根据安全值对教育行业4477家数据库进行的统计分析显示,有515家的数据库直接暴露在互联网中。要知道教育行业使用的数据库不仅种类繁杂、版本多样,且其中的大部分还是有着明显漏洞的旧版数据库,有部分mongodb数据库甚至尚未设置账号、密码和验证…黑客无需经过身份验证就可以直接入侵这些数据库盗取数据,甚至控制数据库。
近年来,国内教育行业已经发生多起数据库泄露事件,相关人员隐私权益遭受严重损害,涉案企业、机构的声誉也大打折扣。为防范重大k8凯发游戏事故的发生,很多教育单位已经在技术和管理层面采取了对应的措施,但在数据库安全防护层面却存在如数据库安全现状不清、防护手段薄弱、漏洞防御能力低、互联网渗透威胁大、数据库访问行为管控不严以及数据明文存储等诸多威胁与风险。
安华金和建议广大教育单位应根据行业实际状况,针对数据库的安全建立防护机制——从数据库使用的“事前、事中、事后”三个层面,建立起“检查预警、主动防御、底线防守、事后追查”的纵深防护体系,用以解决教育行业数据库所面临的复杂问题:
1、检查预警
教育单位应对业务系统数据库进行综合安全风险评估,通过数据库漏洞扫描产品提供有价值的修复建议,为教育单位提升数据库系统的安全基线提供整体、有效的参考。
2、主动防御
教育单位应通过数据库防火墙及数据库安全运维管控技术进行主动防御,具体措施如下:
(1)执行细粒度访问控制
首先,教育单位的业务系统数据库应仅接受可信人员及应用发起的访问请求,从根源上彻底杜绝第三方人员、内部人员的非授权访问行为,减小被攻击面。
其次,教育单位应建立威胁主动防御措施,通过数据库防火墙的sql攻击防护、虚拟补丁等功能,防范针对数据库的sql注入和漏洞攻击等非法行为。
(2)规范化运维管控
教育单位应改善传统管理模式,建立规范的数据库运维流程,包括事前审批、事中控制、事后记录操作信息等环节,从而实现对运维全流程的规范化管理。例如:使用数据库安全运维系统对运维行为进行审批管控——先提交运维申请并指定运维的时间、对象和内容,通过审批后才可进行相关操作。
3、底线防守
教育局、教育服务部门、高校应将存储在数据库中的教务、学籍等敏感信息通过数据库加密产品进行加密存储,防止此类敏感信息被以明文泄露。
4、事后追查
运用数据库审计技术对数据库协议进行精确识别,针对数据库的攻击、篡改、泄露、误操作等行为进行记录和回放,为事后溯源定责提供准确依据,并对上述行为以邮件、短信等形式及时告警。
“长期以来,单位里一直存在着多位运维人员共享一个登录账号的情况。通过部署安华金和数据库安全运维系统和数据库防火墙系统,我们对网络环境进行了合理规划,例如:通过对ip进行分区,禁止通过ip直接访问数据库的行为,实现了对应用端和运维端登录ip分区的有效管控;每一位运维人员被分配了唯一的登录账号,并划分了账号权限,从而提高对其的监管能力;通过对运维行为进行事前审批、事中管控和事后审计,实现了对运维全流程的管理,提高了对内部人员操作的规范性;数据库防火墙的sql攻击防护和虚拟补丁等功能,也帮助我们针对数据库的sql注入及其他攻击行为展开了有效防护。”
——某教育机构信息中心负责人
试用申请