中安比特为教育行业免费提供数据库防火墙

作者:星期二, 九月 6, 20160
分享:

数据泄密问题和电信诈骗今年在教育行业愈演愈烈,甚至夺走了年轻的生命。

1. 案情回放

开学季到来,针对大学生的诈骗事件接连发生。尤其是8月21日与23日,两个大学生遭遇电信诈骗导致猝死。两个本该在象牙塔挥洒青春,在知识海洋吸取营养,有望成为家之荣耀,国之栋梁的青年才俊,含恨结束了自己的生命,家人也陷入了无尽的悲痛之中。

2. 原因探究

作为数据安全专家,我们感觉到,仅仅抓捕诈骗罪犯并不能从根本上阻止此类悲剧的重演。我们注意到,诈骗案中的一个让骗子得手的一个关键点,是在被骗大学生接到陌生电话之前,曾接到过教育部门发放助学金的通知,而骗子就是打着这个幌子行骗,最终得手。这意味着骗子行骗时已精准掌握了被骗学生的多类个人信息。在扼腕叹息的同时,我们不禁发问:学生的信息是如何被精准泄漏的?

近日网上流传的一个安全专家写的文章说,大学生们的信息有可能是被黑客盗取后,卖给了诈骗人员。据他称,有黑客团队曾试过“侵入”多个市县教育局和高校的系统,发现几分钟就可以进入,相关信息可以随意浏览和下载。而网上更有报道“数据贩子:国内学校数据我有一半,几分钟黑进教育局”,并明码标价:“今年新入学的学生信息1元/条”。这是多么可怕的情况。

在过去一段时间,乌云、补天等平台爆出的数据泄漏漏洞中,来自高校系统的SQL注入漏洞数量可以用触目惊心来形容,涉及到80%以上的高校。从某种程度上来说,教育行业的大面积数据泄漏,实属是必然。

3. 安全现状

目前教育行业主要的防御手段,基本是在网络层面,通过部署网关/网闸、堡垒机等安全准入系统,以及网络防火墙等网络安全设备来防止外部黑客的攻击。这些设备虽然起到了很好的防护作用,但不可否认仍然不能阻止数据泄漏。原因是这些网络安全手段,以及当下非常流行的应用防火墙(WAF)和下一代防火墙(NGFW),由于不了解应用程序在业务层的语义,更无从知道后台数据库的类型等因素,都不能很好的防御类似SQL注入等针对数据层面的攻击行为。

在教育行业,数据库、以及数据安全,还是一个盲区。所以构建基于数据本身的安全防御体系,势在必行。

4. 技术方案

人命关天。所有的学生信息、以及教职工和其它教育相关信息,都存在于学校或教育局、考试中心的数据库中。对数据库的安全运维和对敏感数据的安全保护,是教育行业整体安全防御的重点。这一点,无论怎么强调都不为过。

每年的8月9月开学季,正是案发的高发期。此时此刻,我们不能袖手旁观,必须采取相应的防范措施,防止悲剧再次发生。北京中安比特作为国内最早专门从事数据库安全的高科技公司,结合十余年在数据安全方面的技术积累,和对教育行业当前安全状况的认知,提出我们的思路。即:尽快为所有在线系统,部署数据库防火墙,形成网络+数据库的多层防御模式,完善安全防御体系,从数据源头上消除数据被泄漏的风险。

5. 方案实施

通过部署数据库防火墙,围绕数据库建立了一个外围防御圈。数据库防火墙能够通过SQL语法分析技术,检查发往数据库的SQL语句,并根据预先制定的策略决定是否让某SQL语句通过、或者是进行丢弃、替换,以及是否记录等操作。从而实时监控应用、运维人员等对数据库的一切访问活动,允许正常的活动,阻断存在风险的活动。

tupian1

 

数据库防火墙可以弥补针对数据库攻击防护能力不足的现状,配合堡垒机、网关/网闸等准入和网络安全系统,形成准入安全、网络安全、数据库安全三位一体的立体安全防御体系。

  1. 特殊考虑

该方案成败的核心问题之一在于数据库防火墙的规则配置。如果没有配置出合理有效的规则,数据库防火墙的防护能力将会大打折扣。针对教育行业,尤其是高校中信息系统运维人员较少的现实情况,又对规则配置的简单易用性提出了很高的要求。鉴于此,中安威士数据库防火墙提供了基于自动学习的特殊规则配置方式。该功能自动学习应用系统对数据库的访问模式,并进行抽象归类,形成访问行为特征的基线,并根据基线的偏离程度大小来识别违规访问,从而基本实现规则零配置

该方案成败的另一核心问题是部署方式。因为在教育行业,尤其是高校的另一个实际问题是系统众多、数据分散。根据教育行业等保定级指导意见,高校信息系统中涉及敏感信息的系统有几十个之多。如果完全采用硬件方式的数据库防火墙,将给实际的部署以及采购成本带来压力。中安威士提供业内唯一的软件版本数据库防火墙,使之运行于学校现有服务器或虚拟环境之上,从而极大的减少了方案的实施成本。

软件数据库防火墙部署方式一,将数据库防火墙部署于独立的硬件之上,部署在数据库前端,形成对数据库中核心数据的保护。

tupian2

软件数据库防火墙部署方式二,利用学校现有数据库服务器的空闲资源,在数据库服务器上安装数据库防火墙软件,直接保护数据库中的核心数据。

tupian3

 

 

分享:

相关文章

写一条评论

 

 

0条评论