《2021年信息安全版報(bào)告》：高等教育信息化安全的要點(diǎn)與啟示

2021-12-22

在線教育引發(fā)的學(xué)習(xí)數(shù)據(jù)及隱私泄漏等安全問題不容忽視，信息安全還面臨很大挑戰(zhàn)。本文從影響高等教育信息化安全的六種重要趨勢、六項(xiàng)關(guān)鍵技術(shù)、四種未來場景以及經(jīng)典案例來分析解讀。

1.超級趨勢：轉(zhuǎn)向遠(yuǎn)程工作

遠(yuǎn)程工作極為重要，而且在其他趨勢中也會出現(xiàn)，所以被單獨(dú)列為“超級趨勢”。遠(yuǎn)程工作的興起會重塑信息安全行業(yè)本身，一是因?yàn)槿藗兛梢愿_放、靈活地獲得信息安全方面的工作機(jī)會，機(jī)構(gòu)可以突破地域限制吸引更多樣化的人才；二是因?yàn)樾畔踩块T需要思考業(yè)務(wù)開展、管理員工和資源以及與利益相關(guān)者打交道等問題。在更遙遠(yuǎn)的將來，高等教育信息化安全的優(yōu)先事項(xiàng)將發(fā)生變化，學(xué)生、教師和工作人員在網(wǎng)絡(luò)空間的隱私保護(hù)問題變得極為重要。傳統(tǒng)校園安全邊界的消失，會引發(fā)人們對終端設(shè)備和云平臺安全性的迫切關(guān)注，高等教育將重新劃定需要保護(hù)的領(lǐng)域，信息安全人員也需要重新思考工作性質(zhì)和范圍。如果遠(yuǎn)程工作持續(xù)下去，將對全球高等教育信息化安全產(chǎn)生全面而深刻的影響。

2.社會趨勢：信息安全人員供不應(yīng)求，數(shù)據(jù)隱私和合同簽訂引發(fā)關(guān)注

社會趨勢主要為三個方面。一是信息安全人員短缺。日益數(shù)字化的世界將需要更多專業(yè)的信息安全人員，但目前信息安全人員的儲備遠(yuǎn)遠(yuǎn)低于需求。高等教育機(jī)構(gòu)需要不斷擴(kuò)大信息安全工作隊(duì)伍，滿足這一日益增長的需求。二是更加關(guān)注數(shù)據(jù)隱私。個人設(shè)備的激增以及個人在網(wǎng)絡(luò)生活中持續(xù)地與外界聯(lián)系，將繼續(xù)提高人們對數(shù)據(jù)隱私的重視程度。越來越多的機(jī)構(gòu)需要通過現(xiàn)有的信息安全部門或?qū)I(yè)隱私保護(hù)部門，來增加其隱私人員配置，提供隱私保護(hù)服務(wù)。三是合同合規(guī)或存在問題。大型科技供應(yīng)商日益發(fā)展壯大，將削弱單個機(jī)構(gòu)在談判定制合同和安全條款時的代理權(quán)和自主權(quán)。法律風(fēng)險(xiǎn)，特別是合規(guī)風(fēng)險(xiǎn)、訴訟風(fēng)險(xiǎn)，將推動機(jī)構(gòu)對供應(yīng)商及其解決方案的評估和決策。

3.技術(shù)趨勢：個人設(shè)備更多用于工作，網(wǎng)絡(luò)安全事故成為常態(tài)

技術(shù)趨勢主要為三個方面。一是無邊界網(wǎng)絡(luò)。機(jī)構(gòu)服務(wù)和數(shù)據(jù)越來越基于云平臺。網(wǎng)絡(luò)終端(如智能手機(jī)、筆記本電腦)不再局限于校園，大大擴(kuò)展了須監(jiān)控和保護(hù)的數(shù)字世界的邊界。二是安全事故常態(tài)化。不法分子已經(jīng)發(fā)展出更復(fù)雜和更專業(yè)化的策略和攻擊手段，高等教育中的入侵和勒索軟件正在增加。安全事故防范已經(jīng)成為高等教育機(jī)構(gòu)正常業(yè)務(wù)規(guī)劃和運(yùn)作的一部分，安全工作將從應(yīng)對和恢復(fù)事故轉(zhuǎn)向識別和預(yù)防事故。越來越多的院校已成立事故管理部門，并配備專職事故管理的領(lǐng)導(dǎo)及支持人員。三是個人設(shè)備更多用于工作。隨著私人化移動設(shè)備的激增，以及機(jī)構(gòu)繼續(xù)采用虛擬的工作和學(xué)習(xí)模式，個人設(shè)備(如智能手機(jī)、筆記本電腦、平板電腦)用于機(jī)構(gòu)的學(xué)術(shù)和管理業(yè)務(wù)已變得越來越普遍。在保護(hù)數(shù)據(jù)和設(shè)備方面，機(jī)構(gòu)面臨著越來越多的風(fēng)險(xiǎn)和挑戰(zhàn)，這將重新劃分機(jī)構(gòu)對設(shè)備和數(shù)據(jù)使用的檢測權(quán)和控制權(quán)。

4.經(jīng)濟(jì)趨勢：資金供給不足，高等教育機(jī)構(gòu)間合作與并購不斷加強(qiáng)

經(jīng)濟(jì)趨勢主要為三個方面。一是轉(zhuǎn)向遠(yuǎn)程學(xué)習(xí)。隨著高等教育向遠(yuǎn)程教育模式的轉(zhuǎn)變，大學(xué)面臨學(xué)生入學(xué)人數(shù)下降、機(jī)構(gòu)收入減少和部門預(yù)算緊縮等威脅。二是高等教育機(jī)構(gòu)合作加強(qiáng)。隨著機(jī)構(gòu)預(yù)算在全球范圍內(nèi)日益受到越來越多的限制，區(qū)域和聯(lián)盟合作將在幫助機(jī)構(gòu)確定信息安全需求效率和成本削減方面發(fā)揮重要作用。三是高等教育機(jī)構(gòu)并購增加。已經(jīng)面臨重大財(cái)務(wù)挑戰(zhàn)的高等教育機(jī)構(gòu)將抓住疫情后的機(jī)會，與其他機(jī)構(gòu)合并，或在保持獨(dú)立的同時啟動共享或合并的跨機(jī)構(gòu)服務(wù)和業(yè)務(wù)。除了重新設(shè)計(jì)高等教育機(jī)構(gòu)的整體安全業(yè)務(wù)計(jì)劃和策略外，還將要求正在進(jìn)行并購的信息安全部門支持知識資產(chǎn)和知識管理系統(tǒng)的整合。

5.環(huán)境趨勢：環(huán)境波動性加劇，需制定可持續(xù)發(fā)展報(bào)告標(biāo)準(zhǔn)

環(huán)境趨勢主要為三個方面。一是制定可持續(xù)發(fā)展報(bào)告標(biāo)準(zhǔn)。隨著氣候變化和其他環(huán)境問題對當(dāng)?shù)厣鐓^(qū)和全球社區(qū)的影響，越來越多的高等教育機(jī)構(gòu)需要報(bào)告其在可持續(xù)發(fā)展方面作出的努力。數(shù)據(jù)和隱私專業(yè)人員將需要致力于產(chǎn)出新的報(bào)告標(biāo)準(zhǔn)，并在滿足這些新標(biāo)準(zhǔn)的過程中平衡數(shù)據(jù)透明度和數(shù)據(jù)保護(hù)問題。二是環(huán)境波動性加劇。極端天氣事件和氣候模式的劇烈變化推動了技術(shù)創(chuàng)新，使高等教育機(jī)構(gòu)能夠采用更復(fù)雜和網(wǎng)絡(luò)化的工具來維護(hù)其設(shè)施和監(jiān)控校園安全。擴(kuò)大的信息網(wǎng)絡(luò)和更多的互聯(lián)工具將使機(jī)構(gòu)面臨更多不同的安全風(fēng)險(xiǎn)，所以需要在信息安全方面增加投資，加大支持力度。三是電力需求增加。高等教育機(jī)構(gòu)堅(jiān)持采用遠(yuǎn)程工作和學(xué)習(xí)模式，表明高等教育對可靠電力來源的依賴性，以及可靠電力在當(dāng)?shù)睾腿蛏鐓^(qū)分布不均衡性。在能源供應(yīng)不足的地區(qū)擴(kuò)大能源生產(chǎn)，將導(dǎo)致人們對能源消耗和污染的擔(dān)憂加劇，以及保護(hù)電網(wǎng)免受網(wǎng)絡(luò)攻擊所需的更強(qiáng)有力的安全措施。

6.政治趨勢：造謠與社交媒體“武器化”趨勢明顯，國際關(guān)系惡化

政治趨勢主要為三個方面。一是獨(dú)裁監(jiān)視。雖然許多政府繼續(xù)朝著實(shí)施廣泛的隱私法規(guī)的方向前進(jìn)，但有些政府在控制和保護(hù)數(shù)據(jù)的方法上仍舊放任和分散。由于缺乏跨州和跨國家的一致性隱私法律法規(guī)，導(dǎo)致了較多的合規(guī)問題。美國高等教育機(jī)構(gòu)由于在數(shù)據(jù)政策和實(shí)踐方面存在復(fù)雜且往往無法解決的差異，在國際合作方面遇到了重大障礙。二是造謠與社交媒體“武器化”。在全球社會和政治舞臺上，使用深度造假視頻、可信的虛假信息和武器化的社交媒體變得越來越普遍，而政府和高等教育機(jī)構(gòu)在理解和準(zhǔn)備這些活動的安全影響方面能力落后。安全專業(yè)人員需要探索創(chuàng)新性解決方案，并與社交媒體和技術(shù)行業(yè)領(lǐng)導(dǎo)人、政治學(xué)家和政策制定者建立新的伙伴關(guān)系。三是國際關(guān)系惡化。全球主要國家之間的分歧和緊張局勢繼續(xù)加劇，并朝著不可預(yù)測和潛在危險(xiǎn)的方向發(fā)展。高等教育領(lǐng)導(dǎo)人將受到考驗(yàn)，因?yàn)樗麄儗@國際伙伴關(guān)系制定新的政策和規(guī)范，并在實(shí)踐和政策方面發(fā)揮作用。信息安全部門需要改進(jìn)和擴(kuò)大其針對不良行為者的監(jiān)測和保護(hù)措施

1.云平臺供應(yīng)商管理：遠(yuǎn)程學(xué)習(xí)和工作的首選解決方案

2020年，為應(yīng)對COVID-19大流行，各機(jī)構(gòu)加快了將許多運(yùn)營需求和服務(wù)轉(zhuǎn)移至網(wǎng)絡(luò)的步伐。后疫情時代，隨著這些機(jī)構(gòu)探索維持遠(yuǎn)程工作、教學(xué)和學(xué)習(xí)模式的可能性，基于云平臺的解決方案將比現(xiàn)在對業(yè)務(wù)更加重要。對于許多機(jī)構(gòu)來說，與云平臺第三方供應(yīng)商合作將是首選解決方式，因?yàn)檫@種解決方案效果更好、價(jià)格更低且規(guī)模更大。對第三方云平臺供應(yīng)商的依賴日益加重，機(jī)構(gòu)的關(guān)注點(diǎn)將從管理服務(wù)本身，轉(zhuǎn)向管理它們與提供服務(wù)的供應(yīng)商的關(guān)系。因此，云平臺解決方案的成功實(shí)施越來越依賴于供應(yīng)商的審查和選擇、合同談判和采購、對關(guān)系和服務(wù)的持續(xù)評估，以及對這些解決方案的安全性、事件響應(yīng)行動和需求的評估。

2.終端檢測與響應(yīng)：避免安全事故的重要網(wǎng)關(guān)

臺式電腦、筆記本電腦、智能手機(jī)、平板電腦等終端設(shè)備，是學(xué)生、教師和工作人員與其所在機(jī)構(gòu)互動以及在高等教育中開展工作的門戶，同時也是使機(jī)構(gòu)暴露于網(wǎng)絡(luò)風(fēng)險(xiǎn)的主要門戶之一。根據(jù)Absolute的2019年終端安全趨勢報(bào)告，70%的安全漏洞源自終端設(shè)備。鑒于檢測終端安全、滿足終端需求以及解決終端問題具有復(fù)雜性和挑戰(zhàn)性，終端安全問題是機(jī)構(gòu)較為迫切的網(wǎng)絡(luò)風(fēng)險(xiǎn)和威脅來源。終端用戶對安全的關(guān)切，以及他們在使用終端設(shè)備和網(wǎng)絡(luò)時遵循最佳安全做法的意愿，是終端安全機(jī)構(gòu)取得成功的關(guān)鍵因素。雖然大多數(shù)師生口頭上承認(rèn)安全的重要性，但其中仍有許多人期望簡單方便的無縫訪問，這將導(dǎo)致人們在網(wǎng)絡(luò)實(shí)踐活動中安全意識降低，從而使機(jī)構(gòu)面臨較高的風(fēng)險(xiǎn)。2020年，隨著大多數(shù)高等教育人員、教師和學(xué)生轉(zhuǎn)變成遠(yuǎn)程辦公模式，越來越多的終端用戶已經(jīng)并將繼續(xù)使用個人設(shè)備，在個人空間使用私人網(wǎng)絡(luò)來工作?；谠品?wù)的終端保護(hù)平臺解決方案，對于管理機(jī)構(gòu)的安全、實(shí)現(xiàn)網(wǎng)絡(luò)和設(shè)備活動的遠(yuǎn)程監(jiān)控以及在終端發(fā)生事故時進(jìn)行遠(yuǎn)程補(bǔ)救將變得更加必要。

3.多因素身份驗(yàn)證/單點(diǎn)登錄：保護(hù)數(shù)據(jù)安全的強(qiáng)大工具

多因素身份驗(yàn)證(Multifactor Authentication, 簡稱MFA)是一種數(shù)字身份驗(yàn)證方法，通過這種方法，個人在提供兩個或多個證據(jù)以驗(yàn)證其身份后，可以訪問應(yīng)用程序或平臺。因素通常來自以下兩種或兩種以上的信息：所知信息(如密碼、用戶名)、所擁有的東西(如智能手機(jī))、個人特征(如指紋、視網(wǎng)膜掃描、語音識別等生物特征)、所在地方(如位置數(shù)據(jù))。MFA之所以有效，是因?yàn)椴涣夹袨檎咄ǔo法獲取多于一種的因素，賬戶所有者通常會收到通過其他因素進(jìn)行身份驗(yàn)證的請求，以提醒他們注意未遂的黑客行為。

單點(diǎn)登錄(Single Sign-on, 簡稱SSO)為用戶提供了一次性身份驗(yàn)證的功能，以便自動和隨后訪問系統(tǒng)內(nèi)或跨系統(tǒng)的各種應(yīng)用程序和平臺。SSO降低了憑據(jù)丟失、遺忘或被盜從而導(dǎo)致安全性遭到破壞的可能性。當(dāng)與MFA結(jié)合使用時，SSO可以成為保護(hù)有價(jià)值機(jī)構(gòu)數(shù)據(jù)的強(qiáng)大工具。構(gòu)成MFA和SSO認(rèn)證技術(shù)的產(chǎn)品和服務(wù)數(shù)不勝數(shù)，系統(tǒng)和方法的組合部署因機(jī)構(gòu)而異。雖然各機(jī)構(gòu)最初往往將MFA和SSO的用于保障信息安全的工作人員和教師身上，但這一技術(shù)的用戶群很快會擴(kuò)展到整個校園。

4.保持?jǐn)?shù)據(jù)真實(shí)性與完整性：實(shí)現(xiàn)信息安全的重要方式

數(shù)據(jù)的真實(shí)性，即數(shù)據(jù)創(chuàng)建后沒有被破壞，保持原樣不變。嚴(yán)格地說，任何已處理或準(zhǔn)備交付給最終用戶的數(shù)據(jù)，其真實(shí)性都受到了損害。在現(xiàn)實(shí)世界中，需要對原始數(shù)據(jù)進(jìn)行清理(從技術(shù)意義上講，也就是破壞原始數(shù)據(jù)),以便在不影響數(shù)據(jù)實(shí)際表示內(nèi)容的情況下使這些數(shù)據(jù)可用。數(shù)據(jù)有機(jī)密性、完整性和可用性(Confidentiality, Integrity, Availability, 簡稱CIA)三個特性，其中完整性經(jīng)常被忽視。對數(shù)據(jù)完整性的威脅主要是人為因素造成的。所以，維護(hù)文件權(quán)限、訪問控制和版本控制以及建立修改或刪除數(shù)據(jù)的規(guī)則至關(guān)重要。其他對數(shù)據(jù)完整性的威脅來自服務(wù)器崩潰、電磁脈沖或自然災(zāi)害等事件，可以通過備份來避免或減輕。為保護(hù)數(shù)據(jù)的真實(shí)性和完整性，信息安全團(tuán)隊(duì)未來需要更加關(guān)注數(shù)據(jù)本身，在驗(yàn)證數(shù)據(jù)真實(shí)性的技術(shù)方面投入更多精力和資源，具體工作包括基于風(fēng)險(xiǎn)的數(shù)據(jù)驗(yàn)證、業(yè)務(wù)連續(xù)性計(jì)劃、系統(tǒng)輸入驗(yàn)證、仔細(xì)選擇系統(tǒng)和服務(wù)提供商以及定期歸檔數(shù)據(jù)。此外，隨著不法分子獲取數(shù)據(jù)的方法變得越來越復(fù)雜，如何防范人為破壞數(shù)據(jù)的真實(shí)性和完整性更具挑戰(zhàn)性。

5.安全研究：研究機(jī)構(gòu)助力信息安全的有效途徑

長期以來，學(xué)術(shù)研究一直是高等教育的標(biāo)志，會增加高等教育機(jī)構(gòu)在社會中的價(jià)值。然而，基于公開探究、創(chuàng)造和創(chuàng)新以及言論自由的價(jià)值之上的研究實(shí)踐，有時可能與監(jiān)督和保護(hù)機(jī)構(gòu)資產(chǎn)的價(jià)值觀相矛盾。自第二次世界大戰(zhàn)以來，美國高校獲得的研究支持穩(wěn)步增加。如今，國立衛(wèi)生研究院、國家科學(xué)基金會和國防部等中心仍然為學(xué)術(shù)研究人員提供大量研究資金。研究機(jī)構(gòu)已經(jīng)探索并將繼續(xù)制定減輕研究安全風(fēng)險(xiǎn)的戰(zhàn)略，并確保各機(jī)構(gòu)及其數(shù)據(jù)免受潛在威脅的影響。比如，美國國防部開發(fā)出網(wǎng)絡(luò)安全成熟度模型認(rèn)證框架，來確保適當(dāng)?shù)陌踩珜?shí)踐，以保護(hù)聯(lián)邦合同信息和受控非機(jī)密信息。此外，各研究機(jī)構(gòu)共同努力，更廣泛地確定安全研究的解決辦法，個別研究機(jī)構(gòu)也探索了改善自身研究安全態(tài)勢的策略。

6.學(xué)生數(shù)據(jù)隱私管理：提升學(xué)生對高校的信任程度

數(shù)據(jù)管理是指，規(guī)定數(shù)據(jù)收集、使用、存儲、保護(hù)和銷毀的適當(dāng)行為的決策規(guī)則和責(zé)任規(guī)則。鑒于高校收集了學(xué)生的大量資料，每所院校都需要制定和頒布強(qiáng)有力的數(shù)據(jù)管理制度，解決與學(xué)生個人信息保護(hù)和管理相關(guān)的問題。隨著學(xué)生們越來越了解機(jī)構(gòu)在收集他們的何種信息以及這些信息是如何被使用的，他們希望學(xué)校對自己的數(shù)據(jù)有更多的管理。高等院校至少可以采取多種措施來解決學(xué)生數(shù)據(jù)隱私管理問題。一方面，高校需要優(yōu)先保護(hù)學(xué)生數(shù)據(jù)隱私，通過安全存儲數(shù)據(jù)來保護(hù)學(xué)生數(shù)據(jù)的安全，并采用強(qiáng)有力的密碼標(biāo)準(zhǔn)和實(shí)踐。此外，高等教育機(jī)構(gòu)應(yīng)審查現(xiàn)有和新簽訂的合同，以核實(shí)供應(yīng)商是否遵守《家庭教育權(quán)利和隱私法》等規(guī)定。另一方面，開展校園信息安全意識宣傳活動，幫助學(xué)生了解當(dāng)前在提高安全性、保護(hù)數(shù)據(jù)隱私和識別潛在威脅方面所做的努力。定期的安全和隱私報(bào)告，可以在很大程度上幫助學(xué)生保持知情，提高學(xué)生對院校的信任程度。

第一，增長場景，即高等教育信息化安全蓬勃發(fā)展。

在該場景下，各機(jī)構(gòu)的網(wǎng)絡(luò)安全人員增加了十倍；網(wǎng)絡(luò)安全學(xué)位課程不斷發(fā)展壯大；終端網(wǎng)絡(luò)已經(jīng)成倍增長，終端用戶對安全和隱私的了解程度也成倍增長；終端保護(hù)平臺變得更加智能和全面，認(rèn)證解決方案也變得可以無縫連接；隨著機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的能力和需求不斷發(fā)展壯大，它們與解決方案提供商和大型科技公司的關(guān)系也在發(fā)展；跨機(jī)構(gòu)協(xié)作、集體規(guī)劃與戰(zhàn)略決策水平不斷提高，為同儕學(xué)習(xí)創(chuàng)造了新的空間和機(jī)會，并促進(jìn)了未來高等教育網(wǎng)絡(luò)安全實(shí)踐的創(chuàng)新。

第二，約束場景，即高等教育信息化安全在不同方面被削弱。

對高校來說，兼并造成學(xué)院和大學(xué)的數(shù)量大幅減少，加劇了偏遠(yuǎn)地區(qū)高等教育勞動力的僵化。COVID-19大流行造成的財(cái)政影響導(dǎo)致教職員工大量減少，后疫情時期大多數(shù)高等教育員工沒有重返校園。國家資金的持續(xù)減少和學(xué)費(fèi)收入的減少對信息技術(shù)預(yù)算產(chǎn)生了不利影響。許多機(jī)構(gòu)削減了教職員工的職位，并減少超支的成本。對供應(yīng)商來說，為了保護(hù)自己免受數(shù)據(jù)泄露引起的訴訟，供應(yīng)商現(xiàn)在堅(jiān)持要求簽訂極其復(fù)雜的合同，削弱了高等教育信息技術(shù)部門以敏捷方式應(yīng)對機(jī)構(gòu)需求的能力。在安全性方面，個人工作設(shè)備的使用頻率增加導(dǎo)致安全事件激增。向遠(yuǎn)程工作和學(xué)習(xí)的轉(zhuǎn)變增加了對信息安全人員的需求，以抵御網(wǎng)絡(luò)攻擊。

第三，崩潰場景，即無法控制的變革力量使高等教育信息化安全走向崩潰。

一是大多數(shù)安全需求和工作崗位已經(jīng)減少，信息專業(yè)人員被邊緣化。二是在公司和學(xué)校的對峙中，大型科技公司在保護(hù)高等教育隱私和安全方面擁有主要控制權(quán)，在談判合同、確保合規(guī)和減少風(fēng)險(xiǎn)方面，大學(xué)的作用僅僅是形式上的。三是不法分子的黑客技術(shù)遠(yuǎn)遠(yuǎn)超出了機(jī)構(gòu)自身的解決方案和安全措施，大量機(jī)構(gòu)受到了攻擊。四是設(shè)備和網(wǎng)絡(luò)無處不在，且總是處于監(jiān)聽和收集數(shù)據(jù)狀態(tài)。公眾對于數(shù)據(jù)隱私和保護(hù)的態(tài)度，趨向于對難以理解的“云”全盤默許。五是學(xué)生數(shù)據(jù)已經(jīng)不再被視為需要保護(hù)的財(cái)富，而更多地被視為可以出售的商品。六是“安全疲勞癥”已經(jīng)在世界大多數(shù)發(fā)達(dá)地區(qū)蔓延開來，跨越技術(shù)、設(shè)備和網(wǎng)絡(luò)的無數(shù)安全風(fēng)險(xiǎn)已經(jīng)讓大多數(shù)消費(fèi)者和終端用戶對始終存在的數(shù)字危險(xiǎn)麻木。

第四，轉(zhuǎn)型場景，即高等教育成功轉(zhuǎn)型并建立了新的信息安全發(fā)展范式。

一是國家安全機(jī)構(gòu)與高等教育機(jī)構(gòu)展開合作，兩者共同利用校園技術(shù)、計(jì)算能力和專業(yè)知識來對抗黑客、恐怖分子和其他網(wǎng)絡(luò)犯罪分子的威脅。二是政府投資建立高等教育領(lǐng)域的“網(wǎng)絡(luò)安全”學(xué)科，規(guī)模較大的公立博士研究所率先建立完整的信息安全本科和研究生課程，通過培訓(xùn)來補(bǔ)充普遍短缺的信息安全人員。三是私人信息安全領(lǐng)域蓬勃發(fā)展，許多小型機(jī)構(gòu)和計(jì)算性能較弱的機(jī)構(gòu)將其網(wǎng)絡(luò)安全業(yè)務(wù)外包，引起網(wǎng)絡(luò)安全供應(yīng)商數(shù)量激增。

1640155161(1)

根據(jù)報(bào)告主要發(fā)現(xiàn)，七位地平線專家以論文案例的形式對世界高等教育機(jī)構(gòu)中信息安全的現(xiàn)狀、問題等進(jìn)行了反思。在收集的七篇文章中，有兩篇介紹了澳大利亞和加拿大高等教育信息化安全的情況，有三篇涵蓋了美國高等教育的不同類型機(jī)構(gòu)(學(xué)士學(xué)位機(jī)構(gòu)、研究機(jī)構(gòu)、大學(xué)系統(tǒng))的信息安全情況，還有兩篇描述了企業(yè)視角(思科公司和微軟公司)下的高等教育信息化安全，如表1所示。

表1 高等教育信息化安全的經(jīng)典案例

區(qū)域	概述
澳大利亞高等教育	疫情帶來的遠(yuǎn)程工作和學(xué)習(xí)的“新常態(tài)”深刻改變了我們的生活、工作和互動方式，雖然這在2019年是一種必要的、臨時的反應(yīng)，但疫情過后也應(yīng)采用遠(yuǎn)程工作和學(xué)習(xí)，因?yàn)檫@種方式更高效、成本更低，也被越來越多的師生所接受。
加拿大高等教育	技術(shù)有助于社會進(jìn)步，但必須謹(jǐn)慎引導(dǎo)安全使用，否則很容易造成傷害。高等教育應(yīng)發(fā)揮領(lǐng)導(dǎo)作用，確保數(shù)據(jù)的安全性，研究數(shù)據(jù)治理問題，找到信息安全問題的解決方案。
美國學(xué)士學(xué)位機(jī)構(gòu)	年輕一代的大學(xué)生意識到泄露私人信息帶來的潛在影響，并會確認(rèn)數(shù)據(jù)存儲、使用的信息。高等教育機(jī)構(gòu)應(yīng)該認(rèn)識到這一事實(shí)，并采取相應(yīng)的措施，如保障數(shù)據(jù)收集、處理和存儲的政策和程序都有完整的記錄，培訓(xùn)員工關(guān)于數(shù)據(jù)管理的法律要求和正確使用數(shù)據(jù)的方法。
美國研究機(jī)構(gòu)	研究機(jī)構(gòu)雖然在創(chuàng)造經(jīng)濟(jì)價(jià)值、培養(yǎng)未來人才方面發(fā)揮了重要作用，但是在合作、監(jiān)管、隱私等方面面臨著風(fēng)險(xiǎn)。
美國大學(xué)系統(tǒng)	信息安全的未來趨勢和關(guān)鍵實(shí)踐將影響大學(xué)系統(tǒng)。終端設(shè)備數(shù)量的大量增加，為設(shè)備的管理和檢測工作帶來諸多困難。在許多機(jī)構(gòu)中，管理數(shù)據(jù)隱私是首席信息安全官的職責(zé)，但大學(xué)系統(tǒng)的復(fù)雜性要求這些職責(zé)由獨(dú)立的辦公室來管理。COVID-19大流行加劇了網(wǎng)絡(luò)犯罪分子通過各種陰謀手段帶來的挑戰(zhàn)，為保證高校系統(tǒng)網(wǎng)絡(luò)的完整性，應(yīng)提高信息系統(tǒng)的適應(yīng)性和防護(hù)性。
保障大學(xué)研究的產(chǎn)業(yè)視角(企業(yè)視角)	供應(yīng)商不能只銷售產(chǎn)品，而應(yīng)該努力幫助機(jī)構(gòu)建立符合其具體要求的有效的網(wǎng)絡(luò)安全環(huán)境?？刹扇〉拇胧┌ǎ汗?yīng)商與高等教育機(jī)構(gòu)合作；尋找快速見效的安全工具；使用“云智能”實(shí)現(xiàn)高效啟動、運(yùn)行和管理；使用集成化和自動化工具以提高安全管理的效率。
供應(yīng)商對信息安全的貢獻(xiàn)(企業(yè)視角)	高等教育機(jī)構(gòu)對網(wǎng)絡(luò)安全的需求空前高漲，供應(yīng)商應(yīng)努力幫助高等教育抵御網(wǎng)絡(luò)攻擊。終端檢測和響應(yīng)能力是高等教育機(jī)構(gòu)的必備能力，安全供應(yīng)商可以在不同領(lǐng)域?yàn)楦叩冉逃峁┙K端檢測和響應(yīng)服務(wù)。此外，供應(yīng)商還可以通過提供云服務(wù)、安全工具、自動檢查和修復(fù)功能等，幫助高等教育抵御網(wǎng)絡(luò)攻擊。

1640155277(1)

2020年新冠肺炎疫情的全球性爆發(fā)給教育帶來了巨大沖擊，一場前所未有的、大規(guī)模在線教育實(shí)驗(yàn)迅速展開。后疫情時代，學(xué)校教育將轉(zhuǎn)向以“網(wǎng)”為主。網(wǎng)絡(luò)上的信息和知識雖全面豐富，但卻存在信息冗雜、魚龍混雜的問題，頻發(fā)的網(wǎng)絡(luò)安全事故也加劇了人們對在線教育的擔(dān)憂。如何確保在線高等教育的信息安全，構(gòu)筑晴朗網(wǎng)絡(luò)空間，是后疫情時代高等教育信息化發(fā)展的重要任務(wù)。解讀和分析《2021年信息安全版報(bào)告》,能夠精確把握國際高等教育信息化安全的最新發(fā)展趨勢和未來變革路徑，并對有效推進(jìn)我國高等教育信息化安全持續(xù)發(fā)展提供啟示和借鑒。

1.加強(qiáng)信息安全防護(hù)，促進(jìn)后疫情時代在線高等教育高質(zhì)量發(fā)展

后疫情時代，越來越多的人接受并適應(yīng)了在線教育，但同時在線教育引發(fā)的學(xué)習(xí)數(shù)據(jù)及隱私泄漏等安全問題不容忽視，信息安全還面臨很大挑戰(zhàn)。比如，人工智能技術(shù)在助推在線教育不斷發(fā)展的同時，也滋生和傳播了虛假信息。學(xué)習(xí)者在網(wǎng)絡(luò)學(xué)習(xí)平臺留下大量的個人和學(xué)習(xí)記錄數(shù)據(jù)，會被一些別有用心之人竊取和非法使用。高等教育領(lǐng)域亦是如此，信息安全得以保障，才能促使在線高等教育順利開展。

為加強(qiáng)在線高等教育的安全防護(hù)，應(yīng)充分發(fā)揮教育信息系統(tǒng)中教育部門、技術(shù)管理人員、教師、學(xué)習(xí)者等主體的合力作用。教育部門制定信息安全戰(zhàn)略，采取適用于高等教育數(shù)據(jù)格式和需求的通用框架，并建立該框架的具體指標(biāo)，以有效檢測、響應(yīng)和預(yù)防信息安全威脅，切實(shí)維護(hù)教育數(shù)據(jù)安全和教育信息系統(tǒng)的正常運(yùn)作。技術(shù)管理人員發(fā)揮技術(shù)優(yōu)勢，檢測并阻止對網(wǎng)絡(luò)平臺上教育數(shù)據(jù)的訪問和獲取記錄，保護(hù)師生用戶數(shù)據(jù)和隱私。教師既要防止其教學(xué)成果和資源被他人以不正當(dāng)?shù)那览?，又要?qiáng)化保護(hù)學(xué)生教育數(shù)據(jù)的意識，避免對學(xué)生教育數(shù)據(jù)有意無意的泄露甚至是濫用。學(xué)習(xí)者提高信息安全意識和對數(shù)據(jù)安全的敏感性，注意保護(hù)網(wǎng)絡(luò)平臺上的個人信息以及在學(xué)習(xí)過程中產(chǎn)生的大量學(xué)習(xí)數(shù)據(jù)?？傊鞣焦餐順?gòu)建在線高等教育數(shù)據(jù)安全共同體，共促后疫情時代在線高等教育高質(zhì)量發(fā)展。

2.關(guān)注隱私安全，構(gòu)建高等院校學(xué)生數(shù)據(jù)隱私保護(hù)體系

《2021年信息安全版報(bào)告》認(rèn)為高等院校要重視學(xué)生數(shù)據(jù)的收集、儲存和使用，實(shí)施強(qiáng)有力的數(shù)據(jù)治理措施，解決學(xué)生個人信息保護(hù)和隱私管理問題。我國學(xué)者同樣關(guān)注了學(xué)生數(shù)據(jù)隱私問題，認(rèn)為在線教育雖有助于解決疫情期間的師生時空異步環(huán)境下的教育問題，但在收集、創(chuàng)建和處理個人信息和學(xué)習(xí)數(shù)據(jù)的同時，無法回避保護(hù)用戶隱私的難題。此外，在線學(xué)習(xí)平臺技術(shù)上的漏洞，或不法分子對用戶信息的惡意竊取和利用等，更加劇了隱私泄露的風(fēng)險(xiǎn)。在保護(hù)學(xué)生數(shù)據(jù)隱私的過程中，高等院校面臨許多挑戰(zhàn)，比如建立學(xué)生數(shù)據(jù)隱私數(shù)據(jù)庫是一項(xiàng)繁瑣而艱巨的任務(wù)，耗時又耗資；如何確定隱私數(shù)據(jù)收集、使用和刪除規(guī)則以及如何更好地使用數(shù)據(jù)服務(wù)學(xué)生，目前尚沒有明確的規(guī)則。

鑒于此，我國在保護(hù)高等院校學(xué)生數(shù)據(jù)隱私時應(yīng)注意如下幾點(diǎn)。一是高等院校肩負(fù)起學(xué)生數(shù)據(jù)隱私管理和保護(hù)的主要責(zé)任，明確采集、處理和使用學(xué)生隱私數(shù)據(jù)的準(zhǔn)則，為不同類型用戶開放不同的數(shù)據(jù)訪問權(quán)限。權(quán)威高等院校還可發(fā)布保護(hù)學(xué)生在線隱私數(shù)據(jù)的服務(wù)指南和培訓(xùn)視頻，指導(dǎo)更大范圍的高校管理者保護(hù)學(xué)生的數(shù)據(jù)隱私。二是提高高校學(xué)生對數(shù)據(jù)隱私的熟悉程度，比如告知學(xué)生收集了哪些數(shù)據(jù)以及這些數(shù)據(jù)是被如何存儲、使用和保護(hù)的；允許學(xué)生根據(jù)需要審核和更新自己的數(shù)據(jù)，提高學(xué)生個人數(shù)據(jù)的管理透明度；讓學(xué)生有機(jī)會選擇退出機(jī)構(gòu)數(shù)據(jù)收集和使用。三是高等院校選擇在線教育服務(wù)供應(yīng)商時，應(yīng)回避可能會濫用學(xué)生信息的供應(yīng)商，在與更多校外組織共享學(xué)生的個人數(shù)據(jù)時，應(yīng)通過限制訪問權(quán)限等多種措施，更好地保護(hù)學(xué)生的數(shù)據(jù)隱私。四是使用隱私管理工具提高隱私管理效率，比如基于隱私管理工具審核機(jī)構(gòu)隱私條例的遵守情況，追蹤危及個人敏感資料的事件與個人資料的收集、使用情況以及記錄用戶對隱私政策的認(rèn)識。

3.多途徑防護(hù)，避免終端成為高等教育信息化中的安全事故“漏洞”

根據(jù)《2021年信息安全版報(bào)告》,影響高等教育信息化安全發(fā)展的技術(shù)趨勢為，個人設(shè)備更多用于工作，網(wǎng)絡(luò)安全事故成為常態(tài)。這一趨勢與COVID-19大流行有很大關(guān)系，受疫情影響大量師生不得不居家使用個人終端辦公。在此情況下，數(shù)據(jù)安全性的責(zé)任更多取決于個人終端，而個人終端往往位于機(jī)構(gòu)防火墻、安全和威脅檢測系統(tǒng)的保護(hù)之外，更容易遭受到網(wǎng)絡(luò)釣魚、惡意軟件、間諜軟件的攻擊，所以造成了大量安全事故。

鑒于在高等教育信息化發(fā)展過程中，個人終端成為信息安全漏洞的可能性較大，所以應(yīng)采取多種途徑保護(hù)個人終端，避免其成為安全事故“漏洞”。一是強(qiáng)化終端操作系統(tǒng)信息安全防護(hù)能力。隨著大多數(shù)高等院校師生居家辦公和學(xué)習(xí)，首要考慮的是確保師生安全連接、訪問和下載機(jī)構(gòu)資源(如服務(wù)器、網(wǎng)絡(luò)、應(yīng)用程序),從而保持生產(chǎn)力。但是，這不能以犧牲終端設(shè)備的數(shù)據(jù)安全性為代價(jià)。為此，要增強(qiáng)高校師生的個人終端設(shè)備，尤其是操作系統(tǒng)的安全防護(hù)能力，確保涉及資源調(diào)用或用戶信息的操作總是在操作系統(tǒng)控制之中。二是在終端設(shè)備中預(yù)置安全監(jiān)控應(yīng)用。許多應(yīng)用程序要求訪問電話簿、呼叫歷史記錄、攝像頭、文件和文件夾以及日志，可通過使用預(yù)置的安全監(jiān)控應(yīng)用，實(shí)現(xiàn)對應(yīng)用程序的安裝檢測并將檢測報(bào)告發(fā)送給師生；遵循應(yīng)用程序權(quán)限最小化原則，合理限制應(yīng)用程序的權(quán)限，避免應(yīng)用程序調(diào)用與高校師生當(dāng)前的習(xí)和工作場景無關(guān)的數(shù)據(jù)。三是實(shí)施嚴(yán)格的終端使用安全策略。在高校師生使用終端辦公和學(xué)習(xí)之前，注意審核并清點(diǎn)不合格的終端設(shè)備，采取嚴(yán)格措施來確保終端密碼有足夠的保護(hù)強(qiáng)度，并幫助師生選擇多因素身份驗(yàn)證(如數(shù)字或圖案鎖定、指紋或視網(wǎng)膜掃描或語音識別),來確保終端設(shè)備不會成為訪問高等院校教育數(shù)據(jù)的便捷網(wǎng)關(guān)。

4.完善培養(yǎng)培訓(xùn)體系，加快高等教育信息化安全人才隊(duì)伍建設(shè)

隨著互聯(lián)網(wǎng)的大量使用和在線高等教育逐漸成為“新常態(tài)”,保護(hù)信息系統(tǒng)免受入侵和破壞勢在必行。信息安全人員在保護(hù)數(shù)據(jù)免受內(nèi)部和外部威脅方面發(fā)揮著重要作用，所以當(dāng)前對高等教育信息化安全人員的需求量陡增。然而，目前信息安全人員嚴(yán)重短缺，國內(nèi)外均如此。根據(jù)《2021年信息安全版報(bào)告》,美國勞工統(tǒng)計(jì)局估計(jì)，從2019年到2029年對“信息安全分析師”的需求將增長31%。我國研究者也表示，信息安全保障人才比較缺乏，尤其是在廣大鄉(xiāng)村等偏遠(yuǎn)落后的地區(qū)，信息安全維護(hù)工作多由未受過專業(yè)培訓(xùn)的教師兼做。

鑒于此，亟需完善培養(yǎng)培訓(xùn)體系，加快我國高等教育信息化安全人才隊(duì)伍建設(shè)。在人才培養(yǎng)方面，應(yīng)根據(jù)高等教育特有的屬性特點(diǎn)，有針對性地確定培養(yǎng)信息安全人員的教學(xué)方向和技術(shù)知識，使教學(xué)內(nèi)容符合后疫情時代高等教育信息化發(fā)展對信息安全的現(xiàn)實(shí)需求，突出實(shí)踐性教學(xué)導(dǎo)向，幫助學(xué)習(xí)者實(shí)現(xiàn)“所學(xué)即能所用”。除了普通的教學(xué)培養(yǎng)，還應(yīng)開拓多種途徑提高信息安全人員的技能水平，比如舉辦高等院校信息安全技能競賽、鼓勵學(xué)生考取網(wǎng)絡(luò)安全行業(yè)的資質(zhì)證書。在人才培訓(xùn)方面，開設(shè)高等教育信息安全人員技能培訓(xùn)班，培訓(xùn)對象可以為信息安全專業(yè)人員，也可以是信息安全領(lǐng)域的積極響應(yīng)者。根據(jù)受訓(xùn)人員的在信息安全領(lǐng)域的學(xué)習(xí)基礎(chǔ)、學(xué)習(xí)需求和崗位要求等情況，靈活確定培訓(xùn)目標(biāo)和內(nèi)容。信息安全培訓(xùn)成本低、周期短、針對性強(qiáng)，能夠快速有效地建設(shè)高等教育信息化安全人才隊(duì)伍，從而更加有效地應(yīng)對高等教育信息化過程中的信息安全問題。

5.利用區(qū)塊鏈技術(shù)，保障高等教育信息化中數(shù)據(jù)的真實(shí)性和完整性

《2021年信息安全版報(bào)告》將保持?jǐn)?shù)據(jù)的真實(shí)性和完整性作為六大關(guān)鍵技術(shù)與實(shí)踐之一。數(shù)據(jù)的開放性和可用性越高，其被破壞的可能性也會越高。研究表明，區(qū)塊鏈技術(shù)能夠提供不可更改的分布式數(shù)據(jù)記錄,在保持?jǐn)?shù)據(jù)的真實(shí)性和完整性方面具有優(yōu)勢。比如，有學(xué)者基于區(qū)塊鏈技術(shù)建立終身教育記錄跟蹤方案“Educhain”,來保護(hù)學(xué)習(xí)者個體的終身學(xué)習(xí)記錄數(shù)據(jù)。

在高等教育信息化發(fā)展過程中，可考慮采用區(qū)塊鏈技術(shù)保障數(shù)據(jù)的真實(shí)性和完整性。高質(zhì)量的在線高等教育對安全、全面、可信的教育記錄有所需求，而區(qū)塊鏈技術(shù)恰好在保護(hù)數(shù)據(jù)信息不被篡改、實(shí)現(xiàn)數(shù)據(jù)永久儲存方面具有天然優(yōu)勢。在實(shí)施過程中，基于區(qū)塊鏈技術(shù)全面記錄高校學(xué)生的學(xué)習(xí)成績、綜合測評、獲得獎勵證書等情況，形成完整又不可改動和刪除的學(xué)生教育記錄，為高校畢業(yè)生升學(xué)或就業(yè)出具有效的過往教育經(jīng)歷證明；基于區(qū)塊鏈技術(shù)降低高等教育數(shù)據(jù)共享的安全風(fēng)險(xiǎn)，方便不同地區(qū)、不同部門之間安全穩(wěn)定地共享教育數(shù)據(jù)；基于區(qū)塊鏈技術(shù)的時間戳功能實(shí)現(xiàn)數(shù)據(jù)的可追溯，從而在數(shù)據(jù)泄露的情況下進(jìn)行精準(zhǔn)追責(zé)；基于區(qū)塊鏈技術(shù)的“智能合同”開發(fā)教育數(shù)據(jù)管理系統(tǒng)，實(shí)現(xiàn)高校管理者對全校學(xué)生數(shù)據(jù)的記錄、篩選、分析和管理，同時控制數(shù)據(jù)的訪問和使用次數(shù)，最大程度保護(hù)學(xué)生隱私。此外應(yīng)注意，終端用戶被數(shù)據(jù)漏洞利用者誘騙，同樣是破壞數(shù)據(jù)真實(shí)性和完整性的重要因素。所以要采用支持?jǐn)?shù)據(jù)真實(shí)性和完整性的技術(shù)和方法，如文件權(quán)限、訪問和版本控制、代碼本和字典、終端檢測以及憑據(jù)和設(shè)備維護(hù)。還要為高校終端用戶提供全面和定期的培訓(xùn)，特別是對接觸敏感數(shù)據(jù)的高校工作人員進(jìn)行培訓(xùn)，以識別、避免和報(bào)告網(wǎng)絡(luò)釣魚騙局和其他威脅。

來源 | 《高教探索》2021年第10期

《2021年信息安全版報(bào)告》：高等教育信息化安全的要點(diǎn)與啟示

2.社會趨勢：信息安全人員供不應(yīng)求，數(shù)據(jù)隱私和合同簽訂引發(fā)關(guān)注

3.技術(shù)趨勢：個人設(shè)備更多用于工作，網(wǎng)絡(luò)安全事故成為常態(tài)

4.經(jīng)濟(jì)趨勢：資金供給不足，高等教育機(jī)構(gòu)間合作與并購不斷加強(qiáng)