基于信息安全技术的教育数据安全与隐私保护
来源:湖北大学 作者:刘梦君 姜雨薇 曹树真等 发表于:2020.09.30 663浏览
信息安全技术保障教育数据安全与隐私的模型
典型教育信息系统里面包含着学习者、教师、教学管理人员和系统运维人员4方面用户。这4方面用户对于教育数据而言既有可能是合法用户,也有可能是安全威胁。
教育数据安全与隐私保护的目标是通过接入控制、攻击防护、数据加密、隐私保护等信息安全技术:在学习者合法使用教育信息平台的同时,保护学习记录和个人信息等数据安全的隐私,同时阻止和检测出对他人数据的非法访问;为教师提供合法的信息化教学辅助的同时,防止其教学资源和成果被人非法窃取,并尽可能减小其对学生数据有意无意的非法获取;为管理人员提供合法的信息化管理辅助同时,阻止并检测出其有意无意间泄露用户数据及隐私;为系统运维人员提供维护系统接口同时,阻止并能检测出对教育业务数据的访问记录。
简而言之,让上述4方用户在保障教育数据安全同时,依然能够开展正常的教、学、管、维活动,形成一个教育数据安全共同体。
信息安全技术保障教育数据安全与隐私的框架
信息系统安全遵循木桶理论,即系统的安全程度高低由最薄弱环节决定。因此,理论安全的教育信息系统任一环节上的安全都需要得到最大化的加强。一个安全的教育信息系统需要解决三个环节上的安全问题,即:安全地“采和传”、安全地“存”、安全地“用”。即系统内的数据生成及流动过程中不被泄露或非法篡改,存放在系统期间不被泄露或非法修改,使用时候不被泄露或非法篡改。具体保护流程如图所示。
在教育数据采集和传输过程中,需要根据所面临的安全威胁,来决定使用一种或者几种信息安全技术的组合,构建安全的数据采集与传输方案。
1.当想阻止可靠的设备传输数据内容被泄露时(如音视频设备录制数据,固定点采集活动数据),通常由交互发起方使用对称密钥,对交互数据进行加密后发送给另一方。
2.当想阻止篡改通信数据或者抵赖数据来源时(如学习者准备提交给系统的学习行为数据),则由交互发起方,使用基于哈希函数和非对称加密技术的数字签名技术,对交互数据生成签名,另一方则使用交互发起方公开密钥,验证签名来判断原始数据有无被篡改。
3.如想同时防止数据泄漏和数据被篡改(如学习者的个人资料数据),则由交互发起方先对原始数据使用对称密码加密,然后使用哈希函数生成摘要,再使用非对称的私密密钥生成签名,然后将密文和签名一同发送给交互另一方,另一方验证签名后再解密数据。
以上数据泄漏都是针对有权限接触到用户数据的管理者外的人员,如果还想防止个人敏感数据(如教学评价数据,投票调查数据)被管理者知晓,则需要使用个人隐私保护技术对个人敏感数据进行隐私消除处理,再传输给平台。
在教育数据存储安全保障中,需要根据系统自身所拥有的资源来决定使用一种或者几种信息安全技术的组合,构建安全的数据存储方案。
1.当教育信息系统主管单位有充足资源时(如大型高校和大型在线教育平台),一般自建硬件平台和防火墙、入侵检测、病毒查杀维护等子系统,此时教育数据存储在系统运营方自有平台上,因此存储时,数据一般不会加密。
2.当教育信息系统没有充足资源时(如广大中小学和小型的在线学习平台),一般使用大型第三方的云存储服务,云服务提供商会提供防火墙、入侵检测、病毒查杀等服务。此时,由于数据脱离了教育信息系统主管方控制,数据内容有泄露和被篡改风险,需要对数据进行对称加密,并生成哈希摘要后签名。系统主管方只需要用一台小型的安全设备做好加解密密钥、签名数据的存储及管理,而这台设备只对系统运维人员开放。
在教育数据使用安全保障中,需要根据业务的类型和运行机制,来决定使用一种或者几种信息安全技术的组合,构建安全的数据使用方案。数据的使用有两种类型,一种是用户去信息系统查询,如学生查询自己课程考试成绩。另一种是系统主动对外公开,如学生考试成绩的及格人数、最高分、最低分、平均分等统计信息。
1.对于前一种数据的使用,在系统宏观层面设置身份认证机制,用户在进入业务系统时,需要输入密码、权限卡片、手机验证码、脸纹、指纹等验证手段中的一种或几种,进行身份验证,通过后方能进入系统。而后对具体的数据,使用访问控制技术,划定细分的访问权限。只有授权的用户拿到数据才能够解密,未授权用户,即使拿到数据,也无法获悉内容。
2.对于后一种数据,系统在向外公开时,需要先去除身份标识符,而后添加差分隐私噪声值,再对外发布。数据的使用还需要和数据的存储方式关联。对于存储在第三方云服务平台上的数据,需要使用可搜索加密技术、代理重加密、代理签名技术对数据进行处理后存储,使得数据加密存储后,还可被用户检索及云平台协助验证有无被外界篡改。(《中国电化教育》)