高校作为知识的摇篮和科技创新的重要场域,其网络安全问题受到持续且密切的关注。今年以来,国外政府及高校纷纷采取针对性措施,推动网络安全建设进入常态化轨道,以保障教育、研究和创新的顺利开展。
近日,英国政府提出了一系列针对高校的个人数据保护和数据泄露应对政策,旨在指导高校遵守数据保护法、制定数据保护政策和流程、明确教职工和学生数据的保留要求、遵守个人数据泄露防范准则。信息专员办公室应该建立一个数据共享信息中心,以提供有关数据共享的详细指导。至关重要的是,高校需要确保存储的数据不会超过法定保存期限。此外,所有学校都必须指定一名数据保护官,以确保所有共享的数据都遵守数据共享行为准则。
英国政府于2023年发布的《网络安全违规调查》首次涵盖了网络犯罪和由网络犯罪引发的欺诈行为。网络犯罪包括未经授权访问计算机、网络、数据或其他数字设备,或对这些设备上保存的信息进行损害,网络犯罪的示例包括黑客攻击、未经授权访问在线账户(如银行、电子邮件或社交媒体账户)、拒绝服务攻击以及设备感染病毒或其他恶意软件(包括勒索软件)。在大学中,网络犯罪及由此导致的欺诈行为更为普遍。根据《英国通用数据保护条例》(UK GDPR)和《2018年数据保护法》(DPA),学校必须遵守相关法规。
根据去年颁布的《芯片和科学法案》,美国国家标准与技术研究院(NIST)考虑为高校提供支持网络安全研究的资源。今年春季,NIST发布了《网络安全框架2.0核心》(Cybersecurity Framework 2.0 Core,简称“CSF2.0”),旨在征求公众意见,以更好地了解研究网络安全研究领域的问题和机遇。自CSF1.1发布以来,美国国会已明确要求NIST在CSF中考虑小型企业和高等教育机构的网络安全需求,这点在CSF2.0中也有体现。
由此,美国高等教育信息化协会EDUCAUSE提出建议,鼓励NIST与高校网络中心合作,建立在线信息库,集中提供有关高校及其现有资源的信息,以便师生更易获取研究网络安全信息和支持的相关知识。同时,还建议NIST为高校学术研究人员及其团队提供通用的网络安全资源,协助他们在研究中确立网络安全标准,以满足研究领域的重要需求。另外建议NIST可以利用其作为主要联邦科学研究机构的地位,强调并支持高校网络安全专业发展途径,促进网络安全领域进一步发展。
澳大利亚网络安全部长克莱尔·奥尼尔宣布制定《2023-2030年澳大利亚网络安全战略》。澳大利亚教育部在高校网络安全指导方针中建议高校采取以下措施以确保网络安全:
第一,利用网络威胁模型,了解并按比例降低风险。网络威胁模型将网络威胁与风险相关联,对于制定大学的网络安全战略至关重要。需要明确记录重要的数字资产,并确保风险和业务负责人充分了解这些资产的重要性。一旦资产的关键性得以明确,威胁模型可以帮助大学将这些资产与潜在的攻击方法及各类威胁行为者进行关联。
第二,实施大学网络安全战略。网络安全战略包括但不限于安全政策、标准、指导方针和程序;安全角色和责任的明确定义;数字身份管理组件;支持资产、脆弱性和威胁管理的相关措施;明确的关键网络安全目标和控制措施;有针对性的培训和宣传计划;针对业务连续性规划和灾难恢复的措施,并明确网络威胁带来的业务风险。
第三,将网络安全作为整个组织的“人”的问题,大力强调安全文化。将网络安全行为和决策融入整个校园的各个层面,促进网络安全,使其成为学术自由、学生和员工的安全保障,并凸显网络安全在大学实现其战略目标方面的关键作用。
第四,加强澳大利亚大学的网络安全项目。鼓励高校参与全行业网络安全论坛,加入并有效利用澳大利亚网络安全中心(ACSC)的威胁情报平台,积极参与澳大拉西亚大学信息技术主任理事会(CAUDIT)组织的活动。
生成式AI风靡全球,但哈佛大学一直对其抱有谨慎态度,并特别关注其如何保护数据的安全性。2023年9月,哈佛大学文理学院发布了在课堂中使用ChatGPT等生成式AI的使用指南,该指南建立在7月哈佛大学本科教育办公室发布的“哈佛全校人工智能指南”基础上,重点保护非公开数据的安全。
根据哈佛大学的信息安全政策,所有人员被明确告知不得将机密数据(非公开研究数据、财务、人力资源、学生记录、医疗信息等)输入到公开的生成式AI工具中,以免被第三方机构搜集用于其它用途。尤其需要注意的是,生成式AI有潜力生成具有欺骗性的网络钓鱼邮件和非法网站,因此哈佛大学提醒师生警惕网络钓鱼,随时保持对非法内容的警惕。
为保障校园计算机资源和数据的安全,斯坦福大学的IT部门提供了一系列服务和工作,旨在满足师生们的网络安全需求,其中包括桌面配置、移动设备管理、身份验证系统、反恶意软件、防火墙和网络监控等。
以下是斯坦福大学主要的网络安全服务:
反恶意软件服务:学校为各类计算机设备提供CrowdStrike Falcon反恶意软件服务,用于保护计算机免受病毒、广告软件、间谍软件和其他恶意软件的侵害。
设备注册:为确保只有身份明确的用户能够访问斯坦福数据,每位用户都需要完成简单的注册过程,以将其身份与每台设备相关联。
安全电子邮件服务:专为斯坦福大学成员设计,根据HIPAA准则使用电子邮件传输受保护的健康信息(PHI)。
端点合规性报告:为系统和部门管理员、本地桌面支持和管理人员提供信息,以监控连接到斯坦福网络的设备是否合规。
端点配置管理(BigFix):通过自动进行操作系统和其他常用软件的安全更新确保计算机的安全。
文件完整性监控(OSSEC):监控文件完整性,记录服务器文件系统的更改,帮助检测和调查入侵或文件更改。
文件存储安全:使用自动工具扫描文件共享系统中存储的文件,以查找可能被可公开访问且包含高风险数据的文件。文件所有者将通过电子邮件收到关于更改的通知,而后能够根据需要更新文件共享权限。
移动设备管理(AirWatch):移动设备管理(MDM)允许用户通过斯坦福大学的网络工具管理移动设备,并生成配置文件,以确保其安全访问内部系统,同时保护设备上的数据。
我的设备(MyDevices):可让学校附属机构查询与其相关的设备,并查看这些设备是否已使用可验证的加密进行保护。
网络钓鱼防范意识服务:通过模拟网络钓鱼电子邮件,培训参与者识别、报告和避免网络钓鱼攻击。
学校鼓励师生安装Sophos Anti-Virus和CrowdStrike Falcon,其中Sophos可有效保护电脑免受已知病毒、蠕虫和恶意软件的侵害,而CrowdStrike则利用机器学习来检测攻击中常见的模式,针对新出现的威胁提供高级保护。此外,学校还推荐使用LastPass等密码管理器,以生成并保护强大而独特的密码。
另外,他们还提供了基于云的备份解决方案,使用CrashPlan备份电脑数据,可以轻松地从丢失、被盗或受到恶意软件损坏的电脑中恢复数据。对于需要处理个人身份信息(PII)的情况,学校建议安装Spirion来帮助检测并安全加密或删除包含敏感信息的文件。
除此,麻省理工学院提供了多种许可的企业视频会议工具,如Zoom、Microsoft Teams和Webex等,以确保用户的隐私安全。
学校将常用服务的风险分为高、中、低三个等级,并倡导师生了解网络钓鱼的术语,定时检查更新系统,以确保网络安全。此外,耶鲁大学还积极开展了使用安全密码的教育活动,指导大家分辨安全密码和潜在风险密码。
有趣的是,耶鲁鼓励师生订阅网络安全意识的月度提示,即Bee Cyber Fit Monthly Tip,提供定期的骗局揭示、故事分享、新闻更新和安全建议,同时鼓励大家分享遇到的网络骗局,形成网络安全防护意识,持续提醒大家时刻保持警惕,共同维护网络安全。
学校要求师生完成网络安全培训,学习有关创建强密码、远程工作安全和研究数据保护等主题的指南,还需查看关于保护笔记本电脑、安全备份数据和及时更新操作系统的最新说明。此外,学校还提供免费的杀毒软件,以确保设备安全,并未师生提供IAR、ISRA、NFR、GDPR等工具,帮助他们管理和保护信息资产。
除此,学校还建立了计算机安全事件响应小组,提供网络安全测试、防火墙管理、入侵防御系统、英国GDPR系统清单及信息和网络安全战略等服务,会迅速报告IT安全事件,将对大学造成的损失降到最低。
学校制定了信息系统安全政策,该政策覆盖信息管理各方面,并提出了关于信息保护的具体意见。要求师生必须了解并遵守该政策,并为进一步加强信息保护,学校为每个部门都配备了一名本地数据保护协调员,他们将成为用户数据保护查询的首要联系人。对于那些未能妥善保护信息或滥用系统的师生,学校将会采取严厉措施,情节严重者或面临开除或承担法律责任的后果。
此外,学校要求师生在登录系统时使用多因素身份验证即MFA(Multi-Factor Authentication),这意味着在输入密码后需要提供额外的身份验证信息,以提高账户的安全性,确保只有授权用户能够访问。值得一提的是,2023年2月底,微软还实行了新的机制,以进一步强化MFA的安全性,并有效防御潜在的攻击者。
为确保师生能够保护自身网络安全,学校还制作了网络安全措施讲解视频,以帮助师生掌握相关知识和技能。
学校强调,保护自己免受网络威胁的最佳方法是时刻了解最新情况,并主动采取积极措施保障设备信息的安全。
通过定期访问以下网络资源,师生可以随时获取关于网络安全的最新资讯,实现安全上网。
ACSC:澳大利亚网络安全中心是澳大利亚政府主导的网络安全机构,提供有关网络威胁的最新信息以及防范网络威胁的最佳做法。
Scamwatch:由澳大利亚竞争与消费者委员会(ACCC)管理,提供澳大利亚最新诈骗信息,包括网络钓鱼诈骗和网上购物诈骗。
Stay Smart Online:澳大利亚政府的在线安全和安保网站,提供有关安全上网的建议,包括保护设备安全和防范欺诈的信息。
电子安全专员办公室:负责促进网络安全,并提供有关安全上网的建议和资源,包括网络欺凌和身份盗窃的信息。
学校遵循最佳实践网络安全标准,建立了明确的政策框架,并在网络安全计划中投入大量资源。网络安全政策明确规定了保护大学内部ICT资源和数字信息的保密性、完整性和可用性所需的责任和原则。此外,信息和通信技术资源可接受使用政策则适用于大学信息和通信技术资源的所有用户,概述了用户的权利和责任、大学信息和通信技术服务的使用条件及对滥用行为的处罚。
学校会定期发布网络安全建议,以确保师生随时了解当前存在的网络威胁。同时,学校鼓励师生随时报告任何网络安全事件,包括但不限于怀疑ICT服务、设备或账户受到威胁,发现有证据表明大学ICT服务存在漏洞,未经授权披露敏感信息或发现学校资产丢失,发现有人违反学校政策。学校将在网络威胁危及校园数据安全之前迅速采取措施。
