提升高等教育信息化安全:趋势、变革与挑战
2021-12-22钟秋菊张一春兰国帅
钟秋菊 张一春 兰国帅
摘 要:EDUCAUSE高等教育版地平线系列报告已成为国际高等教育发展的风向标和研究热点。2021年2月,美国高等教育信息化协会发布的《2021年地平线报告(信息安全版)》,可为全球高等教育信息化安全的创新变革与可持续发展提供借鉴。文章首先介绍了报告的整体框架。然后,从影响高等教育信息化安全的六种重要趋势、六项关键技术与实践、四种未来场景以及经典案例四个维度解读报告的核心内容。最后,文章分析了报告对我国高等教育信息化安全持续发展的启示,以期为我国从容应对后疫情时代高等教育信息化安全的创新变革与挑战提供参考。
关键词:地平线报告(信息安全版);高等教育信息化安全;关键技术;远程工作;数据隐私
地平线系列报告(含高等教育版、基础教育版、博物馆教育版、图书馆教育版)已成为国际教育发展的风向标。其中,高等教育版地平线系列报告因科学预测国际高等教育发展的趋势、挑战和发展前景,成为研究关注的热点。2021年2月16日,《2021年EDUCAUSE地平线报告(信息安全版)》①(2021 EDUCAUSE Horizon Report:Information Security Edition,下文简称《2021年信息安全版报告》)在EDUCAUSE官网正式发布[1],报告介绍了影响全球高等教育信息化安全发展的六种重要趋势、六项关键技术与实践、四种未来场景,并列举了高等教育信息化安全的七个经典案例。分析审视《2021年信息安全版报告》,旨在把握国际高等教育信息化安全的最新发展趋势和未来变革路径,并对如何有效推进我国高等教育信息化安全持续发展提出建议,以期为我国从容应对后疫情时代高等教育信息化的创新变革与挑战提供参考和启示。
一、《2021年信息安全版报告》的整体框架
《2021年信息安全版报告》由全球55位高等教育专家共同起草,聚焦对未来高等教育至关重要的领域——高等教育信息化安全。报告采用改良的德尔菲法和前瞻性研究方法,呈现了影响全球高等教育信息化安全的重要趋势、关键技术与实践、未来场景以及经典案例,如图1所示。
首先,报告描述了影响高等教育信息化安全的六种重要趋势。其中,远程工作被单列为“超级趋势”;社会趋势包括信息安全人员短缺、更加关注数据隐私以及合同合规或存在问题;技术趋势包括无边界网络、安全事故常态化以及个人设备更多用于工作;经济趋势包括转向远程学习、高等教育机构合作加强以及高等教育机构并购增加;环境趋势包括制定可持续发展报告标准、环境波动性加剧以及电力需求增加;政治趋势包括独裁监视、造谣与社交媒体“武器化”以及国际关系恶化。
其次,报告详述了将对高等教育信息化安全产生深刻影响的六项关键技术与实践,即云服务供应商管理、终端检测与响应、多因素身份验证/单点登录、保持数据真实性与完整性、安全研究以及学生数据隐私管理。此外,专家从解决公平和包容问题、对信息安全的积极影响、风险性、终端用户接受度和成本六个方面,评估了六项关键技术与实践对高等教育信息化安全的影响。
再次,报告预测了影响高等教育信息化安全发展的四种未来场景。一是增长场景,即高等教育信息化安全蓬勃发展;二是约束场景,即高等教育信息化安全在不同方面被削弱;三是崩溃场景,即无法控制的变革力量使高等教育信息化安全走向崩溃;四是转型场景,即高等教育成功转型并建立了新的信息安全发展范式。
最后,七位地平线专家以论文案例的形式,基于《2021年信息安全版报告》的主要发现,对世界高等教育机构中的信息安全现状、问题等进行了反思。案例视角各异,代表了不同利益相关者对高等教育信息化安全的见解。
二、《2021年信息安全版报告》的核心内容
《2021年信息安全版报告》的核心内容分为四部分,第一、二、三部分分別介绍了影响全球高等教育信息化安全发展的六个重要趋势、六项关键技术与实践以及四种未来场景,第四部分列举了高等教育信息化安全的七个经典案例。
(一)影响高等教育信息化安全发展的六种重要趋势
1.超级趋势:转向远程工作
远程工作极为重要,而且在其他趋势中也会出现,所以被单独列为“超级趋势”。远程工作的兴起会重塑信息安全行业本身,一是因为人们可以更开放、灵活地获得信息安全方面的工作机会,机构可以突破地域限制吸引更多样化的人才;二是因为信息安全部门需要思考业务开展、管理员工和资源以及与利益相关者打交道等问题。在更遥远的将来,高等教育信息化安全的优先事项将发生变化,学生、教师和工作人员在网络空间的隐私保护问题变得极为重要。传统校园安全边界的消失,会引发人们对终端设备和云平台安全性的迫切关注,高等教育将重新划定需要保护的领域,信息安全人员也需要重新思考工作性质和范围。如果远程工作持续下去,将对全球高等教育信息化安全产生全面而深刻的影响。
2.社会趋势:信息安全人员供不应求,数据隐私和合同签订引发关注
社会趋势主要为三个方面。一是信息安全人员短缺。日益数字化的世界将需要更多专业的信息安全人员,但目前信息安全人员的储备远远低于需求。高等教育机构需要不断扩大信息安全工作队伍,满足这一日益增长的需求。二是更加关注数据隐私。个人设备的激增以及个人在网络生活中持续地与外界联系,将继续提高人们对数据隐私的重视程度。越来越多的机构需要通过现有的信息安全部门或专业隐私保护部门,来增加其隐私人员配置,提供隐私保护服务。三是合同合规或存在问题。大型科技供应商日益发展壮大,将削弱单个机构在谈判定制合同和安全条款时的代理权和自主权。法律风险,特别是合规风险、诉讼风险,将推动机构对供应商及其解决方案的评估和决策。
3.技术趋势:个人设备更多用于工作,网络安全事故成为常态
技术趋势主要为三个方面。一是无边界网络。机构服务和数据越来越基于云平台。网络终端(如智能手机、笔记本电脑)不再局限于校园,大大扩展了须监控和保护的数字世界的边界。二是安全事故常态化。不法分子已经发展出更复杂和更专业化的策略和攻击手段,高等教育中的入侵和勒索软件正在增加。安全事故防范已经成为高等教育机构正常业务规划和运作的一部分,安全工作将从应对和恢复事故转向识别和预防事故。越来越多的院校已成立事故管理部门,并配备专职事故管理的领导及支持人员。三是个人设备更多用于工作。随着私人化移动设备的激增,以及机构继续采用虚拟的工作和学习模式,个人设备(如智能手机、笔记本电脑、平板电脑)用于机构的学术和管理业务已变得越来越普遍。在保护数据和设备方面,机构面临着越来越多的风险和挑战,这将重新划分机构对设备和数据使用的检测权和控制权。
4.经济趋势:资金供给不足,高等教育机构间合作与并购不断加强
经济趋势主要为三个方面。一是转向远程学习。随着高等教育向远程教育模式的转变,大学面临学生入学人数下降、机构收入减少和部门预算紧缩等威胁。二是高等教育机构合作加强。随着机构预算在全球范围内日益受到越来越多的限制,区域和联盟合作将在帮助机构确定信息安全需求效率和成本削减方面发挥重要作用。三是高等教育机构并购增加。已经面临重大财务挑战的高等教育机构将抓住疫情后的机会,与其他机构合并,或在保持独立的同时启动共享或合并的跨机构服务和业务。除了重新设计高等教育机构的整体安全业务计划和策略外,还将要求正在进行并购的信息安全部门支持知识资产和知识管理系统的整合。
5.环境趋势:环境波动性加剧,需制定可持续发展报告标准
环境趋势主要为三个方面。一是制定可持续发展报告标准。随着气候变化和其他环境问题对当地社区和全球社区的影响,越来越多的高等教育机构需要报告其在可持续发展方面作出的努力。数据和隐私专业人员将需要致力于产出新的报告标准,并在满足这些新标准的过程中平衡数据透明度和数据保护问题。二是环境波动性加剧。极端天气事件和气候模式的剧烈变化推动了技术创新,使高等教育机构能够采用更复杂和网络化的工具来维护其设施和監控校园安全。扩大的信息网络和更多的互联工具将使机构面临更多不同的安全风险,所以需要在信息安全方面增加投资,加大支持力度。三是电力需求增加。高等教育机构坚持采用远程工作和学习模式,表明高等教育对可靠电力来源的依赖性,以及可靠电力在当地和全球社区分布不均衡性。在能源供应不足的地区扩大能源生产,将导致人们对能源消耗和污染的担忧加剧,以及保护电网免受网络攻击所需的更强有力的安全措施。
6.政治趋势:造谣与社交媒体“武器化”趋势明显,国际关系恶化
政治趋势主要为三个方面。一是独裁监视。虽然许多政府继续朝着实施广泛的隐私法规的方向前进,但有些政府在控制和保护数据的方法上仍旧放任和分散。由于缺乏跨州和跨国家的一致性隐私法律法规,导致了较多的合规问题。美国高等教育机构由于在数据政策和实践方面存在复杂且往往无法解决的差异,在国际合作方面遇到了重大障碍。二是造谣与社交媒体“武器化”。在全球社会和政治舞台上,使用深度造假视频、可信的虚假信息和武器化的社交媒体变得越来越普遍,而政府和高等教育机构在理解和准备这些活动的安全影响方面能力落后。安全专业人员需要探索创新性解决方案,并与社交媒体和技术行业领导人、政治学家和政策制定者建立新的伙伴关系。三是国际关系恶化。全球主要国家之间的分歧和紧张局势继续加剧,并朝着不可预测和潜在危险的方向发展。高等教育领导人将受到考验,因为他们将围绕国际伙伴关系制定新的政策和规范,并在实践和政策方面发挥作用。信息安全部门需要改进和扩大其针对不良行为者的监测和保护措施。
(二)影响高等教育信息化安全发展的六项关键技术与实践
1.云平台供应商管理:远程学习和工作的首选解决方案
2020年,为应对COVID-19大流行,各机构加快了将许多运营需求和服务转移至网络的步伐。后疫情时代,随着这些机构探索维持远程工作、教学和学习模式的可能性,基于云平台的解决方案将比现在对业务更加重要。对于许多机构来说,与云平台第三方供应商合作将是首选解决方式,因为这种解决方案效果更好、价格更低且规模更大。对第三方云平台供应商的依赖日益加重,机构的关注点将从管理服务本身,转向管理它们与提供服务的供应商的关系。因此,云平台解决方案的成功实施越来越依赖于供应商的审查和选择、合同谈判和采购、对关系和服务的持续评估,以及对这些解决方案的安全性、事件响应行动和需求的评估。
2.终端检测与响应:避免安全事故的重要网关
台式电脑、笔记本电脑、智能手机、平板电脑等终端设备,是学生、教师和工作人员与其所在机构互动以及在高等教育中开展工作的门户,同时也是使机构暴露于网络风险的主要门户之一。根据Absolute的2019年终端安全趋势报告,70%的安全漏洞源自终端设备。鉴于检测终端安全、满足终端需求以及解决终端问题具有复杂性和挑战性,终端安全问题是机构较为迫切的网络风险和威胁来源。终端用户对安全的关切,以及他们在使用终端设备和网络时遵循最佳安全做法的意愿,是终端安全机构取得成功的关键因素。虽然大多数师生口头上承认安全的重要性,但其中仍有许多人期望简单方便的无缝访问,这将导致人们在网络实践活动中安全意识降低,从而使机构面临较高的风险。2020年,随着大多数高等教育人员、教师和学生转变成远程办公模式,越来越多的终端用户已经并将继续使用个人设备,在个人空间使用私人网络来工作。基于云服务的终端保护平台解决方案,对于管理机构的安全、实现网络和设备活动的远程监控以及在终端发生事故时进行远程补救将变得更加必要。
3.多因素身份验证/单点登录:保护数据安全的强大工具
多因素身份验证(Multifactor Authentication,简称MFA)是一种数字身份验证方法,通过这种方法,个人在提供两个或多个证据以验证其身份后,可以访问应用程序或平台。因素通常来自以下两种或两种以上的信息:所知信息(如密码、用户名)、所拥有的东西(如智能手机)、个人特征(如指纹、视网膜扫描、语音识别等生物特征)、所在地方(如位置数据)。MFA之所以有效,是因为不良行为者通常无法获取多于一种的因素,账户所有者通常会收到通过其他因素进行身份验证的请求,以提醒他们注意未遂的黑客行为。
单点登录(Single Sign-on,简称SSO)为用户提供了一次性身份验证的功能,以便自动和随后访问系统内或跨系统的各种应用程序和平台。SSO降低了凭据丢失、遗忘或被盗从而导致安全性遭到破坏的可能性。当与MFA结合使用时,SSO可以成为保护有价值机构数据的强大工具。构成MFA和SSO认证技术的产品和服务数不胜数,系统和方法的组合部署因机构而异。虽然各机构最初往往将MFA和SSO的用于保障信息安全的工作人员和教师身上,但这一技术的用户群很快会扩展到整个校园。
4.保持数据真实性与完整性:实现信息安全的重要方式
数据的真实性,即数据创建后没有被破坏,保持原样不变。严格地说,任何已处理或准备交付给最终用户的数据,其真实性都受到了损害。在现实世界中,需要对原始数据进行清理(从技术意义上讲,也就是破坏原始数据),以便在不影响数据实际表示内容的情况下使这些数据可用。数据有机密性、完整性和可用性(Confidentiality,Integrity,Availability,简称CIA)三个特性,其中完整性经常被忽视。对数据完整性的威胁主要是人为因素造成的。所以,维护文件权限、访问控制和版本控制以及建立修改或删除数据的规则至关重要。其他对数据完整性的威胁来自服务器崩溃、电磁脉冲或自然灾害等事件,可以通过备份来避免或减轻。为保护数据的真实性和完整性,信息安全团队未来需要更加关注数据本身,在验证数据真实性的技术方面投入更多精力和资源,具体工作包括基于风险的数据验证、业务连续性计划、系统输入验证、仔细选择系统和服务提供商以及定期归档数据。此外,随着不法分子获取数据的方法变得越来越复杂,如何防范人为破坏数据的真实性和完整性更具挑战性。
5.安全研究:研究机构助力信息安全的有效途径
长期以来,学术研究一直是高等教育的标志,会增加高等教育机构在社会中的價值。然而,基于公开探究、创造和创新以及言论自由的价值之上的研究实践,有时可能与监督和保护机构资产的价值观相矛盾。自第二次世界大战以来,美国高校获得的研究支持稳步增加。如今,国立卫生研究院、国家科学基金会和国防部等中心仍然为学术研究人员提供大量研究资金。研究机构已经探索并将继续制定减轻研究安全风险的战略,并确保各机构及其数据免受潜在威胁的影响。比如,美国国防部开发出网络安全成熟度模型认证框架,来确保适当的安全实践,以保护联邦合同信息和受控非机密信息。此外,各研究机构共同努力,更广泛地确定安全研究的解决办法,个别研究机构也探索了改善自身研究安全态势的策略。
6.学生数据隐私管理:提升学生对高校的信任程度
数据管理是指,规定数据收集、使用、存储、保护和销毁的适当行为的决策规则和责任规则。鉴于高校收集了学生的大量资料,每所院校都需要制定和颁布强有力的数据管理制度,解决与学生个人信息保护和管理相关的问题。随着学生们越来越了解机构在收集他们的何种信息以及这些信息是如何被使用的,他们希望学校对自己的数据有更多的管理。高等院校至少可以采取多种措施来解决学生数据隐私管理问题。一方面,高校需要优先保护学生数据隐私,通过安全存储数据来保护学生数据的安全,并采用强有力的密码标准和实践。此外,高等教育机构应审查现有和新签订的合同,以核实供应商是否遵守《家庭教育权利和隐私法》等规定。另一方面,开展校园信息安全意识宣传活动,帮助学生了解当前在提高安全性、保护数据隐私和识别潜在威胁方面所做的努力。定期的安全和隐私报告,可以在很大程度上帮助学生保持知情,提高学生对院校的信任程度。
(三)评估关键技术与实践对高等教育信息化安全的影响
专家小组从五个维度评估关键技术与实践对高等教育信息化安全产生的影响,包括:1)解决公平和包容问题,即关键技术与实践对解决公平和包容问题有多大帮助;2)对信息安全的积极影响,即关键技术与实践对高等教育机构信息安全有何潜在积极影响;3)风险性,即关键技术与实践失败的风险如何;4)终端用户接受度,即终端用户(如教师、学生)对关键技术与实践的接受程度如何;5)成本,即采用该技术需要支出多少资金。评估采用五分制,评分范围为0-4分,评估结果如图2所示。
分析图2可知,云服务供应商在“对信息安全的积极影响”方面得分较高,这与云服务供应商拥有强大的资源、人员配备和专业知识有关;而在“终端用户接受度”和“解决公平和包容问题”两方面得分不高,可能由于信息安全人员的工作与终端用户的直接体验之间存在脱节。在“终端检测和响应”的评估结果中,“对信息安全的积极影响”获得了六项技术与实践中排名第二的影响评级,这与绝大多数安全事故都是通过终端网关发生的有关;而在“解决公平和包容问题”方面均获得了相对靠后的影响评级。根据“多因素身份验证/单点登录”的评估结果可知,实现这一技术需要适度的成本,但该技术不能很好地解决关于高等教育信息化安全的公平和包容问题。安全研究在“成本”方面获得了六项技术中排名第一的影响评级,说明开展关于安全的研究耗资最多,但在“对高等教育信息化安全的积极影响”方面的得分不高,说明安全研究对高等教育信息安全带来的积极影响有限。由于安全研究所需的潜在投资较多,投资所带来的收益有限,造成相关人员对安全问题的研究积极性不高。根据“学生数据隐私管理”的评估结果,“对信息安全的积极影响”获得了五个评分维度中的最高分,说明专家小组最看好其对高等教育信息化安全的潜在积极影响。
(四)影响高等教育信息化安全发展的四种未来场景
第一,增长场景,即高等教育信息化安全蓬勃发展。在该场景下,各机构的网络安全人员增加了十倍;网络安全学位课程不断发展壮大;终端网络已经成倍增长,终端用户对安全和隐私的了解程度也成倍增长;终端保护平台变得更加智能和全面,认证解决方案也变得可以无缝连接;随着机构在网络安全方面的能力和需求不断发展壮大,它们与解决方案提供商和大型科技公司的关系也在发展;跨机构协作、集体规划与战略决策水平不断提高,为同侪学习创造了新的空间和机会,并促进了未来高等教育网络安全实践的创新。
第二,约束场景,即高等教育信息化安全在不同方面被削弱。对高校来说,兼并造成学院和大学的数量大幅减少,加剧了偏远地区高等教育劳动力的僵化。COVID-19大流行造成的财政影响导致教职员工大量减少,后疫情时期大多数高等教育员工没有重返校园。国家资金的持续减少和学费收入的减少对信息技术预算产生了不利影响。许多机构削减了教职员工的职位,并减少超支的成本。对供应商来说,为了保护自己免受数据泄露引起的诉讼,供应商现在坚持要求签订极其复杂的合同,削弱了高等教育信息技术部门以敏捷方式应对机构需求的能力。在安全性方面,个人工作设备的使用频率增加导致安全事件激增。向远程工作和学习的转变增加了对信息安全人员的需求,以抵御网络攻击。
第三,崩溃场景,即无法控制的变革力量使高等教育信息化安全走向崩溃。一是大多数安全需求和工作岗位已经减少,信息专业人员被边缘化。二是在公司和学校的对峙中,大型科技公司在保护高等教育隐私和安全方面拥有主要控制权,在谈判合同、确保合规和减少风险方面,大学的作用仅仅是形式上的。三是不法分子的黑客技术远远超出了机构自身的解决方案和安全措施,大量机构受到了攻击。四是设备和网络无处不在,且总是处于监听和收集数据状态。公众对于数据隐私和保护的态度,趋向于对难以理解的“云”全盘默许。五是学生数据已经不再被视为需要保护的财富,而更多地被视为可以出售的商品。六是“安全疲劳症”已经在世界大多数发达地区蔓延开来,跨越技术、设备和网络的无数安全风险已经让大多数消费者和终端用户对始终存在的数字危险麻木。
第四,转型场景,即高等教育成功转型并建立了新的信息安全发展范式。一是国家安全机构与高等教育机构展开合作,两者共同利用校园技术、计算能力和专业知识来对抗黑客、恐怖分子和其他网络犯罪分子的威胁。二是政府投资建立高等教育领域的“网络安全”学科,规模较大的公立博士研究所率先建立完整的信息安全本科和研究生课程,通过培训来补充普遍短缺的信息安全人员。三是私人信息安全领域蓬勃发展,许多小型机构和计算性能较弱的机构将其网络安全业务外包,引起网络安全供应商数量激增。
(五)高等教育信息化安全的七个经典案例
根据报告主要发现,七位地平线专家以论文案例的形式对世界高等教育机构中信息安全的现状、问题等进行了反思。在收集的七篇文章中,有两篇介绍了澳大利亚和加拿大高等教育信息化安全的情况,有三篇涵盖了美国高等教育的不同类型机构(学士学位机构、研究机构、大学系统)的信息安全情况,还有两篇描述了企业视角(思科公司和微软公司)下的高等教育信息化安全,如表1所示。
三、《2021年信息安全版报告》对我国高等教育信息化安全持续发展的启示
2020年新冠肺炎疫情的全球性爆发给教育带来了巨大冲击,一场前所未有的、大规模在线教育实验迅速展开。后疫情时代,学校教育将转向以“网”为主。[2]网络上的信息和知识虽全面丰富,但却存在信息冗杂、鱼龙混杂的问题,频发的网络安全事故也加劇了人们对在线教育的担忧。如何确保在线高等教育的信息安全,构筑晴朗网络空间,是后疫情时代高等教育信息化发展的重要任务。解读和分析《2021年信息安全版报告》,能够精确把握国际高等教育信息化安全的最新发展趋势和未来变革路径,并对有效推进我国高等教育信息化安全持续发展提供启示和借鉴。
(一)加强信息安全防护,促进后疫情时代在线高等教育高质量发展
后疫情时代,越来越多的人接受并适应了在线教育,但同时在线教育引发的学习数据及隐私泄漏等安全问题不容忽视,信息安全还面临很大挑战。比如,人工智能技术在助推在线教育不断发展的同时,也滋生和传播了虚假信息。[3]学习者在网络学习平台留下大量的个人和学习记录数据,会被一些别有用心之人窃取和非法使用。[4]高等教育领域亦是如此,信息安全得以保障,才能促使在线高等教育顺利开展。
为加强在线高等教育的安全防护,应充分发挥教育信息系统中教育部门、技术管理人员、教师、学习者等主体的合力作用。教育部门制定信息安全战略,采取适用于高等教育数据格式和需求的通用框架,并建立该框架的具体指标,以有效检测、响应和预防信息安全威胁,切实维护教育数据安全和教育信息系统的正常运作。[5]技术管理人员发挥技术优势,检测并阻止对网络平台上教育数据的访问和获取记录,保护师生用户数据和隐私。教师既要防止其教学成果和资源被他人以不正当的渠道利用,又要强化保护学生教育数据的意识,避免对学生教育数据有意无意的泄露甚至是滥用。学习者提高信息安全意识和对数据安全的敏感性,注意保护网络平台上的个人信息以及在学习过程中产生的大量学习数据。总之,各方共同努力来构建在线高等教育数据安全共同体,共促后疫情时代在线高等教育高质量发展。
(二)关注隐私安全,构建高等院校学生数据隐私保护体系
《2021年信息安全版报告》认为高等院校要重视学生数据的收集、储存和使用,实施强有力的数据治理措施,解决学生个人信息保护和隐私管理问题。我国学者同样关注了学生数据隐私问题,认为在线教育虽有助于解决疫情期间的师生时空异步环境下的教育问题,但在收集、创建和处理个人信息和学习数据的同时,无法回避保护用户隐私的难题[6]。此外,在线学习平台技术上的漏洞,或不法分子对用户信息的恶意窃取和利用等,更加剧了隐私泄露的风险。在保护学生数据隐私的过程中,高等院校面临许多挑战,比如建立学生数据隐私数据库是一项繁琐而艰巨的任务,耗时又耗资;如何确定隐私数据收集、使用和删除规则以及如何更好地使用数据服务学生,目前尚没有明确的规则。
鉴于此,我国在保护高等院校学生数据隐私时应注意如下几点。一是高等院校肩负起学生数据隐私管理和保护的主要责任,明确采集、处理和使用学生隐私数据的准则,为不同类型用户开放不同的数据访问权限。权威高等院校还可发布保护学生在线隐私数据的服务指南和培训视频,指导更大范围的高校管理者保护学生的数据隐私。二是提高高校学生对数据隐私的熟悉程度,比如告知学生收集了哪些数据以及这些数据是被如何存储、使用和保护的;允许学生根据需要审核和更新自己的数据,提高学生个人数据的管理透明度;让学生有机会选择退出机构数据收集和使用。三是高等院校选择在线教育服务供应商时,应回避可能会滥用学生信息的供应商,在与更多校外组织共享学生的个人数据时,应通过限制访问权限等多种措施,更好地保护学生的数据隐私。四是使用隐私管理工具提高隐私管理效率,比如基于隐私管理工具审核机构隐私条例的遵守情况,追踪危及个人敏感资料的事件与个人资料的收集、使用情况以及记录用户对隐私政策的认识。
(三)多途径防护,避免终端成为高等教育信息化中的安全事故“漏洞”
根据《2021年信息安全版报告》,影响高等教育信息化安全发展的技术趋势为,个人设备更多用于工作,网络安全事故成为常态。这一趋势与COVID-19大流行有很大关系,受疫情影响大量师生不得不居家使用个人终端办公。在此情况下,数据安全性的责任更多取决于个人终端,而个人终端往往位于机构防火墙、安全和威胁检测系统的保护之外,更容易遭受到网络钓鱼、恶意软件、间谍软件的攻击,所以造成了大量安全事故。
鉴于在高等教育信息化发展过程中,个人终端成为信息安全漏洞的可能性较大,所以应采取多种途径保护个人终端,避免其成为安全事故“漏洞”。一是强化终端操作系统信息安全防护能力。随着大多数高等院校师生居家办公和学习,首要考虑的是确保师生安全连接、访问和下载机构资源(如服务器、网络、应用程序),从而保持生产力。但是,这不能以牺牲终端设备的数据安全性为代价。为此,要增强高校师生的个人终端设备,尤其是操作系统的安全防护能力,确保涉及资源调用或用户信息的操作总是在操作系统控制之中。二是在终端设备中预置安全监控应用。许多应用程序要求访问电话簿、呼叫历史记录、摄像头、文件和文件夹以及日志,可通过使用预置的安全监控应用,实现对应用程序的安装检测并将检测报告发送给师生;遵循应用程序权限最小化原则,合理限制应用程序的权限,避免应用程序调用与高校师生当前的习和工作场景无关的数据。三是实施严格的终端使用安全策略。在高校师生使用终端办公和学习之前,注意审核并清点不合格的终端设备,采取严格措施来确保终端密码有足够的保护强度,并帮助师生选择多因素身份验证(如数字或图案锁定、指纹或视网膜扫描或语音识别),来确保终端设备不会成为访问高等院校教育数据的便捷网关。
(四)完善培养培训体系,加快高等教育信息化安全人才队伍建设
随着互联网的大量使用和在线高等教育逐渐成为“新常态”,保护信息系统免受入侵和破坏势在必行。信息安全人员在保护数据免受内部和外部威胁方面发挥着重要作用,所以当前对高等教育信息化安全人员的需求量陡增。然而,目前信息安全人员严重短缺,国内外均如此。根据《2021年信息安全版报告》,美国劳工统计局估计,从2019年到2029年对“信息安全分析师”的需求将增长31%。我国研究者也表示,信息安全保障人才比较缺乏,尤其是在广大乡村等偏远落后的地区,信息安全维护工作多由未受过专业培训的教师兼做。[7]
鉴于此,亟需完善培养培训体系,加快我国高等教育信息化安全人才队伍建设。在人才培养方面,应根据高等教育特有的属性特点,有针对性地确定培养信息安全人员的教学方向和技术知识,使教学内容符合后疫情时代高等教育信息化发展对信息安全的现实需求,突出实践性教学导向,帮助学习者实现“所学即能所用”。除了普通的教学培养,还应开拓多种途径提高信息安全人员的技能水平,比如舉办高等院校信息安全技能竞赛、鼓励学生考取网络安全行业的资质证书。在人才培训方面,开设高等教育信息安全人员技能培训班,培训对象可以为信息安全专业人员,也可以是信息安全领域的积极响应者。根据受训人员的在信息安全领域的学习基础、学习需求和岗位要求等情况,灵活确定培训目标和内容。信息安全培训成本低、周期短、针对性强,能够快速有效地建设高等教育信息化安全人才队伍,从而更加有效地应对高等教育信息化过程中的信息安全问题。
(五)利用区块链技术,保障高等教育信息化中数据的真实性和完整性
《2021年信息安全版报告》将保持数据的真实性和完整性作为六大关键技术与实践之一。数据的开放性和可用性越高,其被破坏的可能性也会越高。研究表明,区块链技术能够提供不可更改的分布式数据记录[8],在保持数据的真实性和完整性方面具有优势。比如,有学者基于区块链技术建立终身教育记录跟踪方案“Educhain”,来保护学习者个体的终身学习记录数据。[9]
在高等教育信息化发展过程中,可考虑采用区块链技术保障数据的真实性和完整性。高质量的在线高等教育对安全、全面、可信的教育记录有所需求,而区块链技术恰好在保护数据信息不被篡改、实现数据永久储存方面具有天然优势。在实施过程中,基于区块链技术全面记录高校学生的学习成绩、综合测评、获得奖励证书等情况,形成完整又不可改动和删除的学生教育记录,为高校毕业生升学或就业出具有效的过往教育经历证明;基于区块链技术降低高等教育数据共享的安全风险,方便不同地区、不同部门之间安全稳定地共享教育数据;基于区块链技术的时间戳功能实现数据的可追溯,从而在数据泄露的情况下进行精准追责;基于区块链技术的“智能合同”开发教育数据管理系统,实现高校管理者对全校学生数据的记录、筛选、分析和管理,同时控制数据的访问和使用次数,最大程度保护学生隐私。此外应注意,终端用户被数据漏洞利用者诱骗,同样是破坏数据真实性和完整性的重要因素。所以要采用支持数据真实性和完整性的技术和方法,如文件权限、访问和版本控制、代码本和字典、终端检测以及凭据和设备维护。还要为高校终端用户提供全面和定期的培训,特别是对接触敏感数据的高校工作人员进行培训,以识别、避免和报告网络钓鱼骗局和其他威胁。
注释:
①本文部分内容来自2021 EDUCAUSE Horizon Report(Information Security Edition),报告网址https://library.educause.edu/resources/2021/2/2021-educause-horizon-report-information-security-edition.
参考文献:
[1]EDUCAUSE Publications.2021 EDUCAUSE Horizon Report(Information Security Edition)[EB/OL].(2021-02-16)[2021-02-21].https://library.educause.edu/resources/2021/2/2021-educause-horizon-report-information-security-edition.
[2]王竹立.后疫情时代,教育应如何转型?[J].电化教育研究,2020,41(4):13-20.
[3]严晓梅,万青青,高博俊,等.数字化转型视域下欧盟科学素养培养新动向:《作为教育挑战的科学和科学素养》报告解读与启示[J].开放教育研究,2020,26(4):37-44.
[4][7]刘梦君,姜雨薇,曹树真,等.信息安全技术在教育数据安全与隐私中的应用分析[J].中国电化教育,2019(6):123-130.
[5]兰国帅,张怡,郭倩,等.推动高等教育数字化转型:优化、持续和创新:《2020年十大IT议题》报告解读与启示[J].开放教育研究,2020,26(5):12-25.
[6]唐汉卫.在线教学存在的伦理问题与应对策略[J].现代教育技术,2020,30(12):41-47.
[8]曲一帆,秦冠英,孔坤,等.区块链技术对教育变革探究[J].中国电化教育,2020(7):51-57.
[9]黄太进,刘三女牙,李卿.Educhain:基于区块链技术的终身教育记录跟踪方案[J].现代教育技术,2020,30(7):5-12.
(责任编辑 赖佳)
