青骥编译 l 关于布鲁姆分类法在信息安全教育的应用

关于汽车网络安全能力建设，不单涉及到安全管理和技术本身，还涉及到教育学相关的理论基础，人的认知能力程度到底该如何分类分级？如何将这种认知分级融入到汽车网络安全能力建设方面？理论自洽之后，也许能有针对性地提供网络安全培训。本论文发表于2008年，主要针对信息安全领域进行探讨，我想也同样适用于汽车网络安全能力建设模型，后续我们将系统的翻译网络安全能力建设相关的论文--编者。

摘要：在组织里，针对不同角色和责任进行网络安全培训的重要性不言而喻，然而，许多当前的用户教育计划是由并非具备教育背景的安全专业人员创建的。本文展示了如何利用学习分类法，特别是布鲁姆的分类法，来改进此类教育计划。作者认为，正确使用这种分类法将有助于确保教育水平适合预期的目标受众。

1.引言

安全培训的目标主要为了确保每位员工都能掌握必要的知识和/或技能，以安全的方式开展工作。现在很多培训项目都是由网络安全专业人员制定，但他们没有教育专业背景。研究表明现在大量的意识培训方法缺乏理论基础。他们并没有理解安全教育或者意识问题的特性，导致培训项目和指南在实践应用时效率不高。本文介绍了如何使用布鲁姆修订的术语定义作为系统框架，帮助信息安全培训项目制定者将人员的学习目标融入到网络安全流程里面。

本文采用定性的研究方法，也被认为是基于不同方法传统的理解探索社会或人类问题。由于教育也是个专业领域，也被认为借鉴了人文社科的研究方式。此处所研究的内容并不试图定义新的知识，更希望是展示如果使用布鲁姆分类法可以用来改善网络安全培训项目。本文也是作者在原有布鲁姆分类法基础上拓展，他的信念是使用布鲁姆分类法提高对教学，学习目标的理解，也应当在培训项目和网络安全专员的支持。论文的剩下的部分也是简单的方法测试，然后讨论在网络安全培训领域的可行性。

2.布鲁姆的认知领域分类法

布鲁姆的分类法可能是最为人所知和广泛使用的人类认知过程模型之一。布鲁姆的模型最初于1950年代开发，并一直保持着几乎不变，直到最近的时候。2001年发布了分类法的修订版本[4]。这个修订版在当前教育思维方面被认为更为适用。布鲁姆的分类法的两个版本都包含六个层次，随着学习人员逐渐提升，复杂度也逐渐增加。图1展示了这个分类法的两个版本。

分类法的原版和修订版之间有两个主要区别。首先，修订版为每个层次使用了更准确描述其意义的描述性动词。其次，修订版将原版中的最后两个层次进行了交换。这是因为最近的研究表明，生成、规划和制作一个原创的“产品”需要比基于已接受标准做出判断更复杂的思维。修订版分类法中的复杂性层次也比原版更灵活，它认识到在延续性的认知过程中，个体可能在不同层次之间移动。本文将重点讨论修订版的分类法。除非另有说明，否则在本文提到布鲁姆的分类法时，应默认指的是修订版。以下是对修订版分类法的六个层次的简要解释：

记忆（Remember）：记忆指的是对先前学过的事实进行机械性地回忆和识别。在认知领域中，这个层次代表了最低的学习水平，因为并不假设学习者理解所回忆的内容。
理解(Understand)：这个层次描述了对材料进行“理解”的能力。在这种情况下，学习超越了机械性的回忆。如果学习者理解了材料，那么他们将能够在未来的问题解决和决策中运用这些知识。
应用(Apply)：第三个层次在第二个层次的基础上增加了在新情境中使用所学材料的能力，而无需过多指导。这包括将规则、概念、方法和理论应用于解决给定领域内的问题。这个层次结合了程序性记忆的激活和收敛思维，以正确选择和应用知识来完成全新的任务。实践对于达到这个学习层次至关重要。
分析(Analyze)：这是将复杂概念分解为更简单组成部分的能力，以更好地理解其结构。分析能力包括识别复杂系统的基本部分，并研究这些部分与整体之间的关系。这个阶段比第三个阶段更为复杂，因为学习者必须意识到所使用的思维过程，并且必须理解材料的内容和结构。
评估(Evaluate)：评估涉及根据指定的标准和准则来判断某物的价值。这些标准和/或准则可能由学习者确定，也可能由学习者获得。这是一种高级认知水平，因为它要求将来自其他几个层次的元素与基于明确标准的有意识判断相结合使用。为了达到这个层次，学习者需要巩固他们的思维，并且应该更加接受其他观点。
创造(Create)：这是分类法中最高的层次，指的是将各种部分组合起来，以形成对学习者来说是新的想法或计划的能力。这个层次强调创造力和利用发散性思维过程形成新的模式或结构的能力
除了认知领域的这些层次之外，[4]还非常强调对知识维度的以下分类的使用[4，第45-62页]：
事实知识 - 学习者必须了解的学科基本要素，以便熟悉该学科。例如，术语或具体细节和元素。
概念知识 - 较大结构中基本要素之间的相互关系，使这些要素能够共同发挥作用。例如，分类、类别、原则、理论、模型等。
程序性知识 - 如何做某事，研究方法，如何使用技能，应用算法、技术和方法。例如，学科特定的技能、算法、技术和方法，以及确定何时使用适当程序的标准知识。
元认知知识 - 对自己认知过程的意识和知识。例如，战略知识、自我认知、对认知任务的知识，包括情境和条件性知识。

在认知领域的这六个层次上的活动通常与四种类型的知识中的一个或多个结合在一起，以概述教育计划的学习目标。通常会使用学习目标陈述来创建一组学习活动。学习活动是帮助学习者达到学习目标的活动。学习活动由一个动词和一个名词组成，动词与认知领域的一个层次上的活动相关，名词提供了对特定学习目标与知识类别之间关系的额外洞察力。使用分类法通常有助于教育工作者更好地理解学习目标和活动。然而，并不总是清楚这种增加的理解如何帮助教育工作者。将以下四个“组织问题”确定为分类法（如布鲁姆的分类法）对教育工作者最重要的领域：

学习问题：在有限的时间内，学习者最重要学习什么？
教学问题：如何规划和传授教学，以使大量学习者能够达到高水平的学习？
评估问题：如何选择或设计评估工具和程序，以提供关于学生学习情况的准确信息？
对齐问题：如何确保目标、教学和评估相互一致？

在大多数情况下，正确使用分类表（如表2所示），将认知和知识维度的元素结合起来，将使教育工作者在一定程度上能够回答这些问题。

3.布鲁姆分类法在信息安全教育中的应用

学习分类法帮助教育工作者描述和分类认知、情感和其他维度中个体在学习过程中所处的阶段。简单来说，学习分类法帮助我们“理解“理解””[8]。在信息安全教育中，这种元认知水平常常被忽视。根据Siponen的观点，意识和教育活动可以广泛分为两类，即框架和内容[3]。框架类别包含可以以结构化和定量的方式处理的问题。这些问题构成了更明确的知识。然而，第二类别包含更多跨学科性质的隐性知识。这个第二领域的不足通常会使意识框架失效[3]。例如，如何真正激励用户遵守安全准则就是属于这个内容类别的问题之一。

为了确保所有员工的学习成功，充分了解每个员工的教育需求非常重要。经理们经常试图满足员工的安全教育需求，但却没有充分研究和理解导致这些需求的根本因素。有人认为教育材料理想情况下应根据个体学习者的学习需求和学习风格进行定制。同样可以认为，未针对个体或特定目标受众的具体需求量身定制的意识活动将是无效的。了解这些需求是学习分类法发挥重要促进作用的关键。

信息安全专家应在编制教育活动的内容类别之前使用像布鲁姆分类法这样的分类法。使用这样的分类法可以更好地了解目标受众的学习需求。它还可以减少只关注这些活动的框架类别的倾向。例如，仅仅教授个体密码的概念，可能只涉及布鲁姆分类法的记忆和理解层次。然而，理解为什么自己的密码也很重要，并且应该得到妥善构建和保护的必要信息，可能涉及到分类法的评估层次。信息安全专家可能认为教用户密码的概念就足够了，但研究表明，理解为什么很重要对于获得员工的支持至关重要。正是这种理解水平作为一种激励因素，从而促使行为改变。

在构建信息安全教育计划时使用教育分类法，需要对该计划的内容和评估标准进行评估，以确保学习发生在正确的认知领域层次上。任何教育计划的参考点应该是一组明确表达的“绩效目标”，这些目标是基于对目标受众的需求和要求进行评估而制定的[9,p. 96]。正确使用教育分类法不仅有助于明确这些绩效目标，更重要的是帮助教育工作者正确评估受众的需求和要求。

下面是一个在信息安全背景下使用布鲁姆修订分类法的示例，详见表格1。该示例包含了一个学习目标（LO1）的学习活动，简要表达为：“学习者应能够理解、构建和正确使用密码”。这个示例并不意味着是一个确定性的作品，而是与表格2一起，用于阐明在信息安全背景下使用布鲁姆分类法的方法。

如前所述，回答四个“组织问题”是教育材料创作者最困难的事情之一。下面的小节将简要解释如何使用分类表格（表格2）来帮助回答这些问题，如表格1中所示的学习活动。

4.回答四个“组织问题”

在表格1中，每个学习活动都包含一个与布鲁姆分类法的认知领域级别相关的动词。每个活动还有一个与知识相关的名词，可以归类为四个知识类别之一。通过在分类表格中为每个活动标记适当的空格，教育工作者可以获得关于活动所提供的“覆盖范围”的许多有用信息。例如，标记为A1的活动位于布鲁姆分类法的记忆层次，并且由于涉及基本主题术语，它涉及“事实”类别的知识。这在表格2中得到了体现。表格1中的其他活动A2到A6也都被适当地放置在表格2中。一个完整的信息安全教育计划显然会包括更多的活动，这将导致分类表格中有更多的条目。这样的表格不一定总是涉及整个计划，但可以像给定的示例一样，专注于一个单一的学习目标，甚至是几个相关的目标。

通过检查分类表格，教育工作者可以轻松地确定学习活动未涵盖的知识领域或认知层次。同样，可以确定多个活动涵盖了相同的认知层次和知识类别的领域。这有助于回答所谓的“学习问题”，即“最重要的活动是否获得了更多的资源份额？”为了设计能够实现最大学习效果的活动，从而回答“学习问题”，可以寻找涉及多种类型知识的活动。例如，为了创建一个新的策略项目（活动A6），学习者需要了解基本术语（事实知识），项目之间的关系（概念知识），以及创建策略所需遵循的步骤（程序知识）。为了回答“评估问题”，教育工作者可以选择专注于学习目标本身，因此在给定的示例中，只使用需要学习者应用程序知识的评估方法。或者评估者可以决定专注于一个或多个学习活动，从而拥有更广泛的评估覆盖范围。通过在同一分类表格上记录评估活动，教育工作者可以确保所选择的评估与其意图直接对应。例如，学习者必须理解密码的概念（Test1A），并能够分析给定密码的相对强度（Test1B）。该表格还可以一目了然地显示未进行评估的领域。最后，通过给定完整的分类表格，回答“对齐问题”应该相对容易。在给定的示例中，评估和学习目标本身之间存在明显的“脱节”。评估不是专注于密码的应用或使用，而是专注于密码的概念以及如何确定其相对强度。类似地，通过这个分类表格可以识别出其他“不对齐”的情况。

5.结论

这篇论文建议，如果信息安全教育计划遵循教学原则，将会更加有效。具体建议使用教育分类法，如布鲁姆分类法，来准确定义组织用户的安全教育需求。通过使用这样的分类法，可以解决当前安全意识和教育计划中的某些常见弱点。

这篇论文提供了一个示例，说明布鲁姆分类法如何应用于信息安全教育计划中的学习目标。通过这个简短的示例，论文展示了基于这个示例的分类表格如何帮助教育工作者解决教育中面临的四个“组织问题”。这篇论文的主要缺点是缺乏实证证据来支持使用布鲁姆分类法的建议。由于篇幅限制，示例也必然非常简短。未来的研究应该着重解决缺乏实证证据的问题，并扩展示例以更全面地涵盖内容。之前已经有人提出过，从事与人文科学相关的研究或活动的安全从业人员不应该重新发明轮子，而应该在适当的时候“借鉴”人文科学。这篇论文正是这样一种尝试，试图从人文科学中“借鉴”一些方法和思想。

Source: JohanVanNiekerk and Rossouw Von Solms，

《Using Bloom's Taxonomy information security education》

END

说明：本公众号为青骥信息安全小组所有，不隶属于任何商业机构，部分信息为网络收集，版权归原作者所有，文中观点仅供分享交流，不代表本公众号立场。如涉及版权等问题，请您联系[email protected]告知，以便及时处理，谢谢！

欢迎进入我们的知识星球了解更多干货

如有收获欢迎 点击“在看”