教育行業(yè)所面臨的數(shù)據(jù)庫(kù)安全威脅分析

（文章來(lái)源：安華金和）

近年來(lái)，國(guó)內(nèi)教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫(kù)泄露事件，相關(guān)人員隱私權(quán)益遭受嚴(yán)重?fù)p害，涉案企業(yè)、機(jī)構(gòu)聲譽(yù)大打折扣。

為防范重大數(shù)據(jù)安全事故的發(fā)生，很多教育單位已經(jīng)在技術(shù)和管理層面采取了對(duì)應(yīng)的措施，不過(guò)當(dāng)前的解決辦法主要是從技術(shù)層面對(duì)數(shù)據(jù)庫(kù)訪問(wèn)路徑和數(shù)據(jù)庫(kù)本身進(jìn)行安全加固，在數(shù)據(jù)庫(kù)安全防護(hù)方面仍存在諸多問(wèn)題。

教育單位的數(shù)據(jù)庫(kù)應(yīng)用類型比較復(fù)雜，對(duì)于數(shù)據(jù)庫(kù)中存在的安全問(wèn)題，如：默認(rèn)管理員賬號(hào)、弱口令、默認(rèn)安全策略、缺省配置，寬泛權(quán)限等，更多是依靠數(shù)據(jù)庫(kù)管理人員自身經(jīng)驗(yàn)，或者主機(jī)漏洞掃描工具進(jìn)行數(shù)據(jù)庫(kù)的安全檢查和評(píng)估。但這幾種方式都有著自身的不足之處。

人工檢查要求數(shù)據(jù)庫(kù)管理人員具備豐富的數(shù)據(jù)庫(kù)安全經(jīng)驗(yàn)，且執(zhí)行需要消耗大量時(shí)間；人工檢查缺少對(duì)數(shù)據(jù)庫(kù)整體安全情況的評(píng)估，難以確定哪些數(shù)據(jù)庫(kù)是安全的，或是有哪些數(shù)據(jù)庫(kù)、正面臨著何種安全風(fēng)險(xiǎn)；同時(shí)容易忽略重要安全隱患和不正確的安全配置，從而導(dǎo)致弱口令、補(bǔ)丁未更新等被人惡意利用；傳統(tǒng)的漏洞掃描器與專業(yè)的數(shù)據(jù)庫(kù)漏洞掃描工具相比，在數(shù)據(jù)庫(kù)類型、檢測(cè)項(xiàng)、檢測(cè)細(xì)粒度等方面都存在缺陷。

當(dāng)前，教育行業(yè)相關(guān)單位的主要安全防護(hù)手段，仍是依靠在網(wǎng)絡(luò)各區(qū)域?qū)嵤┰L問(wèn)控制策略，并通過(guò)傳統(tǒng)的網(wǎng)絡(luò)防火墻、入侵防御相關(guān)設(shè)備完成的。但是，這些網(wǎng)絡(luò)防火墻和入侵防御設(shè)備在對(duì)數(shù)據(jù)庫(kù)進(jìn)行防護(hù)時(shí)則“能力有限”。

盡管教育行業(yè)內(nèi)已有很多單位配置了主機(jī)、軟件等防范措施，可真正處于核心層的敏感數(shù)據(jù)載體——數(shù)據(jù)庫(kù)的漏洞防御能力卻不高，實(shí)際抵御攻擊的能力往往相差甚遠(yuǎn)…讓黑客有機(jī)可乘，利用Web應(yīng)用漏洞進(jìn)行SQL注入；或以Web應(yīng)用服務(wù)器為跳板，利用數(shù)據(jù)庫(kù)自身漏洞發(fā)起攻擊和侵入等行為。

黑客通過(guò)互聯(lián)網(wǎng)針對(duì)教育行業(yè)的公共服務(wù)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行攻擊，實(shí)現(xiàn)非法入侵，繼而對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行惡意拷貝、刪除或?qū)γ舾?a target="_blank">信息進(jìn)行有目的性的破壞。

對(duì)教育行業(yè)內(nèi)部網(wǎng)絡(luò)來(lái)講，數(shù)據(jù)庫(kù)運(yùn)維管理員等合法人員的行為同樣需要管控——即便是合法人員，依然存在針對(duì)核心數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作的可能，例如：非授權(quán)訪問(wèn)敏感數(shù)據(jù)、非工作時(shí)間訪問(wèn)核心業(yè)務(wù)表、非工作場(chǎng)所訪問(wèn)數(shù)據(jù)庫(kù)、運(yùn)維誤操作、高危指令（delete、update）操作等行為，都存在重大安全風(fēng)險(xiǎn)。

隨著教育行業(yè)信息化程度的提高，學(xué)籍、成績(jī)等大量機(jī)密敏感信息集中存儲(chǔ)在數(shù)據(jù)庫(kù)系統(tǒng)中。由于是明文存儲(chǔ)，使敏感數(shù)據(jù)面臨被篡改、被竊取的威脅，數(shù)據(jù)批量泄露的風(fēng)險(xiǎn)也大大提高。

安華金和深耕教育行業(yè)多年，憑借豐富的數(shù)據(jù)安全治理方案實(shí)踐與經(jīng)驗(yàn)積累，建議教育單位應(yīng)根據(jù)行業(yè)實(shí)際狀況，針對(duì)數(shù)據(jù)庫(kù)的安全建立防護(hù)機(jī)制——從數(shù)據(jù)庫(kù)使用的“事前、事中、事后”三個(gè)層面，建立起“檢查預(yù)警、主動(dòng)防御、底線防守、事后追查”的縱深防護(hù)體系，用以解決教育行業(yè)數(shù)據(jù)庫(kù)所面臨的復(fù)雜問(wèn)題，讓數(shù)據(jù)使用更安全。