网络安全是一场激烈的猫鼠游戏。
编者按:虽然许多学校对自己的无线覆盖及网络带宽感觉良好,但他们却将面临另外一个由科技设备带来的问题:他们对黑客,或者用更正式的话说,对网络犯罪的防范力有多强?
员工和学生的个人信息对黑客来说是最大的吸引点。联邦贸易委员会(federal trade commission)指出,“儿童的社保号可以被身份窃贼用于申请政府福利、开设银行及信用卡账户、申请贷款或公共服务以及租用住房。”更让人担忧的是,直到申请第一份工作之前,儿童甚至都不会发现自己的身份已经被盗。
即使没有社保账号,学生和员工的数据对于垃圾邮件和经销商也有着商业价值。比起将数据转卖,一部分黑客发现盗取数据后要求赎金更有利可图。黑客们将用户封锁在用户自己的数据之外,直到收到赎金后才解锁。根据cetpa主席aaron barnett在该组织最近一次在萨克拉门托召开的年会上的发言来看,美国有将近10%的教育机构都收到过“勒索软件”。
学区还有一个吸引黑客的原因:简单。许多数学区没有能力负担起对抗这些老练又多变的对手的资源。虽然工具越来越好,但是会熟练使用这些工具并24x7监控网络的员工数却没有增长。在这场“掰手腕”中,学区是注定输掉的那一方。几乎所有我在cetpa遇到的it领导都赞成“学区从单纯受害者变为大举入侵只是时间问题”。
来自洛杉矶郡教育办公室的科技服务部高级经理khai nguyen说,他和他的同事一直提醒自己it只是一个手段,教育才是他们关注的核心。鉴于教育经费在短时间内不会有巨幅增长,所以it部门需要为他们的服务对象寻求更经济有效的科技。比起投资全面的网络安全项目,通过减少本地储存的数据来降低对黑客的吸引力也许对于他们来说更经济有效。将大部分应用都储存在云端似乎更符合经济效益(这就是说让供应商成为“主机”)。
让教育工作者敢于使用科技对于来教育科技业来说是有利的。无线传输,曾让很多教师失望的东西,现在已经大幅改善了。让网络犯罪的阴霾浇灭这样的热情,是教育科技业负担不起的。
相比于直接在学期服务器安装软件而言,提供云储存服务对教育科技公司更有利。这样做可以使产品的部署和维护成本更低。鉴于科技教育公司面临的来自经济和用户支持的挑战,需要让供应商和学校都要受益,从而整体上整个激发教育科技市场。但是即使cetpa会上的it领导们也同意把所有东西都储存在云端只是时间问题。但是我们中的大部分还没有准备好将所有东西都马上包出去,以下是最常被提到的担心:
1. 失去控制权:“我希望能够掌控正在发生的事情。”(难道对于无人驾驶,每个人不是都有相同的担忧吗?);
2. 失去能见度:“我想能随时看到正在进行的事情。”(最早的宇航员也希望在太空舱安一扇窗户,即使他们没有任何能力控制什么);
3. 关于数据所有权的担忧:“我不想冒险,因为供应商可能会倒闭,或者改变主管协议要求我们赎回我们的数据”;
4. 对灵活性的需求:“我希望能够有权进入服务器并与其他应用交互使用”;
5. 对可靠性的担忧:“我们的日常工作时间要求严格,我不能冒险,比如当我需要工资名单时网却断了”;
6. 对于云端更安全这一概念的怀疑:“即使所有的数据都储存在了云端,黑客们仍然可以通过黑掉我们的网络来获取数据”;
7. 对数据隐私的担忧:“我不相信供应商会遵循隐私条款保护我们的学生的数据”;
8. 拒绝:“在保护数据这一方面,我不认为供应商会做的比我们好”;
9. 自我价值:加州某学区的cto承认“让数据在数据中心储存和运行是我们中多数人整个职业生涯都在做的事情,我们需要点儿时间在认知上做出改变”。
几乎所有的谣言和情绪都在某种程度上基于事实。大部分行业专家都认同本质上云端并没有更安全,但是对于资金和人力不足的学区的it部门而言,如果没有外部帮助,他们就不可能在这场激烈的猫鼠游戏中获胜。而且,今天正确的事情在明天也许就不再正确了。据网络安全公司symantec的数据,在2015年发现了54处“0天漏洞”(zero-day vulnerabilities,平台的系统漏洞,如微软windows的漏洞,在修复之前就可被黑客利用),相较于上一年上涨了125%。
科技教育公司不能完全解决以上所有担忧,但是他们可以行动起来,让学区的科技主管们采取云端策略时心里更踏实。由于他们主要的业务就是科技,他们会选择有利于网络安全的最佳做法,并在实际行动中显示透明度,从而使科技主管们信任他们并采取云端储存策略。
但是橘子郡教育办公室的科技执行主管 carl fong 表示,将数据储存在云端并没有减少学区需为数据安全负起的责任。他表示,他们在购买云端服务之前需要确保安全性是符合他们所要求的,同时他们也需要以cetpa及加州郡教育指导协会科技及电讯委员会发布的网络安全框架k-12为指南,来尽可能的防护他们自己的网络。
fong同时强调,他们需要聘请第三方咨询对学区和其供应商进行年度审计,以确保学区资金得到妥善使用。(对于涉及违反数据协议的案件,fong建议陪审团可以不原谅那些声称因资金不足而没有部署网络安全及相关人员的学区。)
因担忧带宽不足会影响教育科技的扩张,奥巴马政府在2013年发布了《教育连接倡议(connect ed initiative)》并扩大了e-rate项目。上千个学区因该项目受益而升级了他们的网络。
根据2015全球信息安全调查,自2009年以来,被探测到的事故以66%的复合增长率增长。通过为it主管们提供让他们安心信赖的云服务,教育科技公司可以维持该行业的增长。也许在未来,在2019年e-rate项目到期时,它可以被调整以帮助学区进行网络安全建设。
公立学校峰会的cto bryant wong和数字安全主管joe bielecki在cetpa的展示则要乐观的多。峰会领导人在安全工具用于“阻挡糟糕的事情”的同时,也允许教师和学生看到可以获取的数据有哪些,以此提供了在数字时代安全生活、茁壮成长的教学机会。
来源:
试用申请