2025年1月30日,美国学校网络联合会(The Consortium for School Networking,简称CoSN)发布了 《2024 年州和联邦网络安全政策和教育》报告(State and Federal Cybersecurity Policy and Education in 2024),研究了 2024 年网络安全立法对教育机构的主要趋势、战略方法和实际影响。通过强调已颁布的法律和值得注意的拟议立法,该报告为教育领导者和政策制定者提供了可操作的见解,以加强他们自己社区和学校的网络安全治理、保护和教育。
随着政策制定者,尤其是州领导人,努力更好地保护教育部门免受严重的数字威胁,州和联邦教育网络安全政策形势在 2024 年继续迅速发展。2024年,州议员在42个州提出了258项法案,涉及网络安全的各个方面,其中29项措施成为法律。K-12学校和高等教育机构受到州立法机构的特别关注,16个州的28项法案直接关注K-12网络安全,10个州的19项法案关注高等教育网络安全。2024年考虑的教育专项法案侧重于几个关键领域:技术领导者的专业发展、网络安全课程要求、基础设施标准、事件报告协议和安全改进的资金机制。除了专门针对教育领域的立法外,2024年许多一般性的政府网络安全法案对学校和高等教育机构也有重大影响。这一更广泛立法的显著趋势包括:(1)创立有教育代表参与的新网络安全特别小组和办公室;(2)制定全面的事件报告框架;(3)设立教育机构可申请的资助项目;(4)打击勒索软件威胁的具体措施;(5)将人工智能与网络安全考虑因素相结合。
基于对2024年网络安全法规和新法律的全面审查,建议各州和地方领导人仔细评估以下五个政策领域及相关州级范例,以更好地保护学校网络及其所含的学生和人员机密数据。
1.综合网络安全教育项目
建议:开发涵盖K-12至高等教育的全面网络安全项目,包括:与年级相适应的网络安全课程标准;技术领导职位的专业资格认证;强制性的网络安全专业发展;与职业路径项目的整合;K-12与高等教育机构之间的合作。例如,阿拉巴马州的《K-12技术和网络安全领导》法案。阿拉巴马州新的网络安全法直接关注K-12网络安全领导力,具体做法包括:(1)将“技术协调员”职位更名为“技术总监”,并扩大网络安全职责;(2)设定技术总监的最低资格门槛;(3)要求完成强制性的专业发展,涵盖信息技术管理与网络安全培训与年度继续教育学分;(4)要求新董事在24个月内完成首席技术官学院培训。
2.网络安全拨款项目
建议:建立灵活的拨款计划,为了支持基础设施和培训需求;将K-12学校和高等教育机构列为符合条件的受助对象;为网络安全评估提供资金;支持区域合作;对项目进行持续评估的规定。例如,马里兰州的《加强型网络马里兰基金》计划(对现行法律的更新)。马里兰州加强了现有的网络安全计划,其中包括重要的教育内容:(1)继续授权拨款给小学、中学、高等教育机构和社区学院;(2)确认制定网络安全计划和劳动力倡议的重点;(3)要求马里兰技术开发公司采用拨款授予标准,继续根据行业需求来指导网络安全培训和教育项目;(4)为人才输送管理提供专门资金。
3.事件报告与响应
建议:建立全面的事件报告框架,明确报告要求和时限;保护事件的敏感信息;要求进行事后评估;建立威胁信息共享机制;为事件响应提供支持。例如,田纳西州的《系统黑客防御》法案,禁止州属机构与已被证实为系统黑客的个人或实体签订合同、进行谈判或向其支付款项。
4.公私合作伙伴关系
建议:通过以下方式促进政府、K-12教育(基础教育)、高等教育和私营部门之间的更大合作:(1)区域网络安全中心;(2)共享安全运营中心;(3)行业-教育合作伙伴关系;(4)协作培训计划;(5)联合威胁评估和应对。例如,路易斯安那州的网络保障项目,包括为支持地方政府实体的网络保障计划提供资金和为教育部门提供可持续的网络保护。
5.人工智能与网络安全集成
建议:通过以下方式创建应对新兴技术风险的框架:(1)定期评估人工智能对网络安全的影响;(2)将人工智能融入网络安全监测;(3)制定人工智能安全标准;(4)针对新威胁开展跨部门合作;(5)定期更新政策以应对新技术。例如,印第安纳州创建了一种综合策略,将人工智能和网络安全与教育紧密相连,具有直接的教育影响:允许学区和学校法人机构以及州教育机构依据州指导方针制定网络安全政策,实施强制性的网络安全培训计划,并制定技术资源使用政策。同时,自2027年7月起,要求接入州技术基础设施的教育机构需每三年完成一次网络安全评估,实施二级终端用户身份验证,并保持符合州网络安全标准。这一策略旨在保障教育机构在采用先进技术的同时,能够有效防范网络安全威胁,为学生提供安全的学习环境。
这些建议反映了已实施和拟议立法中的宝贵方法,并为各州和社区寻求加强其网络安全框架以更好地保护学校和其他教育机构提供了一个出发点。
更多信息请参阅:
https://www.cosn.org/edtech-topics/cybersecurity/
编译自:美国学校网络联合会官网,2025-01-30
编译者:上海师范大学国际与比较教育研究院 施晨莺