大学中,网络安全的度很难把握,因为学校都希望教师、学生和研究人员之间能够用网络自由的交换想法和信息,不管交换是在校内还是学校之间。这就对网络安全形成了威胁。
学校跟公司不同,它们不能用常用的防火墙来简单的把内外网络阻断。
Forrester研究公司的资深分析师Michael Gavin说:“大学尽力培养一个更加开放的氛围,所以每个人都可以自由地跟别人或者别的学校进行合作。这样,大学就不愿意为了安全考虑而阻止这种合作。”这让大学的网络安全陷入两难境地。
本月初,北得克萨斯大学遭受了黑客攻击,39000名学生的宿舍和助学金档案被窃取。加利福尼亚州一所大学和美国科罗拉多州立大学八月份也遭到黑客入侵――这只是大学黑客事件的最新案例。
遭到攻击后,大学的IT人员正积极研究如何保证信息和资料的安全。他们正研究如何让各种权限的用户方便安全的连接到大学网络中。现在开展移动办公的公司越来越多,这些事件正好为他们敲了警钟。公司可以从大学管理网络安全的方法中吸取一些经验。
专家认为,高校运行开放式网络的时间比较长,与公司相比,它们遭受的垃圾邮件、病毒等安全攻击要更多。
加州理工学院的ITS 网络安全专家RuthAnne Bevier说:“大学是潜在入侵者的重要目标,我认为这有多种原因,其中之一就是大学经常有意地开放网络,而且不设置完善的防火墙。”
她说,这样如果大学中的电脑运行有漏洞的软件,就可能被校外的攻击者利用漏洞进行攻击。大学校园的网速一般都比较快,这也为攻击提供了方便。
Bevier认为虽然公司也可能存在类似的问题,但是它跟学校有个关键的区别――大学使用的电脑一般都没有采取必要的安全措施。部分原因是校园的网络用户混杂,教师、学生和访问学者经常使用自己的电脑上网,而这些电脑的安全程度良莠不齐。
虽然大学有电脑管理中心,但是它无法控制网络内全部的电脑。它的角色更像是一个咨询机构,另外还可以执行有限的安全措施。”
相反的方法
为了满足高校的特殊需求,大学网络采取了特殊的安全规则――如无必要,放行任何接入。
这跟公司采取的规则截然相反,它们的做法是如无必要,阻止任何接入。摩托罗拉公司的信息安全副总裁William Boni把学校的做法比作细胞膜:“隔火墙是一道墙,它阻止东西进出。而细胞膜允许东西进出,只是阻挡有害的东西。”
一些大学并没有使用隔火墙来阻断整个网络,而是采用了“可信度分区”。他们按照信息的敏感程度,把校园网络分成不同的安全等级。有的人可以看到课程信息,但是无法看到学生档案。
David Ladd是微软的可信赖计算外部研究计划组高级主管,他说:“人们把网络分成不同的区域,并且动态的控制着这些区域之间的访问。这种做法的进步意义更多的是在策略上,而不是技术上。”
信赖区域需要良好的认证方法,而且有一些专门人负责口令和ID的安全。
加州理工学院已经不再使用社会安全号当做唯一标识符。另外,许多大学还在做盟校之间的测试,授权用户可以访问盟校的图书馆、计算机实验室或其它系统。比如,在马里兰州,学生可以使用一个条形码访问该州13所大学的图书馆。
一些院校还把住宅区和校园的网络进行了隔离。这种方法本来是为了缓解校园网络带宽问题而采用的,没想到还改善了网络安全。
还有一种方法,就是在电脑得到彻底检查之前,把它们完全跟网络隔离。麻省理工学院有50000台联网的计算机没有隔火墙。
MIT的网路管理员Jeff Schiller说,他们的做法是,在这些计算机首次登陆校园网络之前,把它们全部隔离。然后系统会自动地扫描这些电脑,进行适当的安全更新,在这些步骤完成之后,才能接入网络。
许多高校经常报告称一学年花费了100000到200000美元,用于检查IT安全问题。但是自从使用这种隔离方法之后,这笔费用就大大降低了。
因为没有合适的防火墙,MIT就把安全防范的重点放在程序和服务器方面。它总是对口令和管理信息加密,而且学校内部自主开发的软件也已经考虑到了系统的开放性。
Schiller说:“我们在开发程序的时候,就假定网络是不可信任的。而公司开发的软件假定它是可信的。”
企业借鉴
随着移动办公不断升温,而且公司跟顾客和合作伙伴分享信息的需求也越来越强烈,位列财富500 强的一些大公司也可以借鉴大学的做法。
Petersen说:“越来越多的公司向我们咨询,他们希望效仿学校的做法。公司们正在设法划分安全等级,改变以往无限制追求安全的做法,使其更灵活。”摩托罗拉就是其中之一,它已经跟大学的安全人员进行了接触。
摩托罗拉高层Boni说:“当我们需要制定未来的计划,考虑以后如何管理网络、共享信息的时候,向大学寻求帮助是很明智的。”
Boni率领的信息安全团队分析了公司未来几年的发展方向,找到了管理个人用户网络安全的最好办法――就是重点保护笔记本电脑、掌上电脑和其它终端。
Boni说:“我们考虑的范围最初很宽广,现在缩小到几个点,因为我们看到大学已经在做这类事情了。他们允许学生携带自己的设备接入校园网,而且不会妨碍别人,也不需要管理程序或者IP地址。”在建设无缝移动环境时,摩托罗拉看中了“信赖区域”的方法。
Boni说,大学采取的做法是“向我证明你为什么不应该得到这些信息”,而公司则趋向于采用相反的手段,即“为什么你应该得到这些信息”。
微软公司负责可信赖计算的主管Ladd指出,在金融或者医疗等领域的公司可能更难实施“信赖区域”的方法。因为它们的监管比一般公司更为严格。
Ladd认为虽然大学和公司都在各自进行安全方面的研究,而且大学的做法也有可取之处,但是大学不应该是公司的首要借鉴对象。
而Boni则认为这两者可以互通有无,“大学在保护敏感信息方面做得越来越好,而现在公司也需要对外分享信息,两者可以互相学习。”
