(文章來(lái)源:安華金和)
近年來(lái),國(guó)內(nèi)教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫(kù)泄露事件,相關(guān)人員隱私權(quán)益遭受嚴(yán)重?fù)p害,涉案企業(yè)、機(jī)構(gòu)聲譽(yù)大打折扣。
為防范重大數(shù)據(jù)安全事故的發(fā)生,很多教育單位已經(jīng)在技術(shù)和管理層面采取了對(duì)應(yīng)的措施,不過(guò)當(dāng)前的解決辦法主要是從技術(shù)層面對(duì)數(shù)據(jù)庫(kù)訪問(wèn)路徑和數(shù)據(jù)庫(kù)本身進(jìn)行安全加固,在數(shù)據(jù)庫(kù)安全防護(hù)方面仍存在諸多問(wèn)題。
教育單位的數(shù)據(jù)庫(kù)應(yīng)用類型比較復(fù)雜,對(duì)于數(shù)據(jù)庫(kù)中存在的安全問(wèn)題,如:默認(rèn)管理員賬號(hào)、弱口令、默認(rèn)安全策略、缺省配置,寬泛權(quán)限等,更多是依靠數(shù)據(jù)庫(kù)管理人員自身經(jīng)驗(yàn),或者主機(jī)漏洞掃描工具進(jìn)行數(shù)據(jù)庫(kù)的安全檢查和評(píng)估。但這幾種方式都有著自身的不足之處。
人工檢查要求數(shù)據(jù)庫(kù)管理人員具備豐富的數(shù)據(jù)庫(kù)安全經(jīng)驗(yàn),且執(zhí)行需要消耗大量時(shí)間;人工檢查缺少對(duì)數(shù)據(jù)庫(kù)整體安全情況的評(píng)估,難以確定哪些數(shù)據(jù)庫(kù)是安全的,或是有哪些數(shù)據(jù)庫(kù)、正面臨著何種安全風(fēng)險(xiǎn);同時(shí)容易忽略重要安全隱患和不正確的安全配置,從而導(dǎo)致弱口令、補(bǔ)丁未更新等被人惡意利用;傳統(tǒng)的漏洞掃描器與專業(yè)的數(shù)據(jù)庫(kù)漏洞掃描工具相比,在數(shù)據(jù)庫(kù)類型、檢測(cè)項(xiàng)、檢測(cè)細(xì)粒度等方面都存在缺陷。
當(dāng)前,教育行業(yè)相關(guān)單位的主要安全防護(hù)手段,仍是依靠在網(wǎng)絡(luò)各區(qū)域?qū)嵤┰L問(wèn)控制策略,并通過(guò)傳統(tǒng)的網(wǎng)絡(luò)防火墻、入侵防御相關(guān)設(shè)備完成的。但是,這些網(wǎng)絡(luò)防火墻和入侵防御設(shè)備在對(duì)數(shù)據(jù)庫(kù)進(jìn)行防護(hù)時(shí)則“能力有限”。
盡管教育行業(yè)內(nèi)已有很多單位配置了主機(jī)、軟件等防范措施,可真正處于核心層的敏感數(shù)據(jù)載體——數(shù)據(jù)庫(kù)的漏洞防御能力卻不高,實(shí)際抵御攻擊的能力往往相差甚遠(yuǎn)…讓黑客有機(jī)可乘,利用Web應(yīng)用漏洞進(jìn)行SQL注入;或以Web應(yīng)用服務(wù)器為跳板,利用數(shù)據(jù)庫(kù)自身漏洞發(fā)起攻擊和侵入等行為。
黑客通過(guò)互聯(lián)網(wǎng)針對(duì)教育行業(yè)的公共服務(wù)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行攻擊,實(shí)現(xiàn)非法入侵,繼而對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行惡意拷貝、刪除或?qū)γ舾?a target="_blank">信息進(jìn)行有目的性的破壞。
對(duì)教育行業(yè)內(nèi)部網(wǎng)絡(luò)來(lái)講,數(shù)據(jù)庫(kù)運(yùn)維管理員等合法人員的行為同樣需要管控——即便是合法人員,依然存在針對(duì)核心數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作的可能,例如:非授權(quán)訪問(wèn)敏感數(shù)據(jù)、非工作時(shí)間訪問(wèn)核心業(yè)務(wù)表、非工作場(chǎng)所訪問(wèn)數(shù)據(jù)庫(kù)、運(yùn)維誤操作、高危指令(delete、update)操作等行為,都存在重大安全風(fēng)險(xiǎn)。
隨著教育行業(yè)信息化程度的提高,學(xué)籍、成績(jī)等大量機(jī)密敏感信息集中存儲(chǔ)在數(shù)據(jù)庫(kù)系統(tǒng)中。由于是明文存儲(chǔ),使敏感數(shù)據(jù)面臨被篡改、被竊取的威脅,數(shù)據(jù)批量泄露的風(fēng)險(xiǎn)也大大提高。
安華金和深耕教育行業(yè)多年,憑借豐富的數(shù)據(jù)安全治理方案實(shí)踐與經(jīng)驗(yàn)積累,建議教育單位應(yīng)根據(jù)行業(yè)實(shí)際狀況,針對(duì)數(shù)據(jù)庫(kù)的安全建立防護(hù)機(jī)制——從數(shù)據(jù)庫(kù)使用的“事前、事中、事后”三個(gè)層面,建立起“檢查預(yù)警、主動(dòng)防御、底線防守、事后追查”的縱深防護(hù)體系,用以解決教育行業(yè)數(shù)據(jù)庫(kù)所面臨的復(fù)雜問(wèn)題,讓數(shù)據(jù)使用更安全。
評(píng)論
查看更多