在線教育引發的學習數據及隱私泄漏等安全問題不容忽視,信息安全還面臨很大挑戰。本文從影響高等教育信息化安全的六種重要趨勢、六項關鍵技術、四種未來場景以及經典案例來分析解讀。
1.超級趨勢:轉向遠程工作
遠程工作極為重要,而且在其他趨勢中也會出現,所以被單獨列為“超級趨勢”。遠程工作的興起會重塑信息安全行業本身,一是因為人們可以更開放、靈活地獲得信息安全方面的工作機會,機構可以突破地域限制吸引更多樣化的人才;二是因為信息安全部門需要思考業務開展、管理員工和資源以及與利益相關者打交道等問題。在更遙遠的將來,高等教育信息化安全的優先事項將發生變化,學生、教師和工作人員在網絡空間的隱私保護問題變得極為重要。傳統校園安全邊界的消失,會引發人們對終端設備和云平臺安全性的迫切關注,高等教育將重新劃定需要保護的領域,信息安全人員也需要重新思考工作性質和范圍。如果遠程工作持續下去,將對全球高等教育信息化安全產生全面而深刻的影響。2.社會趨勢:信息安全人員供不應求,數據隱私和合同簽訂引發關注
社會趨勢主要為三個方面。一是信息安全人員短缺。日益數字化的世界將需要更多專業的信息安全人員,但目前信息安全人員的儲備遠遠低于需求。高等教育機構需要不斷擴大信息安全工作隊伍,滿足這一日益增長的需求。二是更加關注數據隱私。個人設備的激增以及個人在網絡生活中持續地與外界聯系,將繼續提高人們對數據隱私的重視程度。越來越多的機構需要通過現有的信息安全部門或專業隱私保護部門,來增加其隱私人員配置,提供隱私保護服務。三是合同合規或存在問題。大型科技供應商日益發展壯大,將削弱單個機構在談判定制合同和安全條款時的代理權和自主權。法律風險,特別是合規風險、訴訟風險,將推動機構對供應商及其解決方案的評估和決策。3.技術趨勢:個人設備更多用于工作,網絡安全事故成為常態
技術趨勢主要為三個方面。一是無邊界網絡。機構服務和數據越來越基于云平臺。網絡終端(如智能手機、筆記本電腦)不再局限于校園,大大擴展了須監控和保護的數字世界的邊界。二是安全事故常態化。不法分子已經發展出更復雜和更專業化的策略和攻擊手段,高等教育中的入侵和勒索軟件正在增加。安全事故防范已經成為高等教育機構正常業務規劃和運作的一部分,安全工作將從應對和恢復事故轉向識別和預防事故。越來越多的院校已成立事故管理部門,并配備專職事故管理的領導及支持人員。三是個人設備更多用于工作。隨著私人化移動設備的激增,以及機構繼續采用虛擬的工作和學習模式,個人設備(如智能手機、筆記本電腦、平板電腦)用于機構的學術和管理業務已變得越來越普遍。在保護數據和設備方面,機構面臨著越來越多的風險和挑戰,這將重新劃分機構對設備和數據使用的檢測權和控制權。4.經濟趨勢:資金供給不足,高等教育機構間合作與并購不斷加強
經濟趨勢主要為三個方面。一是轉向遠程學習。隨著高等教育向遠程教育模式的轉變,大學面臨學生入學人數下降、機構收入減少和部門預算緊縮等威脅。二是高等教育機構合作加強。隨著機構預算在全球范圍內日益受到越來越多的限制,區域和聯盟合作將在幫助機構確定信息安全需求效率和成本削減方面發揮重要作用。三是高等教育機構并購增加。已經面臨重大財務挑戰的高等教育機構將抓住疫情后的機會,與其他機構合并,或在保持獨立的同時啟動共享或合并的跨機構服務和業務。除了重新設計高等教育機構的整體安全業務計劃和策略外,還將要求正在進行并購的信息安全部門支持知識資產和知識管理系統的整合。5.環境趨勢:環境波動性加劇,需制定可持續發展報告標準
環境趨勢主要為三個方面。一是制定可持續發展報告標準。隨著氣候變化和其他環境問題對當地社區和全球社區的影響,越來越多的高等教育機構需要報告其在可持續發展方面作出的努力。數據和隱私專業人員將需要致力于產出新的報告標準,并在滿足這些新標準的過程中平衡數據透明度和數據保護問題。二是環境波動性加劇。極端天氣事件和氣候模式的劇烈變化推動了技術創新,使高等教育機構能夠采用更復雜和網絡化的工具來維護其設施和監控校園安全。擴大的信息網絡和更多的互聯工具將使機構面臨更多不同的安全風險,所以需要在信息安全方面增加投資,加大支持力度。三是電力需求增加。高等教育機構堅持采用遠程工作和學習模式,表明高等教育對可靠電力來源的依賴性,以及可靠電力在當地和全球社區分布不均衡性。在能源供應不足的地區擴大能源生產,將導致人們對能源消耗和污染的擔憂加劇,以及保護電網免受網絡攻擊所需的更強有力的安全措施。6.政治趨勢:造謠與社交媒體“武器化”趨勢明顯,國際關系惡化
政治趨勢主要為三個方面。一是獨裁監視。雖然許多政府繼續朝著實施廣泛的隱私法規的方向前進,但有些政府在控制和保護數據的方法上仍舊放任和分散。由于缺乏跨州和跨國家的一致性隱私法律法規,導致了較多的合規問題。美國高等教育機構由于在數據政策和實踐方面存在復雜且往往無法解決的差異,在國際合作方面遇到了重大障礙。二是造謠與社交媒體“武器化”。在全球社會和政治舞臺上,使用深度造假視頻、可信的虛假信息和武器化的社交媒體變得越來越普遍,而政府和高等教育機構在理解和準備這些活動的安全影響方面能力落后。安全專業人員需要探索創新性解決方案,并與社交媒體和技術行業領導人、政治學家和政策制定者建立新的伙伴關系。三是國際關系惡化。全球主要國家之間的分歧和緊張局勢繼續加劇,并朝著不可預測和潛在危險的方向發展。高等教育領導人將受到考驗,因為他們將圍繞國際伙伴關系制定新的政策和規范,并在實踐和政策方面發揮作用。信息安全部門需要改進和擴大其針對不良行為者的監測和保護措施
1.云平臺供應商管理:遠程學習和工作的首選解決方案
2020年,為應對COVID-19大流行,各機構加快了將許多運營需求和服務轉移至網絡的步伐。后疫情時代,隨著這些機構探索維持遠程工作、教學和學習模式的可能性,基于云平臺的解決方案將比現在對業務更加重要。對于許多機構來說,與云平臺第三方供應商合作將是首選解決方式,因為這種解決方案效果更好、價格更低且規模更大。對第三方云平臺供應商的依賴日益加重,機構的關注點將從管理服務本身,轉向管理它們與提供服務的供應商的關系。因此,云平臺解決方案的成功實施越來越依賴于供應商的審查和選擇、合同談判和采購、對關系和服務的持續評估,以及對這些解決方案的安全性、事件響應行動和需求的評估。
2.終端檢測與響應:避免安全事故的重要網關
臺式電腦、筆記本電腦、智能手機、平板電腦等終端設備,是學生、教師和工作人員與其所在機構互動以及在高等教育中開展工作的門戶,同時也是使機構暴露于網絡風險的主要門戶之一。根據Absolute的2019年終端安全趨勢報告,70%的安全漏洞源自終端設備。鑒于檢測終端安全、滿足終端需求以及解決終端問題具有復雜性和挑戰性,終端安全問題是機構較為迫切的網絡風險和威脅來源。終端用戶對安全的關切,以及他們在使用終端設備和網絡時遵循最佳安全做法的意愿,是終端安全機構取得成功的關鍵因素。雖然大多數師生口頭上承認安全的重要性,但其中仍有許多人期望簡單方便的無縫訪問,這將導致人們在網絡實踐活動中安全意識降低,從而使機構面臨較高的風險。2020年,隨著大多數高等教育人員、教師和學生轉變成遠程辦公模式,越來越多的終端用戶已經并將繼續使用個人設備,在個人空間使用私人網絡來工作。基于云服務的終端保護平臺解決方案,對于管理機構的安全、實現網絡和設備活動的遠程監控以及在終端發生事故時進行遠程補救將變得更加必要。
3.多因素身份驗證/單點登錄:保護數據安全的強大工具
多因素身份驗證(Multifactor Authentication, 簡稱MFA)是一種數字身份驗證方法,通過這種方法,個人在提供兩個或多個證據以驗證其身份后,可以訪問應用程序或平臺。因素通常來自以下兩種或兩種以上的信息:所知信息(如密碼、用戶名)、所擁有的東西(如智能手機)、個人特征(如指紋、視網膜掃描、語音識別等生物特征)、所在地方(如位置數據)。MFA之所以有效,是因為不良行為者通常無法獲取多于一種的因素,賬戶所有者通常會收到通過其他因素進行身份驗證的請求,以提醒他們注意未遂的黑客行為。
單點登錄(Single Sign-on, 簡稱SSO)為用戶提供了一次性身份驗證的功能,以便自動和隨后訪問系統內或跨系統的各種應用程序和平臺。SSO降低了憑據丟失、遺忘或被盜從而導致安全性遭到破壞的可能性。當與MFA結合使用時,SSO可以成為保護有價值機構數據的強大工具。構成MFA和SSO認證技術的產品和服務數不勝數,系統和方法的組合部署因機構而異。雖然各機構最初往往將MFA和SSO的用于保障信息安全的工作人員和教師身上,但這一技術的用戶群很快會擴展到整個校園。
4.保持數據真實性與完整性:實現信息安全的重要方式
數據的真實性,即數據創建后沒有被破壞,保持原樣不變。嚴格地說,任何已處理或準備交付給最終用戶的數據,其真實性都受到了損害。在現實世界中,需要對原始數據進行清理(從技術意義上講,也就是破壞原始數據),以便在不影響數據實際表示內容的情況下使這些數據可用。數據有機密性、完整性和可用性(Confidentiality, Integrity, Availability, 簡稱CIA)三個特性,其中完整性經常被忽視。對數據完整性的威脅主要是人為因素造成的。所以,維護文件權限、訪問控制和版本控制以及建立修改或刪除數據的規則至關重要。其他對數據完整性的威脅來自服務器崩潰、電磁脈沖或自然災害等事件,可以通過備份來避免或減輕。為保護數據的真實性和完整性,信息安全團隊未來需要更加關注數據本身,在驗證數據真實性的技術方面投入更多精力和資源,具體工作包括基于風險的數據驗證、業務連續性計劃、系統輸入驗證、仔細選擇系統和服務提供商以及定期歸檔數據。此外,隨著不法分子獲取數據的方法變得越來越復雜,如何防范人為破壞數據的真實性和完整性更具挑戰性。
5.安全研究:研究機構助力信息安全的有效途徑
長期以來,學術研究一直是高等教育的標志,會增加高等教育機構在社會中的價值。然而,基于公開探究、創造和創新以及言論自由的價值之上的研究實踐,有時可能與監督和保護機構資產的價值觀相矛盾。自第二次世界大戰以來,美國高校獲得的研究支持穩步增加。如今,國立衛生研究院、國家科學基金會和國防部等中心仍然為學術研究人員提供大量研究資金。研究機構已經探索并將繼續制定減輕研究安全風險的戰略,并確保各機構及其數據免受潛在威脅的影響。比如,美國國防部開發出網絡安全成熟度模型認證框架,來確保適當的安全實踐,以保護聯邦合同信息和受控非機密信息。此外,各研究機構共同努力,更廣泛地確定安全研究的解決辦法,個別研究機構也探索了改善自身研究安全態勢的策略。
6.學生數據隱私管理:提升學生對高校的信任程度
數據管理是指,規定數據收集、使用、存儲、保護和銷毀的適當行為的決策規則和責任規則。鑒于高校收集了學生的大量資料,每所院校都需要制定和頒布強有力的數據管理制度,解決與學生個人信息保護和管理相關的問題。隨著學生們越來越了解機構在收集他們的何種信息以及這些信息是如何被使用的,他們希望學校對自己的數據有更多的管理。高等院校至少可以采取多種措施來解決學生數據隱私管理問題。一方面,高校需要優先保護學生數據隱私,通過安全存儲數據來保護學生數據的安全,并采用強有力的密碼標準和實踐。此外,高等教育機構應審查現有和新簽訂的合同,以核實供應商是否遵守《家庭教育權利和隱私法》等規定。另一方面,開展校園信息安全意識宣傳活動,幫助學生了解當前在提高安全性、保護數據隱私和識別潛在威脅方面所做的努力。定期的安全和隱私報告,可以在很大程度上幫助學生保持知情,提高學生對院校的信任程度。
第一,增長場景,即高等教育信息化安全蓬勃發展。
在該場景下,各機構的網絡安全人員增加了十倍;網絡安全學位課程不斷發展壯大;終端網絡已經成倍增長,終端用戶對安全和隱私的了解程度也成倍增長;終端保護平臺變得更加智能和全面,認證解決方案也變得可以無縫連接;隨著機構在網絡安全方面的能力和需求不斷發展壯大,它們與解決方案提供商和大型科技公司的關系也在發展;跨機構協作、集體規劃與戰略決策水平不斷提高,為同儕學習創造了新的空間和機會,并促進了未來高等教育網絡安全實踐的創新。第二,約束場景,即高等教育信息化安全在不同方面被削弱。
對高校來說,兼并造成學院和大學的數量大幅減少,加劇了偏遠地區高等教育勞動力的僵化。COVID-19大流行造成的財政影響導致教職員工大量減少,后疫情時期大多數高等教育員工沒有重返校園。國家資金的持續減少和學費收入的減少對信息技術預算產生了不利影響。許多機構削減了教職員工的職位,并減少超支的成本。對供應商來說,為了保護自己免受數據泄露引起的訴訟,供應商現在堅持要求簽訂極其復雜的合同,削弱了高等教育信息技術部門以敏捷方式應對機構需求的能力。在安全性方面,個人工作設備的使用頻率增加導致安全事件激增。向遠程工作和學習的轉變增加了對信息安全人員的需求,以抵御網絡攻擊。第三,崩潰場景,即無法控制的變革力量使高等教育信息化安全走向崩潰。
一是大多數安全需求和工作崗位已經減少,信息專業人員被邊緣化。二是在公司和學校的對峙中,大型科技公司在保護高等教育隱私和安全方面擁有主要控制權,在談判合同、確保合規和減少風險方面,大學的作用僅僅是形式上的。三是不法分子的黑客技術遠遠超出了機構自身的解決方案和安全措施,大量機構受到了攻擊。四是設備和網絡無處不在,且總是處于監聽和收集數據狀態。公眾對于數據隱私和保護的態度,趨向于對難以理解的“云”全盤默許。五是學生數據已經不再被視為需要保護的財富,而更多地被視為可以出售的商品。六是“安全疲勞癥”已經在世界大多數發達地區蔓延開來,跨越技術、設備和網絡的無數安全風險已經讓大多數消費者和終端用戶對始終存在的數字危險麻木。第四,轉型場景,即高等教育成功轉型并建立了新的信息安全發展范式。
一是國家安全機構與高等教育機構展開合作,兩者共同利用校園技術、計算能力和專業知識來對抗黑客、恐怖分子和其他網絡犯罪分子的威脅。二是政府投資建立高等教育領域的“網絡安全”學科,規模較大的公立博士研究所率先建立完整的信息安全本科和研究生課程,通過培訓來補充普遍短缺的信息安全人員。三是私人信息安全領域蓬勃發展,許多小型機構和計算性能較弱的機構將其網絡安全業務外包,引起網絡安全供應商數量激增。
根據報告主要發現,七位地平線專家以論文案例的形式對世界高等教育機構中信息安全的現狀、問題等進行了反思。在收集的七篇文章中,有兩篇介紹了澳大利亞和加拿大高等教育信息化安全的情況,有三篇涵蓋了美國高等教育的不同類型機構(學士學位機構、研究機構、大學系統)的信息安全情況,還有兩篇描述了企業視角(思科公司和微軟公司)下的高等教育信息化安全,如表1所示。
| |
| 疫情帶來的遠程工作和學習的“新常態”深刻改變了我們的生活、工作和互動方式,雖然這在2019年是一種必要的、臨時的反應,但疫情過后也應采用遠程工作和學習,因為這種方式更高效、成本更低,也被越來越多的師生所接受。 |
| 技術有助于社會進步,但必須謹慎引導安全使用,否則很容易造成傷害。高等教育應發揮領導作用,確保數據的安全性,研究數據治理問題,找到信息安全問題的解決方案。 |
| 年輕一代的大學生意識到泄露私人信息帶來的潛在影響,并會確認數據存儲、使用的信息。高等教育機構應該認識到這一事實,并采取相應的措施,如保障數據收集、處理和存儲的政策和程序都有完整的記錄,培訓員工關于數據管理的法律要求和正確使用數據的方法。 |
| 研究機構雖然在創造經濟價值、培養未來人才方面發揮了重要作用,但是在合作、監管、隱私等方面面臨著風險。 |
| 信息安全的未來趨勢和關鍵實踐將影響大學系統。終端設備數量的大量增加,為設備的管理和檢測工作帶來諸多困難。在許多機構中,管理數據隱私是首席信息安全官的職責,但大學系統的復雜性要求這些職責由獨立的辦公室來管理。COVID-19大流行加劇了網絡犯罪分子通過各種陰謀手段帶來的挑戰,為保證高校系統網絡的完整性,應提高信息系統的適應性和防護性。 |
| 供應商不能只銷售產品,而應該努力幫助機構建立符合其具體要求的有效的網絡安全環境。可采取的措施包括:供應商與高等教育機構合作;尋找快速見效的安全工具;使用“云智能”實現高效啟動、運行和管理;使用集成化和自動化工具以提高安全管理的效率。 |
| 高等教育機構對網絡安全的需求空前高漲,供應商應努力幫助高等教育抵御網絡攻擊。終端檢測和響應能力是高等教育機構的必備能力,安全供應商可以在不同領域為高等教育提供終端檢測和響應服務。此外,供應商還可以通過提供云服務、安全工具、自動檢查和修復功能等,幫助高等教育抵御網絡攻擊。 |
2020年新冠肺炎疫情的全球性爆發給教育帶來了巨大沖擊,一場前所未有的、大規模在線教育實驗迅速展開。后疫情時代,學校教育將轉向以“網”為主。網絡上的信息和知識雖全面豐富,但卻存在信息冗雜、魚龍混雜的問題,頻發的網絡安全事故也加劇了人們對在線教育的擔憂。如何確保在線高等教育的信息安全,構筑晴朗網絡空間,是后疫情時代高等教育信息化發展的重要任務。解讀和分析《2021年信息安全版報告》,能夠精確把握國際高等教育信息化安全的最新發展趨勢和未來變革路徑,并對有效推進我國高等教育信息化安全持續發展提供啟示和借鑒。
1.加強信息安全防護,促進后疫情時代在線高等教育高質量發展
后疫情時代,越來越多的人接受并適應了在線教育,但同時在線教育引發的學習數據及隱私泄漏等安全問題不容忽視,信息安全還面臨很大挑戰。比如,人工智能技術在助推在線教育不斷發展的同時,也滋生和傳播了虛假信息。學習者在網絡學習平臺留下大量的個人和學習記錄數據,會被一些別有用心之人竊取和非法使用。高等教育領域亦是如此,信息安全得以保障,才能促使在線高等教育順利開展。為加強在線高等教育的安全防護,應充分發揮教育信息系統中教育部門、技術管理人員、教師、學習者等主體的合力作用。教育部門制定信息安全戰略,采取適用于高等教育數據格式和需求的通用框架,并建立該框架的具體指標,以有效檢測、響應和預防信息安全威脅,切實維護教育數據安全和教育信息系統的正常運作。技術管理人員發揮技術優勢,檢測并阻止對網絡平臺上教育數據的訪問和獲取記錄,保護師生用戶數據和隱私。教師既要防止其教學成果和資源被他人以不正當的渠道利用,又要強化保護學生教育數據的意識,避免對學生教育數據有意無意的泄露甚至是濫用。學習者提高信息安全意識和對數據安全的敏感性,注意保護網絡平臺上的個人信息以及在學習過程中產生的大量學習數據。總之,各方共同努力來構建在線高等教育數據安全共同體,共促后疫情時代在線高等教育高質量發展。2.關注隱私安全,構建高等院校學生數據隱私保護體系
《2021年信息安全版報告》認為高等院校要重視學生數據的收集、儲存和使用,實施強有力的數據治理措施,解決學生個人信息保護和隱私管理問題。我國學者同樣關注了學生數據隱私問題,認為在線教育雖有助于解決疫情期間的師生時空異步環境下的教育問題,但在收集、創建和處理個人信息和學習數據的同時,無法回避保護用戶隱私的難題。此外,在線學習平臺技術上的漏洞,或不法分子對用戶信息的惡意竊取和利用等,更加劇了隱私泄露的風險。在保護學生數據隱私的過程中,高等院校面臨許多挑戰,比如建立學生數據隱私數據庫是一項繁瑣而艱巨的任務,耗時又耗資;如何確定隱私數據收集、使用和刪除規則以及如何更好地使用數據服務學生,目前尚沒有明確的規則。鑒于此,我國在保護高等院校學生數據隱私時應注意如下幾點。一是高等院校肩負起學生數據隱私管理和保護的主要責任,明確采集、處理和使用學生隱私數據的準則,為不同類型用戶開放不同的數據訪問權限。權威高等院校還可發布保護學生在線隱私數據的服務指南和培訓視頻,指導更大范圍的高校管理者保護學生的數據隱私。二是提高高校學生對數據隱私的熟悉程度,比如告知學生收集了哪些數據以及這些數據是被如何存儲、使用和保護的;允許學生根據需要審核和更新自己的數據,提高學生個人數據的管理透明度;讓學生有機會選擇退出機構數據收集和使用。三是高等院校選擇在線教育服務供應商時,應回避可能會濫用學生信息的供應商,在與更多校外組織共享學生的個人數據時,應通過限制訪問權限等多種措施,更好地保護學生的數據隱私。四是使用隱私管理工具提高隱私管理效率,比如基于隱私管理工具審核機構隱私條例的遵守情況,追蹤危及個人敏感資料的事件與個人資料的收集、使用情況以及記錄用戶對隱私政策的認識。3.多途徑防護,避免終端成為高等教育信息化中的安全事故“漏洞”
根據《2021年信息安全版報告》,影響高等教育信息化安全發展的技術趨勢為,個人設備更多用于工作,網絡安全事故成為常態。這一趨勢與COVID-19大流行有很大關系,受疫情影響大量師生不得不居家使用個人終端辦公。在此情況下,數據安全性的責任更多取決于個人終端,而個人終端往往位于機構防火墻、安全和威脅檢測系統的保護之外,更容易遭受到網絡釣魚、惡意軟件、間諜軟件的攻擊,所以造成了大量安全事故。鑒于在高等教育信息化發展過程中,個人終端成為信息安全漏洞的可能性較大,所以應采取多種途徑保護個人終端,避免其成為安全事故“漏洞”。一是強化終端操作系統信息安全防護能力。隨著大多數高等院校師生居家辦公和學習,首要考慮的是確保師生安全連接、訪問和下載機構資源(如服務器、網絡、應用程序),從而保持生產力。但是,這不能以犧牲終端設備的數據安全性為代價。為此,要增強高校師生的個人終端設備,尤其是操作系統的安全防護能力,確保涉及資源調用或用戶信息的操作總是在操作系統控制之中。二是在終端設備中預置安全監控應用。許多應用程序要求訪問電話簿、呼叫歷史記錄、攝像頭、文件和文件夾以及日志,可通過使用預置的安全監控應用,實現對應用程序的安裝檢測并將檢測報告發送給師生;遵循應用程序權限最小化原則,合理限制應用程序的權限,避免應用程序調用與高校師生當前的習和工作場景無關的數據。三是實施嚴格的終端使用安全策略。在高校師生使用終端辦公和學習之前,注意審核并清點不合格的終端設備,采取嚴格措施來確保終端密碼有足夠的保護強度,并幫助師生選擇多因素身份驗證(如數字或圖案鎖定、指紋或視網膜掃描或語音識別),來確保終端設備不會成為訪問高等院校教育數據的便捷網關。4.完善培養培訓體系,加快高等教育信息化安全人才隊伍建設
隨著互聯網的大量使用和在線高等教育逐漸成為“新常態”,保護信息系統免受入侵和破壞勢在必行。信息安全人員在保護數據免受內部和外部威脅方面發揮著重要作用,所以當前對高等教育信息化安全人員的需求量陡增。然而,目前信息安全人員嚴重短缺,國內外均如此。根據《2021年信息安全版報告》,美國勞工統計局估計,從2019年到2029年對“信息安全分析師”的需求將增長31%。我國研究者也表示,信息安全保障人才比較缺乏,尤其是在廣大鄉村等偏遠落后的地區,信息安全維護工作多由未受過專業培訓的教師兼做。鑒于此,亟需完善培養培訓體系,加快我國高等教育信息化安全人才隊伍建設。在人才培養方面,應根據高等教育特有的屬性特點,有針對性地確定培養信息安全人員的教學方向和技術知識,使教學內容符合后疫情時代高等教育信息化發展對信息安全的現實需求,突出實踐性教學導向,幫助學習者實現“所學即能所用”。除了普通的教學培養,還應開拓多種途徑提高信息安全人員的技能水平,比如舉辦高等院校信息安全技能競賽、鼓勵學生考取網絡安全行業的資質證書。在人才培訓方面,開設高等教育信息安全人員技能培訓班,培訓對象可以為信息安全專業人員,也可以是信息安全領域的積極響應者。根據受訓人員的在信息安全領域的學習基礎、學習需求和崗位要求等情況,靈活確定培訓目標和內容。信息安全培訓成本低、周期短、針對性強,能夠快速有效地建設高等教育信息化安全人才隊伍,從而更加有效地應對高等教育信息化過程中的信息安全問題。5.利用區塊鏈技術,保障高等教育信息化中數據的真實性和完整性
《2021年信息安全版報告》將保持數據的真實性和完整性作為六大關鍵技術與實踐之一。數據的開放性和可用性越高,其被破壞的可能性也會越高。研究表明,區塊鏈技術能夠提供不可更改的分布式數據記錄,在保持數據的真實性和完整性方面具有優勢。比如,有學者基于區塊鏈技術建立終身教育記錄跟蹤方案“Educhain”,來保護學習者個體的終身學習記錄數據。在高等教育信息化發展過程中,可考慮采用區塊鏈技術保障數據的真實性和完整性。高質量的在線高等教育對安全、全面、可信的教育記錄有所需求,而區塊鏈技術恰好在保護數據信息不被篡改、實現數據永久儲存方面具有天然優勢。在實施過程中,基于區塊鏈技術全面記錄高校學生的學習成績、綜合測評、獲得獎勵證書等情況,形成完整又不可改動和刪除的學生教育記錄,為高校畢業生升學或就業出具有效的過往教育經歷證明;基于區塊鏈技術降低高等教育數據共享的安全風險,方便不同地區、不同部門之間安全穩定地共享教育數據;基于區塊鏈技術的時間戳功能實現數據的可追溯,從而在數據泄露的情況下進行精準追責;基于區塊鏈技術的“智能合同”開發教育數據管理系統,實現高校管理者對全校學生數據的記錄、篩選、分析和管理,同時控制數據的訪問和使用次數,最大程度保護學生隱私。此外應注意,終端用戶被數據漏洞利用者誘騙,同樣是破壞數據真實性和完整性的重要因素。所以要采用支持數據真實性和完整性的技術和方法,如文件權限、訪問和版本控制、代碼本和字典、終端檢測以及憑據和設備維護。還要為高校終端用戶提供全面和定期的培訓,特別是對接觸敏感數據的高校工作人員進行培訓,以識別、避免和報告網絡釣魚騙局和其他威脅。
2021-12-22 
0
