教育資訊安全/管理員意識
本主題的主要目標受眾是 K-12 校級管理員。雖然 K-12、中央辦公室和高等教育管理員不是目標受眾,但他們可能會從這裡提供的資訊中獲得一些見解。
對 K-12 管理員在處理學校資訊安全方面的角色進行研究,很可能得出的結果很少,如果有的話。缺乏資訊的原因很可能是大多數 K-12 管理員根本不認為資訊安全是首要任務。這並不奇怪,因為 K-12 管理員的職位描述通常不包括監控計算機網路流量以查詢潛在威脅或安全漏洞。此外,這種型別的培訓通常不在校長認證課程中。雖然資訊安全對校長來說不是首要任務,也不是他們教育的一部分,但校長可以協助保護學校網路。
為了讓管理員做出明智的決定,他們需要了解問題的根源,而不僅僅是問題本身。就資訊安全而言,問題的根源可能是多方面的。但最有可能的是,問題是人。根據 Schneier (2004) 的說法,“人們通常是安全鏈中最薄弱的環節,並且長期以來一直是安全系統失敗的原因 (p.255)。” 對於 K-12 管理員來說,這意味著資訊安全問題的領先預防措施是員工發展。雖然員工發展一詞通常指的是教師培訓,但在這種情況下,它指的是所有有權訪問學校網路的員工(秘書、清潔工、助理等)。學校員工需要認識到他們在資訊安全中扮演著最重要的角色之一。
涉及學校人員的最大外部威脅之一是社會工程威脅。社會工程是指操縱人們洩露機密資訊的行動。這種型別的威脅在公立學校中很容易被利用,因為大多數公立學校員工雖然瞭解學生保密資訊,但非常願意幫助其他學校人員解決他們的問題。社會工程方案有三種主要型別:藉口、釣魚和誘餌。每種型別的社會工程都可能給學校造成重大問題。
藉口是指建立和使用虛構的情景(藉口)來誘使目標受害者洩露資訊或採取行動,通常透過電話進行。它不僅僅是一個簡單的謊言,因為它通常涉及一些先前的調查或設定以及使用已知資訊的片段。以學校為例,來自聲稱在技術部門工作的人的電話對大多數人員來說很容易被接受,尤其是在打電話時網路沒有正常執行的情況下。
釣魚是一種欺詐性地獲取私人資訊的技術。通常,釣魚者傳送一封看似來自合法企業的電子郵件,以學校為例,來自技術部門或行政部門的假電子郵件,要求“驗證”資訊並警告如果不提供資訊會造成嚴重後果。虛假的電子郵件可能會詢問密碼或學生或人員資訊。教師可能會收到來自“業務經理”的電子郵件,要求更新用於直接存款的銀行資訊,或要求提供社會安全號碼。由於學校記錄和軟體會定期更新,因此來自假業務經理的這種電子郵件可能不會讓員工感到奇怪。
誘餌是一種利用物理介質並依賴於受害者好奇心或貪婪的攻擊。在這種攻擊中,攻擊者將感染惡意軟體的 CD-ROM 或 USB 快閃記憶體驅動器放在肯定會被發現的地方(浴室、電梯、人行道、停車場),在上面貼上看起來很合法且令人好奇的標籤,然後等待受害者使用該裝置。這兩種情況下,僅僅將光碟插入計算機以檢視內容,使用者就會在不知不覺中在其上安裝惡意軟體,這可能會讓攻擊者無限制地訪問受害者的 PC,也許還有目標學校的內部計算機網路。除非計算機控制阻止感染,否則設定為“自動執行”插入介質的 PC 可能在插入惡意光碟後立即被感染。為了使這種攻擊在學校成功,攻擊者無需花費太多功夫。任何學校員工都可能成為這種攻擊的目標,因為目標是將“丟失的”裝置歸還給其所有者,而所有者會被認為是學生。
然而,應該提到,社會工程攻擊並不是唯一可能針對學區發起的外部攻擊。密碼駭客攻擊、埠掃描和其他攻擊是可能的,但這些攻擊永遠不會被建築管理員看到,因為他們通常不會參與處理這些攻擊。
針對學校網路的內部攻擊比外部攻擊更為常見。大多數情況下,內部攻擊是由學生髮起的。學生攻擊學校網路的原因有很多。學生攻擊學校網路最常見的原因是樂趣。他們只是想看看自己是否能做到,他們還想看看自己做了會發生什麼。這些學生通常不會對網路造成損害。然而,有惡意意圖的學生能夠對學校的網路造成巨大損害。在任何一天,學生都可以輕鬆地使用快閃記憶體驅動器或上面描述的其他裝置,將各種病毒、惡意軟體、間諜軟體或其他危險程式植入學校的網路。其中一些程式能夠消滅整個地區的網路,更不用說一所學校了。同樣的情況也適用於懷有不滿情緒的員工,他們擁有更多訪問許可權和更多網路許可權。
管理員可以透過多種方法來防止學校成為資訊安全攻擊的目標。第一步是正如本書標題所述,保持警覺。學校管理者每天都有很多工作要處理,技術問題通常不在他們的優先事項清單中。但這並不意味著他們應該對技術問題一無所知。瞭解一些專業術語並積極主動地採取預防措施至關重要。對網路安全要像對物理安全一樣重視。
如前所述,員工培訓是預防攻擊的關鍵。認為員工培訓能完全防止網路攻擊是荒謬的。就像管理者一樣,員工也需要提高安全意識。僅僅依靠常識是不夠的。大多數員工能開機、關機、打字、製作表格,並在網路上衝浪,但他們並非計算機專家,缺乏發現潛在攻擊或意識到自己可能成為社會工程詐騙受害者的知識。
使用像Sychroneyes這樣的課堂管理軟體也是確保資訊安全的一步。此類軟體允許教師同時檢視所有學生的電腦螢幕。軟體還允許教師遠端停用學生電腦,向他們傳送即時訊息,並捕捉每個學生的螢幕截圖。儘管這是一款非常有價值的工具,但它不能代替教師。教師在學生使用電腦時巡視教室,教育他們如何正確使用電腦和安全措施仍然至關重要。
最後,一份包含電腦濫用後果的綜合學生手冊,以及一份可接受使用政策 (AUP) 是必不可少的。學生手冊和AUP 都必須包含明確規定以下內容的條款:學校的電腦和網路的使用方法,誰可以使用它們,以及何時可以使用它們。如上所述,濫用行為的處罰應清楚地列出。
- Schneier, B. (2004). 《秘密與謊言》。印第安納波利斯,印第安納州:Wiley 出版社。
- https://zh.wikipedia.org/wiki/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E8%A1%A8%E7%A4%BA_(%E5%AE%89%E5%85%A8)