大學中,網絡安全的度很難把握,因為學校都希望教師、學生和研究人員之間能夠用網絡自由的交換想法和信息,不管交換是在校內還是學校之間。這就對網絡安全形成了威脅。 學校跟公司不同,它們不能用常用的防火牆來簡單的把內外網絡阻斷。 Forrester研究公司的資深分析師Michael Gavin說:“大學盡力培養一個更加開放的氛圍,所以每個人都可以自由地跟別人或者別的學校進行合作。這樣,大學就不願意為了安全考慮而阻止這種合作。”這讓大學的網絡安全陷入兩難境地。 本月初,北得克薩斯大學遭受了黑客攻擊,39000名學生的宿捨和助學金檔案被竊取。加利福尼亞州一所大學和美國科羅拉多州立大學八月份也遭到黑客入侵——這只是大學黑客事件的最新案例。 遭到攻擊後,,大學的IT人員正積極研究如何保證信息和資料的安全。他們正研究如何讓各種權限的用戶方便安全的連接到大學網絡中。現在開展移動辦公的公司越來越多,這些事件正好為他們敲了警鐘。公司可以從大學管理網絡安全的方法中吸取一些經驗。 專家認為,高校運行開放式網絡的時間比較長,與公司相比,它們遭受的垃圾郵件、病毒等安全攻擊要更多。 加州理工學院的ITS 網絡安全專家RuthAnne Bevier說:“大學是潛在入侵者的重要目標,我認為這有多種原因,其中之一就是大學經常有意地開放網絡,而且不設置完善的防火牆。” 她說,這樣如果大學中的電腦運行有漏洞的軟件,就可能被校外的攻擊者利用漏洞進行攻擊。大學校園的網速一般都比較快,這也為攻擊提供了方便。 Bevier認為雖然公司也可能存在類似的問題,但是它跟學校有個關鍵的區別——大學使用的電腦一般都沒有采取必要的安全措施。部分原因是校園的網絡用戶混雜,教師、學生和訪問學者經常使用自己的電腦上網,而這些電腦的安全程度良莠不齊。 雖然大學有電腦管理中心,但是它無法控制網絡內全部的電腦。它的角色更像是一個咨詢機構,另外還可以執行有限的安全措施。” 相反的方法 為了滿足高校的特殊需求,大學網絡采取了特殊的安全規則——如無必要,放行任何接入。 這跟公司采取的規則截然相反,它們的做法是如無必要,阻止任何接入。摩托羅拉公司的信息安全副總裁William Boni把學校的做法比作細胞膜:“隔火牆是一道牆,它阻止東西進出。而細胞膜允許東西進出,只是阻擋有害的東西。” 一些大學並沒有使用隔火牆來阻斷整個網絡,而是采用了“可信度分區”。他們按照信息的敏感程度,把校園網絡分成不同的安全等級。有的人可以看到課程信息,但是無法看到學生檔案。 David Ladd是微軟的可信賴計算外部研究計劃組高級主管,他說:“人們把網絡分成不同的區域,並且動態的控制著這些區域之間的訪問。這種做法的進步意義更多的是在策略上,而不是技術上。” 信賴區域需要良好的認證方法,而且有一些專門人負責口令和ID的安全。 加州理工學院已經不再使用社會安全號當做唯一標識符。另外,許多大學還在做盟校之間的測試,授權用戶可以訪問盟校的圖書館、計算機實驗室或其它系統。比如,在馬裡蘭州,學生可以使用一個條形碼訪問該州13所大學的圖書館。 一些院校還把住宅區和校園的網絡進行了隔離。這種方法本來是為了緩解校園網絡帶寬問題而采用的,沒想到還改善了網絡安全。 還有一種方法,就是在電腦得到徹底檢查之前,把它們完全跟網絡隔離。麻省理工學院有50000台聯網的計算機沒有隔火牆。 MIT的網路管理員Jeff Schiller說,他們的做法是,在這些計算機首次登陸校園網絡之前,把它們全部隔離。然後系統會自動地掃描這些電腦,進行適當的安全更新,在這些步驟完成之後,才能接入網絡。 許多高校經常報告稱一學年花費了100000到200000美元,用於檢查IT安全問題。但是自從使用這種隔離方法之後,這筆費用就大大降低了。 因為沒有合適的防火牆,MIT就把安全防范的重點放在程序和服務器方面。它總是對口令和管理信息加密,而且學校內部自主開發的軟件也已經考慮到了系統的開放性。 Schiller說:“我們在開發程序的時候,就假定網絡是不可信任的。而公司開發的軟件假定它是可信的。” 企業借鑒 隨著移動辦公不斷升溫,而且公司跟顧客和合作伙伴分享信息的需求也越來越強烈,位列財富500 強的一些大公司也可以借鑒大學的做法。 Petersen說:“越來越多的公司向我們咨詢,他們希望效仿學校的做法。公司們正在設法劃分安全等級,改變以往無限制追求安全的做法,使其更靈活。”摩托羅拉就是其中之一,它已經跟大學的安全人員進行了接觸。 摩托羅拉高層Boni說:“當我們需要制定未來的計劃,考慮以後如何管理網絡、共享信息的時候,向大學尋求幫助是很明智的。” Boni率領的信息安全團隊分析了公司未來幾年的發展方向,找到了管理個人用戶網絡安全的最好辦法——就是重點保護筆記本電腦、掌上電腦和其它終端。 Boni說:“我們考慮的范圍最初很寬廣,現在縮小到幾個點,因為我們看到大學已經在做這類事情了。他們允許學生攜帶自己的設備接入校園網,而且不會妨礙別人,也不需要管理程序或者IP地址。”在建設無縫移動環境時,摩托羅拉看中了“信賴區域”的方法。 Boni說,大學采取的做法是“向我證明你為什麼不應該得到這些信息”,而公司則趨向於采用相反的手段,即“為什麼你應該得到這些信息”。 微軟公司負責可信賴計算的主管Ladd指出,在金融或者醫療等領域的公司可能更難實施“信賴區域”的方法。因為它們的監管比一般公司更為嚴格。 Ladd認為雖然大學和公司都在各自進行安全方面的研究,而且大學的做法也有可取之處,但是大學不應該是公司的首要借鑒對象。 而Boni則認為這兩者可以互通有無,“大學在保護敏感信息方面做得越來越好,而現在公司也需要對外分享信息,兩者可以互相學習。”
