大学校园网络的数据保护仍旧是一场艰苦卓绝的战斗。
有人形容美国高等院校的计算机网络就像处在拓荒时期的美国西部: 你很难区别好人与坏人,首席信息安全官(CSO)维持秩序的能力大受限制。
校园网络不安全
自2005年初以来,美国一连串数据安全事件有许多与高等院校有关,比如圣迭戈州立大学、俄亥俄大学、加利福尼亚州立大学伯克利分校、波士顿学院、塔夫茨大学、乔治·梅森大学、北科罗拉多大学和普渡大学等都发生过网络安全事件。
Stan Gatewood是佐治亚大学的首席信息安全官,对于他来说出现这样的安全事件实在是再熟悉不过了。
Gatwood表示,佐治亚大学与其他大学的情况大致相同。确保开放、自由地获得信息是校园网络系统首要的任务。无论是学生通过网络访问排课系统,还是教师利用电子邮件来布置作业,还是研究人员依靠数据库存储及访问那些具有高度敏感的信息,安全都是首当其冲。
但是事实是,自己携带电脑的学生、教师、外部承包商及其他人士不断出现在校园内,并接入校园网络——他们使用的电脑有些很安全,有些电脑却还有很多安全漏洞,甚至有些人的目的就是伺机探测网络,查找可以钻空子的网络安全漏洞。
在这种环境下,大量信息岌岌可危。校园资金补助和健康记录、学校书店或自助餐厅里面所用的信用卡信息,都可能成为网络安全漏洞的牺牲品。
Gatewood说: “校园网络在应对极其独特而不同的访问要求,最大的挑战是身份管理——以适当的方式确认个人的身份,并进行分类。但是把每个人集合在一个地方,并且兼顾他们的个人需求与学校的安全需求,这极其困难。”
另一方面,移动安全方面的挑战也越来越严峻,这是由于师生们从来不会呆在一个地方,但他们仍然需要随时访问校园网。
六个步骤保护安全
虽然没有哪个安全构架能百分之百地成功应对这些挑战,但Gatewood自认为校园CSO的生存之道可以总结为六大步骤。
第一个步骤: 风险管理。
不管对信息安全的了解有多深入,安全与高校管理风险及威胁的能力有关。Gatewood建议学校的安全专业人士拟订一项正式的风险管理计划,概述如何把风险降低到可以接受的水平。
他说: “一定要清点机器,准确找出高风险、中等风险和低风险的系统,然后考虑每种系统特有的风险。你需要能够用实际数字来表示风险。一定要清点每个身份,并进行分类及评定,然后考虑对策。”要是觉得计划拟订好后、就不用管它,那么再周到的风险管理计划都无济于事。必须每年从头开始,重复这个过程。而且获得上层管理班子的支持极其重要。”
第二个步骤: 策略和法规遵从管理。
高等院校常常要遵守许多法规以及行业标准,包括从《健康责任可携性及责任性法案》到支付卡行业数据安全标准。因此Gatewood表示,正式制订的群组策略和法规遵从计划必不可少,还必须概述不遵守规则所带来的后果和影响。
第三个步骤: 战略规划和领导。
没有谁能够一下子保证网络的安全。为此,Gatewood竭力支持实行战略规划,让具体的人负责具体的方面。
“你必须详细制订具体目标以及如何实现目标——我们从这里开始,到达B点、C点和D点。这就是路线图,指明了我们需要努力的方向,不是仅适用于IT部门,而是立足于战略层面。”Gatewood说: “高校网络安全需要经验丰富、又有紧迫感的领导人。”
第四个步骤: 针对用户意识进行培训和教育。
Gatewood表示,大学的安全主管必须对承包商、工作人员和师生进行安全意识方面的教育,表明哪些地方存在危险、什么样的危险、为什么会存在危险、如何消除危险。学校要有针对这些方面的正规计划。
第五个步骤: 合理的事件响应和报告机制。
安全专业人员要始终牢记这一点: 不管制订的计划多周密,还是会发生一些意外。如果真是这样,学校就要能够以标准化的统一方式来进行响应。一定要有高度信心,相关人员会合理应对事件,不必担心自己的工作或者担心处境会多难堪。这种计划需要对风险级别和当前事件的严重程度作出说明。
第六个步骤: 应急计划。
这个步骤与第五个步骤相辅相成,“坏事情难免会发生。路易斯安那大学里面没人想到会发生‘卡特里娜’飓风这样的事。一定要知道如果出现这种事,该怎么办。确保你能保护人员,并且拥有备份系统。”
各方评价不一
对于Gatewood所总结的这些内容,来自不同大学的信息安全负责人对此也发表了各自的看法。
华盛顿大学医学院的信息安全官Kevin Hardcastle: “就我而言,为医学院校园提供信息安全和风险管理。我不但要考虑各种法规要求,还必须能够允许信息可以自由流动。因此必须制订清晰的数据分类机制,并根据这些分类来建立安全层和策略以及不断沟通的计划。人员这一环节始终是这项任务中最具有挑战性的方面。你根本别指望部署了某个工具,就可以解决一些聪明人的不良行为。”
Sword & Shield企业安全公司的安全工程师Slade Griffin曾经在高等教育机构中工作过差不多十个年头。他认为,高校面临的挑战的确有很多,对IT安全人员而言最难解决的挑战就是校园文化和反对变化的心态。Griffin常常看到,IT安全框架已制订完毕,但紧要的事情被“没完没了的会议”所拖累。事先谈论好的很多框架,但是为了顾及极小一部分人的感受,结果却根本不能改变。许多人希望自己可以例外于网络安全规范,结果有一天终于IT安全机制失效不再起作用,这时候CIO才会正视安全和便利方面的利益冲突。另一方面,IT安全人员试图成为“老大哥”,不对任何人或群体负责,只对自己负责。“要克服高等院校里面的挑战是一种微妙的平衡,必须根据特定情况来小心行事。”
密歇根州立大学的信息安全分析师Bryan Murphy则表示: “治理和策略实施起来很难。即使某一项策略得到了批准,策略的‘执行’这部分也始终是空洞的内容。在崇尚学术自由、教职员工加入工会的环境下,很难融入强制实施的有效手段。”
澳大利亚格里菲思大学的高级计算支持官员Matthew Lye发现的最大的问题是,与公司环境相比,CSO对高等院校里面的用户桌面缺乏严格的控制。因而,到头来基本上无法保护用户、防止用户泄露数据。只要用户不再继续使用便条纸、把密码和身份信息贴在显示器或白板上,身份管理就比较容易控制。