(wù)的持續(xù)性中斷。所以企業(yè)要對內(nèi)部員工的職業(yè)素養(yǎng)進(jìn)行培訓(xùn),從而促使員工清楚保證企業(yè)的信息安全也是對一個(gè)員工職業(yè)素養(yǎng)的基要求。
2.4普及計(jì)算機(jī)及網(wǎng)絡(luò)知識的教育
企業(yè)內(nèi)部員工根據(jù)職能的不同對于計(jì)算機(jī)熟悉程度的要求也是不同的。對于普通的辦公室職員來說,會簡單的基本操作就可以了。但是,如果從信息安全的角度來講的話,員工只會基本的操作是遠(yuǎn)遠(yuǎn)不夠的,必須要普及網(wǎng)絡(luò)安全等方面的知識。譬如在計(jì)算機(jī)旁盡量不要有水或飲料的出現(xiàn),因?yàn)橛锌赡芤驗(yàn)閱T工的不小心而將水灑在計(jì)算機(jī):,從而導(dǎo)致計(jì)算機(jī)的短路等情況的發(fā)生。還有,員工在使用U盤的時(shí)候,有可能將家見或是其他計(jì)算機(jī)k的病毒帶到企業(yè)內(nèi)部,導(dǎo)致企、計(jì)算機(jī)被病毒入侵,促使信息的安全受到威脅。所以說,對于企業(yè)內(nèi)部的員工,應(yīng)該普及計(jì)算機(jī)及網(wǎng)絡(luò)知識的教育和培訓(xùn),以確保信息的安全,從而促使員工有更尚的信息安全意識。
三、結(jié)語
