高等教育中的網絡安全：問題與解決方案

高等教育機構面臨著持續不斷的網絡攻擊。 2015 年發生一起事件後，賓夕法尼亞州立大學前信息技術副教務長 Kevin Morooney 告訴《紐約時報》，賓夕法尼亞州立大學平均每天面臨 2000 萬次攻擊，這是“研究型大學的典型數字”。

從此類威脅可能產生的財務影響的一小部分樣本開始，數字取證和網絡安全公司 LIFARS 在 2016 年的一份報告中估計，魚叉式網絡釣魚攻擊——旨在滲透組織並竊取敏感信息，通常通過電子郵件——使企業平均損失每次事件 180 萬美元。 在 2017 年的一份報告中，Cyber​​security Ventures 預測，涉及勒索軟件的攻擊——威脅要竊取、阻止或發布受害者的數據，除非支付贖金——將在 2017 年造成大約 50 億美元的損失，高於 2015 年的 3.25 億美元。

在 BitSight（一家網絡風險管理公司）發布的 2016 年報告中，高等教育的勒索軟件攻擊率在所有調查的行業中最高，在 BitSight 2017 年的報告中排名第二。 因此，大學正在夜以繼日地工作，以加強他們對這些巨大的潛在損失的防禦。 正如印第安納大學研究和教育網絡信息共享與分析中心執行主任金米爾福德在 2016 年數字教育中心撰寫的一篇文章中所說，大學現在“陷入了一場昂貴的軍備競賽”，因為它們正在探索新的學習方式。既要與當前的攻擊作鬥爭，又要在即將到來的攻擊之前保持領先一步。 米爾福德說，無論網絡攻擊是否成功，它們都是大學被迫解決的代價高昂且始終存在的問題。

網絡攻擊可能比潛在的經濟損失更嚴重，對大學的聲譽和學生的安全構成嚴重威脅。

但網絡攻擊帶來的風險超出了高等教育世界的經濟損失。 事實上，學院和大學擁有大量敏感數據，從學生社會安全號碼到寶貴的知識產權，如果被盜或洩露，可能會造成遠遠超出學院範圍的重大損害。 也許比上述潛在的經濟損失更嚴重的是，網絡攻擊對大學的聲譽和學生的安全構成了嚴重威脅。

儘管威脅在不斷發展，但高校必須繼續投資於應對未來網絡安全挑戰所需的人才和基礎設施。 本文將進一步闡明為高等教育機構開發網絡安全專業知識的重要性，並提供應對這些挑戰的策略。 從研究為什麼高校特別容易受到網絡攻擊開始，我們將尋求了解攻擊者用來利用這些漏洞的策略，並提出一系列建議，旨在讓高校更好地應對未來的網絡威脅。

為什麼高等教育易受攻擊？

雖然幾乎每個主要行業都面臨著重大的網絡安全挑戰，但由於許多關鍵原因，高等教育尤其容易受到攻擊。

其中之一與學術界獨特的文化有關，這種文化以大多數行業缺乏的某種程度的開放和透明而自豪。 正如印第安納大學應用網絡安全研究中心主任 Fred Cate 在 2013 年 UniversityBusiness 的一篇文章中所闡述的那樣，學院和大學歷來致力於確保“我們的教職員工、我們的學生、我們的公眾和我們的捐助者 [可以]對我們來說很容易。” 這篇文章說，這使得大學和大學的計算機網絡“像他們的校園一樣開放和吸引人”。

另一個原因與歷史有關——特別是高校在線的時間。 SecurityScorecard（第三方風險管理公司）的首席研究官 Alex Heid 在 2016 年 EducationDIVE 的一篇文章中表示，大學一直是網絡攻擊的主要目標，這在很大程度上是因為“大學是最早可以訪問互聯網的地方之一，並且擁有互聯網訪問讓人們試圖看看這能走多遠。” 由於擁有互聯網的時間相對較長，高校長期以來一直是可見的目標，因此它們的弱點很可能為網絡攻擊者所熟知和了解。

網絡攻擊者使用尖端技術和方法來利用在某些情況下嚴重過時和無法匹敵的大學系統。

由於高校在採用數字工具和界面方面如此早（並且由於財務和其他實際問題），許多高等教育機構仍然依賴於特別容易受到攻擊的遺留系統。 “很多大學都使用幾年前寫的東西，”海德在上述文章中說。 簡而言之，網絡攻擊者使用尖端技術和方法來利用在某些情況下嚴重過時和無法匹敵的大學系統。

更具體地說，大學 IT 系統通常具有分散的特徵，在 Heid 看來，攻擊者可以輕鬆利用這種隨意的結構。 在 2017 年為數據風險管理和軟件公司 Code42 撰寫的博客文章中，Ashley Jarosch 指出，雖然從運營的角度來看，各個部門在自己的 IT 結構下運營可能是有意義的（她寫道，大學的天體物理學部門可能會有不同的比大學文學系的技術需求，例如），這種零散的設置會造成明顯的信息安全漏洞。 “在十幾個（或幾十個）部門中，很有可能至少有一個部門擁有過時的設備和未打補丁的操作系統、電子郵件過濾和 AV 不足、數據備份錯誤或用戶培訓和政策不足，”Jarosch 寫道。

儘管網絡安全人才的短缺不是高等教育特有的問題，但它是高校為解決上述問題必須克服的重大障礙。 諮詢公司 Frost & Sullivan 最近進行的一項研究預測，到 2020 年將有 180 萬個網絡安全職位空缺，而且這種人才短缺現像在全球範圍內都存在，全球近 70% 的專業人士表示，網絡安全人員太少. 由於對網絡安全人才的需求遠遠超過供應，公司通常會為網絡安全專業知識付出高昂的代價。 這可能會使高校在試圖吸引這些人才離開 Alphabet、Facebook 等高薪私營部門的工作崗位時處於嚴重劣勢。

了解了高等教育網絡安全漏洞背後的原因後，我們現在可以探索利用這些漏洞的方式。

攻擊者如何利用漏洞

惡意行為者在發起網絡攻擊時會使用多種策略和工具。 下面概述了兩種最常見的此類方法。 雖然這份清單絕不是詳盡無遺的，也不是學院和大學獨有的，但它將提供對黑客如何旨在利用網絡安全漏洞的確切了解，並證明有助於考慮如何最好地阻止此類攻擊的發展。

SQL 注入：被一些人描述為“可以說是 Web 應用程序面臨的最嚴重的問題”，簡單來說，SQL 注入 (SQLi) 是旨在通過利用某些應用程序基礎的數據庫來繞過密碼保護的攻擊。 SQL（標準查詢語言）是一種管理數據庫並與數據庫通信的語言。 SQL 注入通過利用輸入頁面（例如用戶名和密碼登錄頁面）底層代碼中的弱點來工作，並強制給定數據庫返回敏感信息。 例如，當面對用戶名和密碼登錄頁面時，攻擊者可以將一部分 SQL 代碼輸入（“注入”）到密碼部分。 如果底層數據庫的代碼易受攻擊，該 SQL 代碼可以修改底層數據庫並強制數據庫控制的應用程序允許黑客訪問。

高校有無數受密碼保護的在線應用程序，從學生成績報告到教師就業信息，理論上可以使用 SQL 注入破解。 2017 年 2 月發生了一次此類針對高等教育的攻擊，當時一名俄羅斯黑客或黑客組織使用 SQL 注入從包括康奈爾大學和紐約大學在內的數十所美國高校竊取數據。 只要高等教育機構的基礎數據庫中仍然存在弱點，SQL 注入可能仍然很常見，而且很容易被黑客利用。

網絡釣魚：如本文開頭所述，網絡釣魚攻擊的特點是電子郵件或網頁旨在欺騙用戶輸入敏感數據，例如密碼或信用卡信息。 普林斯頓大學的信息安全辦公室提供了有關此類攻擊通常如何表現的有用概述：

“通常，網絡釣魚者會向一大群人發送一封電子郵件，這些人的地址是他從互聯網上的地址簿和網站中捕獲的。 該消息通常精心製作且具有官方外觀，可能聲稱來自金融機構、服務提供商或收件人已知的任何其他組織……通常，收件人被要求通過單擊網站鏈接來提供信息電子郵件。 但是，雖然指向該網站的鏈接可能看起來合法，但顯示的鏈接不一定是您點擊時訪問的實際網站。”

去年，教育行業 30% 的用戶因冒充企業通信的網絡釣魚詐騙而墮落，這一比例是普通人群的兩倍。

網絡釣魚攻擊可以有廣泛的最終目標，從竊取用戶數據到在受害者的計算機上安裝勒索軟件和提取財務付款。 雖然這些攻擊看起來很明顯且很容易避免，但研究表明，絕大多數企業都是網絡釣魚詐騙的受害者。 事實證明，教育行業特別容易受到影響，因為 Wombat Security ——一家致力於幫助公司打擊網絡釣魚攻擊的軟件公司——在 2017 年的一份報告中發現，教育行業 30% 的用戶點擊了冒充企業通信的網絡釣魚詐騙，這一數字翻了一番總人口的比率，在去年。

雖然上述策略已被證明是有效的，但我們將看到它們是可以預防的。

如何預防攻擊：更好的代碼和更高的警惕性

存在許多用於對抗上述網絡攻擊的策略。 有些涉及高等教育 IT 專業人員必須自己採用的策略，而另一些涉及高等教育社區中的每個人（包括最終用戶）必須實施的策略：

通過準備好的語句、存儲過程和輸入驗證阻止 SQLi 攻擊

關於如何防止 SQL 注入攻擊已經寫了很多，並且一致認為這樣做實際上可能並不是特別困難。 開放 Web 應用程序安全項目 (OWASP) 概述瞭如何避免 SQLi 攻擊。 OWASP 引用了三個主要策略：

準備好的陳述：高校應該使用準備好的陳述來構建他們的基礎數據庫。 正如 OWASP 所說，“準備好的語句確保攻擊者無法更改查詢的意圖，即使攻擊者插入了 SQL 命令。” 本質上，準備好的語句可以使冒充用戶輸入數據（用戶名和密碼）的 SQL 命令無能為力。

存儲過程：根據 OWASP，存儲過程可以具有與預準備語句相同的效果，主要區別在於“存儲過程的 SQL 代碼被定義並存儲在數據庫本身中，然後從應用程序中調用”。 正如 OWASP 和其他人所寫的那樣，存儲過程可能並不總是適用於防禦 SQLi 攻擊，但如果編寫和實施得當，則可以作為學院和大學的可行選擇。

輸入驗證：SQL 注入攻擊利用不交叉引用和驗證輸入數據的應用程序和數據庫。 因此，防止這些攻擊的一個合乎邏輯的步驟是確保正在構建的數據庫需要輸入驗證。 微軟還將輸入驗證作為在其 ASP.net Web 開發模型中避免 SQLi 攻擊的關鍵技術。

通過培訓和高度懷疑來防止網絡釣魚

與可以通過內部技術修復來防止 SQLi 攻擊不同，防止網絡釣魚詐騙在很大程度上依賴於最終用戶——教職員工和學生。 高校應採取幾個步驟來確保所有最終用戶保持警惕：

電子郵件過濾器：作為最初的簡單步驟，高校應設置電子郵件過濾器，將可疑的非大學電子郵件發送到用戶的垃圾郵件文件夾。 雖然這遠非萬無一失的解決方案，但它是防止惡意電子郵件到達目標的重要第一步。

培訓和宣傳活動：高校應要求最終用戶接受有關網絡釣魚是什麼以及如何識別它的培訓。 有公司致力於提供這項服務，高等教育機構必須願意投入必要的時間和資源來適當地教育他們的教職員工。 正如 Infosecurity 雜誌中的一篇文章所指出的，這種培訓應該相對定期地重複，並且應該讓用戶面臨各種各樣的網絡釣魚攻擊。 提供真實攻擊的示例並為此類攻擊創建存儲庫，就像普林斯頓大學在其“網絡釣魚碗”中所做的那樣，也可以提高認識。

“對我們的客戶進行安全計算方面的教育帶來了最大的回報之一。”

華盛頓州立大學信息技術服務副總裁兼首席信息官 Sasi Pillay 表示，他和他的團隊每年都會舉辦一次網絡安全意識月，並試圖創建一種普遍的“網絡意識文化”來打擊網絡釣魚——該大學的數字一個網絡安全問題。 “對我們的客戶進行安全計算方面的教育帶來了最大的回報之一，”皮萊說。

儘管上面列出的策略並不全面，也可能無法阻止每一次攻擊，但它們代表了相對簡單的步驟，可以在高等教育對抗潛在的網絡威脅方面產生顯著的好處。

安全未來的關鍵

了解漏洞、常見網絡攻擊的工作原理以及如何防止此類攻擊對於為高等教育創造更安全且財務穩定的未來至關重要。 然而，網絡威脅在不斷發展，無法保證今天面臨的威脅（以及減輕威脅的策略）與未來的威脅相似。

對於 Sasi Pillay 來說，網絡安全的長期解決方案必須包括對軟件編寫和設計方式的根本性改變。

“我的夢想和長期願景是能夠在受損害的環境中進行安全計算，”皮萊說。 “我們需要做的是顯著改變我們今天編寫軟件的方式。 軟件開發需要加強，以便人們將安全風險和風險考慮在內。”

本文簡要提到的應對未來網絡安全挑戰的另一個關鍵是在該領域僱傭一支強大、穩定的專家團隊。 當然，這說起來容易做起來難，因為大學預算緊張，人才稀缺。 儘管如此，有很多方法可以解決這個問題，包括聘請專業的自由職業者和願意遠程工作的人。

儘管高等教育面臨著巨大的網絡安全挑戰並且解決這些挑戰的成本很高，但防禦不足帶來的潛在財務和聲譽風險可能更高。 高等教育領域的機構可能會發現，有效的網絡安全解決方案最終可以收回成本。