2019年5月马里兰州巴尔的摩市政府陷入混乱。网络犯罪分子锁定了该市大量关键文件并索要解密赎金。巴尔的摩市政府拒绝支付但这次攻击导致房地产交易、账单支付等大范围服务瘫痪事后恢复费用高达数百万美元。麻省理工学院城市研究与规划系DUSP开设的11.074/11.274课程网络安全诊所将巴尔的摩案例纳入教学大纲作为市政府和公共机构遭受勒索软件攻击日益普遍的典型案例。为应对此类威胁讲师Jungwoo Chun与城市及环境规划福特讲席教授Lawrence Susskind于2019年共同创办了MIT网络安全诊所此后几乎每学期都开设该课程。与法律或医疗诊所类似该课程兼具两重意义既是学生的实践培训也为高风险社区提供公益服务。学生完成教学模块学习并通过认证考试后将以团队形式被分配至一位客户。学期结束时每支团队须提交一份评估报告分析客户面临的网络攻击漏洞并提出改进建议。迄今为止该诊所已为新英格兰地区的市政机构和医疗机构提供了逾40份免费保密评估报告。2025年美国联邦调查局互联网犯罪投诉中心记录显示针对美国民众的网络攻击平均每天高达2765起。Chun表示当网络攻击袭击城镇时影响远不止于经济损失这会对我们生活的方方面面产生令人恐惧的连锁效应。近年来针对此类社区的网络攻击已威胁到供水安全妨碍911及警务服务正常运行并导致公民个人数据泄露。尽管许多小型市政机构和医院是关键基础设施的重要门户却普遍缺乏专业网络安全人员。当前劳动力市场中此类专业人才的需求远超供给公共部门的薪资待遇又难以与私营企业相抗衡。根据Comparitech的数据2018年至2024年间美国政府机构共遭受525次勒索软件攻击约每五天一次估计造成停机损失高达10.9亿美元。Susskind表示资金匮乏的公共机构和非营利组织需要走一条自助路径。在免费服务诊所的指导下这些机构可以采取许多低成本举措。防御性社会工程学有人或许会对一所网络安全课程开设于计算机科学系之外感到意外。Chun是一位专注于公共政策与规划的应用社会科学家Susskind则是冲突解决与共识构建领域的权威学者。他们将诊所的核心方法称为防御性社会工程学以此强调网络安全并非单纯的技术挑战。Chun坦承人工智能的快速发展为犯罪分子提供了令人警觉的新工具——如今AI不仅能识别漏洞还能直接发动攻击这真的非常可怕——与此同时市面上也涌现出各种声称能防御此类攻击的软件。为此课程投入了大量时间探讨网络安全的技术层面。但说到底Chun说最大的攻击入口依然是人。社会工程学一词通常指网络犯罪受害者被操控、进而危及自身安全的各种手段例如向骗子汇款、下载恶意代码或泄露敏感信息。Susskind与Chun提出的防御性社会工程学同样根植于人类心理学强调网络安全必须成为每位员工职责的一部分无论其是否从事技术工作。关键在于让人们知道该怎么做作出正确的选择Chun说帮助他们把现有资源和预算用在能产生长远效果的地方而不是一味追购最新的杀毒软件。Susskind表示有计算机科学背景的学生往往对我们重视帮助客户构建组织能力感到惊讶。学生需要了解客户所在社区的领导层动态。IT主任无法独自行事他们的预算依赖于地方政府招募新员工也需要审批。另一方面Susskind指出来自规划或社会科学背景的学生往往研究智慧城市创新却对管理相关风险所需的技术知之甚少而工程专业学生则可能在其他课程中接触不到AI、先进系统设计、网络法律等网络安全领域的关键知识。网络安全诊所旨在弥补各学科学生的知识短板。此外课程每学期至少邀请六位来自业界、高校、MIT学术部门及相关公共机构的嘉宾讲师进一步拓宽学生视野。以今年春季学期为例嘉宾阵容包括Industrial Data Works创始人Dan Ricci主讲预算约束环境下能源系统的风险建模IC Secure Inc.总裁Gus Serino主讲工业控制系统的运营技术网络安全以及来自马萨诸塞州网络安全中心和网络安全与基础设施安全局的代表分别介绍各自州级和联邦级组织的项目与举措。Susskind说有些高度专业化的内容尤其是AI正在如何改变网络安全这一议题需要外部专家协助讲授。网络安全领域的变化速度之快使大多数学者很难跟上节奏。改进路线图学期的前四周诊所学生专注于实地任务准备。一系列在线模块结合课堂讨论梳理了针对城市关键基础设施的网络攻击的范围与性质回顾了与客户最相关的23个风险领域并为评估流程的每个步骤提供指导其中包括模拟棘手的客户互动场景——如果客户不认真对待学生怎么办如果客户拒绝提供必要信息怎么办如果客户要求获得比实际情况更为乐观的评估结果怎么办我从没上过一门课像这门课一样为我们模拟了如此真实的场景今年春季修完该课程的计算机科学与工程专业大四学生Diego Contreras说。模块学习以一场考试收尾学生须一次性通过方可获得实地任务资格。此后整个学期学生将通过每周课堂会议持续获得支持并可就草稿报告获取教师反馈但协调团队工作、建立客户信任的责任主要落在学生自己身上。你代表的是MIT这是相当大的责任Contreras说这门课让我获得了在其他任何场合都无法培养的沟通技能。这个项目中最微妙的部分是如何平衡评估结论主修数学经济与金融的2026届毕业生Zev Moore说他在去年秋季选修了这门课我们的做法是在提出重要改进建议的同时肯定客户已有的安全措施确保报告读起来更像是一份协作式的改进路线图而非单方面的批评。大多数报告中都会出现若干核心建议例如清点所有接入网络的硬件与软件追踪访问权限归属定期为软件打补丁并备份数据强制实施多因素身份验证并定期更新密码培训员工不要打开来源不明的附件制定攻击应急响应计划明确指挥链条并明确组织对于支付赎金的立场以及仅与具备良好网络安全卫生习惯的供应商合作。这些措施没有一项是昂贵的Susskind说综合运用它们很可能可以规避80%乃至更多的网络攻击风险与损失。模式推广迄今为止已有逾120名学生在MIT完成了完整课程。为学生认证做准备的在线模块已作为公开课发布于MITx平台课程名为关键城市基础设施网络安全吸引了数以万计的学习者。这些模块同时被其他高校的网络安全诊所采用。2021年MIT联合加州大学伯克利分校、印第安纳大学和阿拉巴马大学共同创建了一个联盟目前成员机构已达61所推动了网络安全诊所模式在更多高校的落地。大多数学生团队在提交最终建议后即结束与客户的合作少数团队则自愿在学期结束后继续提供实施辅导。无论哪种情况Susskind和Chun都会在每次合作结束后至少两年内定期回访客户。我们经常听到客户反映漏洞评估报告已成为他们制定短期、中期和长期备战计划的行动蓝图Chun说我们主要与IT主任或首席技术官合作许多人在合作结束后告诉我们他们将MIT报告呈交给市镇领导并借此成功争取到了额外预算或专项资金。他们拿着学生报告作为依据说不只是我一个人这么说我们有一支专业可信的团队花了大量时间研究这是他们的发现。每当曾经的客户过段时间再次联系我们说现在我们有了新员工刚采购了新设备能不能再来评估一次这真的让我们感到由衷的欣慰Chun补充道。QAQ1MIT网络安全诊所主要为哪些机构提供服务AMIT网络安全诊所主要面向资金有限的公共机构和非营利组织尤其是新英格兰地区的市政机构和医疗卫生机构。这些机构往往缺乏专业的网络安全内部人员却又掌管着供水、警务、医疗等关键基础设施极易成为勒索软件攻击的目标。诊所为其免费提供保密的漏洞评估报告迄今已完成逾40份。Q2MIT网络安全诊所的防御性社会工程学是什么意思A防御性社会工程学是MIT网络安全诊所提出的核心方法论强调网络安全不仅仅是技术问题更是人的问题。网络攻击最常见的入口是人为失误例如点击钓鱼链接或泄露敏感信息。该方法主张让组织内每位员工都具备网络安全意识知道如何作出正确决策并帮助机构将有限预算用在能产生长期效果的举措上而非仅依赖技术软件防护。Q3参加MIT网络安全诊所课程的学生需要完成哪些任务A学生需先用约四周时间完成在线教学模块学习并一次性通过认证考试方可获得实地任务资格。之后学生以团队形式被分配至真实客户在剩余学期内独立协调团队工作、与客户建立信任关系最终提交一份涵盖漏洞评估结果与改进建议的完整报告。整个过程中教师提供定期反馈支持但主要责任由学生自主承担。
MIT学生如何协助各地机构预防网络攻击
发布时间:2026/7/15 18:44:13
2019年5月马里兰州巴尔的摩市政府陷入混乱。网络犯罪分子锁定了该市大量关键文件并索要解密赎金。巴尔的摩市政府拒绝支付但这次攻击导致房地产交易、账单支付等大范围服务瘫痪事后恢复费用高达数百万美元。麻省理工学院城市研究与规划系DUSP开设的11.074/11.274课程网络安全诊所将巴尔的摩案例纳入教学大纲作为市政府和公共机构遭受勒索软件攻击日益普遍的典型案例。为应对此类威胁讲师Jungwoo Chun与城市及环境规划福特讲席教授Lawrence Susskind于2019年共同创办了MIT网络安全诊所此后几乎每学期都开设该课程。与法律或医疗诊所类似该课程兼具两重意义既是学生的实践培训也为高风险社区提供公益服务。学生完成教学模块学习并通过认证考试后将以团队形式被分配至一位客户。学期结束时每支团队须提交一份评估报告分析客户面临的网络攻击漏洞并提出改进建议。迄今为止该诊所已为新英格兰地区的市政机构和医疗机构提供了逾40份免费保密评估报告。2025年美国联邦调查局互联网犯罪投诉中心记录显示针对美国民众的网络攻击平均每天高达2765起。Chun表示当网络攻击袭击城镇时影响远不止于经济损失这会对我们生活的方方面面产生令人恐惧的连锁效应。近年来针对此类社区的网络攻击已威胁到供水安全妨碍911及警务服务正常运行并导致公民个人数据泄露。尽管许多小型市政机构和医院是关键基础设施的重要门户却普遍缺乏专业网络安全人员。当前劳动力市场中此类专业人才的需求远超供给公共部门的薪资待遇又难以与私营企业相抗衡。根据Comparitech的数据2018年至2024年间美国政府机构共遭受525次勒索软件攻击约每五天一次估计造成停机损失高达10.9亿美元。Susskind表示资金匮乏的公共机构和非营利组织需要走一条自助路径。在免费服务诊所的指导下这些机构可以采取许多低成本举措。防御性社会工程学有人或许会对一所网络安全课程开设于计算机科学系之外感到意外。Chun是一位专注于公共政策与规划的应用社会科学家Susskind则是冲突解决与共识构建领域的权威学者。他们将诊所的核心方法称为防御性社会工程学以此强调网络安全并非单纯的技术挑战。Chun坦承人工智能的快速发展为犯罪分子提供了令人警觉的新工具——如今AI不仅能识别漏洞还能直接发动攻击这真的非常可怕——与此同时市面上也涌现出各种声称能防御此类攻击的软件。为此课程投入了大量时间探讨网络安全的技术层面。但说到底Chun说最大的攻击入口依然是人。社会工程学一词通常指网络犯罪受害者被操控、进而危及自身安全的各种手段例如向骗子汇款、下载恶意代码或泄露敏感信息。Susskind与Chun提出的防御性社会工程学同样根植于人类心理学强调网络安全必须成为每位员工职责的一部分无论其是否从事技术工作。关键在于让人们知道该怎么做作出正确的选择Chun说帮助他们把现有资源和预算用在能产生长远效果的地方而不是一味追购最新的杀毒软件。Susskind表示有计算机科学背景的学生往往对我们重视帮助客户构建组织能力感到惊讶。学生需要了解客户所在社区的领导层动态。IT主任无法独自行事他们的预算依赖于地方政府招募新员工也需要审批。另一方面Susskind指出来自规划或社会科学背景的学生往往研究智慧城市创新却对管理相关风险所需的技术知之甚少而工程专业学生则可能在其他课程中接触不到AI、先进系统设计、网络法律等网络安全领域的关键知识。网络安全诊所旨在弥补各学科学生的知识短板。此外课程每学期至少邀请六位来自业界、高校、MIT学术部门及相关公共机构的嘉宾讲师进一步拓宽学生视野。以今年春季学期为例嘉宾阵容包括Industrial Data Works创始人Dan Ricci主讲预算约束环境下能源系统的风险建模IC Secure Inc.总裁Gus Serino主讲工业控制系统的运营技术网络安全以及来自马萨诸塞州网络安全中心和网络安全与基础设施安全局的代表分别介绍各自州级和联邦级组织的项目与举措。Susskind说有些高度专业化的内容尤其是AI正在如何改变网络安全这一议题需要外部专家协助讲授。网络安全领域的变化速度之快使大多数学者很难跟上节奏。改进路线图学期的前四周诊所学生专注于实地任务准备。一系列在线模块结合课堂讨论梳理了针对城市关键基础设施的网络攻击的范围与性质回顾了与客户最相关的23个风险领域并为评估流程的每个步骤提供指导其中包括模拟棘手的客户互动场景——如果客户不认真对待学生怎么办如果客户拒绝提供必要信息怎么办如果客户要求获得比实际情况更为乐观的评估结果怎么办我从没上过一门课像这门课一样为我们模拟了如此真实的场景今年春季修完该课程的计算机科学与工程专业大四学生Diego Contreras说。模块学习以一场考试收尾学生须一次性通过方可获得实地任务资格。此后整个学期学生将通过每周课堂会议持续获得支持并可就草稿报告获取教师反馈但协调团队工作、建立客户信任的责任主要落在学生自己身上。你代表的是MIT这是相当大的责任Contreras说这门课让我获得了在其他任何场合都无法培养的沟通技能。这个项目中最微妙的部分是如何平衡评估结论主修数学经济与金融的2026届毕业生Zev Moore说他在去年秋季选修了这门课我们的做法是在提出重要改进建议的同时肯定客户已有的安全措施确保报告读起来更像是一份协作式的改进路线图而非单方面的批评。大多数报告中都会出现若干核心建议例如清点所有接入网络的硬件与软件追踪访问权限归属定期为软件打补丁并备份数据强制实施多因素身份验证并定期更新密码培训员工不要打开来源不明的附件制定攻击应急响应计划明确指挥链条并明确组织对于支付赎金的立场以及仅与具备良好网络安全卫生习惯的供应商合作。这些措施没有一项是昂贵的Susskind说综合运用它们很可能可以规避80%乃至更多的网络攻击风险与损失。模式推广迄今为止已有逾120名学生在MIT完成了完整课程。为学生认证做准备的在线模块已作为公开课发布于MITx平台课程名为关键城市基础设施网络安全吸引了数以万计的学习者。这些模块同时被其他高校的网络安全诊所采用。2021年MIT联合加州大学伯克利分校、印第安纳大学和阿拉巴马大学共同创建了一个联盟目前成员机构已达61所推动了网络安全诊所模式在更多高校的落地。大多数学生团队在提交最终建议后即结束与客户的合作少数团队则自愿在学期结束后继续提供实施辅导。无论哪种情况Susskind和Chun都会在每次合作结束后至少两年内定期回访客户。我们经常听到客户反映漏洞评估报告已成为他们制定短期、中期和长期备战计划的行动蓝图Chun说我们主要与IT主任或首席技术官合作许多人在合作结束后告诉我们他们将MIT报告呈交给市镇领导并借此成功争取到了额外预算或专项资金。他们拿着学生报告作为依据说不只是我一个人这么说我们有一支专业可信的团队花了大量时间研究这是他们的发现。每当曾经的客户过段时间再次联系我们说现在我们有了新员工刚采购了新设备能不能再来评估一次这真的让我们感到由衷的欣慰Chun补充道。QAQ1MIT网络安全诊所主要为哪些机构提供服务AMIT网络安全诊所主要面向资金有限的公共机构和非营利组织尤其是新英格兰地区的市政机构和医疗卫生机构。这些机构往往缺乏专业的网络安全内部人员却又掌管着供水、警务、医疗等关键基础设施极易成为勒索软件攻击的目标。诊所为其免费提供保密的漏洞评估报告迄今已完成逾40份。Q2MIT网络安全诊所的防御性社会工程学是什么意思A防御性社会工程学是MIT网络安全诊所提出的核心方法论强调网络安全不仅仅是技术问题更是人的问题。网络攻击最常见的入口是人为失误例如点击钓鱼链接或泄露敏感信息。该方法主张让组织内每位员工都具备网络安全意识知道如何作出正确决策并帮助机构将有限预算用在能产生长期效果的举措上而非仅依赖技术软件防护。Q3参加MIT网络安全诊所课程的学生需要完成哪些任务A学生需先用约四周时间完成在线教学模块学习并一次性通过认证考试方可获得实地任务资格。之后学生以团队形式被分配至真实客户在剩余学期内独立协调团队工作、与客户建立信任关系最终提交一份涵盖漏洞评估结果与改进建议的完整报告。整个过程中教师提供定期反馈支持但主要责任由学生自主承担。