英美高校网络安全
实践分析
前言
随着网络威胁的不断演变、数据量的爆炸性增长与分散、法律法规的持续更新,以及人工智能技术的快速发展,教育机构——作为师生个人信息、知识产权、研究数据和财务记录等敏感信息的汇聚地——正日益成为网络犯罪分子的主要攻击目标。
为有效应对不断演变的网络威胁环境,教育机构必须在网络安全领域持续保持积极进取的姿态、敏捷的应变策略和高度的适应性。本报告将探讨当前高校所面临的严峻网络安全威胁形势,以及英美知名高校在应对这些挑战时所采取的一系列实践和策略,以资借鉴其经验。
1、全球教育领域网络安全威胁形势
1.1 形势一:教育/科研行业逐渐成为网络攻击的主要目标
教育机构在全球范围内正面临着日益严峻且不断升级的网络安全威胁。据最新统计显示,教育、政府和医疗行业已成为网络攻击者的主要目标。
教育/科研行业被攻击次数居各行业之首
◾ 由于公众安全意识在过去几年中有所提高,加上发生了大量有影响力的攻击事件,教育行业对其安全协议进行大幅升级;
◾ 可能得益于此,较去年相比,针对教育行业的攻击事件数量略有下降。但平均而言,2023年每所教育机构每周仍会遭受 2000 多次攻击。
图1-2023年按行业划分每个组织每周遭受的攻击次数全球平均值[与 2022 年相比的变化幅度 %]
1.2 形势二:教育行业遭受的勒索软件攻击数量激增
2023年是教育行业有记录以来最糟糕的“勒索软件年”
**据统计,教育行业在过去一年中遭受的勒索软件攻击激增了70%。**从2022年的129起增加到2023年的265起,其中针对高等教育的勒索软件攻击事件占比43%。
**每月平均攻击次数的增长进一步凸显这种上升趋势。**2022年平均每月发生11次攻击,2023年这一数字则跃升到21次,每月攻击次数增长了91%。
图2-2022年-2023年全球教育行业勒索软件攻击记录
图3-2022年-2023年全球教育行业勒索软件攻击记录
(每月平均攻击次数)
1.3 形势三:在2023年,因数据泄露事件,全球16个不同国家或地区的高等教育机构,平均每家机构额外增加了365万美元的成本。
1.4 形势四:利用身份信息成为网络攻击者的首选攻击策略
**2023年利用身份信息形成的网络攻击激增 71%:**利用有效账户进行攻击已成为网络犯罪分子阻力最低的路径,如今在暗网上有数十亿个被泄露的身份凭证可供使用。该途径占IBM X-Force 2023 年响应的所有事件的 30%。
**窃取身份信息的恶意软件增长了266%:**X-Force发现攻击者越来越多地发力于获取用户身份,如电子邮件、社交媒体和通讯应用的凭据、银行账户数据等。
**全球近70%的攻击以关键基础设施为目标:**而在这一类型攻击中,有近 85% 的案例原本可以通过补丁、多因素身份验证、强密码或最小权限原则等“基本安全措施”阻止损失。这意味着,在现实中这些“基本安全措施”很难得到实施。
1.5 形势五:网络攻击对教育机构造成的多重影响
日益频繁的勒索软件攻击、分布式拒绝服务(DDoS)攻击以及数据泄露等网络攻击事件,不仅对教育机构的敏感数据安全构成直接威胁,更可能引发教育机构运营的中断,严重损害其社会声誉,并导致高昂的业务恢复与法律成本。加强网络安全防护,构建稳固的数字防御体系,对高校而言已变得尤为迫切和重要。
2、 美国高校网络安全实践现状
2.1 EDUCAUSE"将网络安全作为核心竞争力"的重要性提升至榜首
自2003年起,美国教育部高等教育事业协会EDUCAUSE便将"信息安全"纳入年度高等教育十大IT问题榜单,而在2024年,"将网络安全作为核心竞争力"的重要性更是被提升至榜首。
2.2 现状一:高校网络安全已从制定战略走向实践
教育机构若要将“网络安全”培养成为机构核心能力,势必要开展必要的持续投资和实践。根据EDUCAUSE调查,重视网络安全的美国高校已开始从战略转向实践,注重数据和隐私保护,加强网络安全意识培训。
2.3 现状二:从被动防御转向主动防御态势
高校从被动防御向主动防御态势转变,包括采纳正式的风险管理框架、将网络安全与有效的风险管理相结合、持续部署网络安全监控工具,更新技术标准,在边界防火墙、MFA(多因素身份验证)等方面进行大量投资。
2.4 现状三:倾向于选择灵活、成本效益高的模式,强化网络安全和IT管理能力
EDUCAUSE 提倡教育机构之间建立合作伙伴关系,共同探索安全运营中心(SOC)的联合运营模式。
◾ 教育机构无需各自独立建立和维护自己的SOC,而是可以通过采用外包服务或建立共享SOC的方式,实现资源和专业知识的整合,从而提高网络安全管理的效率和效果。
◾ 这种合作模式有助于降低成本、提升服务质量,并使教育机构能够集中精力于其核心教育使命。
2.5 现状四:在“基本安全措施”基础上,提高数据安全及系统抗攻击能力
◾高等教育机构在过去12个月内采取的系列增强其网络安全实践中,“MFA(多因素身份验证)”、“定期更新软硬件”、“网络安全培训”等“基本安全措施”是普遍做法。
◾ 68%的机构重视数据安全,使用安全的文件共享平台进行数据加密;55%左右的机构通过“集群和负载均衡”提高系统的稳定性、响应速度及抗攻击能力,在其服务器上使用RAID(独立磁盘冗余阵列)从而防止数据丢失和确保业务连续性。
◾另有,25%的机构通过雇佣“白帽”黑客进行安全测试。这一措施可以帮助机构发现潜在的安全漏洞和威胁,从而进一步提高其安全性。
2.6 现状五:以集中化和专业化的方式管理高校网络安全
近七成高校设置专门负责网络安全的首席技术官或高级技术官员。这一比例远高于数据分析、隐私等领域,这种分工有助于更有效地应对网络安全挑战,提高防护水平,并确保相关政策和措施得到贯彻执行。
图:您的机构是否有主要负责监督以下任何领域工作的首席技术官或高级技术官?(n=138)
**94%的调查高校的网络安全工作由中央IT部门统一管理。**这有利于更好地协调资源、制定统一的安全策略,应对潜在威胁。但是,这种集中化管理方式也可能带来挑战。比如,中心IT部门负担过重或资源不足,可能会对网络安全造成不利影响;过度依赖单一的部门来管理所有网络安全事务可能会降低整个组织的灵活性和响应能力。
图:您的机构中,以下每项IT功能主要由中央IT部门统一管理还是由各个部门或学院自行管理?(n=71)
3、英美知名高校网络安全案例分析
3.1 设备管理:将用户身份与设备相关联
为确保只有授权设备能够访问校园网络和敏感资源,斯坦福大学要求所有用户对校内联网设备进行注册,将其身份与每台设备相关联,从而实现对连接到校园网络的所有设备实施访问控制策略,评估设备安全状况,识别可能存在的安全风险和漏洞。
3.2 身份与访问管理:采用多因素身份验证防止未经授权的访问
多因素身份验证(Multi-FactorAuthentication, MFA)也称为两步验证或双因素身份验证(2FA),要求用户在进行身份验证时提供两种或更多种验证因素,这种措施通常用于保护敏感系统和数据,防止未经授权的访问和减少数据泄露的风险。即使攻击者获取用户密码,仍需要第二或第三个因素才能访问学校账户。
3.3.1 数据分类管理:定义五级数据安全分类标准
剑桥大学根据数据泄露可能产生的潜在影响,将数据分为五级:非常高影响(级别3)、高影响(级别2或级别3)、中影响(级别2)、低影响(级别1)和可忽略影响(级别0)。
数据所有者需根据《the University and ISRA impact table》分类标准决定数据的存储和处理方式。确保遵守英国《通用数据保护条例》、《2018 年数据保护法》和相关立法。
可忽略影响(级别0)
◾可公开访问的数据,如从互联网下载的数据源
◾一般工作文件,不包含个人数据或上述级别的任何内容
低影响(级别1)
◾ 必要但影响较小的数据
◾ 职员职位照片板
◾ 工作人员电话列表
◾ 讲座列表
◾ 会议记录、备忘录及网站许可软件
◾ 出版前的出版物和网站
◾ 匿名数据和假名个人数据与其“密钥”分离
中影响(级别2)
◾ 需要限制访问权限,但系统管理员和超级用户可以访问的数据类型。
◾ 根据英国GDPR定义的个人数据(未被定义为受保护类别数据)
◾ 持有的非个人信息。如合同谈判和文件、未发布的研究成果等
◾ 大多数未保留的商务会议记录、会议纪要文件
高影响(级别2或级别3)
◾ 根据英国GDPR规定的特殊类别数据及保密个人数据
◾ 持有的机密且高度敏感的非个人信息。如商业敏感信息、大多数财务数据、资助成本表格、有商业化潜力的未发布研究数据或结果
◾ 考试题目和未发布的考试成绩、商务会议记录纪要等
非常高影响(级别3)
◾ 数据共享协议要求存储在符合ISO27001标准的平台上
◾ 数据需要与NHS(国家卫生服务)数据等同的安全性
◾ 其他可能属于极高影响数据的例子包括:①高度受限的未发布研究数据;②包含极有价值知识产权的未发布研究;③受国防部合同或限制的数据等。
左右滑动查看:五级数据安全分类标准
3.3.2 数据分析管理:通过敏感数据治理增强数据保护
3.4 检测与响应措施
网络安全第一道防线——入侵防御系统:检查跨越剑桥大学数据网络(CUDN)和Janet之间网络边界的所有数据,检测并阻止恶意网络流量。
**反恶意软件服务:**学校针对Mac、Windows等系统设备提供Crowd Strike Falcon反恶意软件服务,帮助构建面对网络威胁的高级防御能力,保护计算机免受病毒、广告软件/间谍软件和其他恶意软件的侵害。
**主动的漏洞管理:**学校通过漏洞和Web应用程序扫描程序(Qualys)定期扫描网络及Web应用程序的漏洞。
**高级别终端安全——托管安全桌面:**面向教职工、系统管理员等对终端安全具有高级别要求的人员提供一体化托管安全桌面,其中包括现代端点管理、增强的威胁检测和自动备份。
安全信息和事件管理(SIEM)系统:SAVANT是基于Elastic Stack的安全信息和事件管理(SIEM)系统,旨在将日志、审计、流量、指标等信息集中收集到一处进行安全分析,并提供数据分析和可视化功能。用户可通过浏览器查看动态仪表板。
3.5 安全监控措施
**英国国家网络安全中心提供免费的安全服务:**设置“网页检查”和“邮件检查”,持续监控网域和电子邮件网域安全状态,并识别潜在的安全漏洞或威胁。
**设备合规监控:**为系统和部门管理员、本地桌面支持和管理层提供信息,以监控连接到Stanford网络的设备的合规性。
**文件完整性监控:**记录对服务器文件系统的更改,以帮助检测和调查入侵或更改。
**集中日志记录:**通过Web界面搜索、监控和分析机器生成的大数据,并可以生成图表、报告、警报、仪表板和可视化效果。
**网络监控:**牛津大学通过计算机应急响应小组进行网络监控,以检测安全威胁。监控涉及的数据收集和分析严格遵循英国法律以及大学和IT服务政策规定,旨在保护用户隐私的同时确保网络安全。
3.6 安全测试与合规评估
**网络安全测试服务:**识别技术系统和信息处理流程中的缺陷和漏洞。
信息资产安全风险评估
数据保护影响评估
**系统合规性评估:**根据《系统和服务的最低安全要求》、《英国GDPR系统检查表》检查系统合规性。
**获得英国政府支持的“Cyber Essentials”认证,**意味着高校已经通过了一套基本的网络安全标准测试,表明其具备了基本的网络安全防护措施。
**第三方安全评估服务:**帮助学院和部门识别并降低使用第三方服务和供应商处理大学数据时的风险。这项服务通过发送安全相关问题给供应商并评估其回答来工作,旨在确保供应商数据保护措施的可靠性,并帮助用户做出明智的供应商选择决策。
**定制的安全评估服务:**旨在确保大学和各部门的数据和系统免受恶意攻击和意外泄露的影响。服务涵盖从初步接洽到现场测试和验证的全面流程,并提供详细的报告和建议。
3.7 事件响应:成立专职团队应对安全事件
**成立计算机安全事件响应团队:**负责IT安全事件响应。该团队直接与大学内的IT人员合作。
成立数据事件响应团队 (DIRT) ,协助从信息安全漏洞中恢复。职责包括:
◾ 警报-立即通知团队的所有成员可能发生的事件;
◾ 响应-如果与电子数据事件有关,请与相关计算机的联系人联系,以将其从网络中删除;
◾ 调查-尽快确定事件的全部范围;
◾ 通知-如果事件导致暴露,或者团队有理由相信信息被未经授权的人员获取或用于未经授权的目的,根据相关法律、法规和合同要求启动适当的通知流程,以便采取对策保护受影响的个人免受欺诈和身份盗用;
◾ 文件-记录与事件有关的任何行动,并事后审查。
◾提供信息安全事件响应和报告指南,要求工作人员与信息安全团队或计算机应急响应小组合作,确保漏洞得到修复或缓解。
3.8 安全培训与意识提升
各高校高度重视网络安全意识教育和培训,制定了培训计划和相关课程,并对校内所有教职工和学生完成相关课程分别做了硬性规定和要求。
要求所有使用大学信息服务的员工、学生和其他用户,每年必须完成规定的网络安全意识培训课程。
培训内容包括:密码安全、社交媒体分析、网络钓鱼、恶意软件、针对学生的骗局、远程工作最佳实践、数据分类存储指南等。
网络钓鱼意识计划包括网络钓鱼模拟电子邮件、意识沟通和培训课程三方面。
①通过模拟网络钓鱼电子邮件对参与者识别、报告和避免网络钓鱼攻击进行训练。
②持续宣讲远离网络钓鱼诈骗、网络钓鱼电子邮件剖析及网络钓鱼的最新示例。
③提供高级鱼叉式网络钓鱼 、商业电子邮件泄露诈骗等培训课程。
为提高安全意识,学校鼓励用户采取措施保护计算机数据和隐私,如安装恶意软件检测工具、使用强密码和避免访问有害网站。
并提供安全培训课程、麻省理工学院的信息保护指南、安全计算文章知识库以及系列安全视频。
要求所有教职员工必须每12个月完成一次信息安全和数据保护培训,并以最低80%的分数通过课程测验,以确保大学所有用户符合英国数据保护等法规。
内容包括:信息分类、数据保护、访问和共享信息、安全工作、网络钓鱼和恶意软件、信息权利、第三方服务、报告问题、课程结束测验。
建议学生完成有关网络钓鱼和社交媒体、社交网络的危险和学生诈骗的短视频培训。
结 语
随着信息技术的飞速发展,网络安全已成为全球高等教育机构不容忽视的紧迫议题。国际高校系列网络安全措施的应用,如集中化网络安全管理、构建主动防御机制、多因素身份验证、端点检测与响应技术、安全培训与意识提升等,体现出教育机构正以前所未有的决心和行动力,以确保其数据资产和学术环境的安全。
我们必须认识到,网络安全不仅关乎技术层面的挑战,更深层地是一个管理问题。它是一个动态演进的领域,要求我们不断地关注最新的威胁情报,及时更新防护策略,并促进不同机构间的协作与信息共享。教育机构需要持续强化网络安全基础设施建设,提升风险评估和紧急响应的能力。此外,加强对师生的网络安全教育同样至关重要,这有助于培养每个人的安全意识,使他们成为网络安全的积极守护者,从而为学术研究和教育活动打下一个更加坚实和安全的基础。
附录:案例高校网络安全措施列
1、剑桥大学网络安全措施
2、斯坦福大学网络安全措施
3、麻省理工学院网络安全措施
4、牛津大学网络安全措施
参考资料
1.CheckPoint 《2024网络安全报告》
2.Malwarebytes《2024 State of Ransomware in Education》https://www.malwarebytes.com/blog/threat-intelligence/2024/01/2024-state-of-ransomware-in-education-92-spike-in-k-12-attacks
3.EDUCAUSE《2024 EDUCAUSE Top 10 #1:Cybersecurity as a Core Competency》https://er.educause.edu/articles/2023/10/2024-educause-top-10-1-cybersecurity-as-a-core-competency
4.IBM《Cost of a Data Breach Report 2023》
5.Inside Higher Ed《2023 Survey of Campus ChiefTechnology/Information Officers》
6.剑桥大学官网https://help.uis.cam.ac.uk/service/security
7.斯坦福大学官网https://uit.stanford.edu/services/category/security