近日，美國喬治亞理工學院（Georgia Tech）的網絡安全實驗室陷入了一場法律訴訟。實驗室負責人Antonakakis博士因長期拒絕遵守美國國防部（DoD）的網絡安全規范（例如安裝殺毒軟件），導致學校被美國聯邦政府起訴。

著名安全實驗室被控欺詐

Antonakakis領導的網絡安全實驗室此前獲得了數百萬美元的國防部研究項目資金，其中包括為國防項目開發重大技術項目，例如“Rhamnousia：通過張量分解和數據抓取來追蹤網絡攻擊者”。

聯邦政府指控稱，Antonakakis及其實驗室多年來未遵守基本的安全規范，甚至在明知不合規的情況下，依舊提交了研究項目的費用發票，這種行為構成了欺詐。

“從根本上說，國防部為軍事技術項目支付了費用，但被告將這些技術存儲在不安全的環境中，無法防止未經授權的訪問和泄漏。被告甚至沒有監控是否發生了信息泄露，這意味著即便信息已經發生泄露，國防部也無從得知。最終，國防部認為在該項目的投入毫無價值，未能獲得應有的利益。”聯邦政府在起訴書中如此寫道。

網安博士強烈反對安裝殺毒軟件

Antonakakis博士和他領導的網絡安全實驗室長期反對安裝殺毒軟件，這直接違反了DoD的安全規范規定。根據NIST發布的《非聯邦信息系統與組織中受控未分類信息的保護》800-171號特別出版物，處理或存儲涉密信息的設備必須安裝終端殺毒軟件。然而，Antonakakis博士對此持強烈反對態度。

喬治亞理工的系統管理員曾要求Antonakakis博士遵守規定，但他在2019年的一封內部郵件中明確表示，安裝殺毒軟件這件事“無法接受”。實驗室的IT主管被允許采取其他“緩解措施”，例如依賴學校的防火墻來提供額外的安全保護。然而，事實證明，這種“假設”是錯誤的。學校的網絡也從未提供過殺毒保護，而且實驗室中使用的筆記本電腦經常離開學校網絡環境，這進一步加劇了安全風險。

喬治亞理工校方意識到實驗室為遵守國防部合同規定后，決定暫停實驗室合同的發票提交，以避免被控提交虛假付款請求。然而，在發票暫停提交幾天后，Antonakakis最終同意在實驗室安裝殺毒軟件。

盡管如此，聯邦政府指出，學校從未承認其長期不合規的事實，且在不合規的情況下依舊提交了大量發票，這屬于欺詐行為。

安全評估弄虛作假

喬治亞理工面臨的第二個問題是，該校在自我評估安全性時，提交了虛假分數。根據NIST的規定，學校需要評估110項安全控制措施的實施情況。喬治亞理工提交了一份全校的“總體安全計劃”，分數為98分，但實際上這個分數是基于一個虛構的模型，而不是各個實驗室的真實情況。

校方并沒有對每個實驗室進行單獨評估，而是統一提交了編造的“98分”作為實驗室項目的分數。聯邦政府對此表示不滿，認為這種安全評估形同虛設，根本不反映實際的安全狀況。

技術骨干成安全文化“毒瘤”

聯邦政府認為，喬治亞理工之所以會出現如此松懈的安全管理，主要原因是研究人員認為遵守安全規范“太麻煩”。當核心研究人員成為抵觸網絡安全規定的”毒瘤“時，校方管理層往往選擇妥協，而不是強制執行安全措施。

據前員工透露，喬治亞理工的高級領導層之所以向研究人員的要求讓步，主要是因為這些研究人員能為學校帶來大量政府合同資金。一名前員工稱，學校的網絡安全合規文化充斥著“反正領導都不重視安全，所以我也可以無視（安全）規定”的態度。

不過，并非所有人缺乏基本的安全意識。這起案件之所以曝光，正是因為喬治亞理工的IT部門內部有幾位吹哨人站出來揭發實情。

喬治亞理工學院網絡安全實驗室的合規問題再次凸顯了安全合規在學術研究中的重要性。盡管安全規定可能會給研究工作帶來不便，但高校學術實驗室的開放性使其極易成為國家間間諜活動的目標。

通過起訴喬治亞理工學院，美國政府向其他依賴政府資金的大學實驗室也發出了警告：“如果不能嚴格遵守網絡安全規范，就別想再獲得政府資金。”