对于大学来说，网络安全往往意味着进退两难的困境。

　　学校希望能够在全体老师、学生和研究人员之间自由地共享思想和信息，无论是在校园内，还是在学校之间。这就为保护网络安全带来了新的挑战。与商业机构不同，学校不能依靠传统的防火墙来把安全威胁抵挡在外。

　　Michael Gavin是Forrester Research的高级分析员，他表示，“大学想要建设更加开放的环境，任何人都能够自由地进行协作研究，或者同其他大学进行合作”，“结果是大学很难采取那些会妨碍人们进行协作的安全措施。”

　　这就造成了一种进退两难的局面，这种局面让学校的系统可能会面临比较大的风险。早些时候，North Texas大学遭到了黑客攻击，黑客访问并获取了大概39,000名学生和毕业生的住房及经济援助记录。California State Polytechnic Universityin Pomona和University of Colorado大学，在八月份也遭到了攻击，这还仅仅是学术机构遭遇到的大量这类事件的冰山一角。

　　当他们面临攻击，学校的IT专家会采取专业手段来保护数据和信息的安全。他们提出种种方法，让使用不同机器，获得不同授权程度的用户能够方便地访问他们的网络。随着移动工作越来越流行，公司开始面临着与学校同样的问题，很多美国的企业发现他们可以从学校学习到很多如何解决安全问题的经验。

　　专家表示，学校的开放网络有着悠久的历史，同公司相比更是如此，所以学校会收到更多的垃圾邮件、病毒和其他的安全攻击。

　　“对于可能的入侵者来说，大学似乎成了很大的攻击目标，”California Institute of Technology的ITS网络系统安全专家RuthAnneBevier表示。“我认为这可能是由于几个原因。其中之一是大学通常有意保持开放的网络，并且不安装周边防火墙。”

　　她表示，所以如果大学网络里的电脑运行了有安全漏洞的软件，那么对于外界的攻击者来说，就是一个很好的机会，攻击者可以利用任何安全漏洞进行活动。大学校园里常见的高速连接对于攻击者来说也是一种优点，这让发动攻击更加容易。

　　Bevier补充说尽管公司可能遇到一些和大学面临的相同的问题，关键的不同在于用于学术领域的计算机不需要时刻警惕安全的问题。造成这种情况的部分原因是由于使用学校网络的用户包括教职员工、学生、访问学者等，所有这些人都经常在网络里使用自己的计算机，这些计算机使用的安全软件各不相同，安全程度也不一样。

　　Bevier表示，“很多学校会有一个中心来管理计算机，这个中心通常不能控制网络中所有，甚至大部分的计算机”。“或者说它的角色更像一个顾问，而对于安全的强制程度比较弱。”

　　相反的方法

　　为了满足他们特殊的需求，大学和学院采取的安全方式是让所有人都进入网络，除非需要把它排除在外。这同企业的做法正好相反，企业的典型做法是把所有用户都阻挡在外，除非需要让他们连接进网络。摩托罗拉的信息安全和保护副总裁William Boni曾经研究过校园安全问题，并把学院派的方法比喻成细胞膜。

　　Boni表示，“防火墙是一道防护的墙，把用户阻挡在外”。“但是细胞膜是允许有益的物质通过，把有害的物质阻挡在外。”

　　与使用防火墙把整个网络圈起来的做法相反，很多学校创建了“zonesoftrust”（可信任区域）。一个学校的网络可能有不同的安全级别，根据校园信息的敏感程度，要求不同的授权。这种方法能够让用户看到课程信息，但是又阻止他们查看学生记录。

　　微软针对Trustworthy Computing的External Research Programs（外部研究计划）的高级项目经理DavidLadd表示，“有些学校是将人们划分成不同的区，区之间的访问控制是动态的”。“与其说这是一种技术上的进步，不如说是一种政策上的进步。”

　　可信任区域需要认证，诸如密码和身份验证之类的安全方法已被密切关注。

　　Bevier表示，Caltech已经停止使用社会安全号码作为唯一的身份标识。Rodney Petersen是非盈利性机构Educause的安全产品协调者，这是一个专注于高等教育IT领域的组织。他表示，而且很多大学正在尝试建立联盟，在这种结构下，一个学校的授权用户能够使用他的ID或者密码来访问联盟中其他学校的图书馆、计算机实验室或者其他系统，例如，在马里兰，一个学生使用条形码，可以使用13个州立大学图书馆中的在线信息。

　　Petersen表示，学校也开始采取行动把办公网络和校园网分离开。这种方法最初是为了释放校园网的带宽，但是后来人们却发现这种做法也提高了安全性。

　　MIT（麻省理工学院）的网络经理Jeff Schiller表示，另一种方法是隔离所有的电脑，直到他们通过检验为止。麻省理工学院的网络上连接着超过50,000电脑，而且没有安装防火墙。同其他很多学院一样，当一台电脑第一次登陆网络的时候，网络会对它进行隔离，系统将会自动对该机器进行扫描，检查是否安装了适当的安全软件升级包，一旦通过确认，它就可以访问网络了。

　　Educause的Petersen表示，很多学校都报告说在学年开始的时候，要花费$100,000到$200,000来解决IT安全问题，但是在使用检疫技术以后，这一费用降低了一大半。

　　由于没有防火墙，MIT（麻省理工学院）不得不在应用和主机层面解决安全问题，Schiller表示。在网络中，密码和管理信息都是加密的。学校内部使用的软件在设计之初就需要考虑到系统的开放性。

　　Schiller表示，“我们在开发应用的时候，假设网络是不可信任的。而在企业中，他们会假设网络是可信赖的”。

　　企业可效仿学校的做法

　　越来越多的企业面临着员工移动工作需求和如何在客户和伙伴之间共享信息的问题，大学的理念对于全球500强企业并不是毫无价值。

　　“我们听到很多美国企业表示他们正在向学术界学习，”Petersen表示。“企业正在寻求为安全分层的方法，希望能够获得比传统做法更多的灵活性，尽可能地保护每件事。”

　　例如，摩托罗拉就同一些大学的安全负责人交换过意见。Motorola执行官Boni表示，“当我们考虑我们的工作时，以及设备应该如何进行连接、如何共享信息的时候，似乎向大学学习是很符合逻辑的选择”。

　　Boni的信息安全和保护团队分析了该公司的未来，并且认为管理安全最好的方法是集中注意力保护笔记本电脑，手持设备和其他终端设备。

　　“周边将从非常宽广变成非常专注，并决定这样做，我们感觉到学校正在这样做，”Boni表示。“他们允许学生把自己的设备连接到校园网络里，想方设法给它们打上补丁，在不用管理应用或者IP地址的前提下，确保它们对其他人无害。”

　　为了给用户创建无缝的移动环境，摩托罗拉也在自己的安全架构中考虑了可信任区域。大学采用了“证明给我看为什么你不能获取这些信息，”的思路，而公司倾向于考虑“为什么你应该获取这些信息，”Boni解释说。他还补充表示事情还没有开始，摩托罗拉正计划要考虑包含这一概念的方法。

　　微软的可信任计算的管理者Ladd认为公司在某些特定领域，比如财务或者医疗保健，可能发现在自己的网络里使用信任区域比较困难。这是因为他们生存的环境中，法律要求比为其他消费者提供服务的大企业来说，更为严格。

　　尽管学校和企业的IT工作似乎是两条不相交的平行线，可是Ladd表示学校的做法仍然能够为企业提供参考价值。这并不是他学习新安全技术的第一来源，也不是最后的来源。

　　但是摩托罗拉的Boni相信这是一种双向的交流。

　　Boni表示，“大学能够对于需要保护的敏感信息进行更好的保护，而美国的企业意识到我们应该在协作信息共享方面做更多的工作”。“双方都可以向对方学习。”(zdnet)