根據(jù)安全值對(duì)教育行業(yè)4477家數(shù)據(jù)庫(kù)進(jìn)行的統(tǒng)計(jì)分析顯示���,有515家的數(shù)據(jù)庫(kù)直接暴露在互聯(lián)網(wǎng)中�����。要知道教育行業(yè)使用的數(shù)據(jù)庫(kù)不僅種類繁雜��、版本多樣���,且其中的大部分還是有著明顯漏洞的舊版數(shù)據(jù)庫(kù)��,有部分MongoDB數(shù)據(jù)庫(kù)甚至尚未設(shè)置賬號(hào)�、密碼和驗(yàn)證…黑客無需經(jīng)過身份驗(yàn)證就可以直接入侵這些數(shù)據(jù)庫(kù)盜取數(shù)據(jù)����,甚至控制數(shù)據(jù)庫(kù)�����。
近年來�,國(guó)內(nèi)教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫(kù)泄露事件,相關(guān)人員隱私權(quán)益遭受嚴(yán)重?fù)p害��,涉案企業(yè)����、機(jī)構(gòu)的聲譽(yù)也大打折扣�。為防范重大數(shù)據(jù)安全事故的發(fā)生��,很多教育單位已經(jīng)在技術(shù)和管理層面采取了對(duì)應(yīng)的措施���,但在數(shù)據(jù)庫(kù)安全防護(hù)層面卻存在如數(shù)據(jù)庫(kù)安全現(xiàn)狀不清����、防護(hù)手段薄弱�����、漏洞防御能力低���、互聯(lián)網(wǎng)滲透威脅大��、數(shù)據(jù)庫(kù)訪問行為管控不嚴(yán)以及數(shù)據(jù)明文存儲(chǔ)等諸多威脅與風(fēng)險(xiǎn)�����。
安華金和建議廣大教育單位應(yīng)根據(jù)行業(yè)實(shí)際狀況����,針對(duì)數(shù)據(jù)庫(kù)的安全建立防護(hù)機(jī)制——從數(shù)據(jù)庫(kù)使用的“事前��、事中、事后”三個(gè)層面����,建立起“檢查預(yù)警、主動(dòng)防御��、底線防守�����、事后追查”的縱深防護(hù)體系����,用以解決教育行業(yè)數(shù)據(jù)庫(kù)所面臨的復(fù)雜問題:
1、檢查預(yù)警
教育單位應(yīng)對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行綜合安全風(fēng)險(xiǎn)評(píng)估��,通過數(shù)據(jù)庫(kù)漏洞掃描產(chǎn)品提供有價(jià)值的修復(fù)建議��,為教育單位提升數(shù)據(jù)庫(kù)系統(tǒng)的安全基線提供整體�����、有效的參考�。
2���、主動(dòng)防御
教育單位應(yīng)通過數(shù)據(jù)庫(kù)防火墻及數(shù)據(jù)庫(kù)安全運(yùn)維管控技術(shù)進(jìn)行主動(dòng)防御�����,具體措施如下:
(1)執(zhí)行細(xì)粒度訪問控制
首先�,教育單位的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)僅接受可信人員及應(yīng)用發(fā)起的訪問請(qǐng)求,從根源上徹底杜絕第三方人員��、內(nèi)部人員的非授權(quán)訪問行為�����,減小被攻擊面����。
其次,教育單位應(yīng)建立威脅主動(dòng)防御措施���,通過數(shù)據(jù)庫(kù)防火墻的SQL攻擊防護(hù)�、虛擬補(bǔ)丁等功能����,防范針對(duì)數(shù)據(jù)庫(kù)的SQL注入和漏洞攻擊等非法行為。
(2)規(guī)范化運(yùn)維管控
教育單位應(yīng)改善傳統(tǒng)管理模式,建立規(guī)范的數(shù)據(jù)庫(kù)運(yùn)維流程�����,包括事前審批�����、事中控制��、事后記錄操作信息等環(huán)節(jié)�,從而實(shí)現(xiàn)對(duì)運(yùn)維全流程的規(guī)范化管理。例如:使用數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng)對(duì)運(yùn)維行為進(jìn)行審批管控——先提交運(yùn)維申請(qǐng)并指定運(yùn)維的時(shí)間���、對(duì)象和內(nèi)容���,通過審批后才可進(jìn)行相關(guān)操作。
3�����、底線防守
教育局��、教育服務(wù)部門�����、高校應(yīng)將存儲(chǔ)在數(shù)據(jù)庫(kù)中的教務(wù)�、學(xué)籍等敏感信息通過數(shù)據(jù)庫(kù)加密產(chǎn)品進(jìn)行加密存儲(chǔ),防止此類敏感信息被以明文泄露�����。
4��、事后追查
運(yùn)用數(shù)據(jù)庫(kù)審計(jì)技術(shù)對(duì)數(shù)據(jù)庫(kù)協(xié)議進(jìn)行精確識(shí)別����,針對(duì)數(shù)據(jù)庫(kù)的攻擊、篡改����、泄露、誤操作等行為進(jìn)行記錄和回放�,為事后溯源定責(zé)提供準(zhǔn)確依據(jù),并對(duì)上述行為以郵件�、短信等形式及時(shí)告警。
“長(zhǎng)期以來��,單位里一直存在著多位運(yùn)維人員共享一個(gè)登錄賬號(hào)的情況��。通過部署安華金和數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng)和數(shù)據(jù)庫(kù)防火墻系統(tǒng),我們對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行了合理規(guī)劃�,例如:通過對(duì)IP進(jìn)行分區(qū),禁止通過IP直接訪問數(shù)據(jù)庫(kù)的行為���,實(shí)現(xiàn)了對(duì)應(yīng)用端和運(yùn)維端登錄IP分區(qū)的有效管控�����;每一位運(yùn)維人員被分配了唯一的登錄賬號(hào)��,并劃分了賬號(hào)權(quán)限�,從而提高對(duì)其的監(jiān)管能力��;通過對(duì)運(yùn)維行為進(jìn)行事前審批��、事中管控和事后審計(jì)��,實(shí)現(xiàn)了對(duì)運(yùn)維全流程的管理���,提高了對(duì)內(nèi)部人員操作的規(guī)范性�;數(shù)據(jù)庫(kù)防火墻的SQL攻擊防護(hù)和虛擬補(bǔ)丁等功能�,也幫助我們針對(duì)數(shù)據(jù)庫(kù)的SQL注入及其他攻擊行為展開了有效防護(hù)?���!?/span>
——某教育機(jī)構(gòu)信息中心負(fù)責(zé)人
產(chǎn)品咨詢:4000 258 365 
