近年來����,國內(nèi)教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫泄露事件,相關(guān)人員隱私權(quán)益遭受嚴(yán)重?fù)p害����,涉案企業(yè)、機(jī)構(gòu)聲譽(yù)大打折扣����。
為防范重大數(shù)據(jù)安全事故的發(fā)生,很多教育單位已經(jīng)在技術(shù)和管理層面采取了對應(yīng)的措施���,不過當(dāng)前的解決辦法主要是從技術(shù)層面對數(shù)據(jù)庫訪問路徑和數(shù)據(jù)庫本身進(jìn)行安全加固���,在數(shù)據(jù)庫安全防護(hù)方面仍存在諸多問題:
1、數(shù)據(jù)庫安全現(xiàn)狀不清
教育單位的數(shù)據(jù)庫應(yīng)用類型比較復(fù)雜�����,對于數(shù)據(jù)庫中存在的安全問題,如:默認(rèn)管理員賬號�����、弱口令�����、默認(rèn)安全策略�����、缺省配置��,寬泛權(quán)限等���,更多是依靠數(shù)據(jù)庫管理人員自身經(jīng)驗(yàn),或者主機(jī)漏洞掃描工具進(jìn)行數(shù)據(jù)庫的安全檢查和評估�。但這幾種方式都有著自身的不足之處:
(1)人工檢查要求數(shù)據(jù)庫管理人員具備豐富的數(shù)據(jù)庫安全經(jīng)驗(yàn),且執(zhí)行需要消耗大量時(shí)間����;
(2)人工檢查缺少對數(shù)據(jù)庫整體安全情況的評估,難以確定哪些數(shù)據(jù)庫是安全的,或是有哪些數(shù)據(jù)庫�����、正面臨著何種安全風(fēng)險(xiǎn)�����;同時(shí)容易忽略重要安全隱患和不正確的安全配置��,從而導(dǎo)致弱口令����、補(bǔ)丁未更新等被人惡意利用;
(3)傳統(tǒng)的漏洞掃描器與專業(yè)的數(shù)據(jù)庫漏洞掃描工具相比�,在數(shù)據(jù)庫類型、檢測項(xiàng)��、檢測細(xì)粒度等方面都存在缺陷�。
2、防護(hù)手段薄弱
當(dāng)前����,教育行業(yè)相關(guān)單位的主要安全防護(hù)手段,仍是依靠在網(wǎng)絡(luò)各區(qū)域?qū)嵤┰L問控制策略����,并通過傳統(tǒng)的網(wǎng)絡(luò)防火墻�����、入侵防御相關(guān)設(shè)備完成的����。但是�����,這些網(wǎng)絡(luò)防火墻和入侵防御設(shè)備在對數(shù)據(jù)庫進(jìn)行防護(hù)時(shí)則“能力有限”�。
3、數(shù)據(jù)庫漏洞防御能力低
盡管教育行業(yè)內(nèi)已有很多單位配置了主機(jī)���、軟件等防范措施����,可真正處于核心層的敏感數(shù)據(jù)載體——數(shù)據(jù)庫的漏洞防御能力卻不高�,實(shí)際抵御攻擊的能力往往相差甚遠(yuǎn)…讓黑客有機(jī)可乘,利用Web應(yīng)用漏洞進(jìn)行SQL注入����;或以Web應(yīng)用服務(wù)器為跳板,利用數(shù)據(jù)庫自身漏洞發(fā)起攻擊和侵入等行為�。
4、互聯(lián)網(wǎng)滲透威脅
黑客通過互聯(lián)網(wǎng)針對教育行業(yè)的公共服務(wù)系統(tǒng)數(shù)據(jù)庫進(jìn)行攻擊�,實(shí)現(xiàn)非法入侵,繼而對系統(tǒng)數(shù)據(jù)進(jìn)行惡意拷貝��、刪除或?qū)γ舾行畔⑦M(jìn)行有目的性的破壞�。
5、數(shù)據(jù)庫訪問行為管控不嚴(yán)
對教育行業(yè)內(nèi)部網(wǎng)絡(luò)來講�����,數(shù)據(jù)庫運(yùn)維管理員等合法人員的行為同樣需要管控——即便是合法人員�,依然存在針對核心數(shù)據(jù)庫進(jìn)行違規(guī)操作的可能,例如:非授權(quán)訪問敏感數(shù)據(jù)�����、非工作時(shí)間訪問核心業(yè)務(wù)表��、非工作場所訪問數(shù)據(jù)庫�����、運(yùn)維誤操作�����、高危指令(delete、update)操作等行為�����,都存在重大安全風(fēng)險(xiǎn)�。
6、數(shù)據(jù)明文存儲
隨著教育行業(yè)信息化程度的提高�,學(xué)籍、成績等大量機(jī)密敏感信息集中存儲在數(shù)據(jù)庫系統(tǒng)中����。由于是明文存儲,使敏感數(shù)據(jù)面臨被篡改��、被竊取的威脅��,數(shù)據(jù)批量泄露的風(fēng)險(xiǎn)也大大提高��。
安華金和深耕教育行業(yè)多年����,憑借豐富的數(shù)據(jù)安全治理方案實(shí)踐與經(jīng)驗(yàn)積累,建議教育單位應(yīng)根據(jù)行業(yè)實(shí)際狀況����,針對數(shù)據(jù)庫的安全建立防護(hù)機(jī)制——從數(shù)據(jù)庫使用的“事前、事中�、事后”三個(gè)層面,建立起“檢查預(yù)警��、主動防御�、底線防守、事后追查”的縱深防護(hù)體系���,用以解決教育行業(yè)數(shù)據(jù)庫所面臨的復(fù)雜問題���,讓數(shù)據(jù)使用更安全。
產(chǎn)品咨詢:4000 258 365 
