高等教育中的网络安全：问题与解决方案

高等教育机构面临着持续不断的网络攻击。 2015 年发生一起事件后，宾夕法尼亚州立大学前信息技术副教务长 Kevin Morooney 告诉《纽约时报》，宾夕法尼亚州立大学平均每天面临 2000 万次攻击，这是“研究型大学的典型数字”。

从此类威胁可能产生的财务影响的一小部分样本开始，数字取证和网络安全公司 LIFARS 在 2016 年的一份报告中估计，鱼叉式网络钓鱼攻击——旨在渗透组织并窃取敏感信息，通常通过电子邮件——使企业平均损失每次事件 180 万美元。 在 2017 年的一份报告中，Cyber​​security Ventures 预测，涉及勒索软件的攻击——威胁要窃取、阻止或发布受害者的数据，除非支付赎金——将在 2017 年造成大约 50 亿美元的损失，高于 2015 年的 3.25 亿美元。

在 BitSight（一家网络风险管理公司）发布的 2016 年报告中，高等教育的勒索软件攻击率在所有调查的行业中最高，在 BitSight 2017 年的报告中排名第二。 因此，大学正在夜以继日地工作，以加强他们对这些巨大的潜在损失的防御。 正如印第安纳大学研究与教育网络信息共享与分析中心执行主任金米尔福德在 2016 年数字教育中心撰写的一篇文章中所说，大学现在“陷入一场昂贵的军备竞赛”，因为它们正在探索新的学习方式。既要与当前的攻击作斗争，又要在即将到来的攻击之前保持领先一步。 米尔福德说，无论网络攻击是否成功，它们都是大学被迫解决的代价高昂且始终存在的问题。

网络攻击可能比潜在的经济损失更严重，对大学的声誉和学生的安全构成严重威胁。

但网络攻击带来的风险超出了高等教育世界的经济损失。 事实上，学院和大学拥有大量敏感数据，从学生社会安全号码到宝贵的知识产权，如果被盗或泄露，可能会造成远远超出学院范围的重大损害。 也许比上述潜在的经济损失更严重的是，网络攻击对大学的声誉和学生的安全构成了严重威胁。

尽管威胁在不断发展，但高校必须继续投资于应对未来网络安全挑战所需的人才和基础设施。 本文将进一步阐明为高等教育机构开发网络安全专业知识的重要性，并提供应对这些挑战的策略。 从研究为什么高校特别容易受到网络攻击开始，我们将寻求了解攻击者用来利用这些漏洞的策略，并提出一系列建议，旨在让高校更好地应对未来的网络威胁。

为什么高等教育易受攻击？

虽然几乎每个主要行业都面临着重大的网络安全挑战，但由于许多关键原因，高等教育尤其容易受到攻击。

其中之一与学术界独特的文化有关，这种文化以大多数行业缺乏的某种程度的开放和透明而自豪。 正如印第安纳大学应用网络安全研究中心主任 Fred Cate 在 2013 年 UniversityBusiness 的一篇文章中所阐述的那样，学院和大学历来致力于确保“我们的教职员工、我们的学生、我们的公众和我们的捐助者 [可以]对我们来说很容易。” 这篇文章说，这使得大学和大学的计算机网络“像他们的校园一样开放和吸引人”。

另一个原因与历史有关——特别是高校在线的时间。 SecurityScorecard（第三方风险管理公司）的首席研究官 Alex Heid 在 2016 年 EducationDIVE 的一篇文章中表示，大学一直是网络攻击的主要目标，这在很大程度上是因为“大学是最早可以访问互联网的地方之一，并且拥有互联网访问让人们试图看看这能走多远。” 由于拥有互联网的时间相对较长，高校长期以来一直是可见的目标，因此它们的弱点很可能为网络攻击者所熟知和了解。

网络攻击者使用尖端技术和方法来利用在某些情况下严重过时和无法匹敌的大学系统。

由于高校在采用数字工具和界面方面如此早（并且由于财务和其他实际问题），许多高等教育机构仍然依赖于特别容易受到攻击的遗留系统。 “很多大学都使用几年前写的东西，”海德在上述文章中说。 简而言之，网络攻击者使用尖端技术和方法来利用在某些情况下严重过时和无法匹敌的大学系统。

更具体地说，大学 IT 系统通常具有分散的特征，在 Heid 看来，攻击者可以轻松利用这种随意的结构。 在 2017 年为数据风险管理和软件公司 Code42 撰写的博客文章中，Ashley Jarosch 指出，虽然从运营角度来看，各个部门在自己的 IT 结构下运营可能是有意义的（她写道，大学的天体物理学部门可能会有不同的比大学文学系的技术需求，例如），这种零散的设置会造成明显的信息安全漏洞。 “在十几个（或几十个）部门中，很有可能至少有一个部门拥有过时的设备和未打补丁的操作系统、电子邮件过滤和 AV 不足、数据备份错误或用户培训和政策不足，”Jarosch 写道。

尽管网络安全人才的短缺不是高等教育特有的问题，但它是高校为解决上述问题必须克服的重大障碍。 咨询公司 Frost & Sullivan 最近进行的一项研究预计，到 2020 年，将有 180 万个网络安全职位空缺，而且这种人才短缺现象在全球范围内都存在，全球近 70% 的专业人士表示，员工中的网络安全人员太少. 由于对网络安全人才的需求远远超过供应，公司通常会为网络安全专业知识付出高昂的代价。 这可能会使高校在试图吸引这些人才离开 Alphabet、Facebook 等高薪私营部门的工作岗位时处于严重劣势。

了解了高等教育网络安全漏洞背后的原因后，我们现在可以探索利用这些漏洞的方式。

攻击者如何利用漏洞

恶意行为者在发起网络攻击时会使用多种策略和工具。 下面概述了两种最常见的此类方法。 虽然这份清单绝不是详尽无遗的，也不是学院和大学独有的，但它将提供对黑客如何旨在利用网络安全漏洞的确切了解，并证明有助于考虑如何最好地阻止此类攻击的发展。

SQL 注入：被一些人描述为“可以说是 Web 应用程序面临的最严重的问题”，简单来说，SQL 注入 (SQLi) 是旨在通过利用某些应用程序基础的数据库来绕过密码保护的攻击。 SQL（标准查询语言）是一种管理数据库并与数据库通信的语言。 SQL 注入通过利用输入页面（例如用户名和密码登录页面）底层代码中的弱点来工作，并强制给定数据库返回敏感信息。 例如，当面对用户名和密码登录页面时，攻击者可以将一部分 SQL 代码输入（“注入”）到密码部分。 如果底层数据库的代码易受攻击，该 SQL 代码可以修改底层数据库并强制数据库控制的应用程序允许黑客访问。

高校有无数受密码保护的在线应用程序，从学生成绩报告到教师就​​业信息，理论上可以使用 SQL 注入破解。 2017 年 2 月发生了一次此类针对高等教育的攻击，当时一名俄罗斯黑客或黑客组织使用 SQL 注入从包括康奈尔大学和纽约大学在内的数十所美国高校窃取数据。 只要高等教育机构的基础数据库中仍然存在弱点，SQL 注入可能仍然很常见，而且很容易被黑客利用。

网络钓鱼：如本文开头所述，网络钓鱼攻击的特点是电子邮件或网页旨在欺骗用户输入敏感数据，例如密码或信用卡信息。 普林斯顿大学的信息安全办公室提供了有关此类攻击通常如何表现的有用概述：

“通常，网络钓鱼者会向一大群人发送一封电子邮件，这些人的地址是他从互联网上的地址簿和网站中捕获的。 该消息通常精心制作且具有官方外观，可能声称来自金融机构、服务提供商或收件人已知的任何其他组织……通常，收件人被要求通过单击网站链接来提供信息电子邮件。 但是，虽然指向该网站的链接可能看起来合法，但显示的链接不一定是您点击时访问的实际网站。”

去年，教育行业 30% 的用户因冒充企业通信的网络钓鱼诈骗而堕落，这一比例是普通人群的两倍。

网络钓鱼攻击可以有广泛的最终目标，从窃取用户数据到在受害者的计算机上安装勒索软件和提取财务付款。 虽然这些攻击看起来很明显且很容易避免，但研究表明，绝大多数企业都是网络钓鱼诈骗的受害者。 事实证明，教育行业特别容易受到影响，因为 Wombat Security ——一家致力于帮助公司打击网络钓鱼攻击的软件公司——在 2017 年的一份报告中发现，教育行业 30% 的用户点击了冒充企业通信的网络钓鱼诈骗，这一数字翻了一番。总人口的比率，在去年。

虽然上述策略已被证明是有效的，但我们将看到它们是可以预防的。

如何预防攻击：更好的代码和更高的警惕性

存在许多用于对抗上述网络攻击的策略。 有些涉及高等教育 IT 专业人员必须自己采用的策略，而另一些涉及高等教育社区中的每个人（包括最终用户）必须实施的策略：

通过准备好的语句、存储过程和输入验证阻止 SQLi 攻击

关于如何防止 SQL 注入攻击已经写了很多，并且一致认为这样做实际上可能并不是特别困难。 开放 Web 应用程序安全项目 (OWASP) 概述了如何避免 SQLi 攻击。 OWASP 引用了三个主要策略：

准备好的陈述：高校应该使用准备好的陈述来构建他们的基础数据库。 正如 OWASP 所说，“准备好的语句确保攻击者无法更改查询的意图，即使攻击者插入了 SQL 命令。” 本质上，准备好的语句可以使冒充用户输入数据（用户名和密码）的 SQL 命令无能为力。

存储过程：根据 OWASP，存储过程可以具有与预准备语句相同的效果，主要区别在于“存储过程的 SQL 代码被定义并存储在数据库本身中，然后从应用程序中调用”。 正如 OWASP 和其他人所写的那样，存储过程可能并不总是适用于防御 SQLi 攻击，但如果编写和实施得当，则可以作为学院和大学的可行选择。

输入验证：SQL 注入攻击利用不交叉引用和验证输入数据的应用程序和数据库。 因此，防止这些攻击的一个合乎逻辑的步骤是确保正在构建的数据库需要输入验证。 微软还将输入验证作为在其 ASP.net Web 开发模型中避免 SQLi 攻击的关键技术。

通过培训和高度怀疑来防止网络钓鱼

与可以通过内部技术修复来防止 SQLi 攻击不同，防止网络钓鱼诈骗在很大程度上依赖于最终用户——教职员工和学生。 高校应采取几个步骤来确保所有最终用户保持警惕：

电子邮件过滤器：作为最初的简单步骤，高校应设置电子邮件过滤器，将可疑的非大学电子邮件发送到用户的垃圾邮件文件夹。 虽然这远非万无一失的解决方案，但它是防止恶意电子邮件到达目标的重要第一步。

培训和宣传活动：高校应要求最终用户接受有关网络钓鱼是什么以及如何识别它的培训。 有公司致力于提供这项服务，高等教育机构必须愿意投入必要的时间和资源来适当地教育他们的教职员工。 正如 Infosecurity 杂志中的一篇文章所指出的，这种培训应该相对定期地重复，并且应该让用户面临各种各样的网络钓鱼攻击。 提供真实攻击的示例并为此类攻击创建存储库，就像普林斯顿大学在其“网络钓鱼碗”中所做的那样，也可以提高认识。

“对我们的客户进行安全计算方面的教育带来了最大的回报之一。”

华盛顿州立大学信息技术服务副总裁兼首席信息官 Sasi Pillay 表示，他和他的团队每年都会举办一次网络安全意识月，并寻求建立一种普遍的“网络意识文化”来打击网络钓鱼——该大学的数字一个网络安全问题。 “对我们的客户进行安全计算方面的教育带来了最大的回报之一，”皮莱说。

尽管上面列出的策略并不全面，也可能无法阻止每一次攻击，但它们代表了相对简单的步骤，可以在高等教育对抗潜在的网络威胁方面产生显着的好处。

安全未来的关键

了解漏洞、常见网络攻击的工作原理以及如何防止此类攻击对于为高等教育创造更安全且财务稳定的未来至关重要。 然而，网络威胁在不断发展，无法保证今天面临的威胁（以及减轻威胁的策略）与未来的威胁相似。

对于 Sasi Pillay 来说，网络安全的长期解决方案必须包括对软件编写和设计方式的根本性改变。

“我的梦想和长期愿景是能够在受损害的环境中进行安全计算，”皮莱说。 “我们需要做的是显着改变我们今天编写软件的方式。 软件开发需要加强，以便人们将安全风险和风险考虑在内。”

本文简要提到的应对未来网络安全挑战的另一个关键是在该领域雇佣一支强大、稳定的专家团队。 当然，这说起来容易做起来难，因为大学预算紧张，人才稀缺。 尽管如此，有很多方法可以解决这个问题，包括聘请专业的自由职业者和愿意远程工作的人。

尽管高等教育面临着巨大的网络安全挑战并且解决这些挑战的成本很高，但防御不足带来的潜在财务和声誉风险可能更高。 高等教育领域的机构可能会发现，有效的网络安全解决方案最终可以收回成本。