发表在2013/12/17

网络安全:了解网络威胁

网络安全:了解网络威胁
网络犯罪可以对高等教育机构及其学生构成威胁,但有一些策略可以使它们的脆弱性最小化。
高校必须采取哪些措施来保护学生的信息?

大学和学院拥有敏感和个人身份信息(PII),如社会安全和信用卡号码。然而,学术计算机系统是为了共享信息而设计的,而且不一定安全。因此,高校的计算机系统经常成为网络罪犯的目标。

黑客的动机多种多样,从窃取学生的敏感信息到追求专利、知识产权和国防相关项目(这些项目比信用卡价值高得多)。

根据定义,网络犯罪是使用计算机或网络设备进行非法行为。网络罪犯正在使用复杂的方法获得未经授权访问信息系统的权限。攻击者可能使用的一些创造性方法包括后门程序、网络钓鱼攻击和社会工程。有许多著名的后门工具可以用来设置绕过传统安全机制的路径,允许他们连接到计算机系统;例如,Tini, Netcat, Wrappers, EXE maker, preator, Restorator和俄罗斯方块。

网络钓鱼是一种技术,用户被发送带有虚假链接的电子邮件,声称是一个合法的网站,试图获取用户的个人信息。社会工程是一种强大的基于人的技术,它依靠人的弱点绕过所有的网络对策,获得对网络的未经授权的访问。这种技术以特定的人员为目标,比如帮助台人员或高管,通过创造一个人为的环境,让员工迫于压力发布所需信息。

信息系统的保护是一个持续的挑战。数据泄露的代价是昂贵和严重的。网络犯罪每年在全球造成的损失超过1000亿美元。大量的网络攻击企图正迫使大学加强其信息系统。联邦法律,如《家庭教育权利和隐私法》和《健康保险便携性和责任法》也推动了大学和学院的信息安全政策。

信息安全的目标是确保数据的保密性、完整性和可用性。大学有义务保护自己的资产,包括数据、桌面、服务器、建筑,最重要的是,学生。数据可以根据需要了解的状态进行分离和分类。学生和研究数据需要从公共数据中分离出来。一旦对数据进行了分类,就可以应用安全清除来启用访问控制。加密可以被植入以提高数据的保密性,数字签名可以被用来确保数据的完整性,备份数据和通信线路也可以帮助实现数据的可用性。

总共有18个安全控制机构可以实施,以保护学生的信息和大学资产:

  1. 访问控制:应用安全技术来控制用户与系统的交互方式。

  2. 意识和培训:制定并实施正式的员工意识和培训计划。

  3. 审计和问责制:生成并保存所有系统的审核记录。

  4. 安全评估及授权:对系统进行安全评估,以确保采取相应的安全控制。系统所有者必须对系统进行授权,并授予某些成员操作的许可。

  5. 配置管理计划:测试、批准和文件变更。

  6. 应急计划:制定系统恢复计划和备用运行地点。

  7. 识别和身份验证:对用户和设备进行识别、验证和认证。

  8. 事件响应:制定计划,处理对事件的反应和遏制。

  9. 维护:制定计划和政策,确保安装相关补丁和修复程序。

  10. 媒体保护:解决媒体获取、标签、运输和销毁问题。

  11. 物质与环境保护:制定计划以确保物理,管道,电气和消防。

  12. 规划:制定系统安全计划。

  13. 人员的安全:进行背景调查和人员筛选。

  14. 风险评估:评估所有系统的漏洞。

  15. 系统和服务获取:确保资源的分配和生命周期支持。

  16. 系统和通信保护:保护边界和过渡的完整性。

  17. 系统和信息完整性:保护系统不受未经授权的更改。

  18. 项目管理:制定一个全组织的信息安全计划。

总之,网络犯罪对高校产生了深远的影响。这需要学生和学术机构通力合作,才能对网络犯罪产生重大影响。

点击下面的按钮,我们将在未来发布WeSam Musa关于网络安全的系列文章,届时将更详细地探讨18种保护机制。

下一期即将推出

打印友好,PDF和电子邮件

读者评论

《阿凡达》
詹姆斯Branden 2013/12/17下午1:47

关于网络安全的有用介绍性文章。我相信很多机构没有意识到他们是网络罪犯的主要目标。当你想到这类犯罪时,你通常会想到金融机构受到攻击。然而,重要的是要记住,许多敏感数据包含在学生文件中,如果它们落入错误的手中将是灾难性的。

《阿凡达》
山姆·穆萨 2013/12/17下午3:42

谢谢你对这篇文章的评论,詹姆斯。是的,确实,许多机构没有意识到他们是“网络罪犯”的目标。人们倾向于关注大数据或机密数据,而忘记了学校只是大型政府项目的众多后门之一。学术机构也需要采用和执行一个完善的系统安全计划。

山姆·穆萨

《阿凡达》
娜塔莎鲁宾 2013/12/18 12:47 PM

我认为学生没有被教导在在线输入/访问他们的数据时如何采取预防措施。机构需要更好地提供这种类型的用户培训。不幸的是,流行文化创造了这样一种说法:网络犯罪分子侵入学校系统,改变成绩或报复前任,因此让网络安全看起来有点愚蠢。学生们需要记住的是,网络犯罪往往比他们想象的更严重,更隐蔽。

    《阿凡达》
    山姆·穆萨 2013年12月24日上午8:52

    娜塔莎,我完全同意你的看法——当谈到意识训练时,几乎所有的学校都做得不好。事实上,在我的论文中,我讨论了缺乏安全意识培训对组织成功的影响。你也说对了;流行文化,更具体地说,媒体,对网络威胁的严重性和优先级没有足够的同情。是的,学生们没有被教导如何谨慎,当他们访问他们的在线数据。事实上,我正在讨论所有这些问题在意识训练岗位-这就像你读我的思想。在意识培训岗位上,我实际上提出了一个学校通常不追求的解决方案。这篇文章应该会在下个月左右发布。
    谢谢你的评论,娜塔莎,

    山姆·穆萨

留下一个回复

您的电子邮件地址将不会被公布。必填字段被标记*