教育新基建信息安全水平研究
为深入贯彻党的五中全会精神,教育部等六部委于2021年7月了《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》(教科信〔2021〕2号)(以下简称《指导意见》)。教育新基建是国家新基建的有机组成部分,是新时代教育变革的牵引力量,是我国加快推进教育现代化、建设教育强国的战略举措[1]。在实施教育新基建过程中,保障运行系统和信息系统的安全,应用和数据的真实可靠,一体推进信息安全建设,实现教育新基建结构优化、集约高效、安全可靠的建设目标,还需要进行深入分析和探讨。
1实施教育新基建,推动我国教育数字化转型
2018年12月中央经济工作会议公报首次出现“加快5G商用步伐,加强人工智能、工业互联网、物联网等新型基础设施建设”的表述。2020年4月,国家发展改革委了新基建建设内容:“新型基础设施是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系,主要包括信息基础设施、融合基础设施、创新基础设施等三部分建设内容”。在当前复杂的国际国内形势之下,新基建既是我国建设现代化强国的一项战略安排,也是通过加大5G等新一代信息基础设施建设激发新动能、创造新供给、服务新需求,应对新冠疫情冲击和经济下行压力的有力举措。教育新基建是国家新基建的重要应用场景,也是新基建企业投入回收的重要途径[2-3]。欧盟委员会认为,数字化转型即通过先进技术的融入及物理和数字体系的整合,获得创新型业务模式和新流程的新优势,并实现智能产品和智慧服务的创造[4]。数字化转型在技术层面上,指新数字技术的使用;在组织层面上,涉及组织流程的改变或新业务模式的创生;在社会层面上,意味着教育体系全方位的重构[5]。教育新基建不仅是对物理教学空间的升级重构,更是对教学模式的重塑,继而实现对教育价值的创新,是推动教育数字化转型的内生动力。《教育信息化中长期发展规划(2021-2035年)》和《教育信息化“十四五”规划》都将教育新基建列为重要内容。作为高质量教育体系的支持力量,教育新基建是在教育信息化2.0后的一次新部署,其建设的广度和深度相较教育信息化建设都具有大幅度的提升。
2建设教育新基建,信息安全建设需要再审视
教育新基建建设内容主要包含:(1)信息网络教育新基建(新网络),实施教育专网建设和升级校园网络,提升学校网络质量,提供高速、便捷、绿色、安全的教育网络服务;(2)平台体系教育新基建(新平台),通过建设新型数据中心、升级网络学习空间、资源共享等,推进教育平台融合发展;(3)数字资源教育新基建(新资源),依托国家数字教育资源公共服务体系,开发数字教育资源和工具,优化资源供给服务,推动数字资源的供给侧改革;(4)智慧校园教育新基建(新校园),通过升级完善智慧教学设施、提升教学装备水平、建设智慧科研设施、智慧公共设施等促进学校物理空间与网络空间一体化建设;(5)创新应用教育新基建(新应用),依托“互联网+教育”大平台,创新教学、评价、研训、管理等应用场景,促进信息技术与教育教学深度融合;(6)可信安全教育新基建(新安全),增强系统感知能力,有效感知网络安全威胁,过滤网络不良,增强信息产业链安全,健全应用监管,保障广大师生的切身利益等六个方面。
“新网络”“新平台”和“新安全”建设将加速新一代信息技术在教育领域的部署实施,提高教育装备信息化水平,助推教学组织方式向数字化、智能化变革;“新平台”“新资源”和“新校园”着力数字资源建设与共享,促进教学、科研、管理、后勤等业务系统的融合,加速数字校园建设,提升教育功能和管理效率;“新应用”通过创新教育教学应用,实施教学、评价、研训、管理等应用场景建设,推进智慧校园建设,提升教育的价值[6]。教育新基建的完成,意味着教育信息化3.0的真正到来,从而强力支持高质量教育体系建设和学习型社会等教育发展战略[7]。
教育新基建由教育行政部门牵头,网信、发展改革、财政、通信、工业和信息化、金融等部门协同推进,相较数字校园建设、智慧校园建设等教育信息化建设项目,信息安全涉及面广、参与部门多,信息安全形势更加复杂。教育新基建数字化应用场景丰富多样,使得运行系统和信息系统的完整性、可用性、保密性、可控性、可靠性等可信安全面临的情况更加复杂。教育新基建信息安全建设需要更加关注以下几个方面:(1)信息产业链的稳定与可持续。在西方国家对我国高新技术封锁和限制的日益加剧,新冠疫情造成信息产业全球供应链不稳定性加大的局面下,保证教育新基建关键信息基础设施、操作系统、应用软件等信息产业核心设备、科技的安全,为教育新基建技术迭代、软硬件升级可持续发展提供保障将日益至关重要[8];(2)网络安全的风险挑战。教育领域来自互联网的数据泄露、安全漏洞、网络诈骗、勒索病毒等风险日益严重。数字资源建设多样化、平台化、立体化发展,对内容审核、资源版权保护、全链条监管与评价的挑战将不断升级[9]。(3)融合场景的可信安全日益突出。泛在接入使得教育智能应用场景更加丰富,信息过滤、信息失真等本体信息可信安全与交互场景信息安全可信交叉后,带来更为复杂的信息安全局面,使得个人信息保护、信息终端安全问题更为突出,需要建立起信息安全检测权和控制权的新秩序。(4)对信息安全治理能力的要求提高。教育新基建涉及工程项目建设、设备(资源、服务)等不同采购对象;可能采取EPC、服务外包、合作开发建设等多种经营方式;面对教师、学生、系、标准规范、人才队伍作为支撑;实现平台聚力、价值赋能的建设要求等,都扩展了教育新基建信息安全的范畴。
3教育新基建信息安全保障体系的构建
教育新基建信息安全保障体系建设需要从教育新基建支撑教育现代化整体需求出发,形成集信息安全观、顶层设计、工作机制、关键技术、队伍建设和综合治理为一体的安全体系(如图1所示)。
3.1树立科学的信息安全观
安全观是教育新基建信息安全战略目标、方针和建设原则的综合体现。2016年4月19日,实现安全可靠教育新基建保障体系需要重点把握三方面的内容:(1)明确信息安全目标。建立技术自主、科学高效的信息安全战略体系和信息安全保障体系。突破信息技术关键技术瓶颈,形成稳定、可靠的信息产业链、供应链。完善信息技术标准体系,健全信息安全人才教育与培训体系。(2)坚持“积极防御、综合防范”方针。从信息安全平台及基础设施、信息安全技术防护体系、信息安全组织管理体系、信息安全法制体系四个层面加强建设;强化信息安全经费、人才教育和培训体系二个支撑;实现信息基础设施安全运行一个确保[10]。(3)遵循三个建设原则。坚持系统推进,以安全保发展、以发展促安全,把信息安全建设贯穿教育新基建建设全过程;坚持协同推进,做好教育新基建信息安全顶层设计、运行系统安全和信息系统安全标准、配套法规同步建设,加强利益相关者的信息素养和信息安全意识,形成信息安全综合治理体系;坚持需求导向,从教育信息化促进教育现代化实际需求出发,突出安全保障重点,突破关键技术、不贪大求全。
3.2形成信息安全体系顶层设计
顶层设计工作是明确信息安全建设定位、建设内容、实施机制等内容的重要环节。顶层设计处于教育新基建发展规划、教育信息化发展政策、《指导意见》等规划意见和各分部建设方案之间,是指导各组成部分信息安全建设工作的指导性技术文件,具有承上启下作用。开展顶层设计工作,需要在深入调研的基础上,做好分析信息安全风险挑战、明确建设需求、分解建设目标、设计总体框架、架构子系统、讨论实施运营和保障路径机制等环节。教育新基建顶层设计工作除依据国家关于教育信息化规范标准之外,对于教育新基建信息安全架构涉及的公共通信和信息服务的网络设施、信息系统应依据《关键信息基础设施安全保护条例》(中华人民共和国国务院令,第745号,2021年7月30日)之规定,纳入国家关键信息基础设施保护范围,制定教育新基建关键信息基础设施安全规划[11]。同时,依据国家信息安全等级保护相关政策和标准,按照《教育行业信息系统安全等级保护定级工作指南》(教技厅函〔2014〕74号),落实对各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作,并在教育新基建信息系统设计阶段完成等级保护定级目标,实现与各信息系统建设同步实施[12]。
3.3完善信息安全工作机制
工作机制是从信息安全工作规律出发,通过整合安全要素,落实工作措施,建立完善顺畅的工作机制,保障信息安全管理高效进行。(1)风险预警机制。“新安全”应着力机构、制度、网络、举措等预警系统建设,增强有效感知网络安全威胁,实现对教育新基建各系统、平台、应用中不同类型信息进行收集、分析、反馈。参照《信息技术安全技术信息技术安全评估准则》(GB/T18336)建立信息风险预警指标体系、信息安全监控体系和风险评估制度,形成不同层级的风险分析和预警机制,教育新基建信息安全分析预警系统应与国家信息安全系统对接。(2)风险防范机制。根据风险警示,建立教育新基建信息安全物理防范机制、技术防范机制、管理防范机制、犯罪防范机制、心理防范机制等并从政策、防范机制上加以保障,达到减低或避免风险、保证信息安全的目的。(3)安全管理体制。“三分技术,七分管理”安全管理体制是信息安全的关键。包括:分工明确,协调统一的领导和管理体制;健全的信息安全管理标准和制度;信息安全应急处理预案以及顺畅有效的应急联动机制。
3.4加强信息安全关键技术研发
《2021年EDUCAUSE地平线报告——信息安全版》提出云供应商管理、终端监测与响应、多因素身份验证/单点登录、保持数据真实性与完整性、研究数据的安全、学生数据隐私与治理等6项全球教育信息化安全关键技术与实践[13]。教育新基建以5G、人工智能、大数据、物联网、云计算、区块链、虚拟现实、增强现实等新一代信息技术为支撑[14]。参考国际信息安全技术发展趋势,结合我国教育新基建的发展阶段和建设需求,教育新基建信息安全体系应重点加强以下关键信息技术建设。(1)信息终端安全技术。终端设备是网络系统的重要组成部分,是进行数据处理的设备,泛指一切可以接入网络的计算设备,如个人电脑、移动终端、物联网设备、工控设备等。由于受终端软硬件系统配置、终端使用者技术水平等各种因素的影响,使得计算机终端容易成为网络攻击的目标,针对计算机终端的安全攻击事件时有发生,甚至还会被攻击者作为攻击跳板,发起针对特定服务器或者特定网络的攻击。根据Absolute的2019年终端安全趋势报告,70%的安全漏洞源自终端设备,可见终端安全对于整个网络系统是十分重要的。推动教育新基建可信应用需向立体化架构与主动防御思想相结合的路径发展,建设内容可归结为五个要素:身份认证、准入控制、安全认证、业务授权和业务审计。身份认证技术可采取AD认证、LDAP认证、MAC账号认证、身份标识、角色定义、多因素身份验证(MultifactorAuthentication,简称MFA)、单点登录(SingleSignOn,简称SSO)等,准入控制包括软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等,安全认证包括防病毒软件、补丁管理、非法外联管理、存储介质管理、上网行为管理等,业务授权包括业务系统权限控制、业务文档权限控制等,业务审计包括业务系统类审计、业务文档类审计等。此外,终端安全还离不开安全策略部署与实施,包括操作系统漏洞与补丁检查、注册表检查、文件共享检查、账户安全检查、端口检查等。教育新基建的网络、平台、场景将更多的基于云平台建设,因此对云平台提供商的审查和选择,架构解决方案的安全性、可靠性以及持续服务能力的评估,要纳入安全体系之中。(2)学生隐私保护技术。作为教育领域的基础性战略资源,学生数据为教育管理者制定教育决策提供了科学依据,但在数据的共享、分析、挖掘过程中,存在隐私泄露和滥用的风险。因此,必须构建完整的数据隐私保护方案,从源头上遏制学生数据隐私泄露的问题。这就要求数据隐私计算技术贯穿于整个数据生命周期,即面向数据传输、数据存储、数据计算过程和数据计算结果。数据传输和数据存储环节的隐私保护主要依赖于密码体系(如SM2、SM3、SM4、RSA、SHA2、AES以及SSL/TLS等),技术已相对成熟。因而数据计算过程和数据计算结果的隐私计算技术是目前重点关注的环节。数据计算过程可使用联邦学习、全同态加密、机密计算、受信任的执行环境等技术,数据计算结果可采用差分隐私、本地差分隐私等技术。这些技术可从计算性能、计算精度、可支持的场景、保护效果等方面满足数据隐私安全的需求,并可以实现学生数据“价值”和“知识”的流动与共享。(3)利用区块链技术保护数据的真实性与完整性。鉴于教育领域内数据的重要性和战略性,可采用区块链技术来保证数据的真实性和完整性,比如应用于“新应用”中学生学习实践经历管理。数字化“新资源”的。从区块链的架构来看,区块链可从三个方面来保证教育数据的真实性,首先是核心数据结构,包括链式结构、树状结构和图状结构等,这些数据结构涉及哈希函数、Merkle树、数字签名﹑椭圆曲线签名算法、环签名算法、零知识证明等密码学技术,保证了区块数据的真实性。其次,区块链采用共识机制,如基于算力的共识模型、基于权益的共识模型等,保证了参与区块链各类节点之间的可信任性。最后,区块链底层网络结构可通过身份验证机制验证加入节点的合法性,例如在联盟链和私有链类型的区块链系统中,要求拟加入节点在身份经过验证后才能加入区块链系统中参与运转。此外,由于区块链本身具备不可篡改的特点,这正好迎合了数据完整性保护的核心——数据不被篡改。结合区块链技术的原理与运行机制,可从两个方面对数据完整性进行保护,一方面进行数据确权与溯源,即将数据流转记录和数据完整性证据写入区块链系统,保证数据在流转过程中不被篡改,另一方面建立基于区块链的日志审计系统,将日志和日志完整性证据写入区块链系统,实现日志数据无法被删除篡改,且能够恢复,可应用在“新资源”中资源监管,保护知识产权等方面。(4)加强教育领域可信计算体系结构建设。可信计算体系结构以国产密码体系作为安全防御的基础,将可信平台控制模块作为可信过程的信任根,将可信主板作为可信计算的应用平台,将可信软件作为可信计算的核心体现,将可信网络作为安全保障的纽带,对教育领域内的业务应用进行透明可信支撑,保障其应用执行环境和网络环境安全。《信息安全技术可信计算可信计算体系结构》(GB/T38638-2020),严格遵循该标准可从技术层面有效增强教育信息化领域内关键信息基础设施的安全,从而有效保证数据在采集、传输、分析、利用、流转等环节的安全性。(5)利用新兴网络技术增强网络安全性。现有的网络体系结构“先天不足”,各层协议本身就存在很多漏洞或缺陷,从而给数据在网络上传递过程带来严重影响。为弥补这一问题,近年来出现了一些新兴的网络与安全技术,例如软件定义网络(SoftwareDefinedNetwork,SDN)技术。该技术能够将网络设备上的控制平面与数据平面分离,采用集中控制的方式让用户自定义任何想实现的网络路由和传输规则。其最重要的安全优势之一就是能够在控制平面上从全局的角度来处理恶意软件产生的爆炸式流量,从而保护正常数据在网络传输中的安全性。再如网络拟态防御技术,该技术可在主动和被动触发条件下动态地、伪随机地选择执行各种硬件变体以及相应的软件变体,使得内外部攻击者观察到的硬件执行环境和软件工作状况非常不确定,无法或很难构建起基于漏洞或后门的攻击链,以达成降低系统安全风险的目的,目前已有拟态路由器或交换机、拟态Web服务器等应用成果。这些新技术都可以在“新网络”“新校园”“新安全”等安全建设中有效发挥作用。
3.5加强信息安全保障队伍建设
构建信息安全保障体系,抓管理和技术创新是途径,抓信息安全队伍建设是根本。主要意义在于:(1)加快培养知识结构合理、综合能力突出,综合素质过硬的信息安全人才,提高国家信息安全队伍整体水平。(2)面向教育信息安全需求,建设复合型管理人才、创新型研发人才、网络安全管理人员、信息安全应用人才、普通网民等不同类型人才队伍体系。加强师生信息技术能力,提高信息素养[15]。(3)加强学校网络管理技术人员安全管理培训,提升安全事件响应的能力,有效解决网络安全问题[16]。着眼信息安全产业链,推行高校信息安全从业人员测评认证,加强信息安全人员终身教育,建立可持续人力资源开发机制。
4推进教育新基建信息安全综合治理
《指导意见》提出了统筹网络安全和信息化,以安全保发展、以发展促安全的建设原则。推进教育新基建信息安全建设水平的不断提高,(1)加强教育新基建信息安全法律监管。“十八大”以来,党中央高度重视信息安全工作,先后出台了《网络安全法》《密码法》《网络信息内容生态治理规定》《网络安全审查办法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规。教育新基建应遵循有关法律规章,落实安全技术措施同步规划、同步建设、同步使用要求,将信息安全建设贯穿于教育新基建规划、研发、建设和使用的各阶段,纳入各部分建设之中。同时,要注重行为治理和科技治理的结合,加强在网络安全、数据安全、个人信息保护、核心产业链和供应链等信息安全方面的法律监管[17]。(2)建立适用于教育新基建的安全体系框架和架构。国家和省级教育行政部门应制定教育新基建各建设任务的指标体系和建设指南,提高建设质量和效率,推动平台互联、数据互通和安全可控。不断推动教育信息化装备测评标准、核心技术发展和进步,建立覆盖教育新基建各部分建设的信息安全标准规范体系。(3)按照“谁主管、谁负责;谁使用、谁负责;谁运营、谁负责”的基本原则,重点完善网络安全责任制度,网络安全责任考核制度和责任追究制度。绘制网络空间资产地图,对校内信息化项目进行风险评估管理,建全校内信息备案制度、网络安全管理台账、应急预案及应急保障,规范运维及外包安全管理制度。高度警惕,积极防范教育新基建内容安全,避免其对国家政治安全、文化安全的不利影响。5结语信息安全是教育新基建的技术基石,是贯穿教育新基建建设过程的一条主线。分析教育新基建信息安全面临的风险挑战,从建设需求出发,加快关键技术建设,设计实现教育新基建信息安全的路径,实现整体推进信息安全建设体系,对促进教育新基建落地实施,建设高质量教育支撑体系的“数字底座”具有重要意义。加强对教育新基建实施阶段的管理,完善相应标准体系,能否保障教育新基建安全可靠,促进建设内容与顺利落地实施成为当前的主要任务。不断提升教育新基建信息安全建设,形成安全可信、科学有序的教育新基建生态环境将是一项长期的系统工作。
参考文献:
[1]教育部等六部门印发意见部署教育新型基础设施建设[J].现代教育技术,2021,31(8):1-1.
[2]钟柏昌.要深入理解教育新基建的时代内涵[J].教学管理与教育研究,2021,6(17):125.
[3]贾保先,张务农.高等教育新基建的制度意蕴、价值取向与推进策略[J].高等工程教育研究,2021(06):86-90.
[4]VERINAN,TITKOJ.Digitaltransformation:conceptualframework[C].Inproceedingsofthe2019InternationalScientificConferenceonContemporaryIssuesinBusiness,ManagementandEconomicsEngineering.Vilnius,Lithuania,2019:9-10.
[5]REISJ,AMORIMM,MELA~ON,etal.Digitaltransformation:aliteraturereviewandguidelinesforfutureresearch[C].Inproceedingsofthe2018WorldConferenceonInformationSystemsandTechnologies.Berlin,Heidelberg:Springer,2018:411-421.
[6]祝智庭,许秋璇,吴永和.教育信息化新基建标准需求与行动建议[J].中国远程教育,2021(10):1-11.
[7]钟柏昌.要深入理解教育新基建的时代内涵[J].教学管理与教育研究,2021,6(17):125.
[8]任望,王永涛,程岩.“新基建”新安全新思考[J].中国信息安全,2020(05):46-47.
[9]柯清超,林健,马秀芳,等.教育新基建时代数字教育资源的建设方向与发展路径[J].电化教育研究,2021,42(11):48-54.
[10]李杰.构建积极防御、综合防范的信息安全保障体系——访中国工程院院士、国家信息化专家咨询委员会委员沈昌祥[J].保密工作,2012(10):49-51.
[11]王丹娜,李加赞:聚焦安全可信数字化底座支撑落实关键信息基础设施保护制度[J].中国信息安全,2021(11):22-25.
作者:王浩 张会庆 郭晓军 单位:西藏民族大学信息工程学院 西藏民族大学教育学院