近日，某高校學(xué)生發(fā)現(xiàn)校內(nèi)樹(shù)洞網(wǎng)站“小喇叭”出現(xiàn)了一個(gè)“顏值打分系統(tǒng)”，該網(wǎng)站可以查看每個(gè)學(xué)生的顏值分?jǐn)?shù)，其中包含了2014-2020級(jí)本碩博所有學(xué)生在內(nèi)的個(gè)人信息，被泄露的信息包含學(xué)號(hào)、姓名、學(xué)院、家鄉(xiāng)、生日等。經(jīng)查，嫌疑人馬某某涉嫌非法獲取該校部分學(xué)生個(gè)人信息等違法犯罪行為，目前已被海淀公安分局依法刑事拘留。

這一行為迅速引起了社會(huì)的廣泛關(guān)注與譴責(zé)，不僅侵犯了學(xué)生的隱私權(quán)和高校數(shù)據(jù)安全，還可能帶來(lái)不可預(yù)測(cè)的安全風(fēng)險(xiǎn)。諸如此類(lèi)信息數(shù)據(jù)泄露事件時(shí)有發(fā)生，很多高校在應(yīng)對(duì)師生個(gè)人信息保護(hù)時(shí)仍面臨眾多風(fēng)險(xiǎn)，主要包括：入侵攻擊竊取、非法終端接入、非授權(quán)人員訪(fǎng)問(wèn)、授權(quán)人員誤操作、違規(guī)外發(fā)和上傳等導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

國(guó)家教育部發(fā)布的《教育信息化2.0行動(dòng)計(jì)劃》中明確指出，教育機(jī)構(gòu)應(yīng)以《網(wǎng)絡(luò)安全法》等法律法規(guī)為綱，全面提高教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，做好關(guān)鍵信息基礎(chǔ)設(shè)施保障，重點(diǎn)保障數(shù)據(jù)和信息安全，強(qiáng)化隱私保護(hù)，建立嚴(yán)密保護(hù)、逐層開(kāi)放、有序共享的良性機(jī)制，切實(shí)維護(hù)好廣大師生的切身利益。

天融信數(shù)據(jù)防泄漏解決方案

天融信憑借多年深耕教育行業(yè)網(wǎng)絡(luò)安全項(xiàng)目實(shí)踐經(jīng)驗(yàn)，遵照國(guó)家及教育行業(yè)提出的數(shù)據(jù)安全保護(hù)要求，為高?？蛻?hù)專(zhuān)門(mén)推出了數(shù)據(jù)防泄漏解決方案。該方案旨在構(gòu)建高校網(wǎng)絡(luò)安全基本防御能力的基礎(chǔ)上，重點(diǎn)規(guī)劃設(shè)計(jì)數(shù)據(jù)安全防御能力，以“進(jìn)不來(lái)、拿不到、看不懂、打不垮、賴(lài)不掉”為核心目標(biāo)，為高校打造一體化數(shù)據(jù)防泄漏保障體系。

1、進(jìn)不來(lái)：補(bǔ)齊校園網(wǎng)絡(luò)安全防御能力

在校園網(wǎng)邊界以雙機(jī)模式部署擎天系列防火墻，每臺(tái)防火墻配置雙主控引擎，開(kāi)啟設(shè)備運(yùn)行狀態(tài)監(jiān)測(cè)功能，避免單板故障，保障系統(tǒng)高可用；開(kāi)啟訪(fǎng)問(wèn)控制、應(yīng)用識(shí)別功能，根據(jù)用戶(hù)、時(shí)間、應(yīng)用制定控制策略，實(shí)現(xiàn)行為高可控；開(kāi)啟防病毒功能，實(shí)時(shí)攔截外部多種病毒、蠕蟲(chóng)、木馬；開(kāi)啟入侵防御功能，實(shí)時(shí)阻斷黑客對(duì)服務(wù)器、主機(jī)的入侵行為；開(kāi)啟統(tǒng)計(jì)監(jiān)控功能，實(shí)時(shí)統(tǒng)計(jì)各種流量和會(huì)話(huà)信息，生成統(tǒng)計(jì)圖表，實(shí)時(shí)分類(lèi)記錄存儲(chǔ)大量日志信息，以便溯源分析，實(shí)現(xiàn)安全事件可審計(jì)。

通過(guò)實(shí)行以上防御措施，天融信為高校網(wǎng)絡(luò)邊界構(gòu)建起精細(xì)化安全管控能力，避免入侵攻擊行為從互聯(lián)網(wǎng)側(cè)滲透進(jìn)校園網(wǎng)絡(luò)內(nèi)部造成橫向提權(quán)、數(shù)據(jù)泄漏等后果。

2、拿不到：建設(shè)數(shù)據(jù)安全防護(hù)能力

高校校園網(wǎng)絡(luò)作為教育信息數(shù)據(jù)存儲(chǔ)、傳輸、共享、交換的主要載體，承載著高校重要信息系統(tǒng)中的數(shù)據(jù)。通過(guò)在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)數(shù)據(jù)防泄漏產(chǎn)品，可有效識(shí)別網(wǎng)絡(luò)中的重要教育數(shù)據(jù)，捕獲高校網(wǎng)絡(luò)中的網(wǎng)絡(luò)傳輸流量，同時(shí)提取傳輸協(xié)議報(bào)文，對(duì)報(bào)文內(nèi)容進(jìn)行深度解析。在發(fā)現(xiàn)網(wǎng)絡(luò)流量數(shù)據(jù)中存在敏感數(shù)據(jù)時(shí)，可以結(jié)合高校業(yè)務(wù)需要，制定相關(guān)安全策略展開(kāi)有效阻斷。

終端是高校數(shù)字校園中的重要載體，同時(shí)也是辦公、教學(xué)環(huán)境中數(shù)據(jù)泄漏的主要途徑。通過(guò)部署終端數(shù)據(jù)防泄漏產(chǎn)品監(jiān)管終端USB接口以達(dá)到對(duì)終端外發(fā)通道的管控，實(shí)現(xiàn)外發(fā)文件行為可管、可控、可審計(jì)，有效阻止數(shù)據(jù)外泄，從而對(duì)高校終端內(nèi)的業(yè)務(wù)數(shù)據(jù)資產(chǎn)進(jìn)行實(shí)時(shí)保護(hù)，避免發(fā)生終端數(shù)據(jù)外泄等威脅事件。

數(shù)據(jù)庫(kù)作為高校數(shù)據(jù)的直接載體，存在內(nèi)部的違規(guī)操作或外部攻擊導(dǎo)致數(shù)據(jù)泄漏事件的風(fēng)險(xiǎn)。為保障數(shù)據(jù)庫(kù)避免內(nèi)部違規(guī)操作和外部攻擊導(dǎo)致的數(shù)據(jù)泄漏，可在數(shù)據(jù)庫(kù)前端部署數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)產(chǎn)品，以達(dá)到對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)控制與實(shí)時(shí)監(jiān)控，形成保護(hù)數(shù)據(jù)庫(kù)的最終防線(xiàn)。經(jīng)過(guò)部署建設(shè)，可以智能識(shí)別SQL潛在風(fēng)險(xiǎn)并進(jìn)行控制，同時(shí)對(duì)數(shù)據(jù)庫(kù)漏洞、弱口令、權(quán)限配置展開(kāi)掃描，及時(shí)發(fā)現(xiàn)上述風(fēng)險(xiǎn)，采取有效措施加以管控，提高數(shù)據(jù)庫(kù)的整體安全性，有效降低數(shù)據(jù)庫(kù)被攻擊的風(fēng)險(xiǎn)。

3、看不懂：存儲(chǔ)加密及脫敏共享

高校網(wǎng)絡(luò)通常會(huì)承載科研、系統(tǒng)研發(fā)等業(yè)務(wù)，此場(chǎng)景下經(jīng)常需要調(diào)用學(xué)校核心生產(chǎn)數(shù)據(jù)作為測(cè)試數(shù)據(jù)，如不加以控制，則很容易造成敏感數(shù)據(jù)泄露事件。通過(guò)部署數(shù)據(jù)脫敏產(chǎn)品，以“靜態(tài)脫敏+動(dòng)態(tài)脫敏”相結(jié)合的方式，對(duì)學(xué)校核心生產(chǎn)數(shù)據(jù)進(jìn)行脫敏處理后進(jìn)行使用，即使測(cè)試數(shù)據(jù)丟失也不會(huì)造成任何不良影響。

針對(duì)高校網(wǎng)絡(luò)中存在的大量結(jié)構(gòu)化數(shù)據(jù)，天融信建議學(xué)校通過(guò)部署數(shù)據(jù)庫(kù)加密產(chǎn)品，實(shí)現(xiàn)數(shù)據(jù)全局加密，開(kāi)啟精細(xì)化權(quán)限管理，僅授權(quán)用戶(hù)可解密使用數(shù)據(jù)，而未授權(quán)人員則無(wú)法訪(fǎng)問(wèn)該核心數(shù)據(jù)，即使未授權(quán)人員通過(guò)非法途徑獲取敏感數(shù)據(jù)也無(wú)法實(shí)現(xiàn)解密。

4、打不垮：加強(qiáng)內(nèi)網(wǎng)威脅感知與分析

在校園安全管理區(qū)部署一套內(nèi)網(wǎng)威脅分析產(chǎn)品，基于大數(shù)據(jù)架構(gòu)、采用AI智能技術(shù)，以發(fā)現(xiàn)內(nèi)網(wǎng)失陷和內(nèi)部違規(guī)為核心目標(biāo)，全面收集終端、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)流量三個(gè)方面的行為觀測(cè)點(diǎn)的數(shù)據(jù)。系統(tǒng)融合關(guān)聯(lián)分析、統(tǒng)計(jì)分析、用戶(hù)實(shí)體行為分析、AI分析形成縱深分析體系，輔予誘捕分析、流量分析、終端檢測(cè)響應(yīng)等技術(shù)支撐，通過(guò)構(gòu)建行為模型和綜合評(píng)分機(jī)制，捕捉高校校園網(wǎng)絡(luò)內(nèi)人員/設(shè)備的行為異常變化，勾勒人員/資產(chǎn)行為輪廓，繼而利用縱深分析對(duì)周期性行為進(jìn)行判定，發(fā)現(xiàn)內(nèi)網(wǎng)失陷和數(shù)據(jù)違規(guī)竊取等行為，最終挖出潛伏在內(nèi)網(wǎng)的數(shù)據(jù)泄露威脅。

5、賴(lài)不掉：數(shù)據(jù)安全事件溯源閉環(huán)

一方面，通過(guò)在數(shù)據(jù)庫(kù)前端交換機(jī)上部署一臺(tái)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，進(jìn)行數(shù)據(jù)庫(kù)審計(jì)，發(fā)現(xiàn)和捕獲各種數(shù)據(jù)庫(kù)操作信息、違規(guī)行為，輔以實(shí)時(shí)報(bào)警響應(yīng)，實(shí)現(xiàn)用戶(hù)和數(shù)據(jù)庫(kù)之間的業(yè)務(wù)關(guān)聯(lián)分析、數(shù)據(jù)庫(kù)審計(jì)及安全事件的準(zhǔn)確定位，為整體數(shù)據(jù)庫(kù)防護(hù)策略的制定提供權(quán)威可靠的支持。系統(tǒng)審計(jì)到的SQL語(yǔ)句可與資產(chǎn)實(shí)例結(jié)合，內(nèi)置數(shù)據(jù)軌跡模型，以資產(chǎn)為核心，以數(shù)據(jù)流轉(zhuǎn)為軌跡，圖形化展示操作行為，讓數(shù)據(jù)軌跡清晰可見(jiàn)。同時(shí)將數(shù)據(jù)庫(kù)的所有訪(fǎng)問(wèn)情況實(shí)時(shí)可視化呈現(xiàn)，高校網(wǎng)絡(luò)管理者可快速回溯定責(zé)各種數(shù)據(jù)庫(kù)安全事件，有效加強(qiáng)數(shù)據(jù)泄露監(jiān)督能力。

另一方面，基于已部署的終端數(shù)據(jù)防泄漏產(chǎn)品的數(shù)字水印功能，實(shí)現(xiàn)高校辦公終端桌面上顯示水印信息，水印信息包括：責(zé)任人、主機(jī)名、IP地址、MAC地址、登錄用戶(hù)、日期時(shí)間等，同時(shí)也支持管理員自定義文字顯示。一旦發(fā)生敏感數(shù)據(jù)泄露事件，屏幕水印可為高校提供有效溯源依據(jù)，管理員可直接通過(guò)屏幕水印信息快速定位泄漏源。

方案價(jià)值

立體防御，提供全面的數(shù)據(jù)安全防護(hù)能力。方案構(gòu)建了網(wǎng)絡(luò)側(cè)、終端側(cè)、數(shù)據(jù)庫(kù)側(cè)立體化數(shù)據(jù)安全防御能力，提升高校面對(duì)數(shù)據(jù)泄漏風(fēng)險(xiǎn)的應(yīng)對(duì)能力，降低因數(shù)據(jù)泄漏給高校帶來(lái)經(jīng)濟(jì)損失、名譽(yù)受損等風(fēng)險(xiǎn)。

智能防護(hù)，提升深度數(shù)據(jù)安全風(fēng)險(xiǎn)挖掘能力。方案應(yīng)用了大數(shù)據(jù)分析技術(shù)，在充分理解高校業(yè)務(wù)行為的基礎(chǔ)上構(gòu)建行為倉(cāng)庫(kù)，并融合了統(tǒng)計(jì)分析、關(guān)聯(lián)分析、AI分析等技術(shù)手段構(gòu)建行為分析模型，幫助高校形成縱深數(shù)據(jù)安全分析體系，實(shí)現(xiàn)深度數(shù)據(jù)風(fēng)險(xiǎn)分析。

事件跟蹤，強(qiáng)化數(shù)據(jù)安全事件追蹤溯源能力。方案提供數(shù)據(jù)庫(kù)行為審計(jì)、網(wǎng)絡(luò)流量解析、數(shù)字水印等強(qiáng)審計(jì)能力，針對(duì)高校網(wǎng)絡(luò)中核心敏感數(shù)據(jù)進(jìn)行深度內(nèi)容分析和監(jiān)控，為事后事件追溯提供強(qiáng)有力的參考。

教育是民族振興、社會(huì)進(jìn)步的重要基石。天融信深耕教育行業(yè)多年，憑借先進(jìn)的網(wǎng)絡(luò)安全技術(shù)優(yōu)勢(shì)以及貼合教育行業(yè)客戶(hù)實(shí)際業(yè)務(wù)場(chǎng)景的技術(shù)方案，全面賦能教育行業(yè)數(shù)據(jù)安全能力建設(shè)。未來(lái)，天融信將在持續(xù)的技術(shù)創(chuàng)新中筑牢智慧校園安全防線(xiàn)，助力高校數(shù)字化轉(zhuǎn)型高質(zhì)量發(fā)展。