一年一度的国家抡才大典“高考”
正在全国如火如荼地进行
“00后”都登场了
你还记得当年“学识巅峰”时的自己吗?
要是能重来
你还选“信息安全”吗?
教育信息化时代
“高考季”成了“数据泄漏季”
五花八门的非法考试信息
考生数据、报名数据、成绩数据......满天飞
“徐玉玉”事件仍历历在目
考生信息泄露、招生诈骗等时有发生
考生信息买卖下,是一条完整的黑色产业链
这一切的源头
直指教育行业数据安全防护问题
当数据安全威胁步步紧逼
谁来守护教育行业的“一方净土”?
剖析:考生信息泄露,源头在哪?
教育行业如同医疗、人社等行业一样,是个包含巨大数据流的行业,存在着各类核心业务系统。根据信息系统业务对象不同,教育部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类等,学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类等。
这些核心业务系统都存储着海量数据,比如学籍信息、学生个人信息、教职工个人信息、财务信息等敏感数据。如若业务系统内的敏感数据遭遇泄露,被不法分子利用,盗卖数据,进一步导致电信诈骗的发生,后果不堪设想。
虽然教育行业的信息安全体系建设初具成型,大部分业务系统实施了信息安全等级保护建设,采购了各类网络安全防护产品。但纵观近几年的数据泄露事件,不难发现,教育行业最核心的存储着敏感数据资产的数据库缺乏更有效的安全防护措施。
目前,教育行业核心数据库主要存在以下几种数据安全风险:
1、内部人为泄露风险
高权限管理人员,如开发人员、内部管理员、第三方维护人员等的存在,导致运维和数据无法实现分离管理;大部分数据库中敏感数据是以明文数据存储,可能遭到黑客攻击、内部高权限用户盗取等。
2、外部威胁攻击风险
在教育行业的安全基础架构中,边界安全层面部署了网络防火墙及IPS或IDS设备,应用系统前端会部署Web应用防火墙等设备,但当发生SQL注入攻击、数据库本身漏洞等问题时,在数据库层面缺乏真正抵御外部攻击的安全防护措施。
3、数据合规使用风险
教育信息有相当一部分是通过内部或关联方的电脑或测试系统获取的。以科研项目管理系统和科研情报管理系统为例,各种科研情况获取、共享、管理、分析,需要其他业务系统的数据支撑,而就在数据流转的过程中,增加数据泄露的途径和风险。新国标《个人信息安全规范》和《中华人民共和国网络安全法》,都对个人数据/信息的流转共享和合规使用都提出了相关安全保护要求。
4、数据追责溯源风险
教育机构依赖网络审计产品,但对数据库层面的审计能力“微乎其微”。同时,网络审计产品往往存在一个弊端,如网络审计产品采用简单旁路部署在核心交换机的上,直接在数据库内部或者数据库服务器上的操作,无法审计。这就需要作用于数据库,做到追责溯源,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为、攻击行为进行告警,并产生报表。
对策:教育行业数据安全“四步走”
针对教育行业的数据安全问题,结合行业安全需求及特点,美创科技安全专家认为,应当强化敏感数据的安全防护。
通过敏感数据安全规划建设,实现教育机构在核心数据的安全合规准入、高权限控制、SQL注入攻击及漏洞防护、数据加密、数据流转脱敏、全程审计等数据安全防护,在推进数据资源深入分析、开发共享的同时,强化“进不来、看不到、拿不走”的数据安全防线。
外部威胁防护
1、防范基于SQL通讯协议的攻击行为;
2、实时和阻断数据库漏洞攻击,防止因数据库自身漏洞所引发的入侵行为;
3、防范黑客在进入内网后,通过安全设置薄弱的终端和服务器进行数据库的非法访问;
4、防范黑客在进入内网后,对数据库进行恶意撞库与拖库行为;
5、基于白名单机制的SQL注入检测和防御,深度防御SQL注入攻击;
内部风险控制
1、敏感数据分级分类机制;
2、三权分立为基础的制度保障;
3、危险性操防范;
4、合规管理应用程序;
5、运维集中化管理;
6、实时阻断未授权访问;
7、对数据库内部数据进行加密,有效防止明文存储引起的数据泄密;
数据合规使用
在教育机构中,涉及到开发、共享及分析等数据是流动的,需要对敏感数据进行安全脱敏处理。数据脱敏系统要具备以下:
1.自动发现敏感数据;
2.兼容各类主流数据库、分布式数据平台、RSS/XML以及文本文件等;
3.保持数据逻辑真实性;
4.保持数据特征真实性;
5.大数据量下高并发快速脱敏;
6.敏感数据脱敏过程不落地,不存在中间环节数据泄露风险;
数据追责溯源
1.全面审计,覆盖所有数据库访问通道;
2.精确识别事件要素,清晰描述事件场景;
3.全面安全管理,贯穿事件处理的全生命周期;
4.未知威胁的智能化告警;
教育行业数据安全“四步走”,你get了吗?
教育行业数据安全建设愈发重要,美创科技基于医疗、人社、民生等行业的安全建设积淀,不断开拓教育市场,提供敏感数据纵深防御体系,防止病毒入侵、破坏、泄露、篡改教育信息数据,从而保证信息管理系统正常运行,满足行业客户信息安全建设需求。
浙公网安备 33010502006954号 
