新闻快讯
< >

高校个人信息泄露问题安恒信息能帮到你!

近日,澎湃新闻连续披露了全国各省份多所高校官网存在泄露学生个人信息的情况,这些高校在公示受助学生信息时,包含了身份证号码、银行卡号等个人信息。针对这种现象,全国学生资助管理中心已督促部分学校进行整改,并发布了《全国学生资助管理中心第9号预警:保护学生个人信息和隐私,要“拧紧这根弦”》。此外,针对教育行业信息安全问题,教育部已经在今年初发布了《关于教育部展开信息安全专项行动的建议》,并且全国教育系统已经有条不紊地在进行僵尸网站、黑站、伪造网站、网站漏洞等专项筛查,各省信息中心、各高校安全防御措施建设、建立情报共享和上报机制,一系列技术规范和技术要求制定等层面进行了总体部署和实施。

0d68ae24120d51116d8aa817caee1204.jpg

图:全国学生资助管理中心发布保护学生个人信息和隐私预警

纵览各种严重的数据泄露事件及当下正在发生的各种数据安全事件,针对互联网数据泄露及篡改事件越演越烈,每一次的互联网数据泄露都是血淋淋的教训,作为信息系统建设方及维护方无时无刻不担心自己业务系统数据被泄露或者篡改,一旦数据泄露及篡改发生,会涉及到违法层面,互联网数据安全问题大到影响国家的稳定与安全,小到影响到每个人生活的方方面面。

安恒信息通过对全国高校网站和重要应用系统的监测通报预警服务,实现全局漏洞监测、网页木马监测、篡改检测、可用性监测与关键字监测,提供了详尽的数据与分析报告,从而全面掌握网站的安全态势,提升了网站的安全防护能力和网站服务质量,并通过监测平台的事件跟踪建立起一种长效的安全保障机制,令动态且变化不定的网站安全态势尽在掌控。

7b2a2d8ef9ad0cec3e60fe4940e8942b.jpg

图:安恒为教育行业提供监测通报预警服务

高校的数据安全生命周期,不同于软件安全生命周期。一部分数据不会随着业务的变更停止服务而消亡,尤其是个人隐私信息,一旦泄露终身受到影响。同时教育行业是我国的数据大户,2010年第六次全国人口普查,其中文盲率(15岁及以上不识字的人口占总人口的比重)为4.08%,也就是说超过90%的人进入了校园学习,这些人的信息都存储到了计算机系统中。如果数据保护不当,将导致所有人的信息被泄露。

1c14f0fed539b571c1148269ca58144e.jpg

图:数据泄露篡改的主要方式

当前,高校信息系统缺乏信息化的监管手段,主要体现在“信息系统资产”权属角色、运营角色、管理角色不清晰。很多高校的二级域名开发在互联网上属于“三无”状态(无访问、无维护、无监管),这些系统极易被黑客入侵,成为入侵核心数据资产的跳板。信息安全的整体水平,符合“木桶原理”,取决于最不安全的环节。所以互联网数据安全防护是首要问题。

5ade2cf8d57117d25f8855370aa70029.jpg

图:数据可能泄露的途径

数据安全是教育行业信息安全最核心的任务。在有一些基础的防御手段之后,我们核心的数据资产仍然存在风险。现在很多高校的学生信息都被直接公布在网站上,常见的高校系统中,容易出现的一场景是学生信息(学号、身份证号码、电话信息等)在学校各科室、部门都留有清单存放。这类信息属于敏感的个人隐私信息,类似于身份证号、手机号、家庭住址等等,应当有效区分普通信息和重要的敏感的涉及到个人隐私的信息,应当对这类信息进行有效的界定,并且对传输发布,进行严格的审核。另外,这类敏感的数据需要在数据安全存储、安全访问、安全监控上做一些工作。

ffd757c53f05d50995b19e24baf81d37.jpg

图:数据安全防护思路 

1、开展针对核心业务数据的专项渗透测试检查工作。模拟黑客行为对“教务、学籍、成绩管理”等核心系统开展渗透测试工作,以检验系统的防御能力。

2、核心数据统一单独存放。对核心的敏感的用户隐私数据单独存放,其他应用系统使用单点登录的接口调用机制。

3、建立核心数据的审计监控手段。对核心业务数据进行内部审计、外部数据泄露舆情监控两种手段结合来看展工作。

- END -