校园网络安全意识
关于网络安全人们应该知道的一件事是什么?“没有愚蠢的问题,”基础设施服务总监皮特·凯洛格说。凯洛格是威廉玛丽大学的信息安全官,一直在努力提高校园的网络安全意识。
作为这一努力的一部分,W&M IT每年10月都会举办全国网络安全宣传月。NCSAM是国土安全部和技术行业之间的一个联合项目,旨在为技术消费者提供资源。2019年的活动以“拥有IT、保护IT、保护IT”为主题,重点关注消费者隐私、设备和安全。
建立对话
“人们多少知道什么是网络安全,”凯洛格说,“但他们不敢谈论这个问题,因为他们认为自己会说错一些话。”他认为,缺乏对话是提高学生、教职员工意识的严重障碍。
凯洛格一直在推动改变威廉与玛丽谈论网络安全的方式。他指出,一些意识已经在有机地建立起来,特别是在那些对网络犯罪有“高度保护意识”的学生中。但他知道,W&M IT需要加紧迎接挑战。
直到几年前,IT部门才把安全基础设施放在首位,而对校园内的网络安全素养关注较少。例如,W&M IT并没有积极地与教师和学生接触,教他们识别网络安全威胁。凯洛格表示:“我们会应各部门的要求与他们接触。”他补充说,这是一种零敲碎打、被动应对的方式,而不是主动出击。
校园网络安全现状
虽然威廉玛丽没有发生任何数据泄露,但凯洛格表示,存在不适当的共享和凭证管理不善以及成功的网络钓鱼企图等问题。他估计,校园里每年有10到15个网络钓鱼受害者。
作为回应,W&M IT正在采取网络安全素养和防御措施,以保护校园免受潜在威胁。从2018年夏天开始,IT部门通过SANS网络安全研究所为W&M员工启动了安全意识培训计划。同样的课程计划于2019年11月开始。该课程是根据W&M系统的需求定制的,借鉴了100多个不同的模块,并使用视频和测验等学习工具,为教职员工展示现实世界的场景,以应用这些概念。每个员工都必须完成培训,并且模块将定期更新新信息。
在防御方面,W&M IT采用了名为Duo的双因素身份验证(2FA)服务。Duo需要使用辅助标识来使用CAS Login登录W&M帐户,例如Blackboard和谷歌Workspace。在获准进入这些系统之前,用户需要通过智能手机(通过Duo应用程序或短信文本代码)或硬件令牌验证自己的身份。Duo为这些包含用户凭据和个人信息的系统提供了额外的防御层。
除了保护用户免受网络钓鱼攻击和数据泄露之外,它还通过不暴露个人身份信息(PII)确保William & 玛丽符合FERPA。2019年春季学期的教职员工和2019年10月初的学生都需要Duo。
随着网络安全威胁的不断发展,W&M IT将继续努力采用解决方案来应对这些威胁。皮特·凯洛格将在前线工作,让对话继续下去。
