圖片來源：圖蟲創(chuàng)意

高校信息安全工作者面對內外挑戰(zhàn)，開始探索可行的技術解決方案并開始踐行。這些技術實踐可能深刻、持久、積極改變未來高等教育的格局。

《2021年EDUCAUSE地平線報告——信息安全版》報告組凝練出6項關鍵技術和實踐：云供應商管理、端點檢測和響應、多因素身份驗證/單點登錄、保證數據的真實性/完整性、研究數據的安全、學生數據隱私與治理。

高校信息安全的關鍵技術與實踐

云供應商的管理

云計算作為一種更高效、更具有成本效益的信息化解決方案，正成為高校運作的主要方式，尤其隨著高校遠程工作的常態(tài)化。隨著高校對第三方云服務商的日益依賴，高校信息安全的關注點正從管理服務轉向管理高校與云服務供應商的關系。

因此，以云服務為主的高校信息安全與隱私工作，開始聚焦于對供應商的審查、選擇、合同談判、采購、解決方案的安全性、合作關系和服務的持續(xù)評估、事件響應行動和需求的評估等。

如加州大學伯克利分校使用HECVAT進行高風險供應商評估，密歇根州立大學啟動TT準備度+服務提供商”的安全評估工作。

端點檢測和安全響應實踐

師生員工使用各類終端設備，通過各類網絡服務接入高校門戶。Absolute的2019年終端安全趨勢報告顯示，70%的安全漏洞源自終端設備，高校網絡風險增加。大多數學生和教職工仍然期望能夠擁有輕松便利的訪問體驗，這就會導致風險增加。

因此，保護多樣化終端設備并監(jiān)控其活動正成為高校未來信息安全工作的重點，基于云的端點保護平臺解決方案對高校信息安全，對網絡和設備的遠程監(jiān)控、端點事件發(fā)生時的遠程補救等變得更加必要。

同時，終端用戶對信息安全的關注，及使用復雜設備和網絡時遵循最佳安全實踐的意愿，是高校在端點安全取得成功的關鍵。

多因素身份驗證/單點登錄

隨著師生員工每天訪問應用程序和系統(tǒng)數量的增加，在保護賬戶的同時簡化身份驗證過程的解決方案需求不斷增加，多因素身份驗證(MFA)和單點登錄(SSO)正成為高校的選擇之一。

多因素身份驗證是個人提供兩份或更多證據驗證其身份后，被授予訪問應用程序或平臺的權限。單點登錄是用戶提供了一次身份驗證后，便能自動訪問各種應用程序和平臺。

MFA和SSO兩者結合的認證方案為實現自適應認證技術奠定了基礎，自適應身份驗證根據終端用戶的位置、角色和權限決定其訪問平臺和應用程序所需的身份驗證因素數量和類型。

報告小組認為，MFA與SSO結合是保護高校數據的有效工具，美國石溪大學、杜克大學等都使用了這種方式。

數據真實性和完整性的保證

一個字節(jié)數據的意外刪除或錯位就可能改變數據的有效性，數據越開放，其被篡改的幾率就越大，所以高校保護數據真實性和完整性的需求正不斷增長。

數據真實性和完整性的風險一方面來自人為干預，所以對文件權限、訪問控制、版本控制，以及對記錄、修改或刪除數據的規(guī)則的建立就變得至關重要；另一方面風險來自服務器崩潰、電磁脈沖或自然災害等。

高校信息安全團隊未來需要更加關注數據，在數據驗證、業(yè)務連續(xù)性、系統(tǒng)輸入驗證、系統(tǒng)和服務提供商選擇、數據定期保存等方面分配更多資源，以確保數據真實性，其中防范人對數據完整性的破壞尤為重要。

研究數據的安全保護

科學研究是高校的核心使命之一，隨著科研信息化的發(fā)展，研究越來越依賴于信息技術。

研究數據是高度敏感的數字資產，正成為高校信息安全風險的重災區(qū)，高校必須全力保護科研數據及數據存儲設備和系統(tǒng)免受外部攻擊。

各高校已開始探索并制定戰(zhàn)略，以降低安全風險并確保研究數據免受威脅。

如面向國家、行業(yè)資助方及合作伙伴，美國國防部副部長辦公室開發(fā)了一個網絡安全成熟度模型認證(CMMC)框架，旨在保護國家合同信息(FCI：federal contract information)和可控未分類信息(CUI：controlled unclassified information)的安全。

堪薩斯州立大學與微軟合作建立的“研究信息安全區(qū)”，致力于滿足響應美國政府保護受控非分類信息(CUI)的要求。

在六種信息安全技術和實踐中，研究安全是高校未來投入成本最高的實踐領域，安全人員與用戶攜手在科研數據的便利使用和安全之間形成權衡，是高校研究安全長期面臨的挑戰(zhàn)。

學生數據隱私與治理

當前高校已收集了學生很多數據，但高校在收集什么數據、如何使用數據及如何讓學生受益等方面缺乏透明度，這削弱了學生對高校保護其數據的信心。

當代大學生已開始重視個人數據隱私，并意識到高校使用其個人數據可能存在的潛在風險，大學生對高校合理收集、保護并負責任使用其數據提出了更高要求，高校需要實施具有明確隱私保護的強大數據治理機制，采用隱私管理工具以保護學生數據隱私。

隱私管理工具可協助高校審核隱私條例遵守情況，追蹤危及敏感個人資料的事件，跟蹤收集的數據及其使用方式，并記錄用戶對隱私政策的認識。隱私管理工具可以配備面向公眾的儀表盤，允許最終用戶手動決定哪些數據準許被機構收集和使用。

高校還需要制定和頒布強有力的數據治理制度，為數據收集、使用、存儲、保護和銷毀等相關行為制定決策和責任規(guī)則。

具體而言，高?？蓮娜齻€方面開展學生數據隱私保護和治理工作。

首先，認識到保護學生數據隱私的重要性，通過安全存儲數據、采用MFA/SS。認證方式、強大密碼標準等保護學生數據。還應審查合同、核實供應商是否遵守《家庭教育權利和隱私法》、《健康保險攜帶和責任法》等規(guī)定。

第二，院校向學生披露數據收集內容、數據使用和共享方式等，增加透明度。要征得學生同意后方能采集和使用其數據，并允許學生根據需要審核和更新自己的數據，準許學生隨時選擇不讓高校收集其數據。如密歇根大學的ViziBLUE項目就提高了在學生數據收集、使用和共享方面的透明度。

第三，高校推進校園信息安全意識教育，幫助學生跟上當前的信息安全發(fā)展，提高其保護數據隱私、識別潛在威脅方面的能力。

高校信息安全工作的發(fā)展趨勢

當前全球仍面臨疫情擴散風險，遠程工作可能常態(tài)化，高校當前及未來必將面臨巨大的信息安全挑戰(zhàn)與壓力，這就需要高校對未來信息安全工作做出合理謀劃。

報告專家組沿用往年思路，為高校信息安全工作描述了四種可能場景：即增長、約束、崩潰、變革，為高校信息安全工作的規(guī)劃提供參考。

1.增長

報告專家組認為，從目前發(fā)展趨勢來看，高校對信息安全的需求將持續(xù)猛增，這必將推動高校信息安全工作與信息安全教育的飛速發(fā)展。

首先，師生員工及利益相關者已然了解其技術環(huán)境的風險，并習慣性地、本能地采取措施保護其設備和信息安全。

任何高校都需要將“信息風險”列為戰(zhàn)略規(guī)劃和決策的首要因素，信息安全專業(yè)人員與相關設備、系統(tǒng)等都將成為高校信息化建設的重點。

高校信息安全人員已平均增加了十倍，未來高校將普遍增設首席信息安全官，信息安全學位課程會不斷發(fā)展，學生父母會更加關注學校對學生數據和隱私的保護。

其次，隨著高校在信息安全方面需求的增長，高校的信息安全工作從依靠自身轉向尋求解決方案提供商的支持。

由于高校對第三方解決方案的需求激增，市場向第三方解決方案提供商傾斜，所以高校需建立聯盟對第三方信息安全解決方案的采購和合同談判施加影響，以確保第三方解決方案符合高等教育政策、價值觀和需求?？鐧C構的協作、集體規(guī)劃和戰(zhàn)略決策水平的提高促進了未來高等教育網絡安全實踐模式的創(chuàng)新。

2.約束

報告專家組預測，后疫情時代高校網絡安全會因遠程工作、預算銳減、運營費用激增、數據保護和隱私法規(guī)出臺等影響，高校信息安全工作自身可能會成為被約束和監(jiān)督的對象，并可能從根本上改變高校處理信息風險的方式。

首先，自2020年以來，美國出臺了有史以來最全面的數據隱私保護和網絡安全法規(guī)。

盡管新政策沒有減緩黑客入侵的速度，但對責任人及保護數據責任人的刑事和民事處罰會改變高校信息安全的運作方式。

為了保護自己免受因數據泄露而引發(fā)的訴訟，第三方供應商堅持要求高校簽訂異常復雜的合同，并在簽訂合同前進行法律審查和談判。

高校也會對每一份可能暴露其敏感數據的第三方合同條款出臺特定政策。這是一個代價高昂、運作繁瑣的過程，勢必，削弱高校信息部門敏捷地響應組織需求的能力。

此外信息安全保險會激增，因為法律會要求每所高校必須投保信息安全方面的違約保險，同時許多高校信息安全員工都會購買個人責任保險，以防止受害者、供應商或機構追究他們的責任。

其次，信息安全工作人員努力保護師生員工信息安全的同時，其個人工作隱私卻很難受到保護。

信息安全專業(yè)人員所使用設備、軟件均受到集中管理和密切監(jiān)察，信息安全工作人員的所有工作活動都會有校內審計人員和隱私政策制定官員的監(jiān)督，以減少可能因個別工作人員的錯誤而影響無邊界校園網絡安全的事件發(fā)生。

在此過程中，信息安全工作人員的個人數據就置于風險之中，許多高校對信息安全工作人員的錯誤采取了零容忍政策，信息安全職業(yè)成為高風險、高回報行業(yè)。

3.崩潰

后疫情時代高校所面臨的信息安全挑戰(zhàn)必將長期存在，高校信息安全工作在面臨發(fā)展機遇的同時，也受到很多制約，并有來自外部信息安全運營服務商的競爭。報告組專家認為，如果高校信息安全工作沒有很好的推進思路，也有可能走向崩潰。

首先，隨著大型科技公司在技術力量與成本等方面的優(yōu)勢日趨明顯，以及現有黑客技術遠超出高校自身的能力范圍，單個高校組織，甚至組織聯盟正逐漸失去保護成員隱私與信息安全的能力。

大型科技巨頭是僅有的能夠抵御高級安全威脅的壁壘，高校遂開始放棄對自身安全的控制，接受公司承諾的相對較低的風險，其信息安全部門的作用已經被縮小到僅存在于形式中，或頂多服從于公司的條款和利益，服從于國家政策和限制。

其次，隨著“信息安全疲勞”蔓延開來，漫天信息安全風險已經讓大多數用戶變得麻木，開始被動地將他們的安全移交給任何能夠確保它并從中受益的人。

師生對高校的信息安全需求減少，或大量轉移到其他信息安全提供商。公眾對數據隱私和保護的態(tài)度已趨向于依賴“云”服務商，學生數據已不再被視為需要保護的對象，而更多被視為可以出售的商品，以幫助高校解決資金緊張問題。

來自外部企業(yè)的競爭，以及與內部師生員工信息安全需求的變化，使得大多數高校的信息安全人員逐漸處于信息工作的邊緣地位，一些高校甚至開始完全削減其內部的信息安全部門，高校信息安全專業(yè)人員職業(yè)發(fā)展暗淡無光。

4.變革

疫情在全球的大流行從根本上改變了高等教育的運作方式，也同時改變了信息安全的運作方式。報告專家組認為，后疫情時代遠程工作與學習的常態(tài)化，信息安全事件的常態(tài)化，擴大了高校信息安全保護范圍，并給高校信息安全事業(yè)帶來了創(chuàng)新發(fā)展的機遇。

首先，隨著機器學習、人工智能、漏洞懸賞程序、端點檢測和響應解決方案、深度造假檢測、數據驗證等信息安全技術在高校的成功實踐，政府看到了高校信息安全教育和防護工作的卓有成效，希望與高校合作，利用校園技術、計算能力和專業(yè)化知識來對抗網絡威脅。

這些合作伙伴關系的正規(guī)化會讓高校在“打擊網絡恐怖主義的戰(zhàn)爭”中扮演代理人的角色，主動監(jiān)視、探測并打擊黑客、恐怖分子和其他網絡犯罪分子。

其次，信息安全工作逐漸受到相應法規(guī)制約，高校首席隱私官找到用武之地，將內部信息安全研究部門、機構審查委員會以及總法律顧問部門納入其管轄之下，學校信息安全與情報、反情報、網絡執(zhí)法、信息系統(tǒng)和用戶服務等融為一體，信息安全部門在高校的戰(zhàn)略地位得到極大提升。

第三，為滿足社會對信息安全勞動力的需求，政府與高校合作，將信息安全作為一門學科，建立完整的本科、研究生課程體系。信息安全課程也可能延伸到K-12領域，既有實踐經驗又有學術專長的教師是信息安全教育體系建設的關鍵。

第四，那些沒有高性能計算能力的學校機構，被迫將其信息安全業(yè)務外包給更大規(guī)模的高校信息安全部門。另外，這種信息安全服務的拓展會導致電力成本的飆升，高校可能會租賃、購買或自建發(fā)電廠來滿足需求，并將多余部分出售給當地電力公司，以抵消其他成本。

第五，那些沒有資金建造自己的信息安全系統(tǒng)，也沒能力與私人公司簽約的高校開始通過大量并購集中資源；一些規(guī)模更大、財力更雄厚的高校開始收購其他院校，并將觸角伸向其他地區(qū)，信息安全將促使巨型高校形成。

啟示與建議

后疫情時代全球高等教育的發(fā)展，迫切要求高校從戰(zhàn)略高度謀劃其信息安全工作的發(fā)展藍圖。

此次報告從遠程工作、社會、技術等六個方面高屋建瓴地闡述了高校信息安全正在或即將面臨的挑戰(zhàn)與發(fā)展機遇，有助于幫助高校CI0站在更高的戰(zhàn)略層面思考和定位其信息安全工作。

報告簡明扼要地介紹了當前全球高校正在積極推進的六大信息安全實踐，為高校CIO確定信息安全工作戰(zhàn)略重點與技術解決方案等提供了可行的借鑒。

報告最后所描繪的四大場景，既讓我們看到了高校信息安全工作的光明未來，也感受到了其可能遭遇的極大困境，而這更多依賴于高校信息化從業(yè)者自己的選擇和努力。

報告所描繪的挑戰(zhàn)、機遇、技術實踐與發(fā)展趨勢并不適合所有高校組織。各高校需要結合其所在區(qū)域政治、經濟、文化、信息產業(yè)的發(fā)展層次，以及高校自身的需求以確定自己的信息安全發(fā)展規(guī)劃。

參考文獻：

[1]EDUCAUSE.2021 EDUCAUSE Horizon Report-Information Security Edition[EB/OL].https://library.educause.edu/-/media/files/library/2021/2/2021_horizon_report_infosec.pdf?la=en&hash=6F5254070245E2F4234C3FDE6AA1AA00ED7960FB

[2]EDUCAUSE.Top IT Issues, 2021: Emerging from the Pandemic[EB/OL].[2021/02/21].https://www.educause.edu/-/media/images/ educause/ecar/top-ten/2021/2021-issues-infographic.pdf?la=en&hash=942930DClAF82AC4D89DB81E11662D813 654ADB1

[3]Amelia Pang.What InfoSec Leaders Can Learn from the 2021 EDUCAUSE Horizon Report[EB/OL].[2021/03/04].https://edtechmagazine.com/higher/article/2021/03/what-infosec-leaders-can-learn-2021-educause-horizon-report

*基金項目：本論文為南京郵電大學2020年教改重點項目——基于在線開放課程的跨校協同教學模式構建與優(yōu)化策略研究（JG01720JX06）階段性成果。

作者：劉芝蘭、劉永貴（南京郵電大學教育科學與技術學院）；劉瑞（陸軍工程大學基礎教學部）

本文轉載自微信公眾號“中國教育網絡”（ID：cernet），作者劉芝蘭、劉永貴、劉瑞，責編項陽。文章為作者獨立觀點，不代表芥末堆立場，轉載請聯系原作者。