保护校园网络安全6个必要步骤.docVIP

保护校园网络安全6个必要步骤 　　有人形容美国高等院校的计算机网络就像处在拓荒时期的美国西部: 你很难区别好人与坏人，首席信息安全官（CSO）维持秩序的能力大受限制。 　　 　　校园网络不安全 　　 　　自2005年初以来，美国一连串数据安全事件有许多与高等院校有关，比如圣迭戈州立大学、俄亥俄大学、加利福尼亚州立大学伯克利分校、波士顿学院、塔夫茨大学、乔治#8226;梅森大学、北科罗拉多大学和普渡大学等都发生过网络安全事件。 　　Stan Gatewood是佐治亚大学的首席信息安全官，对于他来说出现这样的安全事件实在是再熟悉不过了。 　　Gatwood表示，佐治亚大学与其他大学的情况大致相同。确保开放、自由地获得信息是校园网络系统首要的任务。无论是学生通过网络访问排课系统，还是教师利用电子邮件来布置作业，还是研究人员依靠数据库存储及访问那些具有高度敏感的信息，安全都是首当其冲。 　　但是事实是，自己携带电脑的学生、教师、外部承包商及其他人士不断出现在校园内，并接入校园网络――他们使用的电脑有些很安全，有些电脑却还有很多安全漏洞，甚至有些人的目的就是伺机探测网络，查找可以钻空子的网络安全漏洞。 　　在这种环境下，大量信息岌岌可危。校园资金补助和健康记录、学校书店或自助餐厅里面所用的信用卡信息，都可能成为网络安全漏洞的牺牲品。 　　Gatewood说: “校园网络在应对极其独特而不同的访问要求，最大的挑战是身份管理――以适当的方式确认个人的身份，并进行分类。但是把每个人集合在一个地方，并且兼顾他们的个人需求与学校的安全需求，这极其困难。” 　　另一方面，移动安全方面的挑战也越来越严峻，这是由于师生们从来不会呆在一个地方，但他们仍然需要随时访问校园网。 　　 　　六个步骤保护安全 　　 　　虽然没有哪个安全构架能百分之百地成功应对这些挑战，但Gatewood自认为校园CSO的生存之道可以总结为六大步骤。 　　第一个步骤: 风险管理。 　　不管对信息安全的了解有多深入，安全与高校管理风险及威胁的能力有关。Gatewood建议学校的安全专业人士拟订一项正式的风险管理计划???概述如何把风险降低到可以接受的水平。 　　他说: “一定要清点机器，准确找出高风险、中等风险和低风险的系统，然后考虑每种系统特有的风险。你需要能够用实际数字来表示风险。一定要清点每个身份，并进行分类及评定，然后考虑对策。”要是觉得计划拟订好后、就不用管它，那么再周到的风险管理计划都无济于事。必须每年从头开始，重复这个过程。而且获得上层管理班子的支持极其重要。” 　　第二个步骤: 策略和法规遵从管理。 　　高等院校常常要遵守许多法规以及行业标准，包括从《健康责任可携性及责任性法案》到支付卡行业数据安全标准。因此Gatewood表示，正式制订的群组策略和法规遵从计划必不可少，还必须概述不遵守规则所带来的后果和影响。 　　第三个步骤: 战略规划和领导。 　　没有谁能够一下子保证网络的安全。为此，Gatewood竭力支持实行战略规划，让具体的人负责具体的方面。 　　“你必须详细制订具体目标以及如何实现目标――我们从这里开始，到达B点、C点和D点。这就是路线图，指明了我们需要努力的方向，不是仅适用于IT部门，而是立足于战略层面。”Gatewood说: “高校网络安全需要经验丰富、又有紧迫感的领导人。” 　　第四个步骤: 针对用户意识进行培训和教育。 　　Gatewood表示，大学的安全主管必须对承包商、工作人员和师生进行安全意识方面的教育，表明哪些地方存在危险、什么样的危险、为什么会存在危险、如何消除危险。学校要有针对这些方面的正规计划。 　　第五个步骤: 合理的事件响应和报告机制。 　　安全专业人员要始终牢记这一点: 不管制订的计划多周密，还是会发生一些意外。如果真是这样，学校就要能够以标准化的统一方式来进行响应。一定要有高度信心，相关人员会合理应对事件，不必担心自己的工作或者担心处境会多难堪。这种计划需要对风险级别和当前事件的严重程度作出说明。 　　第六个步骤: 应急计划。 　　这个步骤与第五个步骤相辅相成，“坏事情难免会发生。路易斯安那大学里面没人想到会发生‘卡特里娜’飓风这样的事。一定要知道如果出现这种事，该怎么办。确保你能保护人员，并且拥有备份系统。” 　　 　　各方评价不一 　　 　　对于Gatewood所总结的这些内容，来自不同大学的信息安全负责人对此也发表了各自的看法。 　　华盛顿大学医学院的信息安全官Kevin Hardcastle: “就我而言，为医学院校园提供信息安全和风险管理。我不但要考虑各种法规要求，还必须能够允许信息可以自由流动。因此必须制订清晰的数据分类机制，并根据这些分类来建