数字时代高等教育如何应对信息安全与伦理挑战
——美国《2021地平线报告(信息安全版)》的解读与思考
王佑镁刘泓茜沈雅淇李宁宇柳晨晨
(温州大学大数据与智慧教育研究中心,浙江温州325035)
关键词:信息安全;高等教育;人工智能伦理;数字智商;无边界网络
2020年以来,新冠肺炎疫情在全球爆发,至今仍肆虐蔓延,对民众常态化工作生活造成巨大影响,世界各国纷纷构建灵活而稳固的数字教育技术系统。《教育部2022年工作要点》提出实施教育数字化战略行动,强化需求牵引,深化融合、创新赋能、应用驱动,积极发展“互联网+教育”,加快推进教育数字转型和智能升级。
美国高等教育信息化协会成立于1998年,是全球高等教育信息技术领域最大的专业组织,主要由美国和国际高等教育机构、企业、非营利组织和K-12教育机构组成,一直致力于使用信息技术预测和适应高等教育发展。该《地平线报告》总结了最有可能影响全球高等教育信息安全发展的重要趋势、关键技术和实践,预测了高等教育信息安全未来情景走向,不仅能为高等教育决策者提供参考信息,也能帮助学习者、专业教师和技术领导者深入思考当前高等教育信息安全现状及未来发展路径。
一、主要内容框架
《报告》的主要内容分为四大部分(见图1):第一部分,描述影响高等教育信息安全的趋势,并从社会、技术、经济、环境、政治五个方面重点介绍15个最重要的趋势。与以往不同,此次还确定一个跨多个趋势类别的超级趋势——“远程工作”;第二部分,总结对高等教育信息安全产生重大影响的六项关键技术和实践,并从公平和包容性、风险、用户接受度等方面评价技术和实践对信息安全产生的影响;第三部分,预测了高等教育信息安全的未来;第四部分,邀请七位专家对《报告》进行反思,并根据自己的高等教育背景就内容提出看法。
图1《2021地平线报告(信息安全版)》的内容框架
二、影响高等教育信息安全与伦理的关键技术
与实践
与以往报告体例不同,《2021地平线报告(信息安全版)》由强调“新兴技术和实践”变为“关键技术与实践”,这种转变表明报告所选取的技术与实践可能不再是最前沿,而是于信息安全来说最为关键。信息安全问题是在人类进入信息时代后便始终面临的首要问题,特别是在新冠肺炎疫情全球大流行后,远程工作和远程学习高速发展,其重要性愈加突显。专家组筛选出对高等教育信息安全的发展产生重大影响的关键技术和实践,还提供了利用这些技术和实践的范例,如表1所示。
这些技术和实践不仅有可能成为当下高等教育中信息安全问题的被动解决方案,而且其本身也有可能以深刻和持久的方式积极改变高等教育的未来格局。《报告》探讨了这6项关键技术和实践被采用后可能会遇到的挑战。地平线小组成员使用五分制(0=最低,4=最高)评估这些关键技术和实践影响的性质和程度,从成本、用户接受度、解决公平和包容问题、风险性、信息安全影响等方面进行了探讨,如图2所示。
表1六项关键技术与实践及其范例
图2:对六项关键技术和实践的评估
(一)云供应商管理对高等教育信息安全与伦理的影响
人类进入信息时代后数据量呈指数爆炸式增长,互联网的高速发展催生云计算,并因其高效、便利和更具成本效益的特性使云服务的需求激增。特别是在新冠肺炎疫情全球大流行的背景下,使用基于云计算的解决方案将在维护远程工作和日常教学中变得更加重要。但是许多机构缺乏资源、人员与专业知识,无法在内部建立基于云计算、高性能的解决方案,因此采用第三方供应商提供的云服务将是首选途径,并能够获得稳定的售后服务。
云供应商管理为高等教育的网络安全带来许多重要影响。根据专家组评估,这种做法对学校网络安全态势(3.1)的总体影响明显高于其感知成本和风险。较低的成本(1.9)可能是机构在这一领域探索供应商解决方案的几个主要激励因素之一。而供应商强大的资源、人员和专业知识,以及机构在由外部供应商管理时参与这些服务的相对不干涉性质,可能会让人觉得这些供应商提供的解决方案对机构来说是一个相对低风险(1.7)的提议。用户接受度(2.1)、解决公平和包容(1.0)方面得分不高的原因,可能与网络信息安全专业人员的工作与最终用户的直接体验之间存在明显的脱节有关。
(二)端点检测和响应对高等教育信息安全与伦理的影响
近年来,由于用户拥有和操作的终端设备(台式计算机、笔记本电脑、智能手机、平板等)激增,以及测试、监控每个端点安全问题的复杂性,端点安全可能是应对网络风险和威胁的最大挑战。新冠肺炎疫情背景下,大多数高等教育的教职员工和学生以远程模式工作、学习,也进一步加剧了这些挑战。基于云计算的端点保护平台(EPP)解决方案,对于管理机构的安全、实现对网络和设备活动的远程监控以及在端点事件发生时进行远程补救将变得更加重要。
端点检测和响应获得地平线报告专家小组评选信息安全影响的第二高评级(3.5),因为绝大多数安全漏洞都是通过端点的网关发生的。在成本类别中也获得第二高评级(2.4),同时端点检测和响应的用户接受度分数较平衡(2.0),在公平性和包容性(1.0)以及风险类别(1.6)中的评级都较低。事实上,如果机构在端点检测和响应方面存在风险,那就是没有在这方面部署解决方案,也没有加强机构对其最大弱点之一的保护。
六项关键技术和实践中,MFA/SSO认证方案是专家预计对高等教育信息安全影响最大的技术(3.8),且总体风险最低(1.3)。它以适中的成本(2.0)实现,虽然MFA/SSO认证方案预计不能够很好地解决公平和包容性问题(1.0),但最终用户预计会很容易接受(2.4)使用它们来保护自己的账户,MFA/SSO认证方案的采用为实现真正的自适应认证技术奠定了基础。
(四)保留数据真实性及完整性对高等教育信息安全与伦理的影响
(五)学术研究技术与数据对高等教育信息安全与伦理的影响
值得注意的是,评估结果显示研究安全在成本类别中(2.8)得分最高,与对机构信息安全的影响(3.1)之间的差距也最小。成本和影响之间的这种更为平等的平衡,可能会使机构评估学术研究安全的潜在投资及其益处时作出困难的决定,从而导致在该安全领域方面的风险,用户对研究安全性的接受程度(2.3)可能取决于这些权衡。在公平性和包容性(1.1)以及风险类别(1.7)中的评级都较低,这两种影响在一定程度上取决于研究资金的支撑水平。
(六)学生数据隐私管理对高等教育信息安全与伦理的影响
信息时代的学生通常被认为具有成熟的理解数据隐私能力,他们会意识到让高等教育机构使用其个人数据的潜在风险。尽管学生相信他们的数据会被合理使用,但仍存在争论。各高等院校需要实施强有力的数据管理制度,提供明确的隐私保护,并利用隐私管理工具以供学生使用。高校可以采取以下三种方法来解决学生数据隐私和管理问题:一是高校需要优先考虑学生数据隐私,通过安全存储数据、使用MFA/SSO以及采用强大的密码标准和实践来保护学生数据;二是高校需要更加透明地处理学生个人数据;三是高校可以开展校园信息安全意识宣传活动,帮助学生了解学校当前在提高安全性、保护数据隐私和识别潜在威胁方面所做的努力。
三、影响高等教育信息安全与伦理的重要趋势
为了对高等教育信息安全与伦理的趋势有一个整体看法,专家组从社会、技术、经济、环境、政治等五个方面,提出15项影响高等教育信息安全最重要的发展趋势,这些发展趋势中还首次包含了跨多个趋势和类别的“超级趋势”——远程工作。
(一)超级趋势——远程工作:影响和证据
(二)社会趋势:影响和证据
1.信息安全劳动力短缺
日益数字化的世界将需要更多熟练的信息安全专业人员,但在未来,信息安全人员的供给将落后于需求。高等院校不仅需要满足自身对信息安全劳动力的增长需求,也需要加大培养信息安全人才。美国劳工统计局(BureauofLaborStatistics,BLS)估计,从2019年到2029年,对“信息安全分析师”的需求将增长31%,但现有人才总量却远远低于所需要的水平。
数字化生存、网络化生活将继续提升个人数据隐私意识和重要性。《欧盟通用数据保护条例》(GDPR)和《加州消费者隐私法》(CCPA)等法律的实施,要求各高校更仔细和系统地考虑个人数据保护问题。2020年,美国高等教育信息化协会关于学生技术的调查研究发现,只有五分之一的学生了解他们的院校如何使用他们的个人数据。
3.安全内容合同的自主性受到威胁
(三)技术趋势:影响和证据
1.无边界网络扩大
2.安全事件已成为常态事件
网络破坏者已经发展出更复杂和更专业化的策略和攻击,在高等教育中的破坏和勒索软件也在增加。越来越多的机构成立“安全事件管理”部门,并设有专门的安全事件领导人员。例如,在2020年的9个月中,知名的英国开放大学遭到100多万起电子邮件攻击,尽管所有攻击都被大学的服务器成功阻止,但也付出了巨大成本和代价。
3.更多个人设备的使用
随着各机构继续采用虚拟的工作和学习模式,使用个人设备变得越来越普遍。凯南·德吉蒙西(KenanDegirmenci)预测,2021年自带设备(BringYourOwnDevice,BYOD)和企业移动市场将扩大到733亿美元。2020年,美国高等教育信息化协会关于学生技术的调查研究发现,绝大多数学生每天都在将两个或两个以上的设备连接到校园的Wi-Fi上。个人设备的大规模、常态化、个性化使用,将生成大量数据和行为痕迹,也将成为未来影响高等教育机构信息安全的巨大风险源。
(四)经济趋势:影响和证据
1.转向远程学习
随着高等教育向远程学习模式迁移的持续存在,学校将继续生活在警惕在线教育入学率下降的学生、机构收入减少和部门预算紧缩的威胁下。美国高等教育信息化协会对IT领导者的一项调查发现,43%的受访者认为他们的IT预算将继续下降,而73%的受访者报告说,他们院校的普通基金储备下降。
2.加强在高等教育和研究方面的合作
随着高等教育机构经费预算在全球范围内日益受到限制,机构将利用其集体购买力来降低信息安全解决方案的成本,基于同行的信息交流、共享决策和全行业标准化网络将减少克服共同信息安全挑战的努力。澳大利亚大学理事会信息技术协会(CouncilofAustralasianUniversityDirectorsofInformationTechnology,CAUDIT)启动了澳大利亚高等教育网络安全服务(AustralasianHigherEducationCybersecurityService,AHECS),目的是协调和统一澳大利亚各高校的信息安全实践,从而帮助实现规模经济。
3.高等教育机构并购
已经面临严重财政压力的高校将抓住新冠肺炎疫情后与其他院校合并的机会,启动共享或合并跨机构服务和运营。比如,美国宾夕法尼亚州立高等教育系统(ThePennsylvaniaStateSystemofHigherEducation,PASSHE)于2020年宣布,计划探索“融合选项”,将宾夕法尼亚州各地的高等院校结合起来,以努力降低应对学生入学率和国家资金成本下降等问题。
(五)环境趋势:影响和证据
1.可持续发展的数据
2.环境波动性增加
3.教育机构电力需求剧增
(六)政治趋势:影响和证据
1.隐私数据保护、虚假信息、社交媒体“武器化”
尽管许多政府继续希望推行全面的隐私法规(如GDPR),但有些国家在控制和保护数据方面仍是自由放任和支离破碎。虚假信息和“武器化”的社交媒体的使用,在全球社会和政治阶段变得越来越普遍。《自然》杂志发表的一些研究结果详细描述了通过社交媒体对虚假COVID-19“反病毒”信息和阴谋的成功传播。
2.国际关系变化
全球主要国家之间紧张关系持续加剧,并充满不确定性。信息安全单位将被要求改进和扩大其对不良行为者的监测和保护措施。
四、高等教育信息安全的未来场景
基于影响高等教育信息安全的关键技术与实践,《报告》从社会、技术、经济、环境、政治五个方面分析了影响信息安全的发展趋势,同时构建了未来(2020—2030年)高等教育信息安全发展的四种可能场景,分别是增长型、约束型、崩溃型、转换型。四种场景对于任何一个高等教育机构的信息安全战略规划具有重要警示意义和参考价值。
(一)增长型——信息安全能力持续增长
(二)约束型——信息安全能力先增长后平稳
由于多种因素促成高校的并购,导致IT预算削减,高等教育信息安全专业人员虽然受到重视但也受大量法规的限制和监视。预计新冠肺炎疫情结束后的十年期间,高等教育网络安全将会继续受到远程工作的影响。为降低IT预算和运营费用,高校采取合并收购减少学院和大学数量,同时取消部分教职员工岗位,岗位向信息安全专业人员倾斜,并与私营企业竞争高质量的信息安全人才,这些都增长了机构对远程信息安全人才的需求。但是,供应商为免受因数据泄露而引发的诉讼,要求签订极其复杂的合同。各国法律也要求每个高等教育机构要投保违约保险。
从长远来看,在努力保护学生和教职员工的私人信息时,高等教育机构信息安全人员不享有工作隐私,即使是在远程工作时,仍会受到密切监视。约束(包括法规限制和监视)使得网络信息安全人员成为高风险、高回报的行业。
(三)崩溃型——信息安全能力先增长后下降
“安全疲劳”对教育的打击,导致国家和社会对信息安全和隐私保护丧失信心。在大多数高校中,网络安全专业人员已经被降格为边缘支持和维护角色,一些高校甚至开始削减其内部网络安全职能。科技巨头在保护高等教育隐私和安全方面拥有绝对控制权力。在法规安全方面,高校的作用已经沦为形式,或者只为服从公司条款和国家政策限制。这些因素都导致了高等教育信息安全的崩溃。此外,“安全疲劳”加速了崩溃的趋势。随着个人或高校的设备与网络始终处于运行状态,不断被监听和收集海量数据,公众对数据隐私和保护的情绪已经转为“完全默许”,学生数据也不再被视为需要保护的隐私,而更多地作为一种销售商品来帮助财政紧张的院校。
(四)转换型——信息安全能力在合作中不断增长
五、启示与建议
后疫情时代,线上学习需求的激增、远程工作的流行以及视频会议的大范围应用,使安全和隐私问题在全球教育机构中空前高涨。我国高等教育机构也存在大量信息安全与隐私泄露问题,但由于呈现的案例较少尚未引起足够重视。通过对发达国家高校信息安全问题的思考,也为我国高等教育信息安全和教育新基建敲响警钟。值得注意的是,《报告》将远程工作单独列为超级趋势,表明未来远程工作和远程学习模式将是大势所趋,需要提前作好高等教育信息安全战略规划。
综上所述,通过解读《报告》对我国高等教育信息安全发展有如下启示与建议:
(一)适应常态化远程工作,积极共建网络信息安全同心圆
常态化的疫情防控加速了远程工作这一超级趋势,随着越来越多的学生接受在线学习,重新回到疫情之前的传统工作和学习模式已不被认同。与此同时,疫情也加快了教育向无边界网络的过渡,远程工作成为常态,但软件威胁、深度伪装、武器化人工智能等网络犯罪事件不断增加,甚至危害国家安全。尽管各国政府一直致力于完善并实施全面的隐私法规,但各国之间缺乏一致的隐私法律法规,而且数据政策和实践之间存在无法协调的矛盾,导致高等教育院校在国际合作中遇到重大障碍。如欧盟的《通用数据保护条例》(GDPR)规定了企业在手机、存储、使用个人信息上都要取得用户的同意,用户对自己的个人数据具有绝对的掌控权。
(二)融合数字社会,加快信息安全及人工智能伦理法制建设
近年来,我国数字经济实现跨越式发展,构建数字中国、数字社会势在必行。在数字经济转型的关键期,人工智能作为七大支柱产业(云计算、大数据、物联网、工业互联网+、区块链、人工智能、虚拟现实和增强现实)之一,在为生产生活带来便利的同时,也暗含着一系列社会伦理风险。公正地使用个人隐私数据是人工智能伦理的要旨,随着个人移动设备的广泛使用,极大地增加了高校信息安全风险和设备管理难度,这些移动智能设备的基础技术都离不开人工智能,使用人工智能技术进行数据挖掘可能会导致用户隐私泄露,造成个人财产损失,增加数字内容治理难度。据《财富》杂志报道,美国一家人工智能公司研发出一款高清3D面具和照片,成功欺骗了人脸识别系统完成购物支付程序,如果这一技术被不法分子利用,后果可想而知。
将人工智能伦理治理纳入人工智能战略,推动人工智能安全健康发展,已经成为世界各国的共识。面向未来,我国应加强新一代人工智能伦理及治理体系研究,探索构建符合中国国情的人工智能治理框架[2]。一是要积极参与全球人工智能治理交流对话,共同研讨全球AI伦理标准与规则,共同探索适应人类发展需要的人工智能治理模式;二是推动自动驾驶、智能医疗、智能制造等人工智能重点领域规则制定[3];三是加强人工智能基础理论、可解释算法、可信人工智能评估测试等技术研究,依托企业、高校、产业联盟等机构,推动人工智能伦理及行业自律原则的实施落地[4]。
(三)重视信息安全疲劳,完善监管机构与安全制度体系
(四)应对泛在无边界网络,提升师生数字智商适应数字社会发展需要
未来数字化世界将需要更多专业的信息安全人员,但行业人才很有可能供不应求。“网络大疫情”安全风波使得人类对发展“数字智能”空前重视[6]。因此,高等教育需要进行时代性的数字化革新,来帮助师生应对信息安全挑战与隐私泄露风险。高校学生需要发展数字智商来适应数字生活,规避网络风险,应对未来挑战,而教师作为学生的辅导者和示范者,不仅需要发展自我的数字智商,还需要跨越数字鸿沟来指导学生顺利完成数字化转型[7]。特别是数字公民素养作为数字智商的核心和首要环节,其提升有利于治理数字世界的道德失范行为,降低潜在风险和危害的发生概率,推动网络精神文明建设,保证社会稳定与长治久安[8]。
(五)建立数据透明体系与融资体制,促进高等教育可持续发展
随着新冠肺炎疫情期间数据收集和使用频率的增加,大学生的数据隐私意识也逐渐加强。虽然有些消费者愿意用个人隐私换取需要的服务甚至同意接受买卖个人信息,但作为年轻一代,大学生更容易质疑注册服务是否必须收集个人数据,并探寻自己的数据如何被存储、使用和限制。实际上,在EDUCAUSE2020年度十大IT主题中,信息安全和隐私居于首位,但美国学士学位院校获得政府的资金最少,使高校在应对信息安全问题时承受巨大压力。
*基金项目:国家社会科学基金“十四五”规划2021年度教育学一般课题“教育领域人工智能应用的伦理风险与防范对策研究”(编号:BCA210086)。
参考文献:
[1]EDUCAUSEPublications.2021EDUCAUSEHorizonReport|InformationSecurityEdition[EB/OL].(2021-02-16)[2022-02-16].
[2]韩凯峰,詹远志.推动构建人工智能治理体系,持续优化人工智能政策环境[N].人民邮电,2020-08-21(7).
[3]蒋洁.培育发展数据要素市场的疑难问题与法律应对[J].图书与情报,2020(3):22-24.
[4]王亦菲,韩凯峰.数字经济时代人工智能伦理风险及治理体系研究[J].信息通信技术与政策,2021,47(2):32-36.
[5]刘伟.安全疲劳导致网络安全寒冬来了[J].计算机与网络,2017,43(4):57.
[6]DQInstitute.2018DQImpactReport[EB/OL].(2018-01-17)[2022-02-16].
[7]王佑镁,赵文竹,宛平,等.应对数字社会挑战:数字智商及其在线教育体系[J].现代远程教育研究,2020,32(1):61-67,92.
[8]郑云翔,钟金萍,黄柳慧,等.数字公民素养的理论基础与培养体系[J].中国电化教育,2020(5):69-79.
[9]王佑镁,宛平,柳晨晨.培养负责任的数字公民——国际数字公民教育政策文本的多维比较[J].比较教育研究,2021,43(3):8-14,23.
[10]兰国帅,张怡,郭倩,等.推动高等教育数字化转型:优化、持续和创新——《2020年十大IT议题》报告解读与启示[J].开放教育研究,2020,26(5):12-25.