近日，某高校學(xué)生發(fā)現(xiàn)校內(nèi)樹洞網(wǎng)站“小喇叭”出現(xiàn)了一個“顏值打分系統(tǒng)”，該網(wǎng)站可以查看每個學(xué)生的顏值分數(shù)，其中包含了2014-2020級本碩博所有學(xué)生在內(nèi)的個人信息，被泄露的信息包含學(xué)號、姓名、學(xué)院、家鄉(xiāng)、生日等。經(jīng)查，嫌疑人馬某某涉嫌非法獲取該校部分學(xué)生個人信息等違法犯罪行為，目前已被海淀公安分局依法刑事拘留。

這一行為迅速引起了社會的廣泛關(guān)注與譴責(zé)，不僅侵犯了學(xué)生的隱私權(quán)和高校數(shù)據(jù)安全，還可能帶來不可預(yù)測的安全風(fēng)險。諸如此類信息數(shù)據(jù)泄露事件時有發(fā)生，很多高校在應(yīng)對師生個人信息保護時仍面臨眾多風(fēng)險，主要包括：入侵攻擊竊取、非法終端接入、非授權(quán)人員訪問、授權(quán)人員誤操作、違規(guī)外發(fā)和上傳等導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。

國家教育部發(fā)布的《教育信息化2.0行動計劃》中明確指出，教育機構(gòu)應(yīng)以《網(wǎng)絡(luò)安全法》等法律法規(guī)為綱，全面提高教育系統(tǒng)網(wǎng)絡(luò)安全防護能力，做好關(guān)鍵信息基礎(chǔ)設(shè)施保障，重點保障數(shù)據(jù)和信息安全，強化隱私保護，建立嚴密保護、逐層開放、有序共享的良性機制，切實維護好廣大師生的切身利益。

天融信數(shù)據(jù)防泄漏解決方案

天融信憑借多年深耕教育行業(yè)網(wǎng)絡(luò)安全項目實踐經(jīng)驗，遵照國家及教育行業(yè)提出的數(shù)據(jù)安全保護要求，為高校客戶專門推出了數(shù)據(jù)防泄漏解決方案。該方案旨在構(gòu)建高校網(wǎng)絡(luò)安全基本防御能力的基礎(chǔ)上，重點規(guī)劃設(shè)計數(shù)據(jù)安全防御能力，以“進不來、拿不到、看不懂、打不垮、賴不掉”為核心目標，為高校打造一體化數(shù)據(jù)防泄漏保障體系。

1、進不來：補齊校園網(wǎng)絡(luò)安全防御能力

在校園網(wǎng)邊界以雙機模式部署擎天系列防火墻，每臺防火墻配置雙主控引擎，開啟設(shè)備運行狀態(tài)監(jiān)測功能，避免單板故障，保障系統(tǒng)高可用；開啟訪問控制、應(yīng)用識別功能，根據(jù)用戶、時間、應(yīng)用制定控制策略，實現(xiàn)行為高可控；開啟防病毒功能，實時攔截外部多種病毒、蠕蟲、木馬；開啟入侵防御功能，實時阻斷黑客對服務(wù)器、主機的入侵行為；開啟統(tǒng)計監(jiān)控功能，實時統(tǒng)計各種流量和會話信息，生成統(tǒng)計圖表，實時分類記錄存儲大量日志信息，以便溯源分析，實現(xiàn)安全事件可審計。

通過實行以上防御措施，天融信為高校網(wǎng)絡(luò)邊界構(gòu)建起精細化安全管控能力，避免入侵攻擊行為從互聯(lián)網(wǎng)側(cè)滲透進校園網(wǎng)絡(luò)內(nèi)部造成橫向提權(quán)、數(shù)據(jù)泄漏等后果。

2、拿不到：建設(shè)數(shù)據(jù)安全防護能力

高校校園網(wǎng)絡(luò)作為教育信息數(shù)據(jù)存儲、傳輸、共享、交換的主要載體，承載著高校重要信息系統(tǒng)中的數(shù)據(jù)。通過在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)數(shù)據(jù)防泄漏產(chǎn)品，可有效識別網(wǎng)絡(luò)中的重要教育數(shù)據(jù)，捕獲高校網(wǎng)絡(luò)中的網(wǎng)絡(luò)傳輸流量，同時提取傳輸協(xié)議報文，對報文內(nèi)容進行深度解析。在發(fā)現(xiàn)網(wǎng)絡(luò)流量數(shù)據(jù)中存在敏感數(shù)據(jù)時，可以結(jié)合高校業(yè)務(wù)需要，制定相關(guān)安全策略展開有效阻斷。

終端是高校數(shù)字校園中的重要載體，同時也是辦公、教學(xué)環(huán)境中數(shù)據(jù)泄漏的主要途徑。通過部署終端數(shù)據(jù)防泄漏產(chǎn)品監(jiān)管終端USB接口以達到對終端外發(fā)通道的管控，實現(xiàn)外發(fā)文件行為可管、可控、可審計，有效阻止數(shù)據(jù)外泄，從而對高校終端內(nèi)的業(yè)務(wù)數(shù)據(jù)資產(chǎn)進行實時保護，避免發(fā)生終端數(shù)據(jù)外泄等威脅事件。

數(shù)據(jù)庫作為高校數(shù)據(jù)的直接載體，存在內(nèi)部的違規(guī)操作或外部攻擊導(dǎo)致數(shù)據(jù)泄漏事件的風(fēng)險。為保障數(shù)據(jù)庫避免內(nèi)部違規(guī)操作和外部攻擊導(dǎo)致的數(shù)據(jù)泄漏，可在數(shù)據(jù)庫前端部署數(shù)據(jù)庫安全網(wǎng)關(guān)產(chǎn)品，以達到對數(shù)據(jù)庫的訪問控制與實時監(jiān)控，形成保護數(shù)據(jù)庫的最終防線。經(jīng)過部署建設(shè)，可以智能識別SQL潛在風(fēng)險并進行控制，同時對數(shù)據(jù)庫漏洞、弱口令、權(quán)限配置展開掃描，及時發(fā)現(xiàn)上述風(fēng)險，采取有效措施加以管控，提高數(shù)據(jù)庫的整體安全性，有效降低數(shù)據(jù)庫被攻擊的風(fēng)險。

3、看不懂：存儲加密及脫敏共享

高校網(wǎng)絡(luò)通常會承載科研、系統(tǒng)研發(fā)等業(yè)務(wù)，此場景下經(jīng)常需要調(diào)用學(xué)校核心生產(chǎn)數(shù)據(jù)作為測試數(shù)據(jù)，如不加以控制，則很容易造成敏感數(shù)據(jù)泄露事件。通過部署數(shù)據(jù)脫敏產(chǎn)品，以“靜態(tài)脫敏+動態(tài)脫敏”相結(jié)合的方式，對學(xué)校核心生產(chǎn)數(shù)據(jù)進行脫敏處理后進行使用，即使測試數(shù)據(jù)丟失也不會造成任何不良影響。

針對高校網(wǎng)絡(luò)中存在的大量結(jié)構(gòu)化數(shù)據(jù)，天融信建議學(xué)校通過部署數(shù)據(jù)庫加密產(chǎn)品，實現(xiàn)數(shù)據(jù)全局加密，開啟精細化權(quán)限管理，僅授權(quán)用戶可解密使用數(shù)據(jù)，而未授權(quán)人員則無法訪問該核心數(shù)據(jù)，即使未授權(quán)人員通過非法途徑獲取敏感數(shù)據(jù)也無法實現(xiàn)解密。

4、打不垮：加強內(nèi)網(wǎng)威脅感知與分析

在校園安全管理區(qū)部署一套內(nèi)網(wǎng)威脅分析產(chǎn)品，基于大數(shù)據(jù)架構(gòu)、采用AI智能技術(shù)，以發(fā)現(xiàn)內(nèi)網(wǎng)失陷和內(nèi)部違規(guī)為核心目標，全面收集終端、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)流量三個方面的行為觀測點的數(shù)據(jù)。系統(tǒng)融合關(guān)聯(lián)分析、統(tǒng)計分析、用戶實體行為分析、AI分析形成縱深分析體系，輔予誘捕分析、流量分析、終端檢測響應(yīng)等技術(shù)支撐，通過構(gòu)建行為模型和綜合評分機制，捕捉高校校園網(wǎng)絡(luò)內(nèi)人員/設(shè)備的行為異常變化，勾勒人員/資產(chǎn)行為輪廓，繼而利用縱深分析對周期性行為進行判定，發(fā)現(xiàn)內(nèi)網(wǎng)失陷和數(shù)據(jù)違規(guī)竊取等行為，最終挖出潛伏在內(nèi)網(wǎng)的數(shù)據(jù)泄露威脅。

5、賴不掉：數(shù)據(jù)安全事件溯源閉環(huán)

一方面，通過在數(shù)據(jù)庫前端交換機上部署一臺數(shù)據(jù)庫審計產(chǎn)品，進行數(shù)據(jù)庫審計，發(fā)現(xiàn)和捕獲各種數(shù)據(jù)庫操作信息、違規(guī)行為，輔以實時報警響應(yīng)，實現(xiàn)用戶和數(shù)據(jù)庫之間的業(yè)務(wù)關(guān)聯(lián)分析、數(shù)據(jù)庫審計及安全事件的準確定位，為整體數(shù)據(jù)庫防護策略的制定提供權(quán)威可靠的支持。系統(tǒng)審計到的SQL語句可與資產(chǎn)實例結(jié)合，內(nèi)置數(shù)據(jù)軌跡模型，以資產(chǎn)為核心，以數(shù)據(jù)流轉(zhuǎn)為軌跡，圖形化展示操作行為，讓數(shù)據(jù)軌跡清晰可見。同時將數(shù)據(jù)庫的所有訪問情況實時可視化呈現(xiàn)，高校網(wǎng)絡(luò)管理者可快速回溯定責(zé)各種數(shù)據(jù)庫安全事件，有效加強數(shù)據(jù)泄露監(jiān)督能力。

另一方面，基于已部署的終端數(shù)據(jù)防泄漏產(chǎn)品的數(shù)字水印功能，實現(xiàn)高校辦公終端桌面上顯示水印信息，水印信息包括：責(zé)任人、主機名、IP地址、MAC地址、登錄用戶、日期時間等，同時也支持管理員自定義文字顯示。一旦發(fā)生敏感數(shù)據(jù)泄露事件，屏幕水印可為高校提供有效溯源依據(jù)，管理員可直接通過屏幕水印信息快速定位泄漏源。

方案價值

立體防御，提供全面的數(shù)據(jù)安全防護能力。方案構(gòu)建了網(wǎng)絡(luò)側(cè)、終端側(cè)、數(shù)據(jù)庫側(cè)立體化數(shù)據(jù)安全防御能力，提升高校面對數(shù)據(jù)泄漏風(fēng)險的應(yīng)對能力，降低因數(shù)據(jù)泄漏給高校帶來經(jīng)濟損失、名譽受損等風(fēng)險。

智能防護，提升深度數(shù)據(jù)安全風(fēng)險挖掘能力。方案應(yīng)用了大數(shù)據(jù)分析技術(shù)，在充分理解高校業(yè)務(wù)行為的基礎(chǔ)上構(gòu)建行為倉庫，并融合了統(tǒng)計分析、關(guān)聯(lián)分析、AI分析等技術(shù)手段構(gòu)建行為分析模型，幫助高校形成縱深數(shù)據(jù)安全分析體系，實現(xiàn)深度數(shù)據(jù)風(fēng)險分析。

事件跟蹤，強化數(shù)據(jù)安全事件追蹤溯源能力。方案提供數(shù)據(jù)庫行為審計、網(wǎng)絡(luò)流量解析、數(shù)字水印等強審計能力，針對高校網(wǎng)絡(luò)中核心敏感數(shù)據(jù)進行深度內(nèi)容分析和監(jiān)控，為事后事件追溯提供強有力的參考。

教育是民族振興、社會進步的重要基石。天融信深耕教育行業(yè)多年，憑借先進的網(wǎng)絡(luò)安全技術(shù)優(yōu)勢以及貼合教育行業(yè)客戶實際業(yè)務(wù)場景的技術(shù)方案，全面賦能教育行業(yè)數(shù)據(jù)安全能力建設(shè)。未來，天融信將在持續(xù)的技術(shù)創(chuàng)新中筑牢智慧校園安全防線，助力高校數(shù)字化轉(zhuǎn)型高質(zhì)量發(fā)展。