根據(jù)安全值對教育行業(yè)4477家數(shù)據(jù)庫進(jìn)行的統(tǒng)計(jì)分析顯示�����,有515家的數(shù)據(jù)庫直接暴露在互聯(lián)網(wǎng)中��。要知道教育行業(yè)使用的數(shù)據(jù)庫不僅種類繁雜、版本多樣���,且其中的大部分還是有著明顯漏洞的舊版數(shù)據(jù)庫���,有部分MongoDB數(shù)據(jù)庫甚至尚未設(shè)置賬號(hào)、密碼和驗(yàn)證…黑客無需經(jīng)過身份驗(yàn)證就可以直接入侵這些數(shù)據(jù)庫盜取數(shù)據(jù)���,甚至控制數(shù)據(jù)庫�����。
近年來����,國內(nèi)教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫泄露事件�����,相關(guān)人員隱私權(quán)益遭受嚴(yán)重?fù)p害�����,涉案企業(yè)���、機(jī)構(gòu)的聲譽(yù)也大打折扣����。為防范重大數(shù)據(jù)安全事故的發(fā)生,很多教育單位已經(jīng)在技術(shù)和管理層面采取了對應(yīng)的措施���,但在數(shù)據(jù)庫安全防護(hù)層面卻存在如數(shù)據(jù)庫安全現(xiàn)狀不清���、防護(hù)手段薄弱、漏洞防御能力低���、互聯(lián)網(wǎng)滲透威脅大���、數(shù)據(jù)庫訪問行為管控不嚴(yán)以及數(shù)據(jù)明文存儲(chǔ)等諸多威脅與風(fēng)險(xiǎn)。
安華金和建議廣大教育單位應(yīng)根據(jù)行業(yè)實(shí)際狀況����,針對數(shù)據(jù)庫的安全建立防護(hù)機(jī)制——從數(shù)據(jù)庫使用的“事前����、事中、事后”三個(gè)層面�����,建立起“檢查預(yù)警、主動(dòng)防御����、底線防守、事后追查”的縱深防護(hù)體系�,用以解決教育行業(yè)數(shù)據(jù)庫所面臨的復(fù)雜問題:
1��、檢查預(yù)警
教育單位應(yīng)對業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫進(jìn)行綜合安全風(fēng)險(xiǎn)評(píng)估����,通過數(shù)據(jù)庫漏洞掃描產(chǎn)品提供有價(jià)值的修復(fù)建議,為教育單位提升數(shù)據(jù)庫系統(tǒng)的安全基線提供整體����、有效的參考��。
2�、主動(dòng)防御
教育單位應(yīng)通過數(shù)據(jù)庫防火墻及數(shù)據(jù)庫安全運(yùn)維管控技術(shù)進(jìn)行主動(dòng)防御�,具體措施如下:
(1)執(zhí)行細(xì)粒度訪問控制
首先����,教育單位的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫應(yīng)僅接受可信人員及應(yīng)用發(fā)起的訪問請求��,從根源上徹底杜絕第三方人員�����、內(nèi)部人員的非授權(quán)訪問行為,減小被攻擊面����。
其次����,教育單位應(yīng)建立威脅主動(dòng)防御措施��,通過數(shù)據(jù)庫防火墻的SQL攻擊防護(hù)、虛擬補(bǔ)丁等功能�����,防范針對數(shù)據(jù)庫的SQL注入和漏洞攻擊等非法行為�。
(2)規(guī)范化運(yùn)維管控
教育單位應(yīng)改善傳統(tǒng)管理模式�����,建立規(guī)范的數(shù)據(jù)庫運(yùn)維流程�,包括事前審批��、事中控制、事后記錄操作信息等環(huán)節(jié)�����,從而實(shí)現(xiàn)對運(yùn)維全流程的規(guī)范化管理���。例如:使用數(shù)據(jù)庫安全運(yùn)維系統(tǒng)對運(yùn)維行為進(jìn)行審批管控——先提交運(yùn)維申請并指定運(yùn)維的時(shí)間����、對象和內(nèi)容,通過審批后才可進(jìn)行相關(guān)操作����。
3��、底線防守
教育局、教育服務(wù)部門�����、高校應(yīng)將存儲(chǔ)在數(shù)據(jù)庫中的教務(wù)�����、學(xué)籍等敏感信息通過數(shù)據(jù)庫加密產(chǎn)品進(jìn)行加密存儲(chǔ),防止此類敏感信息被以明文泄露����。
4�、事后追查
運(yùn)用數(shù)據(jù)庫審計(jì)技術(shù)對數(shù)據(jù)庫協(xié)議進(jìn)行精確識(shí)別��,針對數(shù)據(jù)庫的攻擊�、篡改�、泄露�、誤操作等行為進(jìn)行記錄和回放����,為事后溯源定責(zé)提供準(zhǔn)確依據(jù)�����,并對上述行為以郵件�����、短信等形式及時(shí)告警����。
“長期以來��,單位里一直存在著多位運(yùn)維人員共享一個(gè)登錄賬號(hào)的情況��。通過部署安華金和數(shù)據(jù)庫安全運(yùn)維系統(tǒng)和數(shù)據(jù)庫防火墻系統(tǒng),我們對網(wǎng)絡(luò)環(huán)境進(jìn)行了合理規(guī)劃����,例如:通過對IP進(jìn)行分區(qū)�����,禁止通過IP直接訪問數(shù)據(jù)庫的行為����,實(shí)現(xiàn)了對應(yīng)用端和運(yùn)維端登錄IP分區(qū)的有效管控�;每一位運(yùn)維人員被分配了唯一的登錄賬號(hào)�,并劃分了賬號(hào)權(quán)限,從而提高對其的監(jiān)管能力�;通過對運(yùn)維行為進(jìn)行事前審批�、事中管控和事后審計(jì),實(shí)現(xiàn)了對運(yùn)維全流程的管理�,提高了對內(nèi)部人員操作的規(guī)范性�;數(shù)據(jù)庫防火墻的SQL攻擊防護(hù)和虛擬補(bǔ)丁等功能����,也幫助我們針對數(shù)據(jù)庫的SQL注入及其他攻擊行為展開了有效防護(hù)?��!?/span>
——某教育機(jī)構(gòu)信息中心負(fù)責(zé)人
產(chǎn)品咨詢:4000 258 365 
