行业互联网|高校数据安全风险分析与应对策略
2019年 , 中国教育信息化市场规模突破4300亿元 。随着教育信息化走进2.0时代 , 2022年要求基本实现“三全两高一大” , 教育系统、教育设备、教育环境等纷纷融入信息化元素的同时 , 数据安全威胁也被带入到这片“净土”之上 。
高校数据安全现状
从2016年徐玉玉案 , 隐私数据安全进入公众视野;到2017年 , WannaCry肆虐 , 国内十余所高校成“重灾区”;再到2018年 , 江苏常州大学怀德学院发生大规模学生信息内部数据泄露;2020年郑州西亚斯学院近两万名学生信息再遭泄露 。教育行业数据安全威胁可谓群狼环伺 。
【行业互联网|高校数据安全风险分析与应对策略】
文章图片
文章图片
教育行业是一个包含巨大信息流的行业 , 越是高等级、研究深入的高等院校产生的信息越是机密 , 也越有价值 。因此保证教育数据的完整性、机密性不容忽视 。2020年 , 教育部印发《2020年教育信息化和网络安全工作要点》提出:制定教育部直属机关数据安全管理办法和教育系统加强数据安全的指导意见 , 建立覆盖数据全生命周期的安全管理机制 。
高校数据安全风险
据2019年数据显示 , 教育行业泄漏事件中67%来自外部 , 33%来自内部(其中1%是内外勾结 , 1%是合作伙伴泄漏) 。业务系统或存储系统存在漏洞导致数据被非法窃取成主因 , 而各业务系统之间无管控的共享数据继而大大增加这种风险 , 值得注意的是 , 大部分时候管理员可能都不清楚哪些系统中存有与自己业务有关的数据 。
数据识别安全风险:
· 哪些是敏感数据 , 敏感数据分布在哪里;
· 哪些系统中存有与自己业务有关的数据 。
· 谁可以使用敏感数据 , 其身份是否合法合规;
· 数据分片分散存储且备份存储多片 , 不便做数据安全风险评估 。
数据安全内控风险:
· 假冒合法应用程序进行数据读取操作;
· 高权限DBA用户违规访问敏感数据;
· 敏感数据违规导出、系统对象操作无控制 , 数据被窃取;
· 来自运维管理端的数据库登录安全威胁;
· 违规人员/黑客恶意删库、高危操作无控制 。
数据安全外部风险:
· 基于业务系统漏洞的SQL注入攻击;
· 基于漏洞的数据库攻击;
· 勒索病毒攻击;
· 弱口令攻击、撞库攻击 。
流动数据安全风险:
· 业务变更和新业务上线频繁;
· 直接用生产数据测试;
· 数据用于教育课题分析、科研项目分析;
· 脚本处理数据 , 脱敏质量差 , 测试效果差;
· 数据正常流动到弱安全区域 , 数据失控;
· 流动数据让安全边界失效;
· 数据泄露后无法追溯、二次泄露等 。
数据库运行安全风险:
· 核心业务系统数据库种类多 , 数量多;
· 数据库内置账号多 , 高权限/僵尸账号分析不明确;
· 用户权限及对象权限不明确 , 没有定期实施漏洞及基线检测;
· 无法了解数据库空间、缓冲区空间、数据库连接时间等;
· 数据库崩溃或者数据库的性能降低无法预警和分析;
· 缺少定期巡检和变更审核 , 无法保证数据库的正常运作 。
数据安全解决方案
文章图片
文章图片
数据发现与分级分类
文章图片
文章图片
以暗数据发现与分类系统对高校杂乱无章的海量数据进行梳理 , 并基于安全角度对数据进行分类分级 , 以便将结果运用于教育数据安全防护以及数据治理的开展 。
推荐阅读
![[醉卧浮生]与国家队闹掰惹的祸,羽坛第一美女也烦恼!奥运延期面临经费短缺](https://imgcdn.toutiaoyule.com/20200325/20200325193040607300a_t.jpeg)
- 互联网|上线半年收获6700万用户,这款聚焦下沉用户的陌生人社交APP是怎么做到的?
- 互联网|5G商用一周年,华为云向互联网企业大抛绣球
- 互联网|中台产品经理实战(14):中台与SaaS、微服务关系
- 互联网|行业观察 | 你所不知道的5G消息
- 互联网|多名知名人物推特被黑,拜登奥巴马都“中招”,比尔盖茨也在其内
- 互联网|发放高利贷,还要窃取用户信息?这些金融APP在秀“道德底线”
- 互联网|东莞先知:数字智能,先觉“先知”
- 云计算|从互联网到AI崛起,上海能弯道超车吗?
- 行业互联网,5G|江苏有线顺利完成园区5G信号开通测试
- 行业互联网,AI人工智能|城市教育大脑以“ AI+ 大数据”为核心 , 引领教育变革