鐘秋菊　張一春　蘭國帥

摘 要：EDUCAUSE高等教育版地平線系列報告已成為國際高等教育發(fā)展的風(fēng)向標和研究熱點。2021年2月，美國高等教育信息化協(xié)會發(fā)布的《2021年地平線報告（信息安全版）》，可為全球高等教育信息化安全的創(chuàng)新變革與可持續(xù)發(fā)展提供借鑒。文章首先介紹了報告的整體框架。然后，從影響高等教育信息化安全的六種重要趨勢、六項關(guān)鍵技術(shù)與實踐、四種未來場景以及經(jīng)典案例四個維度解讀報告的核心內(nèi)容。最后，文章分析了報告對我國高等教育信息化安全持續(xù)發(fā)展的啟示，以期為我國從容應(yīng)對后疫情時代高等教育信息化安全的創(chuàng)新變革與挑戰(zhàn)提供參考。

關(guān)鍵詞：地平線報告（信息安全版）;高等教育信息化安全;關(guān)鍵技術(shù);遠程工作;數(shù)據(jù)隱私

地平線系列報告（含高等教育版、基礎(chǔ)教育版、博物館教育版、圖書館教育版）已成為國際教育發(fā)展的風(fēng)向標。其中，高等教育版地平線系列報告因科學(xué)預(yù)測國際高等教育發(fā)展的趨勢、挑戰(zhàn)和發(fā)展前景，成為研究關(guān)注的熱點。2021年2月16日，《2021年EDUCAUSE地平線報告（信息安全版）》①（2021 EDUCAUSE Horizon Report：Information Security Edition，下文簡稱《2021年信息安全版報告》）在EDUCAUSE官網(wǎng)正式發(fā)布[1]，報告介紹了影響全球高等教育信息化安全發(fā)展的六種重要趨勢、六項關(guān)鍵技術(shù)與實踐、四種未來場景，并列舉了高等教育信息化安全的七個經(jīng)典案例。分析審視《2021年信息安全版報告》，旨在把握國際高等教育信息化安全的最新發(fā)展趨勢和未來變革路徑，并對如何有效推進我國高等教育信息化安全持續(xù)發(fā)展提出建議，以期為我國從容應(yīng)對后疫情時代高等教育信息化的創(chuàng)新變革與挑戰(zhàn)提供參考和啟示。

一、《2021年信息安全版報告》的整體框架

《2021年信息安全版報告》由全球55位高等教育專家共同起草，聚焦對未來高等教育至關(guān)重要的領(lǐng)域——高等教育信息化安全。報告采用改良的德爾菲法和前瞻性研究方法，呈現(xiàn)了影響全球高等教育信息化安全的重要趨勢、關(guān)鍵技術(shù)與實踐、未來場景以及經(jīng)典案例，如圖1所示。

首先，報告描述了影響高等教育信息化安全的六種重要趨勢。其中，遠程工作被單列為“超級趨勢”;社會趨勢包括信息安全人員短缺、更加關(guān)注數(shù)據(jù)隱私以及合同合規(guī)或存在問題;技術(shù)趨勢包括無邊界網(wǎng)絡(luò)、安全事故常態(tài)化以及個人設(shè)備更多用于工作;經(jīng)濟趨勢包括轉(zhuǎn)向遠程學(xué)習(xí)、高等教育機構(gòu)合作加強以及高等教育機構(gòu)并購增加;環(huán)境趨勢包括制定可持續(xù)發(fā)展報告標準、環(huán)境波動性加劇以及電力需求增加;政治趨勢包括獨裁監(jiān)視、造謠與社交媒體“武器化”以及國際關(guān)系惡化。

其次，報告詳述了將對高等教育信息化安全產(chǎn)生深刻影響的六項關(guān)鍵技術(shù)與實踐，即云服務(wù)供應(yīng)商管理、終端檢測與響應(yīng)、多因素身份驗證/單點登錄、保持數(shù)據(jù)真實性與完整性、安全研究以及學(xué)生數(shù)據(jù)隱私管理。此外，專家從解決公平和包容問題、對信息安全的積極影響、風(fēng)險性、終端用戶接受度和成本六個方面，評估了六項關(guān)鍵技術(shù)與實踐對高等教育信息化安全的影響。

再次，報告預(yù)測了影響高等教育信息化安全發(fā)展的四種未來場景。一是增長場景，即高等教育信息化安全蓬勃發(fā)展;二是約束場景，即高等教育信息化安全在不同方面被削弱;三是崩潰場景，即無法控制的變革力量使高等教育信息化安全走向崩潰;四是轉(zhuǎn)型場景，即高等教育成功轉(zhuǎn)型并建立了新的信息安全發(fā)展范式。

最后，七位地平線專家以論文案例的形式，基于《2021年信息安全版報告》的主要發(fā)現(xiàn)，對世界高等教育機構(gòu)中的信息安全現(xiàn)狀、問題等進行了反思。案例視角各異，代表了不同利益相關(guān)者對高等教育信息化安全的見解。

二、《2021年信息安全版報告》的核心內(nèi)容

《2021年信息安全版報告》的核心內(nèi)容分為四部分，第一、二、三部分分別介紹了影響全球高等教育信息化安全發(fā)展的六個重要趨勢、六項關(guān)鍵技術(shù)與實踐以及四種未來場景，第四部分列舉了高等教育信息化安全的七個經(jīng)典案例。

（一）影響高等教育信息化安全發(fā)展的六種重要趨勢

1.超級趨勢：轉(zhuǎn)向遠程工作

遠程工作極為重要，而且在其他趨勢中也會出現(xiàn)，所以被單獨列為“超級趨勢”。遠程工作的興起會重塑信息安全行業(yè)本身，一是因為人們可以更開放、靈活地獲得信息安全方面的工作機會，機構(gòu)可以突破地域限制吸引更多樣化的人才;二是因為信息安全部門需要思考業(yè)務(wù)開展、管理員工和資源以及與利益相關(guān)者打交道等問題。在更遙遠的將來，高等教育信息化安全的優(yōu)先事項將發(fā)生變化，學(xué)生、教師和工作人員在網(wǎng)絡(luò)空間的隱私保護問題變得極為重要。傳統(tǒng)校園安全邊界的消失，會引發(fā)人們對終端設(shè)備和云平臺安全性的迫切關(guān)注，高等教育將重新劃定需要保護的領(lǐng)域，信息安全人員也需要重新思考工作性質(zhì)和范圍。如果遠程工作持續(xù)下去，將對全球高等教育信息化安全產(chǎn)生全面而深刻的影響。

2.社會趨勢：信息安全人員供不應(yīng)求，數(shù)據(jù)隱私和合同簽訂引發(fā)關(guān)注

社會趨勢主要為三個方面。一是信息安全人員短缺。日益數(shù)字化的世界將需要更多專業(yè)的信息安全人員，但目前信息安全人員的儲備遠遠低于需求。高等教育機構(gòu)需要不斷擴大信息安全工作隊伍，滿足這一日益增長的需求。二是更加關(guān)注數(shù)據(jù)隱私。個人設(shè)備的激增以及個人在網(wǎng)絡(luò)生活中持續(xù)地與外界聯(lián)系，將繼續(xù)提高人們對數(shù)據(jù)隱私的重視程度。越來越多的機構(gòu)需要通過現(xiàn)有的信息安全部門或?qū)I(yè)隱私保護部門，來增加其隱私人員配置，提供隱私保護服務(wù)。三是合同合規(guī)或存在問題。大型科技供應(yīng)商日益發(fā)展壯大，將削弱單個機構(gòu)在談判定制合同和安全條款時的代理權(quán)和自主權(quán)。法律風(fēng)險，特別是合規(guī)風(fēng)險、訴訟風(fēng)險，將推動機構(gòu)對供應(yīng)商及其解決方案的評估和決策。

3.技術(shù)趨勢：個人設(shè)備更多用于工作，網(wǎng)絡(luò)安全事故成為常態(tài)

技術(shù)趨勢主要為三個方面。一是無邊界網(wǎng)絡(luò)。機構(gòu)服務(wù)和數(shù)據(jù)越來越基于云平臺。網(wǎng)絡(luò)終端（如智能手機、筆記本電腦）不再局限于校園，大大擴展了須監(jiān)控和保護的數(shù)字世界的邊界。二是安全事故常態(tài)化。不法分子已經(jīng)發(fā)展出更復(fù)雜和更專業(yè)化的策略和攻擊手段，高等教育中的入侵和勒索軟件正在增加。安全事故防范已經(jīng)成為高等教育機構(gòu)正常業(yè)務(wù)規(guī)劃和運作的一部分，安全工作將從應(yīng)對和恢復(fù)事故轉(zhuǎn)向識別和預(yù)防事故。越來越多的院校已成立事故管理部門，并配備專職事故管理的領(lǐng)導(dǎo)及支持人員。三是個人設(shè)備更多用于工作。隨著私人化移動設(shè)備的激增，以及機構(gòu)繼續(xù)采用虛擬的工作和學(xué)習(xí)模式，個人設(shè)備（如智能手機、筆記本電腦、平板電腦）用于機構(gòu)的學(xué)術(shù)和管理業(yè)務(wù)已變得越來越普遍。在保護數(shù)據(jù)和設(shè)備方面，機構(gòu)面臨著越來越多的風(fēng)險和挑戰(zhàn)，這將重新劃分機構(gòu)對設(shè)備和數(shù)據(jù)使用的檢測權(quán)和控制權(quán)。

4.經(jīng)濟趨勢：資金供給不足，高等教育機構(gòu)間合作與并購不斷加強

經(jīng)濟趨勢主要為三個方面。一是轉(zhuǎn)向遠程學(xué)習(xí)。隨著高等教育向遠程教育模式的轉(zhuǎn)變，大學(xué)面臨學(xué)生入學(xué)人數(shù)下降、機構(gòu)收入減少和部門預(yù)算緊縮等威脅。二是高等教育機構(gòu)合作加強。隨著機構(gòu)預(yù)算在全球范圍內(nèi)日益受到越來越多的限制，區(qū)域和聯(lián)盟合作將在幫助機構(gòu)確定信息安全需求效率和成本削減方面發(fā)揮重要作用。三是高等教育機構(gòu)并購增加。已經(jīng)面臨重大財務(wù)挑戰(zhàn)的高等教育機構(gòu)將抓住疫情后的機會，與其他機構(gòu)合并，或在保持獨立的同時啟動共享或合并的跨機構(gòu)服務(wù)和業(yè)務(wù)。除了重新設(shè)計高等教育機構(gòu)的整體安全業(yè)務(wù)計劃和策略外，還將要求正在進行并購的信息安全部門支持知識資產(chǎn)和知識管理系統(tǒng)的整合。

5.環(huán)境趨勢：環(huán)境波動性加劇，需制定可持續(xù)發(fā)展報告標準

環(huán)境趨勢主要為三個方面。一是制定可持續(xù)發(fā)展報告標準。隨著氣候變化和其他環(huán)境問題對當?shù)厣鐓^(qū)和全球社區(qū)的影響，越來越多的高等教育機構(gòu)需要報告其在可持續(xù)發(fā)展方面作出的努力。數(shù)據(jù)和隱私專業(yè)人員將需要致力于產(chǎn)出新的報告標準，并在滿足這些新標準的過程中平衡數(shù)據(jù)透明度和數(shù)據(jù)保護問題。二是環(huán)境波動性加劇。極端天氣事件和氣候模式的劇烈變化推動了技術(shù)創(chuàng)新，使高等教育機構(gòu)能夠采用更復(fù)雜和網(wǎng)絡(luò)化的工具來維護其設(shè)施和監(jiān)控校園安全。擴大的信息網(wǎng)絡(luò)和更多的互聯(lián)工具將使機構(gòu)面臨更多不同的安全風(fēng)險，所以需要在信息安全方面增加投資，加大支持力度。三是電力需求增加。高等教育機構(gòu)堅持采用遠程工作和學(xué)習(xí)模式，表明高等教育對可靠電力來源的依賴性，以及可靠電力在當?shù)睾腿蛏鐓^(qū)分布不均衡性。在能源供應(yīng)不足的地區(qū)擴大能源生產(chǎn)，將導(dǎo)致人們對能源消耗和污染的擔(dān)憂加劇，以及保護電網(wǎng)免受網(wǎng)絡(luò)攻擊所需的更強有力的安全措施。

6.政治趨勢：造謠與社交媒體“武器化”趨勢明顯，國際關(guān)系惡化

政治趨勢主要為三個方面。一是獨裁監(jiān)視。雖然許多政府繼續(xù)朝著實施廣泛的隱私法規(guī)的方向前進，但有些政府在控制和保護數(shù)據(jù)的方法上仍舊放任和分散。由于缺乏跨州和跨國家的一致性隱私法律法規(guī)，導(dǎo)致了較多的合規(guī)問題。美國高等教育機構(gòu)由于在數(shù)據(jù)政策和實踐方面存在復(fù)雜且往往無法解決的差異，在國際合作方面遇到了重大障礙。二是造謠與社交媒體“武器化”。在全球社會和政治舞臺上，使用深度造假視頻、可信的虛假信息和武器化的社交媒體變得越來越普遍，而政府和高等教育機構(gòu)在理解和準備這些活動的安全影響方面能力落后。安全專業(yè)人員需要探索創(chuàng)新性解決方案，并與社交媒體和技術(shù)行業(yè)領(lǐng)導(dǎo)人、政治學(xué)家和政策制定者建立新的伙伴關(guān)系。三是國際關(guān)系惡化。全球主要國家之間的分歧和緊張局勢繼續(xù)加劇，并朝著不可預(yù)測和潛在危險的方向發(fā)展。高等教育領(lǐng)導(dǎo)人將受到考驗，因為他們將圍繞國際伙伴關(guān)系制定新的政策和規(guī)范，并在實踐和政策方面發(fā)揮作用。信息安全部門需要改進和擴大其針對不良行為者的監(jiān)測和保護措施。

（二）影響高等教育信息化安全發(fā)展的六項關(guān)鍵技術(shù)與實踐

1.云平臺供應(yīng)商管理：遠程學(xué)習(xí)和工作的首選解決方案

2020年，為應(yīng)對COVID-19大流行，各機構(gòu)加快了將許多運營需求和服務(wù)轉(zhuǎn)移至網(wǎng)絡(luò)的步伐。后疫情時代，隨著這些機構(gòu)探索維持遠程工作、教學(xué)和學(xué)習(xí)模式的可能性，基于云平臺的解決方案將比現(xiàn)在對業(yè)務(wù)更加重要。對于許多機構(gòu)來說，與云平臺第三方供應(yīng)商合作將是首選解決方式，因為這種解決方案效果更好、價格更低且規(guī)模更大。對第三方云平臺供應(yīng)商的依賴日益加重，機構(gòu)的關(guān)注點將從管理服務(wù)本身，轉(zhuǎn)向管理它們與提供服務(wù)的供應(yīng)商的關(guān)系。因此，云平臺解決方案的成功實施越來越依賴于供應(yīng)商的審查和選擇、合同談判和采購、對關(guān)系和服務(wù)的持續(xù)評估，以及對這些解決方案的安全性、事件響應(yīng)行動和需求的評估。

2.終端檢測與響應(yīng)：避免安全事故的重要網(wǎng)關(guān)

臺式電腦、筆記本電腦、智能手機、平板電腦等終端設(shè)備，是學(xué)生、教師和工作人員與其所在機構(gòu)互動以及在高等教育中開展工作的門戶，同時也是使機構(gòu)暴露于網(wǎng)絡(luò)風(fēng)險的主要門戶之一。根據(jù)Absolute的2019年終端安全趨勢報告，70%的安全漏洞源自終端設(shè)備。鑒于檢測終端安全、滿足終端需求以及解決終端問題具有復(fù)雜性和挑戰(zhàn)性，終端安全問題是機構(gòu)較為迫切的網(wǎng)絡(luò)風(fēng)險和威脅來源。終端用戶對安全的關(guān)切，以及他們在使用終端設(shè)備和網(wǎng)絡(luò)時遵循最佳安全做法的意愿，是終端安全機構(gòu)取得成功的關(guān)鍵因素。雖然大多數(shù)師生口頭上承認安全的重要性，但其中仍有許多人期望簡單方便的無縫訪問，這將導(dǎo)致人們在網(wǎng)絡(luò)實踐活動中安全意識降低，從而使機構(gòu)面臨較高的風(fēng)險。2020年，隨著大多數(shù)高等教育人員、教師和學(xué)生轉(zhuǎn)變成遠程辦公模式，越來越多的終端用戶已經(jīng)并將繼續(xù)使用個人設(shè)備，在個人空間使用私人網(wǎng)絡(luò)來工作?；谠品?wù)的終端保護平臺解決方案，對于管理機構(gòu)的安全、實現(xiàn)網(wǎng)絡(luò)和設(shè)備活動的遠程監(jiān)控以及在終端發(fā)生事故時進行遠程補救將變得更加必要。

3.多因素身份驗證/單點登錄：保護數(shù)據(jù)安全的強大工具

多因素身份驗證（Multifactor Authentication，簡稱MFA）是一種數(shù)字身份驗證方法，通過這種方法，個人在提供兩個或多個證據(jù)以驗證其身份后，可以訪問應(yīng)用程序或平臺。因素通常來自以下兩種或兩種以上的信息：所知信息（如密碼、用戶名）、所擁有的東西（如智能手機）、個人特征（如指紋、視網(wǎng)膜掃描、語音識別等生物特征）、所在地方（如位置數(shù)據(jù)）。MFA之所以有效，是因為不良行為者通常無法獲取多于一種的因素，賬戶所有者通常會收到通過其他因素進行身份驗證的請求，以提醒他們注意未遂的黑客行為。

單點登錄（Single Sign-on，簡稱SSO）為用戶提供了一次性身份驗證的功能，以便自動和隨后訪問系統(tǒng)內(nèi)或跨系統(tǒng)的各種應(yīng)用程序和平臺。SSO降低了憑據(jù)丟失、遺忘或被盜從而導(dǎo)致安全性遭到破壞的可能性。當與MFA結(jié)合使用時，SSO可以成為保護有價值機構(gòu)數(shù)據(jù)的強大工具。構(gòu)成MFA和SSO認證技術(shù)的產(chǎn)品和服務(wù)數(shù)不勝數(shù)，系統(tǒng)和方法的組合部署因機構(gòu)而異。雖然各機構(gòu)最初往往將MFA和SSO的用于保障信息安全的工作人員和教師身上，但這一技術(shù)的用戶群很快會擴展到整個校園。

4.保持數(shù)據(jù)真實性與完整性：實現(xiàn)信息安全的重要方式

數(shù)據(jù)的真實性，即數(shù)據(jù)創(chuàng)建后沒有被破壞，保持原樣不變。嚴格地說，任何已處理或準備交付給最終用戶的數(shù)據(jù)，其真實性都受到了損害。在現(xiàn)實世界中，需要對原始數(shù)據(jù)進行清理（從技術(shù)意義上講，也就是破壞原始數(shù)據(jù)），以便在不影響數(shù)據(jù)實際表示內(nèi)容的情況下使這些數(shù)據(jù)可用。數(shù)據(jù)有機密性、完整性和可用性（Confidentiality，Integrity，Availability，簡稱CIA）三個特性，其中完整性經(jīng)常被忽視。對數(shù)據(jù)完整性的威脅主要是人為因素造成的。所以，維護文件權(quán)限、訪問控制和版本控制以及建立修改或刪除數(shù)據(jù)的規(guī)則至關(guān)重要。其他對數(shù)據(jù)完整性的威脅來自服務(wù)器崩潰、電磁脈沖或自然災(zāi)害等事件，可以通過備份來避免或減輕。為保護數(shù)據(jù)的真實性和完整性，信息安全團隊未來需要更加關(guān)注數(shù)據(jù)本身，在驗證數(shù)據(jù)真實性的技術(shù)方面投入更多精力和資源，具體工作包括基于風(fēng)險的數(shù)據(jù)驗證、業(yè)務(wù)連續(xù)性計劃、系統(tǒng)輸入驗證、仔細選擇系統(tǒng)和服務(wù)提供商以及定期歸檔數(shù)據(jù)。此外，隨著不法分子獲取數(shù)據(jù)的方法變得越來越復(fù)雜，如何防范人為破壞數(shù)據(jù)的真實性和完整性更具挑戰(zhàn)性。

5.安全研究：研究機構(gòu)助力信息安全的有效途徑

長期以來，學(xué)術(shù)研究一直是高等教育的標志，會增加高等教育機構(gòu)在社會中的價值。然而，基于公開探究、創(chuàng)造和創(chuàng)新以及言論自由的價值之上的研究實踐，有時可能與監(jiān)督和保護機構(gòu)資產(chǎn)的價值觀相矛盾。自第二次世界大戰(zhàn)以來，美國高校獲得的研究支持穩(wěn)步增加。如今，國立衛(wèi)生研究院、國家科學(xué)基金會和國防部等中心仍然為學(xué)術(shù)研究人員提供大量研究資金。研究機構(gòu)已經(jīng)探索并將繼續(xù)制定減輕研究安全風(fēng)險的戰(zhàn)略，并確保各機構(gòu)及其數(shù)據(jù)免受潛在威脅的影響。比如，美國國防部開發(fā)出網(wǎng)絡(luò)安全成熟度模型認證框架，來確保適當?shù)陌踩珜嵺`，以保護聯(lián)邦合同信息和受控非機密信息。此外，各研究機構(gòu)共同努力，更廣泛地確定安全研究的解決辦法，個別研究機構(gòu)也探索了改善自身研究安全態(tài)勢的策略。

6.學(xué)生數(shù)據(jù)隱私管理：提升學(xué)生對高校的信任程度

數(shù)據(jù)管理是指，規(guī)定數(shù)據(jù)收集、使用、存儲、保護和銷毀的適當行為的決策規(guī)則和責(zé)任規(guī)則。鑒于高校收集了學(xué)生的大量資料，每所院校都需要制定和頒布強有力的數(shù)據(jù)管理制度，解決與學(xué)生個人信息保護和管理相關(guān)的問題。隨著學(xué)生們越來越了解機構(gòu)在收集他們的何種信息以及這些信息是如何被使用的，他們希望學(xué)校對自己的數(shù)據(jù)有更多的管理。高等院校至少可以采取多種措施來解決學(xué)生數(shù)據(jù)隱私管理問題。一方面，高校需要優(yōu)先保護學(xué)生數(shù)據(jù)隱私，通過安全存儲數(shù)據(jù)來保護學(xué)生數(shù)據(jù)的安全，并采用強有力的密碼標準和實踐。此外，高等教育機構(gòu)應(yīng)審查現(xiàn)有和新簽訂的合同，以核實供應(yīng)商是否遵守《家庭教育權(quán)利和隱私法》等規(guī)定。另一方面，開展校園信息安全意識宣傳活動，幫助學(xué)生了解當前在提高安全性、保護數(shù)據(jù)隱私和識別潛在威脅方面所做的努力。定期的安全和隱私報告，可以在很大程度上幫助學(xué)生保持知情，提高學(xué)生對院校的信任程度。

（三）評估關(guān)鍵技術(shù)與實踐對高等教育信息化安全的影響

專家小組從五個維度評估關(guān)鍵技術(shù)與實踐對高等教育信息化安全產(chǎn)生的影響，包括：1）解決公平和包容問題，即關(guān)鍵技術(shù)與實踐對解決公平和包容問題有多大幫助;2）對信息安全的積極影響，即關(guān)鍵技術(shù)與實踐對高等教育機構(gòu)信息安全有何潛在積極影響;3）風(fēng)險性，即關(guān)鍵技術(shù)與實踐失敗的風(fēng)險如何;4）終端用戶接受度，即終端用戶（如教師、學(xué)生）對關(guān)鍵技術(shù)與實踐的接受程度如何;5）成本，即采用該技術(shù)需要支出多少資金。評估采用五分制，評分范圍為0-4分，評估結(jié)果如圖2所示。

分析圖2可知，云服務(wù)供應(yīng)商在“對信息安全的積極影響”方面得分較高，這與云服務(wù)供應(yīng)商擁有強大的資源、人員配備和專業(yè)知識有關(guān);而在“終端用戶接受度”和“解決公平和包容問題”兩方面得分不高，可能由于信息安全人員的工作與終端用戶的直接體驗之間存在脫節(jié)。在“終端檢測和響應(yīng)”的評估結(jié)果中，“對信息安全的積極影響”獲得了六項技術(shù)與實踐中排名第二的影響評級，這與絕大多數(shù)安全事故都是通過終端網(wǎng)關(guān)發(fā)生的有關(guān);而在“解決公平和包容問題”方面均獲得了相對靠后的影響評級。根據(jù)“多因素身份驗證/單點登錄”的評估結(jié)果可知，實現(xiàn)這一技術(shù)需要適度的成本，但該技術(shù)不能很好地解決關(guān)于高等教育信息化安全的公平和包容問題。安全研究在“成本”方面獲得了六項技術(shù)中排名第一的影響評級，說明開展關(guān)于安全的研究耗資最多，但在“對高等教育信息化安全的積極影響”方面的得分不高，說明安全研究對高等教育信息安全帶來的積極影響有限。由于安全研究所需的潛在投資較多，投資所帶來的收益有限，造成相關(guān)人員對安全問題的研究積極性不高。根據(jù)“學(xué)生數(shù)據(jù)隱私管理”的評估結(jié)果，“對信息安全的積極影響”獲得了五個評分維度中的最高分，說明專家小組最看好其對高等教育信息化安全的潛在積極影響。

（四）影響高等教育信息化安全發(fā)展的四種未來場景

第一，增長場景，即高等教育信息化安全蓬勃發(fā)展。在該場景下，各機構(gòu)的網(wǎng)絡(luò)安全人員增加了十倍;網(wǎng)絡(luò)安全學(xué)位課程不斷發(fā)展壯大;終端網(wǎng)絡(luò)已經(jīng)成倍增長，終端用戶對安全和隱私的了解程度也成倍增長;終端保護平臺變得更加智能和全面，認證解決方案也變得可以無縫連接;隨著機構(gòu)在網(wǎng)絡(luò)安全方面的能力和需求不斷發(fā)展壯大，它們與解決方案提供商和大型科技公司的關(guān)系也在發(fā)展;跨機構(gòu)協(xié)作、集體規(guī)劃與戰(zhàn)略決策水平不斷提高，為同儕學(xué)習(xí)創(chuàng)造了新的空間和機會，并促進了未來高等教育網(wǎng)絡(luò)安全實踐的創(chuàng)新。

第二，約束場景，即高等教育信息化安全在不同方面被削弱。對高校來說，兼并造成學(xué)院和大學(xué)的數(shù)量大幅減少，加劇了偏遠地區(qū)高等教育勞動力的僵化。COVID-19大流行造成的財政影響導(dǎo)致教職員工大量減少，后疫情時期大多數(shù)高等教育員工沒有重返校園。國家資金的持續(xù)減少和學(xué)費收入的減少對信息技術(shù)預(yù)算產(chǎn)生了不利影響。許多機構(gòu)削減了教職員工的職位，并減少超支的成本。對供應(yīng)商來說，為了保護自己免受數(shù)據(jù)泄露引起的訴訟，供應(yīng)商現(xiàn)在堅持要求簽訂極其復(fù)雜的合同，削弱了高等教育信息技術(shù)部門以敏捷方式應(yīng)對機構(gòu)需求的能力。在安全性方面，個人工作設(shè)備的使用頻率增加導(dǎo)致安全事件激增。向遠程工作和學(xué)習(xí)的轉(zhuǎn)變增加了對信息安全人員的需求，以抵御網(wǎng)絡(luò)攻擊。

第三，崩潰場景，即無法控制的變革力量使高等教育信息化安全走向崩潰。一是大多數(shù)安全需求和工作崗位已經(jīng)減少，信息專業(yè)人員被邊緣化。二是在公司和學(xué)校的對峙中，大型科技公司在保護高等教育隱私和安全方面擁有主要控制權(quán)，在談判合同、確保合規(guī)和減少風(fēng)險方面，大學(xué)的作用僅僅是形式上的。三是不法分子的黑客技術(shù)遠遠超出了機構(gòu)自身的解決方案和安全措施，大量機構(gòu)受到了攻擊。四是設(shè)備和網(wǎng)絡(luò)無處不在，且總是處于監(jiān)聽和收集數(shù)據(jù)狀態(tài)。公眾對于數(shù)據(jù)隱私和保護的態(tài)度，趨向于對難以理解的“云”全盤默許。五是學(xué)生數(shù)據(jù)已經(jīng)不再被視為需要保護的財富，而更多地被視為可以出售的商品。六是“安全疲勞癥”已經(jīng)在世界大多數(shù)發(fā)達地區(qū)蔓延開來，跨越技術(shù)、設(shè)備和網(wǎng)絡(luò)的無數(shù)安全風(fēng)險已經(jīng)讓大多數(shù)消費者和終端用戶對始終存在的數(shù)字危險麻木。

第四，轉(zhuǎn)型場景，即高等教育成功轉(zhuǎn)型并建立了新的信息安全發(fā)展范式。一是國家安全機構(gòu)與高等教育機構(gòu)展開合作，兩者共同利用校園技術(shù)、計算能力和專業(yè)知識來對抗黑客、恐怖分子和其他網(wǎng)絡(luò)犯罪分子的威脅。二是政府投資建立高等教育領(lǐng)域的“網(wǎng)絡(luò)安全”學(xué)科，規(guī)模較大的公立博士研究所率先建立完整的信息安全本科和研究生課程，通過培訓(xùn)來補充普遍短缺的信息安全人員。三是私人信息安全領(lǐng)域蓬勃發(fā)展，許多小型機構(gòu)和計算性能較弱的機構(gòu)將其網(wǎng)絡(luò)安全業(yè)務(wù)外包，引起網(wǎng)絡(luò)安全供應(yīng)商數(shù)量激增。

（五）高等教育信息化安全的七個經(jīng)典案例

根據(jù)報告主要發(fā)現(xiàn)，七位地平線專家以論文案例的形式對世界高等教育機構(gòu)中信息安全的現(xiàn)狀、問題等進行了反思。在收集的七篇文章中，有兩篇介紹了澳大利亞和加拿大高等教育信息化安全的情況，有三篇涵蓋了美國高等教育的不同類型機構(gòu)（學(xué)士學(xué)位機構(gòu)、研究機構(gòu)、大學(xué)系統(tǒng)）的信息安全情況，還有兩篇描述了企業(yè)視角（思科公司和微軟公司）下的高等教育信息化安全，如表1所示。

三、《2021年信息安全版報告》對我國高等教育信息化安全持續(xù)發(fā)展的啟示

2020年新冠肺炎疫情的全球性爆發(fā)給教育帶來了巨大沖擊，一場前所未有的、大規(guī)模在線教育實驗迅速展開。后疫情時代，學(xué)校教育將轉(zhuǎn)向以“網(wǎng)”為主。[2]網(wǎng)絡(luò)上的信息和知識雖全面豐富，但卻存在信息冗雜、魚龍混雜的問題，頻發(fā)的網(wǎng)絡(luò)安全事故也加劇了人們對在線教育的擔(dān)憂。如何確保在線高等教育的信息安全，構(gòu)筑晴朗網(wǎng)絡(luò)空間，是后疫情時代高等教育信息化發(fā)展的重要任務(wù)。解讀和分析《2021年信息安全版報告》，能夠精確把握國際高等教育信息化安全的最新發(fā)展趨勢和未來變革路徑，并對有效推進我國高等教育信息化安全持續(xù)發(fā)展提供啟示和借鑒。

（一）加強信息安全防護，促進后疫情時代在線高等教育高質(zhì)量發(fā)展

后疫情時代，越來越多的人接受并適應(yīng)了在線教育，但同時在線教育引發(fā)的學(xué)習(xí)數(shù)據(jù)及隱私泄漏等安全問題不容忽視，信息安全還面臨很大挑戰(zhàn)。比如，人工智能技術(shù)在助推在線教育不斷發(fā)展的同時，也滋生和傳播了虛假信息。[3]學(xué)習(xí)者在網(wǎng)絡(luò)學(xué)習(xí)平臺留下大量的個人和學(xué)習(xí)記錄數(shù)據(jù)，會被一些別有用心之人竊取和非法使用。[4]高等教育領(lǐng)域亦是如此，信息安全得以保障，才能促使在線高等教育順利開展。

為加強在線高等教育的安全防護，應(yīng)充分發(fā)揮教育信息系統(tǒng)中教育部門、技術(shù)管理人員、教師、學(xué)習(xí)者等主體的合力作用。教育部門制定信息安全戰(zhàn)略，采取適用于高等教育數(shù)據(jù)格式和需求的通用框架，并建立該框架的具體指標，以有效檢測、響應(yīng)和預(yù)防信息安全威脅，切實維護教育數(shù)據(jù)安全和教育信息系統(tǒng)的正常運作。[5]技術(shù)管理人員發(fā)揮技術(shù)優(yōu)勢，檢測并阻止對網(wǎng)絡(luò)平臺上教育數(shù)據(jù)的訪問和獲取記錄，保護師生用戶數(shù)據(jù)和隱私。教師既要防止其教學(xué)成果和資源被他人以不正當?shù)那览茫忠獜娀Ｗo學(xué)生教育數(shù)據(jù)的意識，避免對學(xué)生教育數(shù)據(jù)有意無意的泄露甚至是濫用。學(xué)習(xí)者提高信息安全意識和對數(shù)據(jù)安全的敏感性，注意保護網(wǎng)絡(luò)平臺上的個人信息以及在學(xué)習(xí)過程中產(chǎn)生的大量學(xué)習(xí)數(shù)據(jù)?？傊鞣焦餐順?gòu)建在線高等教育數(shù)據(jù)安全共同體，共促后疫情時代在線高等教育高質(zhì)量發(fā)展。

（二）關(guān)注隱私安全，構(gòu)建高等院校學(xué)生數(shù)據(jù)隱私保護體系

《2021年信息安全版報告》認為高等院校要重視學(xué)生數(shù)據(jù)的收集、儲存和使用，實施強有力的數(shù)據(jù)治理措施，解決學(xué)生個人信息保護和隱私管理問題。我國學(xué)者同樣關(guān)注了學(xué)生數(shù)據(jù)隱私問題，認為在線教育雖有助于解決疫情期間的師生時空異步環(huán)境下的教育問題，但在收集、創(chuàng)建和處理個人信息和學(xué)習(xí)數(shù)據(jù)的同時，無法回避保護用戶隱私的難題[6]。此外，在線學(xué)習(xí)平臺技術(shù)上的漏洞，或不法分子對用戶信息的惡意竊取和利用等，更加劇了隱私泄露的風(fēng)險。在保護學(xué)生數(shù)據(jù)隱私的過程中，高等院校面臨許多挑戰(zhàn)，比如建立學(xué)生數(shù)據(jù)隱私數(shù)據(jù)庫是一項繁瑣而艱巨的任務(wù)，耗時又耗資;如何確定隱私數(shù)據(jù)收集、使用和刪除規(guī)則以及如何更好地使用數(shù)據(jù)服務(wù)學(xué)生，目前尚沒有明確的規(guī)則。

鑒于此，我國在保護高等院校學(xué)生數(shù)據(jù)隱私時應(yīng)注意如下幾點。一是高等院校肩負起學(xué)生數(shù)據(jù)隱私管理和保護的主要責(zé)任，明確采集、處理和使用學(xué)生隱私數(shù)據(jù)的準則，為不同類型用戶開放不同的數(shù)據(jù)訪問權(quán)限。權(quán)威高等院校還可發(fā)布保護學(xué)生在線隱私數(shù)據(jù)的服務(wù)指南和培訓(xùn)視頻，指導(dǎo)更大范圍的高校管理者保護學(xué)生的數(shù)據(jù)隱私。二是提高高校學(xué)生對數(shù)據(jù)隱私的熟悉程度，比如告知學(xué)生收集了哪些數(shù)據(jù)以及這些數(shù)據(jù)是被如何存儲、使用和保護的;允許學(xué)生根據(jù)需要審核和更新自己的數(shù)據(jù)，提高學(xué)生個人數(shù)據(jù)的管理透明度;讓學(xué)生有機會選擇退出機構(gòu)數(shù)據(jù)收集和使用。三是高等院校選擇在線教育服務(wù)供應(yīng)商時，應(yīng)回避可能會濫用學(xué)生信息的供應(yīng)商，在與更多校外組織共享學(xué)生的個人數(shù)據(jù)時，應(yīng)通過限制訪問權(quán)限等多種措施，更好地保護學(xué)生的數(shù)據(jù)隱私。四是使用隱私管理工具提高隱私管理效率，比如基于隱私管理工具審核機構(gòu)隱私條例的遵守情況，追蹤危及個人敏感資料的事件與個人資料的收集、使用情況以及記錄用戶對隱私政策的認識。

（三）多途徑防護，避免終端成為高等教育信息化中的安全事故“漏洞”

根據(jù)《2021年信息安全版報告》，影響高等教育信息化安全發(fā)展的技術(shù)趨勢為，個人設(shè)備更多用于工作，網(wǎng)絡(luò)安全事故成為常態(tài)。這一趨勢與COVID-19大流行有很大關(guān)系，受疫情影響大量師生不得不居家使用個人終端辦公。在此情況下，數(shù)據(jù)安全性的責(zé)任更多取決于個人終端，而個人終端往往位于機構(gòu)防火墻、安全和威脅檢測系統(tǒng)的保護之外，更容易遭受到網(wǎng)絡(luò)釣魚、惡意軟件、間諜軟件的攻擊，所以造成了大量安全事故。

鑒于在高等教育信息化發(fā)展過程中，個人終端成為信息安全漏洞的可能性較大，所以應(yīng)采取多種途徑保護個人終端，避免其成為安全事故“漏洞”。一是強化終端操作系統(tǒng)信息安全防護能力。隨著大多數(shù)高等院校師生居家辦公和學(xué)習(xí)，首要考慮的是確保師生安全連接、訪問和下載機構(gòu)資源（如服務(wù)器、網(wǎng)絡(luò)、應(yīng)用程序），從而保持生產(chǎn)力。但是，這不能以犧牲終端設(shè)備的數(shù)據(jù)安全性為代價。為此，要增強高校師生的個人終端設(shè)備，尤其是操作系統(tǒng)的安全防護能力，確保涉及資源調(diào)用或用戶信息的操作總是在操作系統(tǒng)控制之中。二是在終端設(shè)備中預(yù)置安全監(jiān)控應(yīng)用。許多應(yīng)用程序要求訪問電話簿、呼叫歷史記錄、攝像頭、文件和文件夾以及日志，可通過使用預(yù)置的安全監(jiān)控應(yīng)用，實現(xiàn)對應(yīng)用程序的安裝檢測并將檢測報告發(fā)送給師生;遵循應(yīng)用程序權(quán)限最小化原則，合理限制應(yīng)用程序的權(quán)限，避免應(yīng)用程序調(diào)用與高校師生當前的習(xí)和工作場景無關(guān)的數(shù)據(jù)。三是實施嚴格的終端使用安全策略。在高校師生使用終端辦公和學(xué)習(xí)之前，注意審核并清點不合格的終端設(shè)備，采取嚴格措施來確保終端密碼有足夠的保護強度，并幫助師生選擇多因素身份驗證（如數(shù)字或圖案鎖定、指紋或視網(wǎng)膜掃描或語音識別），來確保終端設(shè)備不會成為訪問高等院校教育數(shù)據(jù)的便捷網(wǎng)關(guān)。

（四）完善培養(yǎng)培訓(xùn)體系，加快高等教育信息化安全人才隊伍建設(shè)

隨著互聯(lián)網(wǎng)的大量使用和在線高等教育逐漸成為“新常態(tài)”，保護信息系統(tǒng)免受入侵和破壞勢在必行。信息安全人員在保護數(shù)據(jù)免受內(nèi)部和外部威脅方面發(fā)揮著重要作用，所以當前對高等教育信息化安全人員的需求量陡增。然而，目前信息安全人員嚴重短缺，國內(nèi)外均如此。根據(jù)《2021年信息安全版報告》，美國勞工統(tǒng)計局估計，從2019年到2029年對“信息安全分析師”的需求將增長31%。我國研究者也表示，信息安全保障人才比較缺乏，尤其是在廣大鄉(xiāng)村等偏遠落后的地區(qū)，信息安全維護工作多由未受過專業(yè)培訓(xùn)的教師兼做。[7]

鑒于此，亟需完善培養(yǎng)培訓(xùn)體系，加快我國高等教育信息化安全人才隊伍建設(shè)。在人才培養(yǎng)方面，應(yīng)根據(jù)高等教育特有的屬性特點，有針對性地確定培養(yǎng)信息安全人員的教學(xué)方向和技術(shù)知識，使教學(xué)內(nèi)容符合后疫情時代高等教育信息化發(fā)展對信息安全的現(xiàn)實需求，突出實踐性教學(xué)導(dǎo)向，幫助學(xué)習(xí)者實現(xiàn)“所學(xué)即能所用”。除了普通的教學(xué)培養(yǎng)，還應(yīng)開拓多種途徑提高信息安全人員的技能水平，比如舉辦高等院校信息安全技能競賽、鼓勵學(xué)生考取網(wǎng)絡(luò)安全行業(yè)的資質(zhì)證書。在人才培訓(xùn)方面，開設(shè)高等教育信息安全人員技能培訓(xùn)班，培訓(xùn)對象可以為信息安全專業(yè)人員，也可以是信息安全領(lǐng)域的積極響應(yīng)者。根據(jù)受訓(xùn)人員的在信息安全領(lǐng)域的學(xué)習(xí)基礎(chǔ)、學(xué)習(xí)需求和崗位要求等情況，靈活確定培訓(xùn)目標和內(nèi)容。信息安全培訓(xùn)成本低、周期短、針對性強，能夠快速有效地建設(shè)高等教育信息化安全人才隊伍，從而更加有效地應(yīng)對高等教育信息化過程中的信息安全問題。

（五）利用區(qū)塊鏈技術(shù)，保障高等教育信息化中數(shù)據(jù)的真實性和完整性

《2021年信息安全版報告》將保持數(shù)據(jù)的真實性和完整性作為六大關(guān)鍵技術(shù)與實踐之一。數(shù)據(jù)的開放性和可用性越高，其被破壞的可能性也會越高。研究表明，區(qū)塊鏈技術(shù)能夠提供不可更改的分布式數(shù)據(jù)記錄[8]，在保持數(shù)據(jù)的真實性和完整性方面具有優(yōu)勢。比如，有學(xué)者基于區(qū)塊鏈技術(shù)建立終身教育記錄跟蹤方案“Educhain”，來保護學(xué)習(xí)者個體的終身學(xué)習(xí)記錄數(shù)據(jù)。[9]

在高等教育信息化發(fā)展過程中，可考慮采用區(qū)塊鏈技術(shù)保障數(shù)據(jù)的真實性和完整性。高質(zhì)量的在線高等教育對安全、全面、可信的教育記錄有所需求，而區(qū)塊鏈技術(shù)恰好在保護數(shù)據(jù)信息不被篡改、實現(xiàn)數(shù)據(jù)永久儲存方面具有天然優(yōu)勢。在實施過程中，基于區(qū)塊鏈技術(shù)全面記錄高校學(xué)生的學(xué)習(xí)成績、綜合測評、獲得獎勵證書等情況，形成完整又不可改動和刪除的學(xué)生教育記錄，為高校畢業(yè)生升學(xué)或就業(yè)出具有效的過往教育經(jīng)歷證明;基于區(qū)塊鏈技術(shù)降低高等教育數(shù)據(jù)共享的安全風(fēng)險，方便不同地區(qū)、不同部門之間安全穩(wěn)定地共享教育數(shù)據(jù);基于區(qū)塊鏈技術(shù)的時間戳功能實現(xiàn)數(shù)據(jù)的可追溯，從而在數(shù)據(jù)泄露的情況下進行精準追責(zé);基于區(qū)塊鏈技術(shù)的“智能合同”開發(fā)教育數(shù)據(jù)管理系統(tǒng)，實現(xiàn)高校管理者對全校學(xué)生數(shù)據(jù)的記錄、篩選、分析和管理，同時控制數(shù)據(jù)的訪問和使用次數(shù)，最大程度保護學(xué)生隱私。此外應(yīng)注意，終端用戶被數(shù)據(jù)漏洞利用者誘騙，同樣是破壞數(shù)據(jù)真實性和完整性的重要因素。所以要采用支持數(shù)據(jù)真實性和完整性的技術(shù)和方法，如文件權(quán)限、訪問和版本控制、代碼本和字典、終端檢測以及憑據(jù)和設(shè)備維護。還要為高校終端用戶提供全面和定期的培訓(xùn)，特別是對接觸敏感數(shù)據(jù)的高校工作人員進行培訓(xùn)，以識別、避免和報告網(wǎng)絡(luò)釣魚騙局和其他威脅。

注釋：

①本文部分內(nèi)容來自2021 EDUCAUSE Horizon Report（Information Security Edition），報告網(wǎng)址https：//library.educause.edu/resources/2021/2/2021-educause-horizon-report-information-security-edition.

參考文獻：

[1]EDUCAUSE Publications.2021 EDUCAUSE Horizon Report（Information Security Edition）[EB/OL].（2021-02-16）[2021-02-21].https：//library.educause.edu/resources/2021/2/2021-educause-horizon-report-information-security-edition.

[2]王竹立.后疫情時代，教育應(yīng)如何轉(zhuǎn)型？[J].電化教育研究，2020，41（4）：13-20.

[3]嚴曉梅，萬青青，高博俊，等.數(shù)字化轉(zhuǎn)型視域下歐盟科學(xué)素養(yǎng)培養(yǎng)新動向：《作為教育挑戰(zhàn)的科學(xué)和科學(xué)素養(yǎng)》報告解讀與啟示[J].開放教育研究，2020，26（4）：37-44.

[4][7]劉夢君，姜雨薇，曹樹真，等.信息安全技術(shù)在教育數(shù)據(jù)安全與隱私中的應(yīng)用分析[J].中國電化教育，2019（6）：123-130.

[5]蘭國帥，張怡，郭倩，等.推動高等教育數(shù)字化轉(zhuǎn)型：優(yōu)化、持續(xù)和創(chuàng)新：《2020年十大IT議題》報告解讀與啟示[J].開放教育研究，2020，26（5）：12-25.

[6]唐漢衛(wèi).在線教學(xué)存在的倫理問題與應(yīng)對策略[J].現(xiàn)代教育技術(shù)，2020，30（12）：41-47.

[8]曲一帆，秦冠英，孔坤，等.區(qū)塊鏈技術(shù)對教育變革探究[J].中國電化教育，2020（7）：51-57.

[9]黃太進，劉三女牙，李卿.Educhain：基于區(qū)塊鏈技術(shù)的終身教育記錄跟蹤方案[J].現(xiàn)代教育技術(shù)，2020，30（7）：5-12.

（責(zé)任編輯 賴佳）