根據(jù)安全值對(duì)教育行業(yè)4477家數(shù)據(jù)庫(kù)進(jìn)行的統(tǒng)計(jì)分析顯示�����,有515家的數(shù)據(jù)庫(kù)直接暴露在互聯(lián)網(wǎng)中�。要知道教育行業(yè)使用的數(shù)據(jù)庫(kù)不僅種類繁雜、版本多樣��,且其中的大部分還是有著明顯漏洞的舊版數(shù)據(jù)庫(kù),有部分MongoDB數(shù)據(jù)庫(kù)甚至尚未設(shè)置賬號(hào)�����、密碼和驗(yàn)證…黑客無(wú)需經(jīng)過(guò)身份驗(yàn)證就可以直接入侵這些數(shù)據(jù)庫(kù)盜取數(shù)據(jù)�����,甚至控制數(shù)據(jù)庫(kù)��。
近年來(lái)��,國(guó)內(nèi)教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫(kù)泄露事件�����,相關(guān)人員隱私權(quán)益遭受嚴(yán)重?fù)p害��,涉案企業(yè)��、機(jī)構(gòu)的聲譽(yù)也大打折扣�。為防范重大數(shù)據(jù)安全事故的發(fā)生�,很多教育單位已經(jīng)在技術(shù)和管理層面采取了對(duì)應(yīng)的措施,但在數(shù)據(jù)庫(kù)安全防護(hù)層面卻存在如數(shù)據(jù)庫(kù)安全現(xiàn)狀不清�����、防護(hù)手段薄弱、漏洞防御能力低��、互聯(lián)網(wǎng)滲透威脅大���、數(shù)據(jù)庫(kù)訪問(wèn)行為管控不嚴(yán)以及數(shù)據(jù)明文存儲(chǔ)等諸多威脅與風(fēng)險(xiǎn)�����。
安華金和建議廣大教育單位應(yīng)根據(jù)行業(yè)實(shí)際狀況�,針對(duì)數(shù)據(jù)庫(kù)的安全建立防護(hù)機(jī)制——從數(shù)據(jù)庫(kù)使用的“事前��、事中�、事后”三個(gè)層面,建立起“檢查預(yù)警���、主動(dòng)防御�、底線防守�、事后追查”的縱深防護(hù)體系,用以解決教育行業(yè)數(shù)據(jù)庫(kù)所面臨的復(fù)雜問(wèn)題:
1���、檢查預(yù)警
教育單位應(yīng)對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行綜合安全風(fēng)險(xiǎn)評(píng)估��,通過(guò)數(shù)據(jù)庫(kù)漏洞掃描產(chǎn)品提供有價(jià)值的修復(fù)建議��,為教育單位提升數(shù)據(jù)庫(kù)系統(tǒng)的安全基線提供整體�、有效的參考��。
2��、主動(dòng)防御
教育單位應(yīng)通過(guò)數(shù)據(jù)庫(kù)防火墻及數(shù)據(jù)庫(kù)安全運(yùn)維管控技術(shù)進(jìn)行主動(dòng)防御���,具體措施如下:
(1)執(zhí)行細(xì)粒度訪問(wèn)控制
首先,教育單位的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)僅接受可信人員及應(yīng)用發(fā)起的訪問(wèn)請(qǐng)求���,從根源上徹底杜絕第三方人員�、內(nèi)部人員的非授權(quán)訪問(wèn)行為�,減小被攻擊面。
其次��,教育單位應(yīng)建立威脅主動(dòng)防御措施���,通過(guò)數(shù)據(jù)庫(kù)防火墻的SQL攻擊防護(hù)��、虛擬補(bǔ)丁等功能���,防范針對(duì)數(shù)據(jù)庫(kù)的SQL注入和漏洞攻擊等非法行為���。
(2)規(guī)范化運(yùn)維管控
教育單位應(yīng)改善傳統(tǒng)管理模式,建立規(guī)范的數(shù)據(jù)庫(kù)運(yùn)維流程����,包括事前審批、事中控制���、事后記錄操作信息等環(huán)節(jié)���,從而實(shí)現(xiàn)對(duì)運(yùn)維全流程的規(guī)范化管理。例如:使用數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng)對(duì)運(yùn)維行為進(jìn)行審批管控——先提交運(yùn)維申請(qǐng)并指定運(yùn)維的時(shí)間�����、對(duì)象和內(nèi)容�,通過(guò)審批后才可進(jìn)行相關(guān)操作。
3��、底線防守
教育局����、教育服務(wù)部門�、高校應(yīng)將存儲(chǔ)在數(shù)據(jù)庫(kù)中的教務(wù)��、學(xué)籍等敏感信息通過(guò)數(shù)據(jù)庫(kù)加密產(chǎn)品進(jìn)行加密存儲(chǔ)��,防止此類敏感信息被以明文泄露�����。
4����、事后追查
運(yùn)用數(shù)據(jù)庫(kù)審計(jì)技術(shù)對(duì)數(shù)據(jù)庫(kù)協(xié)議進(jìn)行精確識(shí)別�,針對(duì)數(shù)據(jù)庫(kù)的攻擊、篡改���、泄露�、誤操作等行為進(jìn)行記錄和回放����,為事后溯源定責(zé)提供準(zhǔn)確依據(jù),并對(duì)上述行為以郵件�、短信等形式及時(shí)告警。
“長(zhǎng)期以來(lái),單位里一直存在著多位運(yùn)維人員共享一個(gè)登錄賬號(hào)的情況��。通過(guò)部署安華金和數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng)和數(shù)據(jù)庫(kù)防火墻系統(tǒng)�,我們對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行了合理規(guī)劃,例如:通過(guò)對(duì)IP進(jìn)行分區(qū)����,禁止通過(guò)IP直接訪問(wèn)數(shù)據(jù)庫(kù)的行為,實(shí)現(xiàn)了對(duì)應(yīng)用端和運(yùn)維端登錄IP分區(qū)的有效管控����;每一位運(yùn)維人員被分配了唯一的登錄賬號(hào),并劃分了賬號(hào)權(quán)限����,從而提高對(duì)其的監(jiān)管能力;通過(guò)對(duì)運(yùn)維行為進(jìn)行事前審批����、事中管控和事后審計(jì),實(shí)現(xiàn)了對(duì)運(yùn)維全流程的管理��,提高了對(duì)內(nèi)部人員操作的規(guī)范性��;數(shù)據(jù)庫(kù)防火墻的SQL攻擊防護(hù)和虛擬補(bǔ)丁等功能����,也幫助我們針對(duì)數(shù)據(jù)庫(kù)的SQL注入及其他攻擊行為展開了有效防護(hù)�?�!?/span>
——某教育機(jī)構(gòu)信息中心負(fù)責(zé)人
產(chǎn)品咨詢:4000 258 365 
