EDUCAUSE2017年度十大IT议题之一:信息安全
编者按:
十大议题 ①
信息安全
采用整体的、敏捷的措施来降低学校在信息安全威胁中的暴露。
Timothy M. Chester, Patricia Patria, Marden Paul, and William R. Senter
“
“人们认为信息安全是技术问题,但实际上是教育人的问题。90%的安全侵害中都存在某种类型的人的因素。”
——Patricia Patria,贝克学院(Becker College)负责信息技术的副院长
和院校所维护的实物资产和知识资产一样,信息资产也是高价值的。有大批的人乐于窃取这些资产,或许是现在和此前学生的身份信息,或许是诸如信用卡号码之类的财务信息。
和实物资产不同的是,由于互联网的存在,在这个星球上的任何地点,任何时候信息资产都是脆弱的。风险管理提供了保护层,不过坏人(个人或者国家政府)都在持续寻找高校信息资产的软肋。
以下面的具体情境来说明,来自某重点研究型大学的人士报告称:每天,有10万人使用两到三台设备接入大学网络,收到的电子邮件中的75%是垃圾邮件,每秒中有超过1000次侵入校园网络的尝试。学校社群成员们从家里、办公室、教师、实验室、宿舍、机场和其他地方相互连接,有些是本地的,有些遍布全球。
海量的有价值的研究数据和可识别个人身份的信息正被存储、传输和访问。学院和大学都致力于开放,然而校园里成千上万的服务和设备往往处于不同方式和不同标准的管理之中。你感觉这样能有多安全?
信息安全不是非黑即白的:并没有彻底安全的状态。相反,安全是分层的,而且是在不断调整适应中的。全面的安全项目,以降低风险为重点,能够极大地降低安全暴露。这样的项目应当包括人、流程和技术三个方面:
教育用户
建立流程来识别和保护最敏感的数据
运用加密数据技术,并找出和拦截来自于校园网络以外任何设备的高级别威胁
?
谁应当是在IT部门之外最关心这个议题的?
最终用户,要了解如何避免暴露他们的认证凭据
部门领导,要保护学校数据
高层领导,要使人员都负起责任
院校领导,要支持、投入和倡导良好信息安全的实现
误解
总有其他某些人会处理好安全事务。
安全是个一次性的项目而不是个持续的进程。
IT人员能自己处理安全问题。(信息安全是多层次的,要有组织内部所有人的参与。)
安全是非黑即白的:我们要么是安全的,要么是不安全的。(全组织内部各处的完备性水平不同。监控、运行和实施改进的持续流程要不断重复,才能和威胁场景保持一致。)
安全都是技术相关的事情。(尽管安全技术是保护信息和网络的关键,然而90%的破坏都有人的部分。人的因素——诸如信息安全实践教育——是必不可少的补充。)
数据破坏也许会、也许不会发生。(数据破坏一定会发生。你必须要有所准备,否则就将会发生在你身上。)
风险
忽略风险:一次重大的安全事件会降低应用容量,破坏一次筹款活动,并/或破坏院校的声誉和品牌。
低估破坏的可能性和影响力。
犹豫不决迟迟未动,或者是花费大量的时间来进行安全保护的决策和实施。
不完整:未能获得整个学校社群参与,未能创立足够有效的流程,或者未能实施多层次的技术。
机遇
一个良好运行的项目可以降低高校的信息安全责任负担。教师、职员、学生个人继续拥有知识和个人资产。从糟糕运行的信息安全项目中节省下来的经费和时间可以投入到产出效果的其他地方。
建议
起步:
建立数据分类和合规性的政策(例如支付卡行业PCI安全标准、美国医疗保险流通与责任法案HIPAA标准)和流程。从容易实现的目标开始逐步前进(例如,对新购置机器要求加密的采购政策)。
开展网络保护活动(例如防火墙、应用防护和在网络中构建保障机制等)。
针对日常风险和危险对学校成员进行教育。重点关注简单的提示消息,例如不要将笔记本电脑留在车里,使用虚拟专用网络(VPN)远程访问文件等。提供培训。
利用前辈先驱们的资源。
推进:
进行有意义和有说服力的信息安全意识培训并要求每年开展,采取职员和教师能严肃对待的方式。
识别出最敏感信息的存储位置,并采取双因子认证在内的技术措施保护数据。
建立治理结构,例如由学校各方面广泛参与的信息安全理事会。为评估和沟通信息安全状态而开发关键绩效指标(KPI)和量表。
从易于实现的目标(比如网络防护)更进一步,采用下一代防火墙或自适应安全设备之类的技术。
着手测试安全性和合规性计划。建立和测试业务持续性、灾难恢复和事件响应计划。进行侵入测试。
不断思考如何缩小院校的目标大小。确保新系统上线前都得到了适当的防护。全面持续培训IT人员:他们位于前线。购买第三方服务来帮助保护网络和数据。
优化:
在同行中发挥领先作用并交流当前工作。吸取其他高校的经验教训,听取他们在发展方向上的意见。最成熟高校同行之间的合作将有助于提升高等教育行业整体水平。
紧跟最新技术。向同行学习来鉴别最新的技术并进行合作评估(例如电子邮件数据防丢失技术或基于反常行为的高级别威胁防护等)。
要牢记,过去能保证安全的做法未必现在还能保证安全。
本文译自EDUCAUSE
翻译:陈强 清华大学信息化工作办公室