又是一年高考季,在为学子们似锦前程喝彩的同时,去年高考季发生的“徐玉玉案”却令人心痛不已。
分析诈骗分子的犯罪手法不难发现,他们早已经从“大海捞针”式广撒网的诈骗模式,进化为以个人信息为基础的“精准”诈骗模式。个人信息泄露可能是内鬼所为、用户安全意识薄弱等原因,另一大主要原因就是信息系统或网站存在漏洞。
信息安全防护能力全面升级是大势所趋
个人信息保护层面,6月1日实施的《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。第四十条明确规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
同样是6月1日生效的“关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释”第九条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”教育部关于信息安全保障的一系列动作与国家网络空间安全战略的发展是完全契合的,相关法律法规的出台标志着教育行业网络安全防护能力要求提升到了新的阶段,升级信息安全防护能力已是大势所趋。
构建信息安全立体防护体系
新形势下,对教育行业信息安全防护能力的要求更高,这对安全从业人员来说,既是挑战,更是机遇。借着《网络安全法》与《教育行业网络安全综合治理行动方案》的东风,可以补齐原有的短板和不足,构建一个科学合理的信息安全立体防护体系。笔者认为应重点关注以下方面:
1.做好信息安全顶层设计
大到一个国家,小到一个机构,都需要做好保障信息安全的顶层设计,也就是系统性的规划和设计,目标是解决人、信息系统、技术、数据的关系问题。在构建信息安全立体防护体系方面,技术和管理并重才能共同构建完善的保障体系。
主要包括制定信息安全相关政策与制度,如人才政策,奖惩政策等;确立信息安全负责部门,责任具体到人;加强各部门间统筹协调。
根据《网络安全法》的要求,应落实建立安全监测和信息通报制度、网络安全事件应急预案、安全事件及时响应和快速处置制度,完善风险评估机制,并规范数据的采集、传输、存储和开放共享。
2.夯实等保基线
等级保护制度是我国信息安全防护的基线要求,在网络安全保障方面起着至关重要的作用。2007年公安部出台的《信息安全等级保护管理办法》为信息安全建设构建了一个基本框架,制定了统一的信息安全等级保护管理规范和技术标准,对信息系统实行分级安全保护,并对等级保护工作的实施进行监督、管理。
据悉,为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,全新的《网络安全等级保护基本要求》不久将会出台。
《网络安全法》第二十一条明确规定,国家实行网络安全等级保护制度。根据法律要求,每个信息系统都应进行定级备案,按照要求定期开展等级测评和整改工作。换言之,不按规定进行等保测评整改将是违法行为。
3.实现精细化管理
充分掌握本单位信息系统情况,准确进行安全等级的划分,明确关键信息基础设施,实行重点保护。教育行业重要的信息基础设施包括网络基础设施,涉及到考试、招生、学籍、资助等教育核心业务的信息系统,全国联网的信息系统,存储大量师生数据的信息系统。同时对网站、IP、域名等网络信息资产管理到位。加强内外部审计,做到安全事件事前、事中、事后有迹可查。
4.培养专业人才队伍
人是信息安全工作是否到位的关键。教育行业网络信息安全队伍普遍存在人员少,任务重的状况,由于与企业信息安全从业人员相比收入低,人才往往引不来,留不住。这个问题可以通过购买安全运维服务的方式解决,但仍然无法从根本上解决问题,信息安全工作不能完全依赖外部力量。上海交通大学姜开达老师倡导的学生团队参与日常安全运维的做法值得参考,既锻炼了学生的技术水平,又一定程度上解决了人才匮乏的问题。
从具体案件看信息安全防护能力提升之道
《教育行业网络安全综合治理行动方案》指出,当前教育行业网络安全工作主要问题表现在安全责任不落实、管理不规范、安全隐患修复不及时、监测预警和应急响应能力不足、网络安全事件时有发生等方面。尽管没有看到官方发布的调查报告,仅从“徐玉玉案”案情分析,涉案平台或多或少都存在这些问题。
互联网公开资料显示,“山东省2016高考网上报名信息系统”责任单位是山东省教育招生考试院,由于平台的特殊性,安全责任管理机制、规范已初步建立,购置了相应的安全设备,客观来说其安全防护水平高于行业平均水准。出现徐玉玉个人信息泄露的问题,笔者分析原因极有可能是安全运维人员没有及时修复漏洞所致。在事后并未见有相关责任人处理的报道,也反映出其安全责任可能并未落实到人,管理规范不够细化,没有奖惩细则。
笔者认为,事件给我们的启示有以下几点:一是没有系统的安全防护措施规划,单纯购置先进的防护设备是无法发挥其最大作用的。二是欠缺及时的漏洞发现和修复能力是当前安全工作的一大顽疾。三是应充分重视信息安全顶层设计,制定信息安全相关政策与制度。面对经验丰富的黑客,任何一点安全工作的瑕疵都可能酿成严重的后果。
山东省教育招生考试院同样也看到了这些问题,从其采购信息发现,“徐玉玉案”后,公开招标安全运维服务、远程渗透测试服务、信息安全管理体系(ISMS)建设服务、安全设备、容灾服务等项目,同时改进了报名系统的登录验证方式,首次使用短信验证登录。山东省教育招生考试院2017年工作要点中也重点提出切实加强网络信息安全建设,以建立相应的信息安全管理制度和网络安全保障体系为基础,完善规范、规章制度,同时采取加强对重要设备、信息系统和网站的运行监控和安全监测,大力推动国产密码的应用,进一步完善防病毒、防攻击、防篡改、防瘫痪、防窃密的技术措施。从这些措施可以看得出来,涉案网站主管单位吸取了“徐玉玉案”惨痛的教训,亡羊补牢,未为晚矣!
教育行业数据安全防护常见技术
信息泄漏的两大主因是外部攻击和内部监控疏漏。外部攻击主要是黑客利用信息系统的漏洞获取数据,如考试报名系统本身存在注入点,或者其使用的中间件存在漏洞。内部监控疏漏可能由于内部人员故意泄露、第三方合作机构问题、计算机遗失导致的“被动”泄密、使用社交网络无意泄露敏感数据等。因此需要必要的数据安全技术来防止信息泄露。
通常情况下,使用数据安全技术要达到的目标有:数据加密存储;用户身份鉴别,能够阻止不合法的用户来访问数据;保证数据的完整性和数据的一致性;保证所有的数据都是可用的;保证对数据进行的一切操作进行跟踪记录。
信息防泄露是一个系统工程,下面就从应用的角度来探讨其常见技术措施。
首先要明确要保证安全的核心数据,例如报名系统的Web数据库就是需要防护的核心数据。如果机构庞大,数据源复杂,还需要自动发现服务器和数据库系统,判断是否存在没有授权的服务器被临时架设,以及是否开设未授权的服务。
明确了核心数据资产之后,制定信息防泄露策略。策略要针对核心数据从其创建、获取、使用、传递、存储、销毁的整个周期来进行设计,面向设备、文件、网络、应用几个层面,如网站站群管理、WAF、数据库安全产品、数据脱敏技术、文档、终端加密等安全应用技术。
数据安全产品繁杂,需要专业规划才能保证安全产品发挥最大作用。在实践中需要有综合性的应用技术。
目前比较有代表性的综合性技术是“数据泄漏防护”(Data leakage prevention,DLP)技术。DLP技术是近年来比较受关注的技术或管理手段,防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出。DLP的核心技术就是内容识别,内容识别的依据主要有关键字、正则表达式、文档指纹、确切数据源(数据库指纹)、支持向量机算法等。
DLP防护范围包括网络和终端。网络防护主要以审计、控制为主,终端防护除审计与控制能力外,还应包含传统的主机控制能力、加密和权限控制能力。最终实现智能发现、智能加密、智能管控、智能审计。
总之,在网络空间安全战略与《网络安全法》的大背景下,教育行业信息安全防护能力全面升级是大势所趋。面对新的机遇与挑战,抓住契机补齐原有的短板和不足,构建一个科学合理的信息安全立体防护体系,必将大大促进教育行业信息安全工作,类似徐玉玉这样的悲剧才不会再次发生。
转自“中国教育和科研计算机网网络中心 ”
