自2005年初以来,美国一连串数据安全事件有许多与高等院校有关,比如圣迭戈州立大学、俄亥俄大学、加利福尼亚州立大学伯克利分校、波士顿学院、塔夫茨大学、乔治·梅森大学、北科罗拉多大学和普渡大学等都发生过网络安全事件。
Stan Gatewood是佐治亚大学的首席信息安全官,对于他来说出现这样的安全事件实在是再熟悉不过了。
Gatwood表示,佐治亚大学与其他大学的情况大致相同。确保开放、自由地获得信息是校园网络系统首要的任务。无论是学生通过网络访问排课系统,还是教师利用电子邮件来布置作业,还是研究人员依靠数据库存储及访问那些具有高度敏感的信息,安全都是首当其冲。
但是事实是,自己携带电脑的学生、教师、外部承包商及其他人士不断出现在校园内,并接入校园网络——他们使用的电脑有些很安全,有些电脑却还有很多安全漏洞,甚至有些人的目的就是伺机探测网络,查找可以钻空子的网络安全漏洞。
在这种环境下,大量信息岌岌可危。校园资金补助和健康记录、学校书店或自助餐厅里面所用的信用卡信息,都可能成为网络安全漏洞的牺牲品。
Gatewood说: “校园网络在应对极其独特而不同的访问要求,最大的挑战是身份管理——以适当的方式确认个人的身份,并进行分类。但是把每个人集合在一个地方,并且兼顾他们的个人需求与学校的安全需求,这极其困难。”
另一方面,移动安全方面的挑战也越来越严峻,这是由于师生们从来不会呆在一个地方,但他们仍然需要随时访问校园网。
六个步骤保护安全
虽然没有哪个安全构架能百分之百地成功应对这些挑战,但Gatewood自认为校园CSO的生存之道可以总结为六大步骤。
第一个步骤: 风险管理。
不管对信息安全的了解有多深入,安全与高校管理风险及威胁的能力有关。Gatewood建议学校的安全专业人士拟订一项正式的风险管理计划,概述如何把风险降低到可以接受的水平。
他说: “一定要清点机器,准确找出高风险、中等风险和低风险的系统,然后考虑每种系统特有的风险。你需要能够用实际数字来表示风险。一定要清点每个身份,并进行分类及评定,然后考虑对策。”要是觉得计划拟订好后、就不用管它,那么再周到的风险管理计划都无济于事。必须每年从头开始,重复这个过程。而且获得上层管理班子的支持极其重要。”
第三个步骤: 战略规划和领导。
没有谁能够一下子保证网络的安全。为此,Gatewood竭力支持实行战略规划,让具体的人负责具体的方面。
自2005年初以来,美国一连串数据安全事件有许多与高等院校有关,比如圣迭戈州立大学、俄亥俄大学、加利福尼亚州立大学伯克利分校、波士顿学院、塔夫茨大学、乔治·梅森大学、北科罗拉多大学和普渡大学等都发生过网络安全事件。
Stan Gatewood是佐治亚大学的首席信息安全官,对于他来说出现这样的安全事件实在是再熟悉不过了。
Gatwood表示,佐治亚大学与其他大学的情况大致相同。确保开放、自由地获得信息是校园网络系统首要的任务。无论是学生通过网络访问排课系统,还是教师利用电子邮件来布置作业,还是研究人员依靠数据库存储及访问那些具有高度敏感的信息,安全都是首当其冲。
但是事实是,自己携带电脑的学生、教师、外部承包商及其他人士不断出现在校园内,并接入校园网络——他们使用的电脑有些很安全,有些电脑却还有很多安全漏洞,甚至有些人的目的就是伺机探测网络,查找可以钻空子的网络安全漏洞。
在这种环境下,大量信息岌岌可危。校园资金补助和健康记录、学校书店或自助餐厅里面所用的信用卡信息,都可能成为网络安全漏洞的牺牲品。
Gatewood说: “校园网络在应对极其独特而不同的访问要求,最大的挑战是身份管理——以适当的方式确认个人的身份,并进行分类。但是把每个人集合在一个地方,并且兼顾他们的个人需求与学校的安全需求,这极其困难。”
另一方面,移动安全方面的挑战也越来越严峻,这是由于师生们从来不会呆在一个地方,但他们仍然需要随时访问校园网。
六个步骤保护安全
虽然没有哪个安全构架能百分之百地成功应对这些挑战,但Gatewood自认为校园CSO的生存之道可以总结为六大步骤。
第一个步骤: 风险管理。
不管对信息安全的了解有多深入,安全与高校管理风险及威胁的能力有关。Gatewood建议学校的安全专业人士拟订一项正式的风险管理计划,概述如何把风险降低到可以接受的水平。
他说: “一定要清点机器,准确找出高风险、中等风险和低风险的系统,然后考虑每种系统特有的风险。你需要能够用实际数字来表示风险。一定要清点每个身份,并进行分类及评定,然后考虑对策。”要是觉得计划拟订好后、就不用管它,那么再周到的风险管理计划都无济于事。必须每年从头开始,重复这个过程。而且获得上层管理班子的支持极其重要。”
第三个步骤: 战略规划和领导。
没有谁能够一下子保证网络的安全。为此,Gatewood竭力支持实行战略规划,让具体的人负责具体的方面。
|
