大学校园网络的数据保护仍旧是一场艰苦卓绝的战斗。
　　有人形容美国高等院校的计算机网络就像处在拓荒时期的美国西部: 你很难区别好人与坏人，首席信息安全官(CSO)维持秩序的能力大受限制。

　　校园网络不安全

　　自2005年初以来，美国一连串数据安全事件有许多与高等院校有关，比如圣迭戈州立大学、俄亥俄大学、加利福尼亚州立大学伯克利分校、波士顿学院、塔夫茨大学、乔治·梅森大学、北科罗拉多大学和普渡大学等都发生过网络安全事件。

　　Stan Gatewood是佐治亚大学的首席信息安全官，对于他来说出现这样的安全事件实在是再熟悉不过了。

　　Gatwood表示，佐治亚大学与其他大学的情况大致相同。确保开放、自由地获得信息是校园网络系统首要的任务。无论是学生通过网络访问排课系统，还是教师利用电子邮件来布置作业，还是研究人员依靠数据库存储及访问那些具有高度敏感的信息，安全都是首当其冲。

　　但是事实是，自己携带电脑的学生、教师、外部承包商及其他人士不断出现在校园内，并接入校园网络——他们使用的电脑有些很安全，有些电脑却还有很多安全漏洞，甚至有些人的目的就是伺机探测网络，查找可以钻空子的网络安全漏洞。

　　在这种环境下，大量信息岌岌可危。校园资金补助和健康记录、学校书店或自助餐厅里面所用的信用卡信息，都可能成为网络安全漏洞的牺牲品。

　　Gatewood说: “校园网络在应对极其独特而不同的访问要求，最大的挑战是身份管理——以适当的方式确认个人的身份，并进行分类。但是把每个人集合在一个地方，并且兼顾他们的个人需求与学校的安全需求，这极其困难。”

　　另一方面，移动安全方面的挑战也越来越严峻，这是由于师生们从来不会呆在一个地方，但他们仍然需要随时访问校园网。

　　六个步骤保护安全

　　虽然没有哪个安全构架能百分之百地成功应对这些挑战，但Gatewood自认为校园CSO的生存之道可以总结为六大步骤。

　　第一个步骤: 风险管理。

　　不管对信息安全的了解有多深入，安全与高校管理风险及威胁的能力有关。Gatewood建议学校的安全专业人士拟订一项正式的风险管理计划，概述如何把风险降低到可以接受的水平。

　　他说: “一定要清点机器，准确找出高风险、中等风险和低风险的系统，然后考虑每种系统特有的风险。你需要能够用实际数字来表示风险。一定要清点每个身份，并进行分类及评定，然后考虑对策。”要是觉得计划拟订好后、就不用管它，那么再周到的风险管理计划都无济于事。必须每年从头开始，重复这个过程。而且获得上层管理班子的支持极其重要。”

　　第二个步骤: 策略和法规遵从管理。

　　高等院校常常要遵守许多法规以及行业标准，包括从《健康责任可携性及责任性法案》到支付卡行业数据安全标准。因此Gatewood表示，正式制订的群组策略和法规遵从计划必不可少，还必须概述不遵守规则所带来的后果和影响。

　　第三个步骤: 战略规划和领导。

　　没有谁能够一下子保证网络的安全。为此，Gatewood竭力支持实行战略规划，让具体的人负责具体的方面。

　　“你必须详细制订具体目标以及如何实现目标——我们从这里开始，到达B点、C点和D点。这就是路线图，指明了我们需要努力的方向，不是仅适用于IT部门，而是立足于战略层面。”Gatewood说: “高校网络安全需要经验丰富、又有紧迫感的领导人。”

　　第四个步骤: 针对用户意识进行培训和教育。

　　Gatewood表示，大学的安全主管必须对承包商、工作人员和师生进行安全意识方面的教育，表明哪些地方存在危险、什么样的危险、为什么会存在危险、如何消除危险。学校要有针对这些方面的正规计划。

　　第五个步骤: 合理的事件响应和报告机制。

　　安全专业人员要始终牢记这一点: 不管制订的计划多周密，还是会发生一些意外。如果真是这样，学校就要能够以标准化的统一方式来进行响应。一定要有高度信心，相关人员会合理应对事件，不必担心自己的工作或者担心处境会多难堪。这种计划需要对风险级别和当前事件的严重程度作出说明。

　　第六个步骤: 应急计划。

　　这个步骤与第五个步骤相辅相成，“坏事情难免会发生。路易斯安那大学里面没人想到会发生‘卡特里娜’飓风这样的事。一定要知道如果出现这种事，该怎么办。确保你能保护人员，并且拥有备份系统。”

　　各方评价不一

　　对于Gatewood所总结的这些内容，来自不同大学的信息安全负责人对此也发表了各自的看法。

　　华盛顿大学医学院的信息安全官Kevin Hardcastle: “就我而言，为医学院校园提供信息安全和风险管理。我不但要考虑各种法规要求，还必须能够允许信息可以自由流动。因此必须制订清晰的数据分类机制，并根据这些分类来建立安全层和策略以及不断沟通的计划。人员这一环节始终是这项任务中最具有挑战性的方面。你根本别指望部署了某个工具，就可以解决一些聪明人的不良行为。”

　　Sword & Shield企业安全公司的安全工程师Slade Griffin曾经在高等教育机构中工作过差不多十个年头。他认为，高校面临的挑战的确有很多，对IT安全人员而言最难解决的挑战就是校园文化和反对变化的心态。Griffin常常看到，IT安全框架已制订完毕，但紧要的事情被“没完没了的会议”所拖累。事先谈论好的很多框架，但是为了顾及极小一部分人的感受，结果却根本不能改变。许多人希望自己可以例外于网络安全规范，结果有一天终于IT安全机制失效不再起作用，这时候CIO才会正视安全和便利方面的利益冲突。另一方面，IT安全人员试图成为“老大哥”，不对任何人或群体负责，只对自己负责。“要克服高等院校里面的挑战是一种微妙的平衡，必须根据特定情况来小心行事。”

　　密歇根州立大学的信息安全分析师Bryan Murphy则表示: “治理和策略实施起来很难。即使某一项策略得到了批准，策略的‘执行’这部分也始终是空洞的内容。在崇尚学术自由、教职员工加入工会的环境下，很难融入强制实施的有效手段。”

　　澳大利亚格里菲思大学的高级计算支持官员Matthew Lye发现的最大的问题是，与公司环境相比，CSO对高等院校里面的用户桌面缺乏严格的控制。因而，到头来基本上无法保护用户、防止用户泄露数据。只要用户不再继续使用便条纸、把密码和身份信息贴在显示器或白板上，身份管理就比较容易控制。