不管是國內外,學校單位也一直被駭客們公認是最容易攻擊的單位,主要是因為網路速度快、主機數量多、防禦程度相對低落。學校環境既多元化又複雜,因為講求自由且開放,所以很難像企業一板一眼的禁止,而學生也會比較不懂規範,容易因一時興起而做出惡意攻擊的行為。
威脅與控制措施
普遍缺乏資安意識 校園威脅百百種
在學校非常常見的是問題是被外部入侵,從網站被攻陷之後,攻擊者就可以一路存取到學籍資料系統等,最嚴重的狀況,甚至就有某所知名大學被入侵後,駭客可以自己製造學籍、印畢業證書。曾有案例就是老師為了方便,在自己辦公室的個人電腦上架設網站,但網站是使用現成套件以及預設密碼,並沒有特別的安全防護,在被入侵之後,老師所有資料、成績、個人資料,甚至備份全部都可被存取。
由於校園使用者數量眾多且多元,網路環境複雜,資安意識的推廣也不易,因此校園的威脅來源除了常見的電腦病毒及惡意程式,還有網站被入侵的問題,甚至是未經授權的存取,或是缺乏資安意識的內部員工不慎洩漏。包括像是校職員為了方便,就開網路芳鄰共享,但是卻沒有限制共享的權限,造成每個人都可以存取,也有不少狀況是從隨身碟copy出去的狀況,多半是沒有注意資料的重要性,帶到影印店去,資料就流走了。
而在個資法之後,學校單位的風險將不亞於其他產業,尤其是學籍資料的部分應該會讓學校比較頭痛。
建議先做好監控與權限控管、加密
歸納校園內常見的資安威脅有病毒惡意程式、網頁應用程式遭到入侵竄改、未經授權存取、內部員工不慎洩漏等問題,建議的控制項目可為-安全監控、監控特權系統帳號存取行為、強制存取路徑。透過這些實際執行手段,作為最低限度的防護。
這些方法都只能治標,除了治標以外的治本方法,還要針對全體師生,透過教育訓練與演練以提升資安意識,另外對於資料防範的要求,不能只是不被竄改、破壞就好,更要保證資料不會流出且做好儲存加密的機制。不過,即使是教育訓練,能夠改善的幅度也有限,因為職員在教育訓練時會了解,但是真正在平常操作時卻又容易疏忽。此外教育部也規範了教育版的ISMS,可有助於整體資安程序的整頓,並且有標準可遵循,不失為一個打好資安基礎的方法。
治本來不及,先治標:加密
但有些學校的IT控管是統一處理,有些則是分散由各個系所,這種在系統架構上的迥異也會使得管理困難。中央控管還比較可能有預算可運用,但分散式的恐怕就更難了。目前學校面臨到的問題是,一來可能沒預算,二來並沒有資安意識。有很多學校都沒有專職負責資安的單位,甚至很多資訊中心也只有一、兩位職員,往往都是網管兼職,要求只有系統能夠系統正常運作即可。
而每間學校的要求更隨著主管機關或高層要求而有所不同,有些認為整體都要達到資安要求,有些只要網站、資料不被修改就好,有些甚至是覺得資料不要被刪掉就好了,被盜走也沒關係,也有的目標是資料不外洩。只能說,在個資法的驅動之下,校園單位應該要重新審視資安資源的分配比率。
儘管教育部曾要求各教育單位必須通過教育版的ISMS,而大部分的學校也確實通過了,但卻和過去被要求通過ISO 27001的政府A、B級單位一樣,流於形式,並沒有真正的深植在校園體系中或是驗證範圍並未在重要系統。
既然這些管理體制的系統無法迅速的起作用,而校園又面臨到個資法可能帶來的考驗,只能盡量多在權限控管與加密方面,做最低限度的防護,至少在事件發生之後,受害者的個資也不會被輕易的外洩。
教育業安全小提醒
1. 個資法後,學校單位風險將不亞於其他產業,尤其是學籍資料會讓學校更頭痛。 2. 拿教育版ISMS打基礎,至少用權限控管和加密來做好最低限度防護。
|
◎資安需求總表請至 資安二手市集 下載
◎相關系列文章:
企業資安需求─2011資安地圖 使用說明
企業資安需求(一) 政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多
企業資安需求(二) 金融業-表面工夫沒有用 確實運用才有效
企業資安需求(三) 高科技製造業-身分權限是基礎 制度與管理政策更重要
企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險
企業資安需求(五) 中小企業-落實權限管控與分工 避免員工掌握過多資料
企業資安需求(六) 電子商務產業-手握龐大客戶資料 Web AP是安全前哨站