大五学生米切尔·温达尔(Mitchell Windahl)正致力于搜寻敏感数据——而这并非出于恶意,而是为了帮助本地机构筑牢数字防线。
作为罗切斯特理工大学全球网络安全研究所下设的网络安全诊所项目的一员,温达尔与同学们组成团队,为社区组织——包括非营利机构、小型企业、市政单位及学区——提供免费的网络安全评估服务与资源支持。该诊所的运作模式借鉴了医学院与法学院“公益诊所”的理念,旨在让学生在服务资源有限的真实客户过程中,积累宝贵的实践经验。同时,该项目也可作为网络安全学位课程中“顶点设计”(Capstone)环节的备选方案。
自2023年启动以来,已有189名学生参与其中,协助47家机构完成网络安全评估、渗透测试与安全态势强化。本学期,诊所的服务对象进一步扩展至盖瓦剧院(Geva Theatre)、难民援助组织“难民帮助难民”(Refugees Helping Refugees)以及吉尼西-奥兰治地区艺术理事会(Genesee-Orleans Regional Arts Council)等申请加入的社区团体。
温达尔所在小组选择了与盖瓦剧院合作。这是一家非营利性区域表演艺术与教育组织。他坦言,选择该项目部分是因为自己的妹妹正在攻读音乐剧专业。“课堂与诊所环境最大的区别在于真实的客户关系,”来自俄亥俄州奥姆斯特德福尔斯的温达尔说。他目前正在攻读“本科-硕士连读”网络安全学位。“我们不仅需要规划要解决哪些安全问题,还必须向客户清晰解释并获取他们的认可——这个过程极具价值。”
学生团队为剧院进行了三轮评估:外部评估阶段,他们检测了面向公众的网站并实施社会工程学测试;内部测试期间,他们亲赴现场检查无线网络安全性,并评估既有的访问控制与安全措施;最终,团队提交了一份详细报告,明确指出关键风险与现有优势,对发现的问题展开深入技术分析,并为剧院量身定制了可操作的改进建议。
盖瓦剧院执行董事詹姆斯·哈斯金斯(James Haskins)表示,剧院始终高度重视观众、捐赠者及员工信息的安全与隐私。在了解到罗切斯特理工大学的网络安全诊所项目后,他欣然接受了学生团队为其进行安全审查与测试的机会。“与罗切斯特理工大学团队的合作非常愉快,”哈斯金斯说,“他们的工作方式专业而周密——计划严谨、执行稳妥、文档清晰,并且充分配合我们的日程安排,避免影响演出及其他剧院活动。在整个项目中,沟通始终顺畅透明,并且认真采纳了我们的反馈。”
通过这类实践,罗切斯特理工大学的网络安全学生不仅帮助客户更清晰地洞察自身网络环境中的潜在弱点,还为其提供了落实更优网络安全政策、流程与培训的资源支持。在校内,诊所团队依托“安全评估与取证分析实验室”(SAFE Lab)开展工作,该实验室也承接对外商业检测业务。
另一组学生则将目光投向了公益机构。在题为“难民帮助难民”的项目中,团队成员每周前往客户办公室集中办公。参与学生包括阿瑟·科萨拉朱(Aarthi Kosaraju,右一)、坎布里亚·金克勒拉尔(Cambria Kinkelaar,右二)与贾登·摩尔(Jaden Moore,右五)等人。
金克勒拉尔、摩尔与科萨拉朱选择了与当地外展中心“难民帮助难民”合作,作为他们的顶点临床课题。金克勒拉尔指出,根据微软2021年《数字防御报告》,非营利组织已成为网络犯罪分子的第二大常见攻击目标。“非营利组织常因缺乏专职基础设施和IT人员而成为薄弱环节,但他们同样承担着保护重要数据的责任,”来自纽约州伯根、主修网络安全与公共政策双学位的五年级学生金克勒拉尔说,“很多时候,这些组织并不清楚自己需要关注什么,甚至无法及时察觉已出现的安全问题。”
该小组决定专注于为客户打下坚实的网络安全基础。每周四,学生们都会前往该机构的办公室,清点设备、升级微软系统环境,以部署更多安全措施并实现集中管理。同时,他们还在协助制定安全策略,并与员工座谈,提供基础网络安全培训。“这个项目让我亲眼看到非营利组织在网络安全资源上的匮乏,以及他们迫切需要怎样的帮助,”金克勒拉尔感慨道,“我们确实为这个组织带来了改变。能够亲手与非营利组织合作、深入理解他们的实际环境,让我更坚定地认为——这或许就是我毕业后想投身的事业。”
自2021年起,罗切斯特理工大学已成为“网络安全诊所联盟”的创始成员,并属于最早一批设立网络安全诊所的高校。2023年,大学获得谷歌网络安全诊所基金的支持,正式向社会公开其诊所服务,并将公益范围拓展至更广泛的资源不足机构。
