教育信息安全/管理员意识
本主题的主要目标受众是 K-12 校级管理员。虽然 K-12、中央办公室和高等教育管理员不是目标受众,但他们可能会从这里提供的信息中获得一些见解。
对 K-12 管理员在处理学校信息安全方面的角色进行研究,很可能得出的结果很少,如果有的话。缺乏信息的原因很可能是大多数 K-12 管理员根本不认为信息安全是首要任务。这并不奇怪,因为 K-12 管理员的职位描述通常不包括监控计算机网络流量以查找潜在威胁或安全漏洞。此外,这种类型的培训通常不在校长认证课程中。虽然信息安全对校长来说不是首要任务,也不是他们教育的一部分,但校长可以协助保护学校网络。
为了让管理员做出明智的决定,他们需要了解问题的根源,而不仅仅是问题本身。就信息安全而言,问题的根源可能是多方面的。但最有可能的是,问题是人。根据 Schneier (2004) 的说法,“人们通常是安全链中最薄弱的环节,并且长期以来一直是安全系统失败的原因 (p.255)。” 对于 K-12 管理员来说,这意味着信息安全问题的领先预防措施是员工发展。虽然员工发展一词通常指的是教师培训,但在这种情况下,它指的是所有有权访问学校网络的员工(秘书、清洁工、助理等)。学校员工需要认识到他们在信息安全中扮演着最重要的角色之一。
涉及学校人员的最大外部威胁之一是社会工程威胁。社会工程是指操纵人们泄露机密信息的行动。这种类型的威胁在公立学校中很容易被利用,因为大多数公立学校员工虽然了解学生保密信息,但非常愿意帮助其他学校人员解决他们的问题。社会工程方案有三种主要类型:借口、钓鱼和诱饵。每种类型的社会工程都可能给学校造成重大问题。
借口是指创建和使用虚构的情景(借口)来诱使目标受害者泄露信息或采取行动,通常通过电话进行。它不仅仅是一个简单的谎言,因为它通常涉及一些先前的调查或设置以及使用已知信息的片段。以学校为例,来自声称在技术部门工作的人的电话对大多数人员来说很容易被接受,尤其是在打电话时网络没有正常运行的情况下。
钓鱼是一种欺诈性地获取私人信息的技术。通常,钓鱼者发送一封看似来自合法企业的电子邮件,以学校为例,来自技术部门或行政部门的假电子邮件,要求“验证”信息并警告如果不提供信息会造成严重后果。虚假的电子邮件可能会询问密码或学生或人员信息。教师可能会收到来自“业务经理”的电子邮件,要求更新用于直接存款的银行信息,或要求提供社会安全号码。由于学校记录和软件会定期更新,因此来自假业务经理的这种电子邮件可能不会让员工感到奇怪。
诱饵是一种利用物理介质并依赖于受害者好奇心或贪婪的攻击。在这种攻击中,攻击者将感染恶意软件的 CD-ROM 或 USB 闪存驱动器放在肯定会被发现的地方(浴室、电梯、人行道、停车场),在上面贴上看起来很合法且令人好奇的标签,然后等待受害者使用该设备。这两种情况下,仅仅将光盘插入计算机以查看内容,用户就会在不知不觉中在其上安装恶意软件,这可能会让攻击者无限制地访问受害者的 PC,也许还有目标学校的内部计算机网络。除非计算机控制阻止感染,否则设置为“自动运行”插入介质的 PC 可能在插入恶意光盘后立即被感染。为了使这种攻击在学校成功,攻击者无需花费太多功夫。任何学校员工都可能成为这种攻击的目标,因为目标是将“丢失的”设备归还给其所有者,而所有者会被认为是学生。
然而,应该提到,社会工程攻击并不是唯一可能针对学区发起的外部攻击。密码黑客攻击、端口扫描和其他攻击是可能的,但这些攻击永远不会被建筑管理员看到,因为他们通常不会参与处理这些攻击。
针对学校网络的内部攻击比外部攻击更为常见。大多数情况下,内部攻击是由学生发起的。学生攻击学校网络的原因有很多。学生攻击学校网络最常见的原因是乐趣。他们只是想看看自己是否能做到,他们还想看看自己做了会发生什么。这些学生通常不会对网络造成损害。然而,有恶意意图的学生能够对学校的网络造成巨大损害。在任何一天,学生都可以轻松地使用闪存驱动器或上面描述的其他设备,将各种病毒、恶意软件、间谍软件或其他危险程序植入学校的网络。其中一些程序能够消灭整个地区的网络,更不用说一所学校了。同样的情况也适用于怀有不满情绪的员工,他们拥有更多访问权限和更多网络权限。
管理员可以通过多种方法来防止学校成为信息安全攻击的目标。第一步是正如本书标题所述,保持警觉。学校管理者每天都有很多工作要处理,技术问题通常不在他们的优先事项清单中。但这并不意味着他们应该对技术问题一无所知。了解一些专业术语并积极主动地采取预防措施至关重要。对网络安全要像对物理安全一样重视。
如前所述,员工培训是预防攻击的关键。认为员工培训能完全防止网络攻击是荒谬的。就像管理者一样,员工也需要提高安全意识。仅仅依靠常识是不够的。大多数员工能开机、关机、打字、制作表格,并在网络上冲浪,但他们并非计算机专家,缺乏发现潜在攻击或意识到自己可能成为社会工程诈骗受害者的知识。
使用像Sychroneyes这样的课堂管理软件也是确保信息安全的一步。此类软件允许教师同时查看所有学生的电脑屏幕。软件还允许教师远程禁用学生电脑,向他们发送即时消息,并捕捉每个学生的屏幕截图。尽管这是一款非常有价值的工具,但它不能代替教师。教师在学生使用电脑时巡视教室,教育他们如何正确使用电脑和安全措施仍然至关重要。
最后,一份包含电脑滥用后果的综合学生手册,以及一份可接受使用政策 (AUP) 是必不可少的。学生手册和AUP 都必须包含明确规定以下内容的条款:学校的电脑和网络的使用方法,谁可以使用它们,以及何时可以使用它们。如上所述,滥用行为的处罚应清楚地列出。
- Schneier, B. (2004). 《秘密与谎言》。印第安纳波利斯,印第安纳州:Wiley 出版社。
- https://zh.wikipedia.org/wiki/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E8%A1%A8%E7%A4%BA_(%E5%AE%89%E5%85%A8)