Loading...

安全趋势


安全趋势


随着教育行业信息化建设加速,越来越多的科研成果、学术资料、师生身份信息等数据被搜集、存储、汇聚,其中大量信息用于行业科研合作、数据交换和共享,成为支撑业务运营发展的重要资产。近年来,为防止数据外泄,教育行业的网络安全防护水平有了较大提升,但保护手段依然停留在防火墙、反病毒、入侵检测、物理隔离等传统方法,存储着敏感数据资产的数据库缺乏更有效的安全防护措施,数据泄露隐患仍不容忽视。


目前在教育行业各类核心业务系统数据库层面存在如下数据泄露风险:


1、高权限管理人员,如开发人员、内部管理员、第三方维护人员等特权管理用户,拥有直接访问数据库的权限。由于缺乏安全管控手段,无法有效防范部分人员非法或者无意中泄露、篡改敏感数据。


2、教育行业大部分数据库中均以明文数据存储,非法操作者可绕过数据库权限体系,对敏感数据进行未授权的访问或处理。


3、黑客利用专门的扫描工具,通过互联网针对数据库展开试探和攻击行为,发现并利用系统漏洞、构造SQL注入、提权操作等手段,非法入侵数据库系统,进行恶意篡改、删除、批量拷贝数据等操作。


4、测试、培训、开发等环境下使用真实数据易发生泄露,而手工脱敏易引起逻辑不一致、数据重复和遗漏等问题。


5、教育机构依赖网络审计产品,但对数据库层面的审计能力“微乎其微”。同时,网络审计产品往往存在一个弊端,如网络审计产品采用简单旁路部署在核心交换机的上,直接在数据库内部或者数据库服务器上的操作,无法审计。


卫士安教育行业安全趋势1.jpg