一. 現(xiàn)狀
近年在國(guó)內(nèi)�,教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫(kù)泄露事件,案件相關(guān)人員隱私權(quán)益遭到嚴(yán)重?fù)p害��,教育相關(guān)單位的聲譽(yù)受到嚴(yán)重挑戰(zhàn)���。
據(jù)安全值針對(duì)教育行業(yè)中4477家數(shù)據(jù)庫(kù)情況的統(tǒng)計(jì)��,發(fā)現(xiàn)有515家的數(shù)據(jù)庫(kù)直接暴露在互聯(lián)網(wǎng)中。教育行業(yè)使用的數(shù)據(jù)庫(kù)種類繁雜,版本多樣�����。但大部分都是存在明顯漏洞的舊版數(shù)據(jù)庫(kù)����。甚至其中有部分MongoDB數(shù)據(jù)庫(kù)并未設(shè)置賬號(hào)密碼驗(yàn)證。黑客可以無(wú)需經(jīng)過身份驗(yàn)證�����,入侵?jǐn)?shù)據(jù)��、盜取數(shù)據(jù)甚至控制數(shù)據(jù)庫(kù)���。
二. 數(shù)據(jù)庫(kù)安全威脅
為了防范這些重大數(shù)據(jù)安全事故的發(fā)生���,目前很多教育單位已經(jīng)從技術(shù)和管理上采取了對(duì)應(yīng)的措施,當(dāng)前的解決辦法主要是在技術(shù)上對(duì)數(shù)據(jù)庫(kù)訪問路徑和數(shù)據(jù)庫(kù)本身進(jìn)行安全加固��,但是在數(shù)據(jù)庫(kù)安全防護(hù)方面依然存在一些不足��。
2.1 數(shù)據(jù)庫(kù)安全現(xiàn)狀不清
教育單位的數(shù)據(jù)庫(kù)應(yīng)用類型比較復(fù)雜�,對(duì)于數(shù)據(jù)庫(kù)中存在的數(shù)據(jù)庫(kù)安全問題����,如:默認(rèn)管理員賬號(hào)����、弱口令、默認(rèn)安全策略��、缺省配置���,寬泛權(quán)限等���,更多是依靠數(shù)據(jù)庫(kù)管理人員自身經(jīng)驗(yàn),或者主機(jī)漏洞掃描工具進(jìn)行數(shù)據(jù)庫(kù)的安全檢查和評(píng)估�����。這幾種方式有著自身的不足之處:
1�、人工檢查需要數(shù)據(jù)庫(kù)管理人員具備豐富的數(shù)據(jù)庫(kù)安全經(jīng)驗(yàn)并且需要消耗大量時(shí)間。
2�����、人工檢查缺少對(duì)數(shù)據(jù)庫(kù)整體安全情況評(píng)估�����,不能確定哪些數(shù)據(jù)庫(kù)是否安全���,那些數(shù)據(jù)庫(kù)面臨那些嚴(yán)重危害問題���。同時(shí),也容易忽略重要安全隱患和不正確的安全配置����,從而導(dǎo)致弱口令、補(bǔ)丁未更新等脆弱點(diǎn)被威脅利用��。
3�、傳統(tǒng)的漏洞掃描器與專業(yè)的數(shù)據(jù)庫(kù)漏洞掃描工具相比,數(shù)據(jù)庫(kù)類型��、檢測(cè)項(xiàng)����、檢測(cè)的細(xì)粒度都存在不足。
2.2 防護(hù)手段薄弱
當(dāng)前����,教育行業(yè)相關(guān)單位主要的防護(hù)手段����,依然是依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻���、入侵防御等相關(guān)設(shè)備進(jìn)行安全防護(hù)��,并在網(wǎng)絡(luò)各區(qū)域?qū)嵤┰L問控制策略���。但是,這些網(wǎng)絡(luò)防火墻和入侵防御設(shè)備在對(duì)數(shù)據(jù)庫(kù)進(jìn)行防護(hù)時(shí)存在不足�����。
2.3 數(shù)據(jù)庫(kù)漏洞防御能力低
盡管�����,教育行業(yè)相關(guān)單位內(nèi)已經(jīng)有很多主機(jī)���、軟件等防范措施����,而真正處于核心層的敏感數(shù)據(jù)載體——數(shù)據(jù)庫(kù)的漏洞防御能力較低����,抗攻擊能力嚴(yán)重不足��,黑客利用Web應(yīng)用漏洞���,進(jìn)行SQL注入��,或以Web應(yīng)用服務(wù)器為跳板��,利用數(shù)據(jù)庫(kù)自身漏洞進(jìn)行攻擊和侵入�����。
2.4 互聯(lián)網(wǎng)滲透威脅
黑客通過互聯(lián)網(wǎng)針對(duì)教育行業(yè)的公共服務(wù)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行攻擊�����,從而非法入侵教育行業(yè)數(shù)據(jù)庫(kù)系統(tǒng)���,惡意拷貝�����、刪除系統(tǒng)數(shù)據(jù)�����,進(jìn)行有目的的敏感信息破壞行為��。
2.5 數(shù)據(jù)庫(kù)訪問行為管控不嚴(yán)
對(duì)教育行業(yè)內(nèi)部網(wǎng)絡(luò)來(lái)講��,數(shù)據(jù)庫(kù)運(yùn)維管理員等合法人員的行為值得關(guān)注����。因?yàn)椋戏ㄈ藛T的依然存在針對(duì)核心數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作的安全隱患���,例如:非授權(quán)訪問敏感數(shù)據(jù)�、非工作時(shí)間訪問核心業(yè)務(wù)表���、非工作場(chǎng)所訪問數(shù)據(jù)庫(kù)��、運(yùn)維誤操作�、(delete���、update)高危指令的操作等等行為����,都可能存在著重大安全隱患。
2.6 數(shù)據(jù)明文存儲(chǔ)
隨著教育行業(yè)信息化程度的提高�����,大量機(jī)密敏感數(shù)據(jù)集中存儲(chǔ)在數(shù)據(jù)庫(kù)系統(tǒng)中���,比如學(xué)籍信息�、教師信息���、成績(jī)信息等,由于這些信息都是明文存儲(chǔ)在數(shù)據(jù)庫(kù)中�,這將顯著加劇敏感數(shù)據(jù)批量泄露風(fēng)險(xiǎn)。
數(shù)據(jù)明文存儲(chǔ)的威脅主要體現(xiàn)在數(shù)據(jù)篡改���、數(shù)據(jù)竊取兩方面�����。
三. 數(shù)據(jù)庫(kù)安全應(yīng)用方案
根據(jù)教育行業(yè)數(shù)據(jù)庫(kù)的安全現(xiàn)狀�,教育單位應(yīng)針對(duì)數(shù)據(jù)庫(kù)的安全建立防護(hù)機(jī)制�,根據(jù)數(shù)據(jù)庫(kù)使用的“事前、事中、事后”三個(gè)層面���,建立“檢查預(yù)警��、主動(dòng)防御���、底線防守、事后追查”的縱深防護(hù)思路�����,以解決數(shù)據(jù)庫(kù)所面臨的復(fù)雜的問題���。
縱深防御思路
3.1 檢查預(yù)警
教育單位應(yīng)對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行綜合安全風(fēng)險(xiǎn)評(píng)估����,通過數(shù)據(jù)庫(kù)漏洞掃描產(chǎn)品提供有價(jià)值的修復(fù)建議�,為教育單位數(shù)據(jù)庫(kù)系統(tǒng)的安全基線提升提供整體有效的參考。
3.2 主動(dòng)防御
教育單位應(yīng)通過數(shù)據(jù)庫(kù)防火墻�、數(shù)據(jù)庫(kù)安全運(yùn)維的運(yùn)維管控技術(shù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行主動(dòng)防御。主動(dòng)防御的具體技術(shù)措施如下:
1)執(zhí)行細(xì)粒度訪問控制措施
首先��,教育單位的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)僅接受可信人員和應(yīng)用發(fā)起的訪問請(qǐng)求���,來(lái)從根源上徹底杜絕第三方人員�、內(nèi)部人員的非授權(quán)行為,并以此減小被攻擊面�����。
其次�����,教育單位應(yīng)建立主動(dòng)防御安全威脅的措施��,通過數(shù)據(jù)庫(kù)防火墻的SQL攻擊防護(hù)�、虛擬補(bǔ)丁等功能,防范針對(duì)數(shù)據(jù)庫(kù)SQL注入和漏洞攻擊行為�����。
2)規(guī)范化運(yùn)維管控
教育單位應(yīng)改善傳統(tǒng)管理模式�,針對(duì)數(shù)據(jù)庫(kù)運(yùn)維建立規(guī)范的運(yùn)維流程���,包括事前審批��,事中控制���,事后記錄操作信息�,實(shí)現(xiàn)全運(yùn)維流程的管理���,實(shí)現(xiàn)高校運(yùn)維規(guī)范性����。
在教育單位規(guī)范化運(yùn)維管控中�,可以使用數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng)對(duì)數(shù)據(jù)庫(kù)運(yùn)維的行為進(jìn)行審批管控。做到只有提交運(yùn)維申請(qǐng)并指定運(yùn)維的時(shí)間�����、對(duì)象�、操作內(nèi)容進(jìn)行審批后方可操作。
3.3 底線防守
教育局����、教育服務(wù)部門、高校應(yīng)將存儲(chǔ)在數(shù)據(jù)庫(kù)中的教務(wù)信息��、學(xué)籍信息等敏感信息使用數(shù)據(jù)庫(kù)加密產(chǎn)品進(jìn)行加密存儲(chǔ)���,防止此類的敏感信息被解析為明文從而造成泄密安全事件��。
3.4 事后追查
運(yùn)用數(shù)據(jù)庫(kù)審計(jì)技術(shù)對(duì)數(shù)據(jù)庫(kù)協(xié)議進(jìn)行精確識(shí)別���,記錄和回放針對(duì)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的攻擊行為��、篡改行為�����、泄密行為�、誤操作等行為��,為事后追溯定責(zé)提供準(zhǔn)確依據(jù)�����,同時(shí)對(duì)上述行為應(yīng)進(jìn)行郵件�、短信、等多種報(bào)警方式�����。
四. 數(shù)據(jù)庫(kù)安全應(yīng)用感言
“一直以來(lái)單位里存在多位運(yùn)維人員共享一個(gè)登錄賬號(hào)的情況����,通過部署安華金和數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng)和數(shù)據(jù)庫(kù)防火墻系統(tǒng),對(duì)IP分區(qū)���,禁止通過IP直接訪問數(shù)據(jù)庫(kù)的行為����,有效落實(shí)應(yīng)用端和運(yùn)維端登錄IP分區(qū)�,合理規(guī)劃網(wǎng)絡(luò)環(huán)境;給每一位運(yùn)維人員分配唯一登錄賬號(hào)���,劃分賬號(hào)權(quán)限��,提高監(jiān)管能力�;對(duì)運(yùn)維行為進(jìn)行事前審批���,事中管控和事后審計(jì)�����,實(shí)現(xiàn)全運(yùn)維流程的管理�,提高規(guī)范性���;通過數(shù)據(jù)庫(kù)防火墻的SQL攻擊防護(hù)�、虛擬補(bǔ)丁等功能,有效防范針對(duì)數(shù)據(jù)庫(kù)SQL注入和攻擊行為�。”
――某教育機(jī)構(gòu)信息中心負(fù)責(zé)人
產(chǎn)品咨詢:4000 258 365 
