教育行业数据泄露防护浅析

来源:网络空间安全
关键字:教育行业,数据泄露,大数据
发布时间:2019-07-07 22:33

　　摘要：当前，数据泄露事件频发，成为网络安全最重要的威胁之一。针对数据安全合规性的要求，国家出台了《网络安全法》《信息安全等级保护管理办法》等法律法规，要求按照相关要求做到合法合规。教育行业更要以数据安全治理为抓手，体系化建设信息系统。在数据的传输、采集、处理、发布、归档和销毁的过程中，加强人员意识，以数据分级为基础，以数据安全使用制度与安全制度为保障，最终保护数据安全。论文以数据泄露防护为研究对象，介绍教育行业中数据泄露的问题以及防护数据泄露事件发生的方法。

　　关键词：教育行业；数据泄露；大数据

　　中图分类号：TP393.0 文献标识码：B

　　Abstract： At present， data leakage incidents occur frequently and become one of the most important threats to network security. In response to the requirements of data security compliance， the State has enacted the “Network Security Law of the People‘s Republic of China” and the “Measures for the Protection of Information Security Levels” and other regulations， which require compliance with legal requirements and do not violate the law. To achieve the level of protection requirements， do not violate the rules. The education industry should take the data security governance as the starting point and systematically construct the information system. In the process of data transmission， collection， processing， release and destruction， and strengthening of personnel awareness， based on data classification， data security use system and security system as the guarantee， and ultimately protect data security. This paper takes data leakage protection as the research object， introduces the problem of data leakage in the education industry and how to prevent data leakage incidents.

　　Key words： education industry； data leakage； big data

　　1 引言

　　随着“互联网+教育”的深度融合和网络应用的不断创新，教育信息化逐渐成为国家信息化发展的重要组成部分。教育信息化应用系统当前已然成为建设教育强国的重要载体，为学校、教师、学生以及家长的使用提供了巨大的便利，提高了教学的质量和效率。与此同时，教育工作的信息化应用系统每天产生并长期保存着大量数据，如老师学生家长注册登录个人信息、教学资源信息、国家教学资助信息等。在大数据分布式计算和分布式存储等新技术广泛应用的情况下，数据分析挖掘、共享交易等新应用场景也不断出现，使得数据安全以及个人隐私泄露等问题日益凸显[1]。

　　2 我国教育行业面临数据泄露风险

　　我国关键信息基础设施领域的重要领域之一包含教育行业，教育领域更是关乎国家强盛和国计民生的重中之重。如何在教育领域异构、多重和复杂的情况下，建立相应的大数据处理中心以及建立有效的防数据泄露的法规和制度，使大数据成为教育信息化发展的重要安全支撑，从而保证教育领域信息系统在安全、可信的环境下建设运行，成为教育领域网点状、条状甚至块状联动的信息化发展必须面临的问题[2]。

　　我国教育行业对海量的数据没有建立一个统一系统的大数据处理平台对产生的数据进行保护、挖掘、分析以及利用，也没有对产生的数据特征进行识别，甚至在系统使用过程中原始数据由于存储空间等问题被定期删除，即使存储数据也未能被高效利用，加之教育行业长期以来注重信息化发展轻网络安全方面的数据管理的現象，信息系统建设、运行以及维护过程中，针对大数据的保护较为薄弱，容易发生数据泄露的事件。

　　据统计，教育系统公共资源平台上的课件泄露时有发生，对课件的制作者产生了严重的侵权现象。部分教育企业的学校、教师、学生和家长等平台，对用户的注册个人信息没有进行有效的保护，如果个人信息落到不法分子手中，骚扰电话将严重影响教师、学生和家长的生活，更严重还有可能出现诈骗等情况，危及被诈骗人生命安全。2016年8月21日，某高考考生因个人信息泄露，被不法分子骗走上大学的费用9900元，最终导致学生心脏骤停，不幸离世[3]。

　　由此可见，教育行业数据泄露问题已经成为威胁社会安定团结且急需解决的问题[2]。

　　3 教育行业数据泄露事件发生的原因

　　鉴于大部分教育行业信息系统数据保护的现状和面临的情况，数据泄露事件发生的原因可归纳为管理缺陷和技术缺陷两方面[4]。

　　3.1 人员意识与管理原因

　　从管理与人员意识的角度来说，教育系统数据泄露的主要原因主要表现在四个方面。

　　第一，内部员工故意泄露系统用户数据。内部员工利用工作便利条件，在对组织不满或者利益驱动的情况下，与数据需求方或者其他教育行业竞争对手互相勾结，出卖教育系统用户的个人信息。或者，对日常业务操作系统中越权查看，违规下载数据[1]。相关教育企业在对教育部及其直属单位进行技术服务的同时，其中人员素质以及人员流动性，也影响着数据的安全性。

　　第二，内部员工无意泄露系统用户数据，员工数据保护意识薄弱，常常为了工作的便利性，将涉密数据上传到微信、QQ、网盘、邮箱或者办公自动化系统等网络中，并且没有对包含敏感数据的文档进行保密处理，无意间将用户数据泄露，这也是当前教育行业数据泄露的最主要原因。

　　第三，职能部门数据保护权责交叉，资源协调难度大。从数据的全生命周期的角度来看，在数据产生、使用、交换、存储、发布和废弃情况下[5]，在不同信息系统规划组织、开发采购、实施交付和运行维护的过程中，部分教育单位无法发挥保密部门的监管权力，来调动业务部门的积极性，最大化利用涉及部门的技术和人员等资源。

　　第四，管理制度宣传覆盖面不足，贯彻落实没有深入到部分农村偏远地区的管理单位与相关教育培训机构等企业。目前，教育部及其直属单位已出台数据保护制度，但是由于部分农村偏远地区教育信息化发展相对落后，数据保护意识淡薄，对数据保护执行弹性较大，将制度贯彻到每一位员工的周期长、难度大。教育行业对于体系庞大、组织复杂的教育培训等相关企业数据保护情况已经进行了宣传教育，但由于大部分企业重发展，轻安全的情况，导致推进数据管理保护的工作产生了很大的阻力。

　　3.2 技术原因

　　从技术层面来讲，教育行业数据泄露原因主要可以分为三个方面。

　　第一，部署的软硬件设备中存在漏洞。由于国外的基础软硬件起步的比国内早，在教育系统中大量基础软硬件仍然在使用国外产品，部分产品可能存在安全漏洞或预留后门，存在安全隐患。例如学校招考信息系统，存在着重要信息泄露的风险[1]。2018年的英特尔处理器“Meltdown（熔断）”和“Spectre（幽灵）漏洞”事件以及“思科高危漏洞”事件，都是这一技术原因的典型代表。

　　第二，权限控制和数据脱敏等技术手段使用不到位，导致大数据在分析挖掘过程中，用户隐私的泄露。在分析挖掘数据，用以刻画用户行为图像的时候，脱敏技术手段不到位，过度披露用户隐私，导致数据泄露。通过新兴的人工智能、机器学习、知识挖掘等技术，将数据进行重新的整合与关联，使原始数据隐藏的个人信息被展示出来。

　　第三，安全防护措施不到位。教育相关企业中部分信息系统没有防火墙和漏洞扫描等必要设备，或者病毒库、漏洞库更新不及时，导致系统被攻破，造成数据泄露。在数据存储的时候，未对数据进行加密，导致黑客可以直接窃取明文数据。

　　4 防范教育行业数据泄露的对策和建议

　　针对数据泄露事件存在的原因，为了提升数据安全保护的效果，切实保护教育行业数据的安全性，现提出对策和建议。

　　4.1 建立以数据为核心的泄露防护体系

　　针对数据泄露事件的问题，构建以数据安全为核心的防护体系，通过磁盘加密、容灾备份。电子文档安全和数据库安全保护等方式来保障数据的安全可控。

　　其中，磁盘加密是指磁盘上的数据以密文的形式保存，在操作系统的内核态或者对磁盘直接存储的硬件电路上进行磁盘加密部署[6]。用户空间通过应用程序将数据与磁盘内核进行加密。磁盘加密的过程一般将整块物理硬盘或一个逻辑卷作为操作对象，把其中所有数据，甚至是空白区域都用算法进行处理加密[6]，如图1所示。

　　容灾备份系统是指信息系统在发生灾难损害后，也能够最大限度的保证用户正常使用的系统，其核心是数据的复制[7]。容灾备份相当于以应急处置的方式来对数据进行保护管理。构建电子文档中数据安全保密化是数据防护的另一个重要手段。通过设置防火墙、身份认证与访问控制以及计算机病毒防治等技术手段，来保护电子文档中的数据安全。数据库的审计和攻击检测是数据库管理的重要组成部分，是在身份鉴别、存取控制、加密技术等多种安全措施下，进一步提升数据系统的安全性，用以主动识别和控制风险[8]。

　　4.2 积极鼓励研发大数据关键技术

　　积极研究国内大数据关键技术，使大数据安全技术可控，成为现在保护数据安全性的重要手段之一。通过科研以及专项经费支持和政府扶持的手段，为研发科研人员提供支持，增强自主创新的能力。同时，教育部及其直属单位优先采用国内研发的产品，支持国产产品研发，为大数据关键技术发展提供更安全的环境。

　　4.3 建立敏感数据识别规范标准

　　在数据全生命周期过程中，依据数据信息的敏感程度对数据进行分类，依据敏感数据的标准对数据进行分级管理。用数据标签对创建数据、应用数据、存储数据、传输数据和销毁数据提供技术上和操作上的规范要求。对于关系到教育行业发展以及系统用户个人信息的重要数据，需严格控制其存储位置、传输和使用方式。对于完全可以对外公开的数据，不需要采取特殊的保护方式。

　　4.4 明确职能部门数据保护权责

　　统筹教育信息化业务、网络安全与管理部门在数据防泄漏中的作用，在争得管理部门的同意后，网络安全负责部门牵头，与教育信息化业务部门一起出台数据泄露防护规则及奖惩标准，把数据安全防护作为绩效考评的重点，对发生数据泄露的事件零容忍[4]。在教育部及其直属单位的数据保护标准要求下，相关教育培训机构与第三方技术机构也需要明确权责义务，防止数据泄露事件的发生。

　　4.5 提升教育行业信息系统用户安全意识

　　在教育行业中的数据泄漏问题处理方面，尤其需要增强用户的网络安全意识。对于教育信息化的蓬勃发展而言，在PC端或者移动端都需要养成定期杀毒的好习惯，并且安装防火墙以及漏洞查杀系统，对存储的个人信息妥善保管，防止被他人盗用，造成不必要的损失。

　　5 结束语

　　教育是国家不断发展的保证之一，教育行业的数据安全更需要引起部门、机构还有用户的重视。大数据时代下教育行业的数据安全是教育信息化发展的基石。合理建设防护体系对数据进行系统的防护，鼓励国内数据防泄漏软件的研发，对敏感数据进行统一的管理等一系列的举措，将会预防教育行业数据泄露事件的发生。

　　参考文献

　　[1] 陈锦，王禹.从数据全生命周期看数据泄露防护问题[J].中国信息安全，2018（03）：69-71.

　　[2] 王勝.交通运输行业数据泄露现状浅析[J].中国信息安全，2018（03）：76-77.

　　[3] 孙艳.电信诈骗犯罪立法问题研究及其防控[J].辽宁警察学院学报，2017，19（04）：44-48.

　　[4] 王春伟.央企防范数据泄露思考与应对[J].中国信息安全，2018（04）：96-99.

　　[5] 周文，李亚楠，吴波.商用密码在中央企业数据安全治理中的应用[J].信息安全与通信保密，2018（05）：57-62.

　　[6] 张慧，郭翠芳，牛夏牧，吴春欢.磁盘加密模式分析[J].计算机工程，2010，36（05）：134-136.

　　[7] 明晓明，李松筠.浅议信息容灾备份系统的建设[J].中国电力教育，2006（S3）：4-6.