从高等教育中的安全漏洞中学习

高等教育很容易受到针对其金融系统和学生保留率的威胁和风险。移动技术的日益普及促进了高等教育机构安全威胁的扩散。安全漏洞通过黑客攻击、泄露、物理数据丢失、便携式和固定设备对机构产生负面影响而发生。高等教育的安全漏洞不仅会造成损失，还会损害被入侵机构的声誉。许多高等教育机构认为他们不会受到影响。

高等教育中的安全漏洞

保护录取数据:多因素认证平台

2019年3月，黑客窃取了奥柏林、汉密尔顿和格林内尔大学的录取信息。通过鱼叉式网络钓鱼，他们发送了包含生日等机密信息的电子邮件;他们能够诱使学院附属机构点击恶意链接来重置登录凭证。此次攻击与Slate系统软件有关，Slate是全球800多所高等院校广泛使用的管理申请人数据的系统软件。

单次登录系统缺乏多因素身份验证过程，使该软件暴露在网络攻击之下。对于大学来说，通知那些数据被泄露的学生不仅很麻烦，而且学校的声誉也岌岌可危。如果学生担心他们的非公开数据的安全，他们会选择那些保证他们的数据字符串网络安全的机构。

保护电子邮件的重要性

在佛罗里达基斯社区学院泄露了员工的健康和个人信息，包括姓名、出生日期、地址、社会保险号、护照信息、用户名和密码。此次网络攻击发生在2018年5月至11月之间。估计损失根据2018年Ponemon数据泄露报告的成本确认漏洞的时间为167天，控制风险的时间为7天。根据类似案件的年度平均水平，佛罗里达基斯社区学院的回应率高于平均水平。

对该机构电子邮件的攻击使网络犯罪分子能够操纵在IP和域配置、服务器连接和SMTP身份验证控制中发现的漏洞，使您的学院或大学对附属电子邮件地址实施主动和先发制人的网络安全策略变得至关重要。

供应商保护学生档案的风险管理

2015年，斯坦福日报实施的软件即解决方案策略NolijWeb允许学生在线访问他们的通用申请表。该系统要求学生使用他们的身份证号作为记录URL的一部分，这意味着改变几个字符就可以让第三方访问文件。

一名在校学生发现了管理系统的漏洞。随后，斯坦福大学立即禁用并暂停了对申请表的访问，这些申请表受到《家庭教育权利和隐私法案》(FERPA)的保护。系统定期审计要求用户使用认证的学生登录登录网站，暴露了第三方内容威胁。

2017年，斯坦福大学遭遇了类似的漏洞，全校文件共享系统的授权错误允许任何使用安德鲁文件系统的用户访问性侵案件的准备文件。数据泄露也发生在商学院，该网站泄露了非公开员工信息。

在这些情况下，数据泄露是由第三方供应商固有的许可问题引起的。供应商风险管理对于您的机构是必要的，因为它可以防止数据丢失，如果供应商更新或安装新系统，希望改善服务交付。

回应高等教育数据泄露事件

应对安全漏洞的第一步是制定一个计划来应对任何数据丢失。你的计划应该包含以下步骤:

• 识别风险:高校经常忽视数据的存储、传输和收集点是网络攻击的潜在点。黑客瞄准这些点，因为他们可以访问数据并在多年内将其用于邪恶目的而不被发现。对新供应商或更新的系统使用“软件即解决方案”会将数据暴露给潜在的黑客。以斯坦福大学为例，自2009年以来，他们一直在使用NolijWeb扫描他们的文件，六年后才允许学生在线访问记录。只有在这个过程之后，数据才被黑客攻击，证明存储和接入点存在漏洞。因此，这些机构需要专注于确定数据存储、传输和收集的位置。即使当他们向供应商寻求解决方案时，他们也应该确保在确定风险时充分问责。

• 确保网络安全:高等教育机构安装了各种系统，包括图书馆域、访客和学生无线连接，以及电子邮件服务器，以改善低效的服务提供。学生、工作人员和客人使用移动设备导致了安全攻击，增加了这些机构对这些网络建立控制的需求。

• 监控用户访问和认证:多因素访问和认证流程，确保特定机构不受每年高用户流动率的攻击。高等教育机构甚至允许学生在毕业后访问信息，使数据暴露在校友可能制造的潜在攻击之下。在实施多因素访问过程时需要尽职调查。例如，遗失在图书馆的智能手机或笔记本电脑可能成为黑客从你的数据库获取信息的途径。这使得学习机构必须纳入额外的控制，以防止未经授权的访问。

• 监控供应商风险当前位置高等教育机构总是希望新入学的学生能够证明他们的学术能力。您的供应商也应该实现相同的方法，因为他们需要证明自己精通安全。存储、传输或收集任何机构信息的供应商应根据您机构的风险承受能力调整其安全程序。此外，您的机构与其供应商之间的服务水平协议应涉及可接受的控制以及违反数据控制策略的后果。

通过从过去高等教育安全漏洞的例子中学习，你可以避免可能会花费你时间和金钱的潜在陷阱。遵循InfoSec社区和已建立的网络安全框架结合的最佳实践敏捷的遵从方法，您可以导航新出现的风险，并保护您的客户数据免受不良行为者的侵害。