一所国内重点大学的图书馆在过去几年中陆续购买了多个国内外学术数据库的访问权限,覆盖了理工、医学、人文等多个学科领域。为了方便全校师生科研学习,图书馆为每位师生开通了访问这些数据库的账号,并通过学校的IP地址段进行了网络授权。一切正常运行,直到一天图书馆的技术人员在查看数据库访问日志时发现了异常。
在日志中,某个IP地址在四十八小时内连续访问了数千篇文章,访问频率远超正常用户的使用习惯。更重要的是,这个IP地址来自境外,不属于学校公布的任何合法的接入范围。进一步追踪发现,这个境外IP是通过学校对外公开的VPN服务接入校园网络的,而VPN服务的账号属于一位已经毕业多年的学生。学校曾为该毕业生保留了一定的校友网络服务权限,但并未关闭VPN访问通道。
那个境外IP通过VPN进入校园网后,利用图书馆数据库的IP认证机制直接访问了全量的学术资源。访问行为持续了数天,下载了多个学科领域的学术论文和技术报告,累计下载量达到了上万篇。这些学术资料虽然大部分是已经公开发表的论文,但其中也有一些正在投稿中的预印本和学校教师未公开的研究成果。
高校的学术资源管理系统在设计之初主要考虑的是便捷访问,安全防护方面的考虑相对不足。账号和IP认证是主要的安全防线,一旦这道防线被突破,内部的各类资源就基本上暴露在攻击者面前。这种安全设计思路在互联网环境还比较简单的时期或许够用,但在当前网络安全威胁日益复杂的背景下,就显得不够了。
高校作为教育和科研的重要场所,拥有大量的学术资源和个人信息,数据安全管理需要与时俱进。在传统IP认证的基础上,应当增加多因素身份验证的选项,对于高价值资源的访问实施更强的身份认证。建立完善的日志审计系统,对数据库的访问行为进行实时监控和智能分析,发现批量下载、异常时段的访问等行为及时预警和阻断。对于VPN等远程访问通道,应当定期清理不再需要的账号权限,特别是毕业离校学生和离职教工的账号应当及时回收。学术资源的共享和开放是高校的使命,但开放的边界需要建立在安全可控的基础之上。
从更宏观的信息安全趋势来看,高校已经成为境外组织和机构进行数据获取的重要目标之一。高校拥有大量前沿的科研成果、学术论文和技术情报,这些资源对于竞争对手和国家间竞争来说都具有相当的战略价值。境外IP针对高校数据库的定向爬取和批量下载,已经成为一个持续增长的安全威胁类别。高校需要主动适应这一形势,提升对学术资源的保护力度。除了技术和制度层面的改进外,还需要加强师生员工的信息安全教育,特别是对于参与敏感项目研究的师生,在学术交流和数据管理方面应有专门的保密要求和操作指南。学术自由和信息安全并不冲突,关键是在享受开放便利的同时,建立起与之匹配的安全保护能力。高校的信息化建设应当将安全作为与性能和服务同等重要的核心考量指标来统筹推进。
