5月13至17日,山东省教育系统“护网2019”网络安全攻防演练在泰安成功举办。国内5个骨干网络安全企业攻击团队采取“背靠背”的方式,即事先不通知、攻击源不明确、攻击目标不明确、攻击手段不明确,以实战方式对山东省教育系统网站和信息系统展开攻击。攻击方采用多种攻击手段,发现44家教育系统单位91处安全隐患,主要隐患类型为弱口令、SQL注入、文件上传、未经授权访问、远程执行代码、目录遍历等,被控制和数据泄露问题主要涉及门户网站、支付、教务、招生和办公等系统。
当前,我国教育行业对海量的数据没有建立统一的平台对产生的数据进行保护、挖掘、分析和利用,也没有对产生的数据进行特征识别,导致系统原始数据被误删除、数据泄露等信息安全事件时有发生,2016年的“徐玉玉事件”更是暴露了教育行业数据管理混乱的现状。因此,解决教育行业数据安全问题事关公民生命财产安全,甚至社会安定。为此,提出以下五点建议。
1 建立以数据为核心的泄露防护体系
针对数据泄露事件的问题,构建以数据安全为核心的防护体系,通过磁盘加密、容灾备份、电子文档安全和数据库安全保护等方式来保障数据的安全可控。
2 积极鼓励研发大数据关键技术
通过科研以及专项经费支持和政府扶持的手段,为研发科研人员提供支持,增强自主创新的能力。同时,教育部及其直属单位优先采用国内研发的产品,支持本国产品研发,为大数据关键技术发展提供更安全的环境。
3 建立敏感数据识别规范标准
依据数据信息的敏感程度对数据进行分类、分级管理;用数据标签对创建数据、应用数据、存储数据、传输数据和销毁数据提供技术上和操作上的规范要求。对于关系到教育行业发展以及系统用户个人信息的重要数据,严格控制其存储位置、传输和使用方式。
4 明确职能部门数据保护权责
明确教育信息化业务、网络安全与管理部门在数据防泄漏中的责任,将数据安全防护作为绩效考评的重点,制定数据泄露防护规则及奖惩标准,对数据泄露事件零容忍,并对主要负责人进行追责。
5 提升教育行业信息系统用户安全意识
做好教育行业数据安全的宣传工作,增强学术、家长等用户群体的信息安全意识,培养用户安装防火墙以及漏洞查杀系统,并定期进行木马、杀毒查杀的良好习惯;对存储的个人信息妥善保管,防止被他人盗用。
声明:本文来自赛迪智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
