全球高等教育網(wǎng)絡(luò)安全發(fā)展新態(tài)勢

高校作為知識的搖籃和科技創(chuàng)新的重要場域，其網(wǎng)絡(luò)安全問題受到持續(xù)且密切的關(guān)注。今年以來，國外政府及高校紛紛采取針對性措施，推動網(wǎng)絡(luò)安全建設(shè)進(jìn)入常態(tài)化軌道，以保障教育、研究和創(chuàng)新的順利開展。

英 國

國家層面：推動高校網(wǎng)絡(luò)安全常態(tài)化

英國提出高校數(shù)據(jù)保護(hù)政策

近日，英國政府提出了一系列針對高校的個人數(shù)據(jù)保護(hù)和數(shù)據(jù)泄露應(yīng)對政策，旨在指導(dǎo)高校遵守數(shù)據(jù)保護(hù)法、制定數(shù)據(jù)保護(hù)政策和流程、明確教職工和學(xué)生數(shù)據(jù)的保留要求、遵守個人數(shù)據(jù)泄露防范準(zhǔn)則。信息專員辦公室應(yīng)該建立一個數(shù)據(jù)共享信息中心，以提供有關(guān)數(shù)據(jù)共享的詳細(xì)指導(dǎo)。至關(guān)重要的是，高校需要確保存儲的數(shù)據(jù)不會超過法定保存期限。此外，所有學(xué)校都必須指定一名數(shù)據(jù)保護(hù)官，以確保所有共享的數(shù)據(jù)都遵守數(shù)據(jù)共享行為準(zhǔn)則。

英國政府于2023 年發(fā)布的《網(wǎng)絡(luò)安全違規(guī)調(diào)查》首次涵蓋了網(wǎng)絡(luò)犯罪和由網(wǎng)絡(luò)犯罪引發(fā)的欺詐行為。網(wǎng)絡(luò)犯罪包括未經(jīng)授權(quán)訪問計算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)或其他數(shù)字設(shè)備，或?qū)@些設(shè)備上保存的信息進(jìn)行損害，網(wǎng)絡(luò)犯罪的示例包括黑客攻擊、未經(jīng)授權(quán)訪問在線賬戶（如銀行、電子郵件或社交媒體賬戶）、拒絕服務(wù)攻擊以及設(shè)備感染病毒或其他惡意軟件（包括勒索軟件）。在大學(xué)中，網(wǎng)絡(luò)犯罪及由此導(dǎo)致的欺詐行為更為普遍。根據(jù)《英國通用數(shù)據(jù)保護(hù)條例》（UK GDPR）和《2018 年數(shù)據(jù)保護(hù)法》（DPA），學(xué)校必須遵守相關(guān)法規(guī)。

美國將支持高校網(wǎng)絡(luò)安全研究

根據(jù)去年頒布的《芯片和科學(xué)法案》，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST) 考慮為高校提供支持網(wǎng)絡(luò)安全研究的資源。今年春季，NIST 發(fā)布了《網(wǎng)絡(luò)安全框架2.0 核心》（Cybersecurity Framework 2.0 Core，簡稱“CSF2.0”），旨在征求公眾意見，以更好地了解研究網(wǎng)絡(luò)安全研究領(lǐng)域的問題和機(jī)遇。自CSF1.1 發(fā)布以來，美國國會已明確要求NIST 在CSF 中考慮小型企業(yè)和高等教育機(jī)構(gòu)的網(wǎng)絡(luò)安全需求，這點(diǎn)在CSF2.0 中也有體現(xiàn)。

由此，美國高等教育信息化協(xié)會EDUCAUSE 提出建議，鼓勵NIST 與高校網(wǎng)絡(luò)中心合作，建立在線信息庫，集中提供有關(guān)高校及其現(xiàn)有資源的信息，以便師生更易獲取研究網(wǎng)絡(luò)安全信息和支持的相關(guān)知識。同時，還建議 NIST 為高校學(xué)術(shù)研究人員及其團(tuán)隊(duì)提供通用的網(wǎng)絡(luò)安全資源，協(xié)助他們在研究中確立網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以滿足研究領(lǐng)域的重要需求。另外建議NIST 可以利用其作為主要聯(lián)邦科學(xué)研究機(jī)構(gòu)的地位，強(qiáng)調(diào)并支持高校網(wǎng)絡(luò)安全專業(yè)發(fā)展途徑，促進(jìn)網(wǎng)絡(luò)安全領(lǐng)域進(jìn)一步發(fā)展。

澳大利亞指導(dǎo)高校網(wǎng)絡(luò)安全

澳大利亞網(wǎng)絡(luò)安全部長克萊爾-奧尼爾宣布制定《2023-2030 年澳大利亞網(wǎng)絡(luò)安全戰(zhàn)略》。澳大利亞教育部在高校網(wǎng)絡(luò)安全指導(dǎo)方針中建議高校采取以下措施以確保網(wǎng)絡(luò)安全：

第一，利用網(wǎng)絡(luò)威脅模型，了解并按比例降低風(fēng)險。網(wǎng)絡(luò)威脅模型將網(wǎng)絡(luò)威脅與風(fēng)險相關(guān)聯(lián)，對于制定大學(xué)的網(wǎng)絡(luò)安全戰(zhàn)略至關(guān)重要。需要明確記錄重要的數(shù)字資產(chǎn)，并確保風(fēng)險和業(yè)務(wù)負(fù)責(zé)人充分了解這些資產(chǎn)的重要性。一旦資產(chǎn)的關(guān)鍵性得以明確，威脅模型可以幫助大學(xué)將這些資產(chǎn)與潛在的攻擊方法及各類威脅行為者進(jìn)行關(guān)聯(lián)。

第二，實(shí)施大學(xué)網(wǎng)絡(luò)安全戰(zhàn)略。網(wǎng)絡(luò)安全戰(zhàn)略包括但不限于安全政策、標(biāo)準(zhǔn)、指導(dǎo)方針和程序；安全角色和責(zé)任的明確定義；數(shù)字身份管理組件；支持資產(chǎn)、脆弱性和威脅管理的相關(guān)措施；明確的關(guān)鍵網(wǎng)絡(luò)安全目標(biāo)和控制措施；有針對性的培訓(xùn)和宣傳計劃；針對業(yè)務(wù)連續(xù)性規(guī)劃和災(zāi)難恢復(fù)的措施，并明確網(wǎng)絡(luò)威脅帶來的業(yè)務(wù)風(fēng)險。

第三，將網(wǎng)絡(luò)安全作為整個組織的“人”的問題，大力強(qiáng)調(diào)安全文化。將網(wǎng)絡(luò)安全行為和決策融入整個校園的各個層面，促進(jìn)網(wǎng)絡(luò)安全，使其成為學(xué)術(shù)自由、學(xué)生和員工的安全保障，并凸顯網(wǎng)絡(luò)安全在大學(xué)實(shí)現(xiàn)其戰(zhàn)略目標(biāo)方面的關(guān)鍵作用。

第四，加強(qiáng)澳大利亞大學(xué)的網(wǎng)絡(luò)安全項(xiàng)目。鼓勵高校參與全行業(yè)網(wǎng)絡(luò)安全論壇，加入并有效利用澳大利亞網(wǎng)絡(luò)安全中心（ACSC）的威脅情報平臺，積極參與澳大拉西亞大學(xué)信息技術(shù)主任理事會(CAUDIT) 組織的活動。

澳大利亞

高校層面：全方位服務(wù)師生網(wǎng)絡(luò)安全防御

哈佛大學(xué)生成式AI 安全指南

生成式AI 風(fēng)靡全球，但哈佛大學(xué)一直對其抱有謹(jǐn)慎態(tài)度，并特別關(guān)注其如何保護(hù)數(shù)據(jù)的安全性。2023 年9 月，哈佛大學(xué)文理學(xué)院發(fā)布了在課堂中使用ChatGPT 等生成式AI 的使用指南，該指南建立在7 月哈佛大學(xué)本科教育辦公室發(fā)布的“哈佛全校人工智能指南”基礎(chǔ)上，重點(diǎn)保護(hù)非公開數(shù)據(jù)的安全。

根據(jù)哈佛大學(xué)的信息安全政策，所有人員被明確告知不得將機(jī)密數(shù)據(jù)（非公開研究數(shù)據(jù)、財務(wù)、人力資源、學(xué)生記錄、醫(yī)療信息等）輸入到公開的生成式AI 工具中，以免被第三方機(jī)構(gòu)搜集用于其它用途。尤其需要注意的是，生成式AI 有潛力生成具有欺騙性的網(wǎng)絡(luò)釣魚郵件和非法網(wǎng)站，因此哈佛大學(xué)提醒師生警惕網(wǎng)絡(luò)釣魚，隨時保持對非法內(nèi)容的警惕。

斯坦福大學(xué)多維度安全服務(wù)

為保障校園計算機(jī)資源和數(shù)據(jù)的安全，斯坦福大學(xué)的IT 部門提供了一系列服務(wù)和工作，旨在滿足師生們的網(wǎng)絡(luò)安全需求，其中包括桌面配置、移動設(shè)備管理、身份驗(yàn)證系統(tǒng)、反惡意軟件、防火墻和網(wǎng)絡(luò)監(jiān)控等。以下是斯坦福大學(xué)主要的網(wǎng)絡(luò)安全服務(wù)：

反惡意軟件服務(wù)：學(xué)校為各類計算機(jī)設(shè)備提供CrowdStrike Falcon 反惡意軟件服務(wù)，用于保護(hù)計算機(jī)免受病毒、廣告軟件、間諜軟件和其他惡意軟件的侵害。

設(shè)備注冊：為確保只有身份明確的用戶能夠訪問斯坦福數(shù)據(jù)，每位用戶都需要完成簡單的注冊過程，以將其身份與每臺設(shè)備相關(guān)聯(lián)。

安全電子郵件服務(wù)：專為斯坦福大學(xué)成員設(shè)計，根據(jù)HIPAA 準(zhǔn)則使用電子郵件傳輸受保護(hù)的健康信息(PHI)。

端點(diǎn)合規(guī)性報告：為系統(tǒng)和部門管理員、本地桌面支持和管理人員提供信息，以監(jiān)控連接到斯坦福網(wǎng)絡(luò)的設(shè)備是否合規(guī)。

端點(diǎn)配置管理（BigFix）：通過自動進(jìn)行操作系統(tǒng)和其他常用軟件的安全更新確保計算機(jī)的安全。

文件完整性監(jiān)控（OSSEC）：監(jiān)控文件完整性，記錄服務(wù)器文件系統(tǒng)的更改，幫助檢測和調(diào)查入侵或文件更改。

文件存儲安全：使用自動工具掃描文件共享系統(tǒng)中存儲的文件，以查找可能被可公開訪問且包含高風(fēng)險數(shù)據(jù)的文件。文件所有者將通過電子郵件收到關(guān)于更改的通知，而后能夠根據(jù)需要更新文件共享權(quán)限。

移動設(shè)備管理（AirWatch）：移動設(shè)備管理（MDM）允許用戶通過斯坦福大學(xué)的網(wǎng)絡(luò)工具管理移動設(shè)備，并生成配置文件，以確保其安全訪問內(nèi)部系統(tǒng)，同時保護(hù)設(shè)備上的數(shù)據(jù)。

我的設(shè)備（MyDevices）：可讓學(xué)校附屬機(jī)構(gòu)查詢與其相關(guān)的設(shè)備，并查看這些設(shè)備是否已使用可驗(yàn)證的加密進(jìn)行保護(hù)。

網(wǎng)絡(luò)釣魚防范意識服務(wù)：通過模擬網(wǎng)絡(luò)釣魚電子郵件，培訓(xùn)參與者識別、報告和避免網(wǎng)絡(luò)釣魚攻擊。

麻省理工學(xué)院安全軟件服務(wù)

學(xué)校鼓勵師生安裝Sophos Anti-Virus和CrowdStrike Falcon，其中Sophos 可有效保護(hù)電腦免受已知病毒、蠕蟲和惡意軟件的侵害，而CrowdStrike 則利用機(jī)器學(xué)習(xí)來檢測攻擊中常見的模式，針對新出現(xiàn)的威脅提供高級保護(hù)。此外，學(xué)校還推薦使用LastPass 等密碼管理器，以生成并保護(hù)強(qiáng)大而獨(dú)特的密碼。

另外，他們還提供了基于云的備份解決方案，使用 CrashPlan 備份電腦數(shù)據(jù)，可以輕松地從丟失、被盜或受到惡意軟件損壞的電腦中恢復(fù)數(shù)據(jù)。對于需要處理個人身份信息 (PII)的情況，學(xué)校建議安裝 Spirion 來幫助檢測并安全加密或刪除包含敏感信息的文件。

除此，麻省理工學(xué)院提供了多種許可的企業(yè)視頻會議工具，如Zoom、Microsoft Teams 和Webex 等，以確保用戶的隱私安全。

耶魯大學(xué)校園網(wǎng)絡(luò)安全活動

學(xué)校將常用服務(wù)的風(fēng)險分為高、中、低三個等級，并倡導(dǎo)師生了解網(wǎng)絡(luò)釣魚的術(shù)語，定時檢查更新系統(tǒng)，以確保網(wǎng)絡(luò)安全。此外，耶魯大學(xué)還積極開展了使用安全密碼的教育活動，指導(dǎo)大家分辨安全密碼和潛在風(fēng)險密碼。

有趣的是，耶魯鼓勵師生訂閱網(wǎng)絡(luò)安全意識的月度提示，即Bee Cyber Fit Monthly Tip，提供定期的騙局揭示、故事分享、新聞更新和安全建議，同時鼓勵大家分享遇到的網(wǎng)絡(luò)騙局，形成網(wǎng)絡(luò)安全防護(hù)意識，持續(xù)提醒大家時刻保持警惕，共同維護(hù)網(wǎng)絡(luò)安全。

劍橋大學(xué)師生網(wǎng)絡(luò)安全培訓(xùn)

學(xué)校要求師生完成網(wǎng)絡(luò)安全培訓(xùn)，學(xué)習(xí)有關(guān)創(chuàng)建強(qiáng)密碼、遠(yuǎn)程工作安全和研究數(shù)據(jù)保護(hù)等主題的指南，還需查看關(guān)于保護(hù)筆記本電腦、安全備份數(shù)據(jù)和及時更新操作系統(tǒng)的最新說明。此外，學(xué)校還提供免費(fèi)的殺毒軟件，以確保設(shè)備安全，并未師生提供IAR、ISRA、NFR、GDPR 等工具，幫助他們管理和保護(hù)信息資產(chǎn)。

除此，學(xué)校還建立了計算機(jī)安全事件響應(yīng)小組，提供網(wǎng)絡(luò)安全測試、防火墻管理、入侵防御系統(tǒng)、英國GDPR 系統(tǒng)清單及信息和網(wǎng)絡(luò)安全戰(zhàn)略等服務(wù)，會迅速報告IT 安全事件，將對大學(xué)造成的損失降到最低。

帝國理工學(xué)院使用MFA

學(xué)校制定了信息系統(tǒng)安全政策，該政策覆蓋信息管理各方面，并提出了關(guān)于信息保護(hù)的具體意見。要求師生必須了解并遵守該政策，并為進(jìn)一步加強(qiáng)信息保護(hù)，學(xué)校為每個部門都配備了一名本地數(shù)據(jù)保護(hù)協(xié)調(diào)員，他們將成為用戶數(shù)據(jù)保護(hù)查詢的首要聯(lián)系人。對于那些未能妥善保護(hù)信息或?yàn)E用系統(tǒng)的師生，學(xué)校將會采取嚴(yán)厲措施，情節(jié)嚴(yán)重者或面臨開除或承擔(dān)法律責(zé)任的后果。

此外，學(xué)校要求師生在登錄系統(tǒng)時使用多因素身份驗(yàn)證即MFA（Multi-Factor Authentication），這意味著在輸入密碼后需要提供額外的身份驗(yàn)證信息，以提高賬戶的安全性，確保只有授權(quán)用戶能夠訪問。值得一提的是，2023 年2 月底，微軟還實(shí)行了新的機(jī)制，以進(jìn)一步強(qiáng)化MFA 的安全性，并有效防御潛在的攻擊者。

為確保師生能夠保護(hù)自身網(wǎng)絡(luò)安全，學(xué)校還制作了網(wǎng)絡(luò)安全措施講解視頻，以幫助師生掌握相關(guān)知識和技能。

墨爾本大學(xué)鼓勵訪問安全網(wǎng)站

學(xué)校強(qiáng)調(diào)，保護(hù)自己免受網(wǎng)絡(luò)威脅的最佳方法是時刻了解最新情況，并主動采取積極措施保障設(shè)備信息的安全。通過定期訪問以下網(wǎng)絡(luò)資源，師生可以隨時獲取關(guān)于網(wǎng)絡(luò)安全的最新資訊，實(shí)現(xiàn)安全上網(wǎng)。

ACSC：澳大利亞網(wǎng)絡(luò)安全中心是澳大利亞政府主導(dǎo)的網(wǎng)絡(luò)安全機(jī)構(gòu)，提供有關(guān)網(wǎng)絡(luò)威脅的最新信息以及防范網(wǎng)絡(luò)威脅的最佳做法。

Scamwatch： 由澳大利亞競爭與消費(fèi)者委員會（ACCC）管理，提供澳大利亞最新詐騙信息，包括網(wǎng)絡(luò)釣魚詐騙和網(wǎng)上購物詐騙。

Stay Smart Online：澳大利亞政府的在線安全和安保網(wǎng)站，提供有關(guān)安全上網(wǎng)的建議，包括保護(hù)設(shè)備安全和防范欺詐的信息。

電子安全專員辦公室：負(fù)責(zé)促進(jìn)網(wǎng)絡(luò)安全，并提供有關(guān)安全上網(wǎng)的建議和資源，包括網(wǎng)絡(luò)欺凌和身份盜竊的信息。

悉尼大學(xué)投入大量資源

學(xué)校遵循最佳實(shí)踐網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，建立了明確的政策框架，并在網(wǎng)絡(luò)安全計劃中投入大量資源。網(wǎng)絡(luò)安全政策明確規(guī)定了保護(hù)大學(xué)內(nèi)部ICT 資源和數(shù)字信息的保密性、完整性和可用性所需的責(zé)任和原則。此外，信息和通信技術(shù)資源可接受使用政策則適用于大學(xué)信息和通信技術(shù)資源的所有用戶，概述了用戶的權(quán)利和責(zé)任、大學(xué)信息和通信技術(shù)服務(wù)的使用條件及對濫用行為的處罰。

學(xué)校會定期發(fā)布網(wǎng)絡(luò)安全建議，以確保師生隨時了解當(dāng)前存在的網(wǎng)絡(luò)威脅。同時，學(xué)校鼓勵師生隨時報告任何網(wǎng)絡(luò)安全事件，包括但不限于懷疑ICT 服務(wù)、設(shè)備或賬戶受到威脅，發(fā)現(xiàn)有證據(jù)表明大學(xué)ICT 服務(wù)存在漏洞，未經(jīng)授權(quán)披露敏感信息或發(fā)現(xiàn)學(xué)校資產(chǎn)丟失，發(fā)現(xiàn)有人違反學(xué)校政策。學(xué)校將在網(wǎng)絡(luò)威脅危及校園數(shù)據(jù)安全之前迅速采取措施。