高校信息安全工作者面对内外挑战,开始探索可行的技术解决方案并开始践行。这些技术实践可能深刻、持久、积极改变未来高等教育的格局。
《2021年EDUCAUSE地平线报告——信息安全版》报告组凝练出6项关键技术和实践:云供应商管理、端点检测和响应、多因素身份验证/单点登录、保证数据的真实性/完整性、研究数据的安全、学生数据隐私与治理。
高校信息安全的关键技术与实践
云供应商的管理
云计算作为一种更高效、更具有成本效益的信息化解决方案,正成为高校运作的主要方式,尤其随着高校远程工作的常态化。随着高校对第三方云服务商的日益依赖,高校信息安全的关注点正从管理服务转向管理高校与云服务供应商的关系。
因此,以云服务为主的高校信息安全与隐私工作,开始聚焦于对供应商的审查、选择、合同谈判、采购、解决方案的安全性、合作关系和服务的持续评估、事件响应行动和需求的评估等。
如加州大学伯克利分校使用HECVAT进行高风险供应商评估,密歇根州立大学启动TT准备度+服务提供商”的安全评估工作。
端点检测和安全响应实践
师生员工使用各类终端设备,通过各类网络服务接入高校门户。Absolute的2019年终端安全趋势报告显示,70%的安全漏洞源自终端设备,高校网络风险增加。大多数学生和教职工仍然期望能够拥有轻松便利的访问体验,这就会导致风险增加。
因此,保护多样化终端设备并监控其活动正成为高校未来信息安全工作的重点,基于云的端点保护平台解决方案对高校信息安全,对网络和设备的远程监控、端点事件发生时的远程补救等变得更加必要。
同时,终端用户对信息安全的关注,及使用复杂设备和网络时遵循最佳安全实践的意愿,是高校在端点安全取得成功的关键。
多因素身份验证/单点登录
随着师生员工每天访问应用程序和系统数量的增加,在保护账户的同时简化身份验证过程的解决方案需求不断增加,多因素身份验证(MFA)和单点登录(SSO)正成为高校的选择之一。
多因素身份验证是个人提供两份或更多证据验证其身份后,被授予访问应用程序或平台的权限。单点登录是用户提供了一次身份验证后,便能自动访问各种应用程序和平台。
MFA和SSO两者结合的认证方案为实现自适应认证技术奠定了基础,自适应身份验证根据终端用户的位置、角色和权限决定其访问平台和应用程序所需的身份验证因素数量和类型。
报告小组认为,MFA与SSO结合是保护高校数据的有效工具,美国石溪大学、杜克大学等都使用了这种方式。
数据真实性和完整性的保证
一个字节数据的意外删除或错位就可能改变数据的有效性,数据越开放,其被篡改的几率就越大,所以高校保护数据真实性和完整性的需求正不断增长。
数据真实性和完整性的风险一方面来自人为干预,所以对文件权限、访问控制、版本控制,以及对记录、修改或删除数据的规则的建立就变得至关重要;另一方面风险来自服务器崩溃、电磁脉冲或自然灾害等。
高校信息安全团队未来需要更加关注数据,在数据验证、业务连续性、系统输入验证、系统和服务提供商选择、数据定期保存等方面分配更多资源,以确保数据真实性,其中防范人对数据完整性的破坏尤为重要。
研究数据的安全保护
科学研究是高校的核心使命之一,随着科研信息化的发展,研究越来越依赖于信息技术。
研究数据是高度敏感的数字资产,正成为高校信息安全风险的重灾区,高校必须全力保护科研数据及数据存储设备和系统免受外部攻击。
各高校已开始探索并制定战略,以降低安全风险并确保研究数据免受威胁。
如面向国家、行业资助方及合作伙伴,美国国防部副部长办公室开发了一个网络安全成熟度模型认证(CMMC)框架,旨在保护国家合同信息(FCI:federal contract information)和可控未分类信息(CUI:controlled unclassified information)的安全。
堪萨斯州立大学与微软合作建立的“研究信息安全区”,致力于满足响应美国政府保护受控非分类信息(CUI)的要求。
在六种信息安全技术和实践中,研究安全是高校未来投入成本最高的实践领域,安全人员与用户携手在科研数据的便利使用和安全之间形成权衡,是高校研究安全长期面临的挑战。
学生数据隐私与治理
当前高校已收集了学生很多数据,但高校在收集什么数据、如何使用数据及如何让学生受益等方面缺乏透明度,这削弱了学生对高校保护其数据的信心。
当代大学生已开始重视个人数据隐私,并意识到高校使用其个人数据可能存在的潜在风险,大学生对高校合理收集、保护并负责任使用其数据提出了更高要求,高校需要实施具有明确隐私保护的强大数据治理机制,采用隐私管理工具以保护学生数据隐私。
隐私管理工具可协助高校审核隐私条例遵守情况,追踪危及敏感个人资料的事件,跟踪收集的数据及其使用方式,并记录用户对隐私政策的认识。隐私管理工具可以配备面向公众的仪表盘,允许最终用户手动决定哪些数据准许被机构收集和使用。
高校还需要制定和颁布强有力的数据治理制度,为数据收集、使用、存储、保护和销毁等相关行为制定决策和责任规则。
具体而言,高校可从三个方面开展学生数据隐私保护和治理工作。
首先,认识到保护学生数据隐私的重要性,通过安全存储数据、采用MFA/SS。认证方式、强大密码标准等保护学生数据。还应审查合同、核实供应商是否遵守《家庭教育权利和隐私法》、《健康保险携带和责任法》等规定。
第二,院校向学生披露数据收集内容、数据使用和共享方式等,增加透明度。要征得学生同意后方能采集和使用其数据,并允许学生根据需要审核和更新自己的数据,准许学生随时选择不让高校收集其数据。如密歇根大学的ViziBLUE项目就提高了在学生数据收集、使用和共享方面的透明度。
第三,高校推进校园信息安全意识教育,帮助学生跟上当前的信息安全发展,提高其保护数据隐私、识别潜在威胁方面的能力。
高校信息安全工作的发展趋势
当前全球仍面临疫情扩散风险,远程工作可能常态化,高校当前及未来必将面临巨大的信息安全挑战与压力,这就需要高校对未来信息安全工作做出合理谋划。
报告专家组沿用往年思路,为高校信息安全工作描述了四种可能场景:即增长、约束、崩溃、变革,为高校信息安全工作的规划提供参考。
1.增长
报告专家组认为,从目前发展趋势来看,高校对信息安全的需求将持续猛增,这必将推动高校信息安全工作与信息安全教育的飞速发展。
首先,师生员工及利益相关者已然了解其技术环境的风险,并习惯性地、本能地采取措施保护其设备和信息安全。
任何高校都需要将“信息风险”列为战略规划和决策的首要因素,信息安全专业人员与相关设备、系统等都将成为高校信息化建设的重点。
高校信息安全人员已平均增加了十倍,未来高校将普遍增设首席信息安全官,信息安全学位课程会不断发展,学生父母会更加关注学校对学生数据和隐私的保护。
其次,随着高校在信息安全方面需求的增长,高校的信息安全工作从依靠自身转向寻求解决方案提供商的支持。
由于高校对第三方解决方案的需求激增,市场向第三方解决方案提供商倾斜,所以高校需建立联盟对第三方信息安全解决方案的采购和合同谈判施加影响,以确保第三方解决方案符合高等教育政策、价值观和需求。跨机构的协作、集体规划和战略决策水平的提高促进了未来高等教育网络安全实践模式的创新。
2.约束
报告专家组预测,后疫情时代高校网络安全会因远程工作、预算锐减、运营费用激增、数据保护和隐私法规出台等影响,高校信息安全工作自身可能会成为被约束和监督的对象,并可能从根本上改变高校处理信息风险的方式。
首先,自2020年以来,美国出台了有史以来最全面的数据隐私保护和网络安全法规。
尽管新政策没有减缓黑客入侵的速度,但对责任人及保护数据责任人的刑事和民事处罚会改变高校信息安全的运作方式。
为了保护自己免受因数据泄露而引发的诉讼,第三方供应商坚持要求高校签订异常复杂的合同,并在签订合同前进行法律审查和谈判。
高校也会对每一份可能暴露其敏感数据的第三方合同条款出台特定政策。这是一个代价高昂、运作繁琐的过程,势必,削弱高校信息部门敏捷地响应组织需求的能力。
此外信息安全保险会激增,因为法律会要求每所高校必须投保信息安全方面的违约保险,同时许多高校信息安全员工都会购买个人责任保险,以防止受害者、供应商或机构追究他们的责任。
其次,信息安全工作人员努力保护师生员工信息安全的同时,其个人工作隐私却很难受到保护。
信息安全专业人员所使用设备、软件均受到集中管理和密切监察,信息安全工作人员的所有工作活动都会有校内审计人员和隐私政策制定官员的监督,以减少可能因个别工作人员的错误而影响无边界校园网络安全的事件发生。
在此过程中,信息安全工作人员的个人数据就置于风险之中,许多高校对信息安全工作人员的错误采取了零容忍政策,信息安全职业成为高风险、高回报行业。
3.崩溃
后疫情时代高校所面临的信息安全挑战必将长期存在,高校信息安全工作在面临发展机遇的同时,也受到很多制约,并有来自外部信息安全运营服务商的竞争。报告组专家认为,如果高校信息安全工作没有很好的推进思路,也有可能走向崩溃。
首先,随着大型科技公司在技术力量与成本等方面的优势日趋明显,以及现有黑客技术远超出高校自身的能力范围,单个高校组织,甚至组织联盟正逐渐失去保护成员隐私与信息安全的能力。
大型科技巨头是仅有的能够抵御高级安全威胁的壁垒,高校遂开始放弃对自身安全的控制,接受公司承诺的相对较低的风险,其信息安全部门的作用已经被缩小到仅存在于形式中,或顶多服从于公司的条款和利益,服从于国家政策和限制。
其次,随着“信息安全疲劳”蔓延开来,漫天信息安全风险已经让大多数用户变得麻木,开始被动地将他们的安全移交给任何能够确保它并从中受益的人。
师生对高校的信息安全需求减少,或大量转移到其他信息安全提供商。公众对数据隐私和保护的态度已趋向于依赖“云”服务商,学生数据已不再被视为需要保护的对象,而更多被视为可以出售的商品,以帮助高校解决资金紧张问题。
来自外部企业的竞争,以及与内部师生员工信息安全需求的变化,使得大多数高校的信息安全人员逐渐处于信息工作的边缘地位,一些高校甚至开始完全削减其内部的信息安全部门,高校信息安全专业人员职业发展暗淡无光。
4.变革
疫情在全球的大流行从根本上改变了高等教育的运作方式,也同时改变了信息安全的运作方式。报告专家组认为,后疫情时代远程工作与学习的常态化,信息安全事件的常态化,扩大了高校信息安全保护范围,并给高校信息安全事业带来了创新发展的机遇。
首先,随着机器学习、人工智能、漏洞悬赏程序、端点检测和响应解决方案、深度造假检测、数据验证等信息安全技术在高校的成功实践,政府看到了高校信息安全教育和防护工作的卓有成效,希望与高校合作,利用校园技术、计算能力和专业化知识来对抗网络威胁。
这些合作伙伴关系的正规化会让高校在“打击网络恐怖主义的战争”中扮演代理人的角色,主动监视、探测并打击黑客、恐怖分子和其他网络犯罪分子。
其次,信息安全工作逐渐受到相应法规制约,高校首席隐私官找到用武之地,将内部信息安全研究部门、机构审查委员会以及总法律顾问部门纳入其管辖之下,学校信息安全与情报、反情报、网络执法、信息系统和用户服务等融为一体,信息安全部门在高校的战略地位得到极大提升。
第三,为满足社会对信息安全劳动力的需求,政府与高校合作,将信息安全作为一门学科,建立完整的本科、研究生课程体系。信息安全课程也可能延伸到K-12领域,既有实践经验又有学术专长的教师是信息安全教育体系建设的关键。
第四,那些没有高性能计算能力的学校机构,被迫将其信息安全业务外包给更大规模的高校信息安全部门。另外,这种信息安全服务的拓展会导致电力成本的飙升,高校可能会租赁、购买或自建发电厂来满足需求,并将多余部分出售给当地电力公司,以抵消其他成本。
第五,那些没有资金建造自己的信息安全系统,也没能力与私人公司签约的高校开始通过大量并购集中资源;一些规模更大、财力更雄厚的高校开始收购其他院校,并将触角伸向其他地区,信息安全将促使巨型高校形成。
启示与建议
后疫情时代全球高等教育的发展,迫切要求高校从战略高度谋划其信息安全工作的发展蓝图。
此次报告从远程工作、社会、技术等六个方面高屋建瓴地阐述了高校信息安全正在或即将面临的挑战与发展机遇,有助于帮助高校CI0站在更高的战略层面思考和定位其信息安全工作。
报告简明扼要地介绍了当前全球高校正在积极推进的六大信息安全实践,为高校CIO确定信息安全工作战略重点与技术解决方案等提供了可行的借鉴。
报告最后所描绘的四大场景,既让我们看到了高校信息安全工作的光明未来,也感受到了其可能遭遇的极大困境,而这更多依赖于高校信息化从业者自己的选择和努力。
报告所描绘的挑战、机遇、技术实践与发展趋势并不适合所有高校组织。各高校需要结合其所在区域政治、经济、文化、信息产业的发展层次,以及高校自身的需求以确定自己的信息安全发展规划。
参考文献
[1]EDUCAUSE.2021 EDUCAUSE Horizon Report-Information Security Edition[EB/OL].https://library.educause.edu/-/media/files/library/2021/2/2021_horizon_report_infosec.pdf?la=en&hash=6F5254070245E2F4234C3FDE6AA1AA00ED7960FB
[2]EDUCAUSE.Top IT Issues, 2021: Emerging from the Pandemic[EB/OL].[2021/02/21].https://www.educause.edu/-/media/images/ educause/ecar/top-ten/2021/2021-issues-infographic.pdf?la=en&hash=942930DClAF82AC4D89DB81E11662D813 654ADB1
[3]Amelia Pang.What InfoSec Leaders Can Learn from the 2021 EDUCAUSE Horizon Report[EB/OL].[2021/03/04].https://edtechmagazine.com/higher/article/2021/03/what-infosec-leaders-can-learn-2021-educause-horizon-report
*基金项目:本论文为南京邮电大学2020年教改重点项目——基于在线开放课程的跨校协同教学模式构建与优化策略研究(JG01720JX06)阶段性成果。
作者:刘芝兰、刘永贵(南京邮电大学教育科学与技术学院);刘瑞(陆军工程大学基础教学部)
责编:项阳
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。