在信息技术与高等教育深度融合、创新变革的进程中,数据隐私和信息安全是基本保障,并成为高校信息化建设的重点。
从2003年起,数据隐私和信息安全就长期占据EDUCAUSE年度高等教育十大IT问题榜单。
2020年,受全球新型冠状病毒疫情的影响,高校教学、管理工作全面转向远程运行,高校所面临的数据隐私与信息安全威胁达到了历史最高水平。
基于此,2021年EDUCAUSE组织专门也是首次发布了“信息安全版的地平线报告”,分析高校信息安全面临的挑战,分享信息安全的关键技术与卓越实践,展望高校信息安全的未来发展图景,以期为全球高校规划信息安全工作提供指导。
新型冠状病毒的全球大流行、虚拟现实技术的广泛采用、自然环境的恶化、国际关系的紧张,这些都给高校的信息安全带来了新的挑战和机遇。
报告此次将“远程工作”列为特别趋势——优步趋势(UberTrend),独立于“社会、技术、经济、环境和政治”之外,并随着高校远程工作的常态化,相融于其他五个方面,为高校信息安全工作创造了新的发展机遇。
一、远程工作的挑战
2020年,远程工作对高等教育行业的影响是无法估量的。很多人预见2020年后,高校远程工作将会常态化,并可能重塑高校的信息安全业务。
1.随着远程工作的常态化,师生员工将更多地使用个人设备与个人网络开展工作,由此数据隐私与信息安全成为高校必须优先考虑的问题。
2.传统校园的信息安全边界消失,基于个人终端的云安全成为信息安全的新问题,师生员工的认证、授权需要新的方法策略。高校信息安全的保护领域需要拓展,信息安全工作的性质和范围需要重新规划。
3.高校信息安全需求飞速增长,为此高校需要破除地域限制,以吸引更广泛和更多样化的人才加入,使信息安全工作者能更开放、灵活地获得工作机会。
4.高校信息安全部门需要从根本上重新思考信息安全业务的开展,员工和资源的管理,以及与合作者和利益相关者的合作方式。
二、社会发展的挑战
人类行为模式和所处的社会环境塑造了人与其所依赖的技术和系统的互动方式,塑造了我们保护这些技术、系统以及自身的方式。
随着世界的变化和发展,社会大众对信息安全的要求越来越高、越来越多样化,为整个信息安全行业带来全新的挑战。
1.信息安全人员短缺。美国劳工统计局估计,从2019年到2029年,“信息安全分析师”的需求将增长31%,但现有人才储备远不能满足需求。所以对高校而言,不仅面临与其他组织争夺“信息安全劳动力”的挑战,还需要承担为社会培养信息安全人才的重任。
2.更加注重数据隐私。随着师生员工个人设备的激增与远程工作时长的增加,个人数据隐私的保护愈加重要。EDUCAUSE组织2020年的调查显示,只有五分之一的学生了解其所在学校如何使用他们的个人数据,所以高校必须明确使用或保护个人数据的边界,增加隐私保护工作人员。
3.合同规范问题。随着大型信息安全供应商所占市场份额的增加,其正在削弱单个高校组织在谈判定制合同和安全条款时的自主权。
受供应商合同标准约束的高校,需要尽早开展对供应商和解决方案的风险评估,以保护自己的利益,特别是在规避法律风险、合规风险、诉讼风险等方面。
三、技术演进的挑战
信息安全能否跟上技术生态系统的不断变化,决定了我们能否安全使用技术。伴随着技术的演进,高校信息安全也面临诸多挑战。
1.无边界网络。当前高校的信息服务越来越多地基于云计算实现,而不是通过校园网络。美国市场研究公司估计,教育领域的云计算市场将从2019年的153亿美元增长到2027年的895亿美元。
师生将更多地通过各类移动终端、不同网络服务使用各类应用,其信息行为不再局限于校园网,这就极大扩展了信息安全需要监控和保护的范围。
2.安全事件常态化。当前的网络攻击已经十分专业化、普及化,数据泄露呈现出大规模特征,所以高校信息安全工作需要从被动的“信息安全事件响应和恢复”,转向积极主动的“信息安全事件识别和预防”,很多高校为此成立了信息安全事件管理部。
3.便携式终端的普遍使用。EDUCAUSE组织2020年调查显示,绝大多数学生每天都将两台或更多设备连接到校园应用。
个人通过多种终端访问学校业务的现象已经越来越普遍。高校如何确定、监督、控制设备和数据的使用边界,面临越来越多的风险和挑战。
四、经济危机的挑战
美国很多高校都面临招生减少和收入缩减的挑战,尤其受疫情冲击,很多高校不得不重新考虑其业务模式,缩减规模和开支,或与其他机构合作,或被并购甚至倒闭。经济危机对高校信息安全提出了新的挑战,并将产生持久影响。
1.远程学习导致财政收入的减少与信息安全预算的增加。疫情期间,一方面,随着远程学习常态化,使得入学率下降,美国国家学生信息交换中心报告显示,美国高校2020年秋季本科入学人数比前一年下降4.4%,这使得高校收入减少,财政紧缩。
另一方面,在学校预算紧缩的情况下,远程操作安全风险的扩大和师生员工的流动却对信息安全提出了更多要求,高校信息安全部门面临如何在控制预算的同时满足不断提升的信息安全要求的挑战。
2.跨组织合作降低信息安全投入。因预算紧缩,高校开始探索规模化、集体购买、互换信息、共享决策、统一行业标准等跨组织合作模式,以减少信息安全方面的投入,提升信息安全工作效率。
如澳大利亚大学信息技术主任委员会(CAUDIT)推出了澳大利亚高等教育网络安全服务(AHECS),协调澳大利亚各大学的信息安全实践。
3.高校并购对信息安全工作的挑战。由于面临重大财务危机,高校在疫情后采取并购或与其他机构共享服务的措施。
高校的合并势必带来不同组织信息安全部门的整合,需要重新设计组织的整体信息安全业务,需要整合部门知识资源、管理系统等,这就需要极强的协调性和标准化。
如美国宾夕法尼亚州高等教育系统(PASSHE)在2020年宣布“整合选择”计划,合并整个宾夕法尼亚州的高等教育组织,以努力降低成本。
五、自然环境的挑战
我们对自然界的消耗和污染导致了环境的恶化。技术创新在帮助我们更好地理解甚至遏制环境恶化趋势的同时,也改变了信息和技术的面貌,需要新的保护和安全战略。
1.可持续性发展对数据安全的挑战。随着经济全球化和高度的相互依存,高等教育在可持续发展中发挥越来越重要的作用,已经有超过300所高校加入了联合国经济和社会事务部领导的高等教育可持续发展倡议(HESI)。
所以资助方和其他监督机构要求高校提供其关于可持续发展的数据报告。这就要求高校要重新确定新的数据报告标准,并在满足这些新标准的过程中平衡数据透明性与数据保护的关系。
2.环境波动加剧的挑战。火灾、飓风、洪水、干旱等极端天气和气候要求高校采用更加复杂和网络化的技术来维护基础设施和监控校园安全,这势必使高校面临更多、更复杂的安全风险,需要高校增加信息安全投入。
3.电力需求的挑战。当高校以远程工作为主,其对电力的消耗及对可靠性电力的依赖性增大,这不仅导致能源消耗加大和污染严重,与此同时,保护电网免受网络攻击的安全需求也大大增加。
六、政治的挑战
当前国际关系波谲云诡,各国都在利用信息技术和社交媒体提升全球政治影响力。在这种复杂多变的全球政治背景下,需要信息安全工作人员保持警惕,探索新的策略和伙伴关系。
1.对威权的监督。虽然已经有不少政府开始关注制定、实施隐私法规,但由于不同国家、地区间在隐私、安全法规方面的差异,甚至部分国家、地区未出台任何相关法规,这种信息安全的分歧导致高校在国际合作中遇到阻碍。
2.虚假信息/社交媒体的武器化。当前,合成的虚假视频被广泛传播,个人社交媒体被广泛使用,政府和高校对此类信息活动的安全防护能力不足。
这就要求高校信息安全专业人员要与社交媒体和技术行业领袖、政治学家和政策制定者建立新的伙伴关系,联合创造新的解决方案。
3.恶化的国际关系。全球不少国家间分歧变多。高校需要围绕国际伙伴关系制定新的政策和规范,并要求信息安全部门改进和扩大对不良行为者的监测和保护措施。
