智慧校園的資安檢查清單
  • BenQ
  • 2023-08-18

越來越多學校引進智慧型裝置,科技裝置越多,資料安全風險越高。熟知如何保護資訊安全的教育機構,將能從教學工具獲益,同時守護其資訊安全,倖免於任何潛在風險。

為何學校該保護校內的智慧型裝置?

在 2010 年代早期,教育領域就被認為是最易受到安全漏洞影響的機構之一,光在美國就佔了資料外洩事件的 16.8%。資料外洩包含任何會導致機構或個人所持有的資料意外或非法的揭露、修改、破壞或遺失。資料外洩可能對個人的聲譽或人身安全傷害極大。

資安專家曾指出,萬一學校資料外洩,一旦教育資料被駭客入侵,駭客將有高達 76% 的機會能取得個人識別資料 (PII)。

資安漏洞對師生的潛在衝擊

根據美國教育部的調查,學校所收集的學生個資(PII),範圍可能涵蓋他們的姓名、住址、特定需求紀錄以及紀律事件等。學校也會儲存教師的員工資料,可能包含他們的密碼及社會安全碼。如果上述任一項資料被竊取,駭客可能會用於詐騙、身分盜用、勒索、敲詐等不法勾當。

除了資料被竊取之外,學校網路的安全漏洞也可能導致其他像是駭客攻擊或勒索軟體攻擊等威脅, 使學校的日常運作機制陷入嚴重癱瘓。

安全漏洞對學校的潛在風險

The effects shown on the graphic are based on the impact levels listed on the National Institute of Standards and Technology’s Standards for Security Categorization of Federal Information and Information Systems.[6]

圖表上所顯示的影響是依據國家標準、和科技機構的聯邦資訊與資訊系統安全分類標準所列出的衝擊程度等級。

如前所述,智慧型裝置是讓學校易受攻擊的項目之一。正因為像智慧白板(或稱「大屏」)這樣的裝置往往需要連接網路才能使用,這項特性使裝置經常暴露於風險中。若沒有適當的安全措施,駭客往往會從此處趁虛而入。因此學校需要盤點使用中的所有智慧型科技裝置,找到方法來補足資訊安全網。

學校如何讓智慧裝置更安全?

如果學校正使用智慧型裝置,在裝置、網路以及雲端等三個項目建立規則和使用指南。有助於為學校建立一套全面的安全策略。

下列的檢查清單可協助確認校內的智慧型裝置,能安全地在校園使用。

裝置安全

☐ 學校有智慧型裝置使用指南嗎?

資安風險除了外來駭客入侵,使用不當也可能對資安造成威脅。不當使用包含開啟不安全的網站、未經授權下載應用程式、可疑的檔案等。要預防因不當使用所造成的安全漏洞,學校應該要有一套智慧型裝置使用指南,向學生與老師明訂使用規範。

☐ 能為校內裝置指定並修改用戶權限嗎?

另一個預防用戶不當使用學校智慧型裝置的方法,就是指定用戶權限。像 BenQ 大屏能讓管理員啟用不同的安全用戶模式,確保經過授權的人員才能登入並使用大屏。

☐ 裝置有收到韌體更新以及安全維護程序嗎?

駭客常利用尚未修補的漏洞進行攻擊,他們會先尋找有漏洞的連網裝置-這些裝置可能仍使用過時的韌體或應用程式版本。駭客透過安裝後門程式及其它的惡意軟體,竊取機密資料或其他惡意行為來攻擊機構的資安漏洞。

像 BenQ 具安全意識的品牌,會提供客戶定期的韌體更新,以及資訊安全的維護程序。學校的 IT 管理員應隨時確認及時安裝這些更新程式,避免產生任何可能的安全漏洞。

☐ 校內裝置能安裝安全軟體嗎?

有些學校的 IT 管理員可能會選擇安裝安全軟體,升級裝置防護。因此不妨查看學校現有的安全解決方案,能否延伸到智慧型裝置中。

網路安全

☐ 校內有智慧型裝置的連網使用指南嗎?

不安全的智慧型裝置連接到不安全的網路,可能讓學校暴露在遠端攻擊的風險中。2017 年所做的一份網路安全研究中顯示,在教育機構中使用開放網路連接埠的印表機,將被辨識為「高資安風險」裝置。美國的校園中印表機佔不安全裝置的比例高達 43.9%。雖然暴露在風險底下的裝置是印表機似乎不嚴重,但駭客仍會利用此漏洞在學校網路中橫向移動,直到找到確切目標為止。

校內網路管理員應關閉學校中所有未使用的連接埠,並根據功能將網路劃分區塊,確保所有內部運作使用的智慧型裝置,與分享給第三方的裝置是分開的。

☐ 校內智慧型裝置能配置網路設定,提升安全性嗎?

BenQ 大屏可讓 IT 管理員能配置其網路設定,在學校網路中就能有更穩定、安全地進行資料傳輸。善加利用這些設定,將能確保大屏完全符合學校現有的網路安全措施。

雲端安全

☐ 校內智慧型裝置用的雲端系統,安全嗎?

很多廠商提供以雲端為基礎的管理平台,讓校內 IT 團隊可以遠端監控,並管理學校的智慧型裝置、用戶名單。因為這些控制台和儀表板都有連網,所以必須確認這些網站使用 HTTPS 和 SSL 等通訊協定,才能安全地通訊。也最好在授權登入身分驗證時,找出這些服務所使用的安全標準。

使用 BenQ 服務入口的操作裝置及執行用戶管理的學校,每一次登入 BenQ 雲端帳戶時,都能受到這些安全標準的保護。

☐ 校內智慧型裝置以及雲端服務,符合資料保護規範嗎?

許多智慧型裝置會要求用戶資料,以啟動特定服務,學校必須確認裝置及其相關的雲端服務都有經過審核,而且符合國家制定的資料保護規範。使用 BenQ 大屏,將有助於確保學校的資訊,都只會在商定協議的範圍內使用。

如有更多問題,可前往資安手冊,了解更多資訊。

References

  1. Huq, N., “Follow the Data: Analyzing Breaches by Industry (Trend Micro Analysis of Privacy Rights Clearinghouse 2005–2015 Data Breach Records)”, Trend Micro, https://documents.trendmicro.com/assets/wp/wp-analyzing-breaches-by-industry.pdf, published 22 September 2015, last accessed 17 April 2023.

  2. Ibid.

  3.  “What Parents Need to Know about their Student's Data”, Protecting Student Privacy, US Department of Education, https://studentprivacy.ed.gov/training/what-parents-need-know-about-their-students-data, last accessed 17 April 2023.

  4.  “A Parent’s Guide for Understanding K-12 School Data Breaches”, Privacy Technical Assistance Center Student Privacy Policy Office, US Department of Education, https://studentprivacy.ed.gov/sites/default/files/resource_document/file/Parent%20Guide%20to%20Data%20Breach.pdf, last accessed 17 April 2023.

  5. Huq, N., “Follow the Data: Dissecting Data Breaches and Debunking Myths (Trend Micro Analysis of Privacy Rights Clearinghouse 2005–2015 Data Breach Records)”, Trend Micro, https://documents.trendmicro.com/assets/wp/wp-follow-the-data.pdf, published 22 September 2015, last accessed 17 April 2023.

  6. “Standards for Security Categorization of Federal Information and Information Systems”, Computer Security Division, Information Technology Laboratory, National Institute of Standards and Technology (NIST), https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf, last accessed 17 April 2023.

  7. Huq, N., Hilt, S., and Hellberg, N, “US Cities Exposed: Industries and ICS (A Shodan-Based Security Study of Exposed Systems and Infrastructure in the US)”, Trend Micro, https://documents.trendmicro.com/assets/wp/wp-us-cities-exposed-industries-and-ics.pdf, published 15 February 2017, last accessed 17 April 2023.