近日,某高校学生发现校内树洞网站“小喇叭”出现了一个“颜值打分系统”,该网站可以查看每个学生的颜值分数,其中包含了2014-2020级本硕博所有学生在内的个人信息,被泄露的信息包含学号、姓名、学院、家乡、生日等。经查,嫌疑人马某某涉嫌非法获取该校部分学生个人信息等违法犯罪行为,目前已被海淀公安分局依法刑事拘留。
这一行为迅速引起了社会的广泛关注与谴责,不仅侵犯了学生的隐私权和高校数据安全,还可能带来不可预测的安全风险。诸如此类信息数据泄露事件时有发生,很多高校在应对师生个人信息保护时仍面临众多风险,主要包括:入侵攻击窃取、非法终端接入、非授权人员访问、授权人员误操作、违规外发和上传等导致的数据泄露风险。
国家教育部发布的《教育信息化2.0行动计划》中明确指出,教育机构应以《网络安全法》等法律法规为纲,全面提高教育系统网络安全防护能力,做好关键信息基础设施保障,重点保障数据和信息安全,强化隐私保护,建立严密保护、逐层开放、有序共享的良性机制,切实维护好广大师生的切身利益。
天融信数据防泄漏解决方案
天融信凭借多年深耕教育行业网络安全项目实践经验,遵照国家及教育行业提出的数据安全保护要求,为高校客户专门推出了数据防泄漏解决方案。该方案旨在构建高校网络安全基本防御能力的基础上,重点规划设计数据安全防御能力,以“进不来、拿不到、看不懂、打不垮、赖不掉”为核心目标,为高校打造一体化数据防泄漏保障体系。
1
进不来:补齐校园网络安全防御能力
在校园网边界以双机模式部署擎天系列防火墙,每台防火墙配置双主控引擎,开启设备运行状态监测功能,避免单板故障,保障系统高可用;开启访问控制、应用识别功能,根据用户、时间、应用制定控制策略,实现行为高可控;开启防病毒功能,实时拦截外部多种病毒、蠕虫、木马;开启入侵防御功能,实时阻断黑客对服务器、主机的入侵行为;开启统计监控功能,实时统计各种流量和会话信息,生成统计图表,实时分类记录存储大量日志信息,以便溯源分析,实现安全事件可审计。
通过实行以上防御措施,天融信为高校网络边界构建起精细化安全管控能力,避免入侵攻击行为从互联网侧渗透进校园网络内部造成横向提权、数据泄漏等后果。
2
拿不到:建设数据安全防护能力
高校校园网络作为教育信息数据存储、传输、共享、交换的主要载体,承载着高校重要信息系统中的数据。通过在网络中部署网络数据防泄漏产品,可有效识别网络中的重要教育数据,捕获高校网络中的网络传输流量,同时提取传输协议报文,对报文内容进行深度解析。在发现网络流量数据中存在敏感数据时,可以结合高校业务需要,制定相关安全策略展开有效阻断。
终端是高校数字校园中的重要载体,同时也是办公、教学环境中数据泄漏的主要途径。通过部署终端数据防泄漏产品监管终端USB接口以达到对终端外发通道的管控,实现外发文件行为可管、可控、可审计,有效阻止数据外泄,从而对高校终端内的业务数据资产进行实时保护,避免发生终端数据外泄等威胁事件。
数据库作为高校数据的直接载体,存在内部的违规操作或外部攻击导致数据泄漏事件的风险。为保障数据库避免内部违规操作和外部攻击导致的数据泄漏,可在数据库前端部署数据库安全网关产品,以达到对数据库的访问控制与实时监控,形成保护数据库的最终防线。经过部署建设,可以智能识别SQL潜在风险并进行控制,同时对数据库漏洞、弱口令、权限配置展开扫描,及时发现上述风险,采取有效措施加以管控,提高数据库的整体安全性,有效降低数据库被攻击的风险。
3
看不懂:存储加密及脱敏共享
高校网络通常会承载科研、系统研发等业务,此场景下经常需要调用学校核心生产数据作为测试数据,如不加以控制,则很容易造成敏感数据泄露事件。通过部署数据脱敏产品,以“静态脱敏+动态脱敏”相结合的方式,对学校核心生产数据进行脱敏处理后进行使用,即使测试数据丢失也不会造成任何不良影响。
针对高校网络中存在的大量结构化数据,天融信建议学校通过部署数据库加密产品,实现数据全局加密,开启精细化权限管理,仅授权用户可解密使用数据,而未授权人员则无法访问该核心数据,即使未授权人员通过非法途径获取敏感数据也无法实现解密。
4
打不垮:加强内网威胁感知与分析
在校园安全管理区部署一套内网威胁分析产品,基于大数据架构、采用AI智能技术,以发现内网失陷和内部违规为核心目标,全面收集终端、业务系统、网络流量三个方面的行为观测点的数据。系统融合关联分析、统计分析、用户实体行为分析、AI分析形成纵深分析体系,辅予诱捕分析、流量分析、终端检测响应等技术支撑,通过构建行为模型和综合评分机制,捕捉高校校园网络内人员/设备的行为异常变化,勾勒人员/资产行为轮廓,继而利用纵深分析对周期性行为进行判定,发现内网失陷和数据违规窃取等行为,最终挖出潜伏在内网的数据泄露威胁。
5
赖不掉:数据安全事件溯源闭环
一方面,通过在数据库前端交换机上部署一台数据库审计产品,进行数据库审计,发现和捕获各种数据库操作信息、违规行为,辅以实时报警响应,实现用户和数据库之间的业务关联分析、数据库审计及安全事件的准确定位,为整体数据库防护策略的制定提供权威可靠的支持。系统审计到的SQL语句可与资产实例结合,内置数据轨迹模型,以资产为核心,以数据流转为轨迹,图形化展示操作行为,让数据轨迹清晰可见。同时将数据库的所有访问情况实时可视化呈现,高校网络管理者可快速回溯定责各种数据库安全事件,有效加强数据泄露监督能力。
另一方面,基于已部署的终端数据防泄漏产品的数字水印功能,实现高校办公终端桌面上显示水印信息,水印信息包括:责任人、主机名、IP地址、MAC地址、登录用户、日期时间等,同时也支持管理员自定义文字显示。一旦发生敏感数据泄露事件,屏幕水印可为高校提供有效溯源依据,管理员可直接通过屏幕水印信息快速定位泄漏源。
方案价值
立体防御,提供全面的数据安全防护能力。方案构建了网络侧、终端侧、数据库侧立体化数据安全防御能力,提升高校面对数据泄漏风险的应对能力,降低因数据泄漏给高校带来经济损失、名誉受损等风险。
智能防护,提升深度数据安全风险挖掘能力。方案应用了大数据分析技术,在充分理解高校业务行为的基础上构建行为仓库,并融合了统计分析、关联分析、AI分析等技术手段构建行为分析模型,帮助高校形成纵深数据安全分析体系,实现深度数据风险分析。
事件跟踪,强化数据安全事件追踪溯源能力。方案提供数据库行为审计、网络流量解析、数字水印等强审计能力,针对高校网络中核心敏感数据进行深度内容分析和监控,为事后事件追溯提供强有力的参考。
教育是民族振兴、社会进步的重要基石。天融信深耕教育行业多年,凭借领先的网络安全技术优势以及贴合教育行业客户实际业务场景的技术方案,全面赋能教育行业数据安全能力建设。未来,天融信将在持续的技术创新中筑牢智慧校园安全防线,助力高校数字化转型高质量发展。