AI分类:AI---从教师到CTO:K-12校园中的AI安全实践
Kansas州奥拉西学区(Olathe School District)的首席技术官Josh Umphrey拥有一段独特的职业经历——在出任该州第二大学区的技术负责人之前,他曾在奥拉西西高中担任历史教师、教练和副校长。这段一线从教经历,深刻影响了他在学生隐私保护和网络安全方面的决策思路。
科技媒体InformationWeek近期对这位"前副校长转型CTO"进行了专访,探讨K-12教育场景下AI与网络安全等典型IT挑战的独特性。Umphrey表示,在奥拉西学区,技术被定位为"助力学习的参与工具",它应该是学生的"资源",而非"拐杖"。
Umphrey和学区IT团队面临的核心挑战,是如何管控技术在全学区的部署节奏。例如,IT团队并不总能像教师期望的那样快速引入最新技术。作为前教师,Umphrey完全理解这种迫切心情,但他同样清楚,学区在隐私合规和安全方面有着不可回避的义务,必须审慎行事。
应对应用泛滥与严格的数据合规要求
Umphrey表示,以精简的团队管理庞大的软件环境,是学区面临的持续挑战。
"我们在全学区支持大约2400款不同的应用,要确保它们全部正常运行,几乎是一项不可能完成的任务。"
他补充道,学区还须遵守《儿童在线保护法》(COPA)、《家庭教育权利与隐私法》(FERPA)及HIPAA等联邦法规,这进一步增加了应用管理的复杂性。
此外,奥拉西学区仅有约35人的专职IT团队,却要服务51所学校。
"更重要的是,我们学区有大约3万名孩子,他们无时无刻不在想办法绕过各种限制,"Umphrey说。
建立学生隐私保护机制
Umphrey表示,保护学生数据和对教师开展威胁意识培训,是学区最重要的安全工作。虽然教师可能希望立即使用某款新的AI工具,但在部署前必须评估学生信息保护,并符合学区指导方针。
"一开始我们对AI工具的使用比较开放,后来逐步收紧。现在我们只锁定了少数几款工具,确认它们具备正确的保护机制,不会将数据用于外部训练,并且我们设定了非常明确的使用场景,"Umphrey说。目前学区批准在内部使用的AI工具包括MagicSchool和CoPilot;另有少数人员获准使用Gemini,以评估是否应向更多用户开放该模型的访问权限。
"我们希望把这件事做对,"Umphrey谈及学区的AI策略时说道。奥拉西学区正与合作学区协作,研究如何"有效部署AI、保护学生,并找到正确的教师培训方式"。
Umphrey解释说,学区的AI工具均在内网环境中运行,以防止学生隐私信息被外部获取。不仅AI本身可能带来数据泄露风险,人为失误同样构成隐患。如果有员工试图通过学校邮箱发送学生信息,安全平台会自动拦截,并向IT团队发出告警。"五年前我们偶尔会看到这种情况,但现在培训工作真正见效了,这类事件已大幅减少,"他说。
Umphrey表示,得益于培训工作和信任关系的建立,教师们现在乐于主动向他咨询AI合规使用的相关问题,这也大大降低了学生信息被上传至外部AI工具的风险。
对Umphrey而言,让教师和员工知道可以直接找他咨询技术问题或安全顾虑,是至关重要的。
"一切都从关系开始。你必须是一张真实的面孔,而不仅仅是一封邮件上的头衔。你得是一个他们认识、信任的人。我努力确保每所学校的校长都认识我,并与他们建立真实的关系。我知道,每所学校在意的事情各有不同,"Umphrey说。
保障网络安全
身份管理——即根据用户身份(如教师或学生)赋予不同级别的AI及技术访问权限——也是奥拉西学区安全策略的关键组成部分。
"我们的用户从幼儿园小朋友到从教40年的资深教师都有。在我们的环境中合理设置权限非常重要——确保幼儿园的孩子只能获得与其身份相符的访问权限,"Umphrey说。他解释,身份管理的目的之一,是确保学生只接触到适合其年龄阶段的教育资源。
网络钓鱼攻击是学区另一大网络安全威胁,针对教职员工和学生均有发生,"主要是攻击者冒充各校校长进行欺诈",他说。
这类钓鱼攻击之所以频发,部分原因在于管理层员工的联系方式是公开可查的,这也给不法分子提供了可乘之机。
"过去几年我们花了大量时间对员工开展钓鱼攻击培训,效果非常显著,现在的情况和以前相比简直是天壤之别,"Umphrey说。他补充道,员工有专门的工具可以举报可疑钓鱼邮件,但他也会直接收到员工发来的邮件甚至短信,询问某封邮件是否属于钓鱼攻击。
除网络安全外,奥拉西学区还将网络速度列为优先事项。随着学业测试软件和数据分析需求的增加,学区将于今年夏天部署Wi-Fi 7,以提供更快、更稳定的网络连接。
"目前已开始安装——我们正逐一对各建筑进行改造,安装交换机、更换无线接入点,"他说。
支撑学区AI、网络安全和网络基础设施建设绝非易事。Umphrey高度肯定了背后的IT团队,称他们是"一群本可以去其他地方挣更多钱,但真心热爱这份工作的人"。
他接着说:"我们不是全国最大的学区,但3万名学生的规模也值得尊重,我们都觉得自己是一件有意义的事情的一部分。"
Q&A
Q1:奥拉西学区目前批准使用哪些AI工具?
A:目前奥拉西学区批准在内部使用的AI工具主要包括MagicSchool和CoPilot。此外,少数人员获准试用Gemini,以评估是否应向更多师生开放该模型的访问权限。所有AI工具均在学区内网环境中运行,以防止学生隐私数据外泄。
Q2:学区如何防止学生隐私数据泄露?
A:学区采取了多项措施保护学生隐私:AI工具仅在内网运行,避免数据被外部获取;安全平台会自动拦截通过学校邮箱发送学生信息的行为,并即时告警;同时持续对教职员工开展隐私保护培训,显著降低了人为失误导致的数据泄露风险。
Q3:学区如何应对网络钓鱼攻击?
A:奥拉西学区主要面临攻击者冒充校长实施钓鱼攻击的威胁。对此,学区持续开展员工钓鱼识别培训,并为员工提供专门的举报工具。经过数年培训,员工的安全意识显著提升,钓鱼攻击的成功率大幅下降。员工也可直接通过邮件或短信向CTO求证可疑情况。
