您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
高校網(wǎng)絡(luò)安全實驗室拒裝殺毒軟件被終止國防技術(shù)項目
點評:如果知名大學網(wǎng)絡(luò)安全實驗室都忽視甚至排斥最基本的網(wǎng)絡(luò)安全規(guī)范,那么其他政府資助的科研項目的安全合規(guī)問題只會更加令人擔憂。
近日,美國喬治亞理工學院(Georgia Tech)的網(wǎng)絡(luò)安全實驗室陷入了一場法律訴訟。實驗室負責人Antonakakis博士因長期拒絕遵守美國國防部(DoD)的網(wǎng)絡(luò)安全規(guī)范(例如安裝殺毒軟件),導(dǎo)致學校被美國聯(lián)邦政府起訴。
著名安全實驗室被控欺詐
Antonakakis領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全實驗室此前獲得了數(shù)百萬美元的國防部研究項目資金,其中包括為國防項目開發(fā)重大技術(shù)項目,例如“Rhamnousia:通過張量分解和數(shù)據(jù)抓取來追蹤網(wǎng)絡(luò)攻擊者”。
聯(lián)邦政府指控稱,Antonakakis及其實驗室多年來未遵守基本的安全規(guī)范,甚至在明知不合規(guī)的情況下,依舊提交了研究項目的費用發(fā)票,這種行為構(gòu)成了欺詐。
“從根本上說,國防部為軍事技術(shù)項目支付了費用,但被告將這些技術(shù)存儲在不安全的環(huán)境中,無法防止未經(jīng)授權(quán)的訪問和泄漏。被告甚至沒有監(jiān)控是否發(fā)生了信息泄露,這意味著即便信息已經(jīng)發(fā)生泄露,國防部也無從得知。最終,國防部認為在該項目的投入毫無價值,未能獲得應(yīng)有的利益?!甭?lián)邦政府在起訴書中如此寫道。
網(wǎng)安博士強烈反對安裝殺毒軟件
Antonakakis博士和他領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全實驗室長期反對安裝殺毒軟件,這直接違反了DoD的安全規(guī)范規(guī)定。根據(jù)NIST發(fā)布的《非聯(lián)邦信息系統(tǒng)與組織中受控未分類信息的保護》800-171號特別出版物,處理或存儲涉密信息的設(shè)備必須安裝終端殺毒軟件。然而,Antonakakis博士對此持強烈反對態(tài)度。
喬治亞理工的系統(tǒng)管理員曾要求Antonakakis博士遵守規(guī)定,但他在2019年的一封內(nèi)部郵件中明確表示,安裝殺毒軟件這件事“無法接受”。實驗室的IT主管被允許采取其他“緩解措施”,例如依賴學校的防火墻來提供額外的安全保護。然而,事實證明,這種“假設(shè)”是錯誤的。學校的網(wǎng)絡(luò)也從未提供過殺毒保護,而且實驗室中使用的筆記本電腦經(jīng)常離開學校網(wǎng)絡(luò)環(huán)境,這進一步加劇了安全風險。
喬治亞理工校方意識到實驗室為遵守國防部合同規(guī)定后,決定暫停實驗室合同的發(fā)票提交,以避免被控提交虛假付款請求。然而,在發(fā)票暫停提交幾天后,Antonakakis最終同意在實驗室安裝殺毒軟件。
盡管如此,聯(lián)邦政府指出,學校從未承認其長期不合規(guī)的事實,且在不合規(guī)的情況下依舊提交了大量發(fā)票,這屬于欺詐行為。
安全評估弄虛作假
喬治亞理工面臨的第二個問題是,該校在自我評估安全性時,提交了虛假分數(shù)。根據(jù)NIST的規(guī)定,學校需要評估110項安全控制措施的實施情況。喬治亞理工提交了一份全校的“總體安全計劃”,分數(shù)為98分,但實際上這個分數(shù)是基于一個虛構(gòu)的模型,而不是各個實驗室的真實情況。
校方并沒有對每個實驗室進行單獨評估,而是統(tǒng)一提交了編造的“98分”作為實驗室項目的分數(shù)。聯(lián)邦政府對此表示不滿,認為這種安全評估形同虛設(shè),根本不反映實際的安全狀況。
技術(shù)骨干成安全文化“毒瘤”
聯(lián)邦政府認為,喬治亞理工之所以會出現(xiàn)如此松懈的安全管理,主要原因是研究人員認為遵守安全規(guī)范“太麻煩”。當核心研究人員成為抵觸網(wǎng)絡(luò)安全規(guī)定的”毒瘤“時,校方管理層往往選擇妥協(xié),而不是強制執(zhí)行安全措施。
據(jù)前員工透露,喬治亞理工的高級領(lǐng)導(dǎo)層之所以向研究人員的要求讓步,主要是因為這些研究人員能為學校帶來大量政府合同資金。一名前員工稱,學校的網(wǎng)絡(luò)安全合規(guī)文化充斥著“反正領(lǐng)導(dǎo)都不重視安全,所以我也可以無視(安全)規(guī)定”的態(tài)度。
不過,并非所有人缺乏基本的安全意識。這起案件之所以曝光,正是因為喬治亞理工的IT部門內(nèi)部有幾位吹哨人站出來揭發(fā)實情。
喬治亞理工學院網(wǎng)絡(luò)安全實驗室的合規(guī)問題再次凸顯了安全合規(guī)在學術(shù)研究中的重要性。盡管安全規(guī)定可能會給研究工作帶來不便,但高校學術(shù)實驗室的開放性使其極易成為國家間間諜活動的目標。
通過起訴喬治亞理工學院,美國政府向其他依賴政府資金的大學實驗室也發(fā)出了警告:“如果不能嚴格遵守網(wǎng)絡(luò)安全規(guī)范,就別想再獲得政府資金。”
文章來源:GoUpSec