圖片來源：圖蟲創(chuàng)意

高校信息安全工作者面對內(nèi)外挑戰(zhàn)，開始探索可行的技術(shù)解決方案并開始踐行。這些技術(shù)實踐可能深刻、持久、積極改變未來高等教育的格局。

《2021年EDUCAUSE地平線報告——信息安全版》報告組凝練出6項關(guān)鍵技術(shù)和實踐：云供應(yīng)商管理、端點檢測和響應(yīng)、多因素身份驗證/單點登錄、保證數(shù)據(jù)的真實性/完整性、研究數(shù)據(jù)的安全、學(xué)生數(shù)據(jù)隱私與治理。

高校信息安全的關(guān)鍵技術(shù)與實踐

云供應(yīng)商的管理

云計算作為一種更高效、更具有成本效益的信息化解決方案，正成為高校運作的主要方式，尤其隨著高校遠程工作的常態(tài)化。隨著高校對第三方云服務(wù)商的日益依賴，高校信息安全的關(guān)注點正從管理服務(wù)轉(zhuǎn)向管理高校與云服務(wù)供應(yīng)商的關(guān)系。

因此，以云服務(wù)為主的高校信息安全與隱私工作，開始聚焦于對供應(yīng)商的審查、選擇、合同談判、采購、解決方案的安全性、合作關(guān)系和服務(wù)的持續(xù)評估、事件響應(yīng)行動和需求的評估等。

如加州大學(xué)伯克利分校使用HECVAT進行高風(fēng)險供應(yīng)商評估，密歇根州立大學(xué)啟動TT準備度+服務(wù)提供商”的安全評估工作。

端點檢測和安全響應(yīng)實踐

師生員工使用各類終端設(shè)備，通過各類網(wǎng)絡(luò)服務(wù)接入高校門戶。Absolute的2019年終端安全趨勢報告顯示，70%的安全漏洞源自終端設(shè)備，高校網(wǎng)絡(luò)風(fēng)險增加。大多數(shù)學(xué)生和教職工仍然期望能夠擁有輕松便利的訪問體驗，這就會導(dǎo)致風(fēng)險增加。

因此，保護多樣化終端設(shè)備并監(jiān)控其活動正成為高校未來信息安全工作的重點，基于云的端點保護平臺解決方案對高校信息安全，對網(wǎng)絡(luò)和設(shè)備的遠程監(jiān)控、端點事件發(fā)生時的遠程補救等變得更加必要。

同時，終端用戶對信息安全的關(guān)注，及使用復(fù)雜設(shè)備和網(wǎng)絡(luò)時遵循最佳安全實踐的意愿，是高校在端點安全取得成功的關(guān)鍵。

多因素身份驗證/單點登錄

隨著師生員工每天訪問應(yīng)用程序和系統(tǒng)數(shù)量的增加，在保護賬戶的同時簡化身份驗證過程的解決方案需求不斷增加，多因素身份驗證(MFA)和單點登錄(SSO)正成為高校的選擇之一。

多因素身份驗證是個人提供兩份或更多證據(jù)驗證其身份后，被授予訪問應(yīng)用程序或平臺的權(quán)限。單點登錄是用戶提供了一次身份驗證后，便能自動訪問各種應(yīng)用程序和平臺。

MFA和SSO兩者結(jié)合的認證方案為實現(xiàn)自適應(yīng)認證技術(shù)奠定了基礎(chǔ)，自適應(yīng)身份驗證根據(jù)終端用戶的位置、角色和權(quán)限決定其訪問平臺和應(yīng)用程序所需的身份驗證因素數(shù)量和類型。

報告小組認為，MFA與SSO結(jié)合是保護高校數(shù)據(jù)的有效工具，美國石溪大學(xué)、杜克大學(xué)等都使用了這種方式。

數(shù)據(jù)真實性和完整性的保證

一個字節(jié)數(shù)據(jù)的意外刪除或錯位就可能改變數(shù)據(jù)的有效性，數(shù)據(jù)越開放，其被篡改的幾率就越大，所以高校保護數(shù)據(jù)真實性和完整性的需求正不斷增長。

數(shù)據(jù)真實性和完整性的風(fēng)險一方面來自人為干預(yù)，所以對文件權(quán)限、訪問控制、版本控制，以及對記錄、修改或刪除數(shù)據(jù)的規(guī)則的建立就變得至關(guān)重要；另一方面風(fēng)險來自服務(wù)器崩潰、電磁脈沖或自然災(zāi)害等。

高校信息安全團隊未來需要更加關(guān)注數(shù)據(jù)，在數(shù)據(jù)驗證、業(yè)務(wù)連續(xù)性、系統(tǒng)輸入驗證、系統(tǒng)和服務(wù)提供商選擇、數(shù)據(jù)定期保存等方面分配更多資源，以確保數(shù)據(jù)真實性，其中防范人對數(shù)據(jù)完整性的破壞尤為重要。

研究數(shù)據(jù)的安全保護

科學(xué)研究是高校的核心使命之一，隨著科研信息化的發(fā)展，研究越來越依賴于信息技術(shù)。

研究數(shù)據(jù)是高度敏感的數(shù)字資產(chǎn)，正成為高校信息安全風(fēng)險的重災(zāi)區(qū)，高校必須全力保護科研數(shù)據(jù)及數(shù)據(jù)存儲設(shè)備和系統(tǒng)免受外部攻擊。

各高校已開始探索并制定戰(zhàn)略，以降低安全風(fēng)險并確保研究數(shù)據(jù)免受威脅。

如面向國家、行業(yè)資助方及合作伙伴，美國國防部副部長辦公室開發(fā)了一個網(wǎng)絡(luò)安全成熟度模型認證(CMMC)框架，旨在保護國家合同信息(FCI：federal contract information)和可控未分類信息(CUI：controlled unclassified information)的安全。

堪薩斯州立大學(xué)與微軟合作建立的“研究信息安全區(qū)”，致力于滿足響應(yīng)美國政府保護受控非分類信息(CUI)的要求。

在六種信息安全技術(shù)和實踐中，研究安全是高校未來投入成本最高的實踐領(lǐng)域，安全人員與用戶攜手在科研數(shù)據(jù)的便利使用和安全之間形成權(quán)衡，是高校研究安全長期面臨的挑戰(zhàn)。

學(xué)生數(shù)據(jù)隱私與治理

當(dāng)前高校已收集了學(xué)生很多數(shù)據(jù)，但高校在收集什么數(shù)據(jù)、如何使用數(shù)據(jù)及如何讓學(xué)生受益等方面缺乏透明度，這削弱了學(xué)生對高校保護其數(shù)據(jù)的信心。

當(dāng)代大學(xué)生已開始重視個人數(shù)據(jù)隱私，并意識到高校使用其個人數(shù)據(jù)可能存在的潛在風(fēng)險，大學(xué)生對高校合理收集、保護并負責(zé)任使用其數(shù)據(jù)提出了更高要求，高校需要實施具有明確隱私保護的強大數(shù)據(jù)治理機制，采用隱私管理工具以保護學(xué)生數(shù)據(jù)隱私。

隱私管理工具可協(xié)助高校審核隱私條例遵守情況，追蹤危及敏感個人資料的事件，跟蹤收集的數(shù)據(jù)及其使用方式，并記錄用戶對隱私政策的認識。隱私管理工具可以配備面向公眾的儀表盤，允許最終用戶手動決定哪些數(shù)據(jù)準許被機構(gòu)收集和使用。

高校還需要制定和頒布強有力的數(shù)據(jù)治理制度，為數(shù)據(jù)收集、使用、存儲、保護和銷毀等相關(guān)行為制定決策和責(zé)任規(guī)則。

具體而言，高?？蓮娜齻€方面開展學(xué)生數(shù)據(jù)隱私保護和治理工作。

首先，認識到保護學(xué)生數(shù)據(jù)隱私的重要性，通過安全存儲數(shù)據(jù)、采用MFA/SS。認證方式、強大密碼標(biāo)準等保護學(xué)生數(shù)據(jù)。還應(yīng)審查合同、核實供應(yīng)商是否遵守《家庭教育權(quán)利和隱私法》、《健康保險攜帶和責(zé)任法》等規(guī)定。

第二，院校向?qū)W生披露數(shù)據(jù)收集內(nèi)容、數(shù)據(jù)使用和共享方式等，增加透明度。要征得學(xué)生同意后方能采集和使用其數(shù)據(jù)，并允許學(xué)生根據(jù)需要審核和更新自己的數(shù)據(jù)，準許學(xué)生隨時選擇不讓高校收集其數(shù)據(jù)。如密歇根大學(xué)的ViziBLUE項目就提高了在學(xué)生數(shù)據(jù)收集、使用和共享方面的透明度。

第三，高校推進校園信息安全意識教育，幫助學(xué)生跟上當(dāng)前的信息安全發(fā)展，提高其保護數(shù)據(jù)隱私、識別潛在威脅方面的能力。

高校信息安全工作的發(fā)展趨勢

當(dāng)前全球仍面臨疫情擴散風(fēng)險，遠程工作可能常態(tài)化，高校當(dāng)前及未來必將面臨巨大的信息安全挑戰(zhàn)與壓力，這就需要高校對未來信息安全工作做出合理謀劃。

報告專家組沿用往年思路，為高校信息安全工作描述了四種可能場景：即增長、約束、崩潰、變革，為高校信息安全工作的規(guī)劃提供參考。

1.增長

報告專家組認為，從目前發(fā)展趨勢來看，高校對信息安全的需求將持續(xù)猛增，這必將推動高校信息安全工作與信息安全教育的飛速發(fā)展。

首先，師生員工及利益相關(guān)者已然了解其技術(shù)環(huán)境的風(fēng)險，并習(xí)慣性地、本能地采取措施保護其設(shè)備和信息安全。

任何高校都需要將“信息風(fēng)險”列為戰(zhàn)略規(guī)劃和決策的首要因素，信息安全專業(yè)人員與相關(guān)設(shè)備、系統(tǒng)等都將成為高校信息化建設(shè)的重點。

高校信息安全人員已平均增加了十倍，未來高校將普遍增設(shè)首席信息安全官，信息安全學(xué)位課程會不斷發(fā)展，學(xué)生父母會更加關(guān)注學(xué)校對學(xué)生數(shù)據(jù)和隱私的保護。

其次，隨著高校在信息安全方面需求的增長，高校的信息安全工作從依靠自身轉(zhuǎn)向?qū)で蠼鉀Q方案提供商的支持。

由于高校對第三方解決方案的需求激增，市場向第三方解決方案提供商傾斜，所以高校需建立聯(lián)盟對第三方信息安全解決方案的采購和合同談判施加影響，以確保第三方解決方案符合高等教育政策、價值觀和需求?？鐧C構(gòu)的協(xié)作、集體規(guī)劃和戰(zhàn)略決策水平的提高促進了未來高等教育網(wǎng)絡(luò)安全實踐模式的創(chuàng)新。

2.約束

報告專家組預(yù)測，后疫情時代高校網(wǎng)絡(luò)安全會因遠程工作、預(yù)算銳減、運營費用激增、數(shù)據(jù)保護和隱私法規(guī)出臺等影響，高校信息安全工作自身可能會成為被約束和監(jiān)督的對象，并可能從根本上改變高校處理信息風(fēng)險的方式。

首先，自2020年以來，美國出臺了有史以來最全面的數(shù)據(jù)隱私保護和網(wǎng)絡(luò)安全法規(guī)。

盡管新政策沒有減緩黑客入侵的速度，但對責(zé)任人及保護數(shù)據(jù)責(zé)任人的刑事和民事處罰會改變高校信息安全的運作方式。

為了保護自己免受因數(shù)據(jù)泄露而引發(fā)的訴訟，第三方供應(yīng)商堅持要求高校簽訂異常復(fù)雜的合同，并在簽訂合同前進行法律審查和談判。

高校也會對每一份可能暴露其敏感數(shù)據(jù)的第三方合同條款出臺特定政策。這是一個代價高昂、運作繁瑣的過程，勢必，削弱高校信息部門敏捷地響應(yīng)組織需求的能力。

此外信息安全保險會激增，因為法律會要求每所高校必須投保信息安全方面的違約保險，同時許多高校信息安全員工都會購買個人責(zé)任保險，以防止受害者、供應(yīng)商或機構(gòu)追究他們的責(zé)任。

其次，信息安全工作人員努力保護師生員工信息安全的同時，其個人工作隱私卻很難受到保護。

信息安全專業(yè)人員所使用設(shè)備、軟件均受到集中管理和密切監(jiān)察，信息安全工作人員的所有工作活動都會有校內(nèi)審計人員和隱私政策制定官員的監(jiān)督，以減少可能因個別工作人員的錯誤而影響無邊界校園網(wǎng)絡(luò)安全的事件發(fā)生。

在此過程中，信息安全工作人員的個人數(shù)據(jù)就置于風(fēng)險之中，許多高校對信息安全工作人員的錯誤采取了零容忍政策，信息安全職業(yè)成為高風(fēng)險、高回報行業(yè)。

3.崩潰

后疫情時代高校所面臨的信息安全挑戰(zhàn)必將長期存在，高校信息安全工作在面臨發(fā)展機遇的同時，也受到很多制約，并有來自外部信息安全運營服務(wù)商的競爭。報告組專家認為，如果高校信息安全工作沒有很好的推進思路，也有可能走向崩潰。

首先，隨著大型科技公司在技術(shù)力量與成本等方面的優(yōu)勢日趨明顯，以及現(xiàn)有黑客技術(shù)遠超出高校自身的能力范圍，單個高校組織，甚至組織聯(lián)盟正逐漸失去保護成員隱私與信息安全的能力。

大型科技巨頭是僅有的能夠抵御高級安全威脅的壁壘，高校遂開始放棄對自身安全的控制，接受公司承諾的相對較低的風(fēng)險，其信息安全部門的作用已經(jīng)被縮小到僅存在于形式中，或頂多服從于公司的條款和利益，服從于國家政策和限制。

其次，隨著“信息安全疲勞”蔓延開來，漫天信息安全風(fēng)險已經(jīng)讓大多數(shù)用戶變得麻木，開始被動地將他們的安全移交給任何能夠確保它并從中受益的人。

師生對高校的信息安全需求減少，或大量轉(zhuǎn)移到其他信息安全提供商。公眾對數(shù)據(jù)隱私和保護的態(tài)度已趨向于依賴“云”服務(wù)商，學(xué)生數(shù)據(jù)已不再被視為需要保護的對象，而更多被視為可以出售的商品，以幫助高校解決資金緊張問題。

來自外部企業(yè)的競爭，以及與內(nèi)部師生員工信息安全需求的變化，使得大多數(shù)高校的信息安全人員逐漸處于信息工作的邊緣地位，一些高校甚至開始完全削減其內(nèi)部的信息安全部門，高校信息安全專業(yè)人員職業(yè)發(fā)展暗淡無光。

4.變革

疫情在全球的大流行從根本上改變了高等教育的運作方式，也同時改變了信息安全的運作方式。報告專家組認為，后疫情時代遠程工作與學(xué)習(xí)的常態(tài)化，信息安全事件的常態(tài)化，擴大了高校信息安全保護范圍，并給高校信息安全事業(yè)帶來了創(chuàng)新發(fā)展的機遇。

首先，隨著機器學(xué)習(xí)、人工智能、漏洞懸賞程序、端點檢測和響應(yīng)解決方案、深度造假檢測、數(shù)據(jù)驗證等信息安全技術(shù)在高校的成功實踐，政府看到了高校信息安全教育和防護工作的卓有成效，希望與高校合作，利用校園技術(shù)、計算能力和專業(yè)化知識來對抗網(wǎng)絡(luò)威脅。

這些合作伙伴關(guān)系的正規(guī)化會讓高校在“打擊網(wǎng)絡(luò)恐怖主義的戰(zhàn)爭”中扮演代理人的角色，主動監(jiān)視、探測并打擊黑客、恐怖分子和其他網(wǎng)絡(luò)犯罪分子。

其次，信息安全工作逐漸受到相應(yīng)法規(guī)制約，高校首席隱私官找到用武之地，將內(nèi)部信息安全研究部門、機構(gòu)審查委員會以及總法律顧問部門納入其管轄之下，學(xué)校信息安全與情報、反情報、網(wǎng)絡(luò)執(zhí)法、信息系統(tǒng)和用戶服務(wù)等融為一體，信息安全部門在高校的戰(zhàn)略地位得到極大提升。

第三，為滿足社會對信息安全勞動力的需求，政府與高校合作，將信息安全作為一門學(xué)科，建立完整的本科、研究生課程體系。信息安全課程也可能延伸到K-12領(lǐng)域，既有實踐經(jīng)驗又有學(xué)術(shù)專長的教師是信息安全教育體系建設(shè)的關(guān)鍵。

第四，那些沒有高性能計算能力的學(xué)校機構(gòu)，被迫將其信息安全業(yè)務(wù)外包給更大規(guī)模的高校信息安全部門。另外，這種信息安全服務(wù)的拓展會導(dǎo)致電力成本的飆升，高?？赡軙赓U、購買或自建發(fā)電廠來滿足需求，并將多余部分出售給當(dāng)?shù)仉娏?，以抵消其他成本?/p>

第五，那些沒有資金建造自己的信息安全系統(tǒng)，也沒能力與私人公司簽約的高校開始通過大量并購集中資源；一些規(guī)模更大、財力更雄厚的高校開始收購其他院校，并將觸角伸向其他地區(qū)，信息安全將促使巨型高校形成。

啟示與建議

后疫情時代全球高等教育的發(fā)展，迫切要求高校從戰(zhàn)略高度謀劃其信息安全工作的發(fā)展藍圖。

此次報告從遠程工作、社會、技術(shù)等六個方面高屋建瓴地闡述了高校信息安全正在或即將面臨的挑戰(zhàn)與發(fā)展機遇，有助于幫助高校CI0站在更高的戰(zhàn)略層面思考和定位其信息安全工作。

報告簡明扼要地介紹了當(dāng)前全球高校正在積極推進的六大信息安全實踐，為高校CIO確定信息安全工作戰(zhàn)略重點與技術(shù)解決方案等提供了可行的借鑒。

報告最后所描繪的四大場景，既讓我們看到了高校信息安全工作的光明未來，也感受到了其可能遭遇的極大困境，而這更多依賴于高校信息化從業(yè)者自己的選擇和努力。

報告所描繪的挑戰(zhàn)、機遇、技術(shù)實踐與發(fā)展趨勢并不適合所有高校組織。各高校需要結(jié)合其所在區(qū)域政治、經(jīng)濟、文化、信息產(chǎn)業(yè)的發(fā)展層次，以及高校自身的需求以確定自己的信息安全發(fā)展規(guī)劃。

參考文獻：

[1]EDUCAUSE.2021 EDUCAUSE Horizon Report-Information Security Edition[EB/OL].https://library.educause.edu/-/media/files/library/2021/2/2021_horizon_report_infosec.pdf?la=en&hash=6F5254070245E2F4234C3FDE6AA1AA00ED7960FB

[2]EDUCAUSE.Top IT Issues, 2021: Emerging from the Pandemic[EB/OL].[2021/02/21].https://www.educause.edu/-/media/images/ educause/ecar/top-ten/2021/2021-issues-infographic.pdf?la=en&hash=942930DClAF82AC4D89DB81E11662D813 654ADB1

[3]Amelia Pang.What InfoSec Leaders Can Learn from the 2021 EDUCAUSE Horizon Report[EB/OL].[2021/03/04].https://edtechmagazine.com/higher/article/2021/03/what-infosec-leaders-can-learn-2021-educause-horizon-report

*基金項目：本論文為南京郵電大學(xué)2020年教改重點項目——基于在線開放課程的跨校協(xié)同教學(xué)模式構(gòu)建與優(yōu)化策略研究（JG01720JX06）階段性成果。

作者：劉芝蘭、劉永貴（南京郵電大學(xué)教育科學(xué)與技術(shù)學(xué)院）；劉瑞（陸軍工程大學(xué)基礎(chǔ)教學(xué)部）

本文轉(zhuǎn)載自微信公眾號“中國教育網(wǎng)絡(luò)”（ID：cernet），作者劉芝蘭、劉永貴、劉瑞，責(zé)編項陽。文章為作者獨立觀點，不代表芥末堆立場，轉(zhuǎn)載請聯(lián)系原作者。