应对校园网络安全挑战的关键 人员安全教育及数字身份管理

学校的生态系统与典型企业的生态系统有很大的不同，但他们所面临的威胁挑战却一点都不亚于企业，而且在面向安全的预算也相对较低，随着网络攻击（尤其是勒索软件攻击）的增加，管理者必须要设法防止他们的学校成为下一个受害者，同时保持整个教学过程的连贯性不受中断。

学校和学生的关系不同于企业和雇员之间的关系，教授那些尚处在义务教育阶段的孩子是他们的义务，而非义务教育阶段的学生他们也不能轻易的放弃，考虑到学生群体的复杂性，以及每个学生个人需求的不同，而且这些还会随着年龄（如1个学生从12岁到15岁）在变化，他们在使用设备的能力、安全的意识和技术水平上都有较大差别，因为仅从这一点来看，校园网的安全就较难管理。

从学校的教师、工作人员到学生，经常会使用到学校内的平台、设备，有些还会涉及到学校的网站或应用，更多时候，他们会像多数普通人一样，使用一些常用、重复的账户和密码去注册和登录，这意味着校园网内在身份安全方面将会面临不小的挑战，要知道，校园内的工作人员或者运维人员在管理这些数字身份时有很大的可能是疏于管理的，这就为后续可能遭受网络攻击埋下了伏笔。根据一些案例来看，因某个用户遭受攻击而导致整个学校网络瘫痪的案例是现实存在的，而且数量并不算少。

因此，建立一个双管齐下、以身份为中心的安全措施，包括全面的安全培训和一个灵活的身份和访问管理（IAM）平台，对于减少这些与凭证相关的安全风险将大有帮助。

面向如何防御社工攻击和网络钓鱼的培训不应该仅限于教师和员工，庞大的学生群体可以成为一股强大的防御力量吗，当被告知要注意什么和要避免什么时，并加以一些实战的训练，那么他们在面对潜在的安全风险时会更加的积极，去点击那些恶意链接的可能性也会降低，并会主动避免那些让他人在未经授权访问的情况下去访问学生或教职员工的账户。

学校的IT负责人常常把更多的资源集中在教师和教职工级别的安全措施上，但学生账户数据同样是隐私和重要的。通过让所有学生参与根据他们的年龄和技术水平，去进行量身定制的定期培训，对学校网络的保护而言将大有裨益。

除了安全意识之外，专业安全能力和技术的引入也是必要的，网络攻击的背后是人和技术，那么防御也是如此，比如远程学习可能会涉及到手机和笔记本电脑等移动终端、基于云的工具等等，学校网络的边界其实也已经非常模糊，但考虑到其中所存在的重要敏感信息，学校的数据安全挑战也日益增长。

由于攻击者的目标是学校内人员的数字身份，因此IAM平台提供的强认证和零信任方法会成为提升安全的良好手段。在学校的系统中，重复的人工手动任务可能是一个巨大的弱点，通过IAM平台进行正确的身份生命周期管理，管理员、IT人员、学生以及重要的供应商或其他合作伙伴，可以以一种符合安全策略的方式安全地管理自己的账户，此外，在应用这些技术之后，包括账户的创建/修改/删除的动作都可以是自动化的方式，从而进一步减少了因人工操作问题而出现安全风险的机会。

综合而言，作为一家专注于身份安全的企业，Identity Automation所给出的建议就是对包括所有人员（工作人员及学生等可以接触到学校系统、网络的人）的安全意识教育以及通过专业的身份安全工具、产品及解决方案，会帮助学校提升网络安全水平，当然，他们也还强调了一点，那就是要在网络安全方面保持一定的预算投入。

安全419编译