由于新冠疫情的影響,從2020 年起遠程教育快速發(fā)展�,線上教育機構(gòu)以及國家教育網(wǎng)站成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),僅2020 年1 月1 日-3 月22 日期間��,全國教育行業(yè)在線網(wǎng)站和系統(tǒng)累計遭受9600 多萬次攻擊��,數(shù)萬條學生信息被泄露�,整個教育行業(yè)的網(wǎng)絡(luò)安全形勢不容樂觀。
先來看看近年來發(fā)生的教育行業(yè)網(wǎng)絡(luò)安全事件�!
教育行業(yè)網(wǎng)絡(luò)安全事件
1. 江蘇鹽城7 萬余條學生信息遭泄露,原因是“內(nèi)鬼”所為����。
2021 年7 月,鹽城警方偵破一起公民信息販賣案件����,涉及7 萬條學生家長個人信息流出的源頭是機關(guān)單位內(nèi)部人員憑借職務(wù)之便,將敏感數(shù)據(jù)發(fā)送給教育培訓機構(gòu)用于營銷獲利�����。
2. 多地數(shù)千高校學生隱私遭泄露�,學生信息成偷稅公司首選。
2020 年4 月���,河南鄭州���、陜西西安���、重慶、湖北武漢�����、山東青島��、安徽滁州等多所高校的數(shù)千名學生發(fā)現(xiàn)�����,自己的個人信息被企業(yè)冒用以達到偷稅目的��。高校學生大規(guī)模信息泄露的源頭與學校脫不了干系��。
3. 美國圣地亞哥聯(lián)合學區(qū)遭遇網(wǎng)絡(luò)釣魚��, 50 萬學生與員工數(shù)據(jù)被泄露��。
2018 年12 月���,圣地亞哥聯(lián)合學區(qū)(SDUSD )逾50 萬學生與50 名員工個人數(shù)據(jù)在安全入侵事件中遭遇泄露�����。其中�,黑客向SDUSD 的人員發(fā)送了魚叉式網(wǎng)絡(luò)釣魚����,意欲引誘受害者暴露憑證以便訪問該地區(qū)網(wǎng)絡(luò)服務(wù)。
如上事件中類似的大規(guī)模學生信息泄露的原因主要是由于黑客攻擊和教育系統(tǒng)/ 平臺“內(nèi)鬼”泄密�����。黑客利用自己的網(wǎng)絡(luò)技術(shù)����,入侵相關(guān)網(wǎng)站或系統(tǒng)后臺,竊取公民個人信息進行販賣���、詐騙����;“內(nèi)鬼”則是利用自己的權(quán)限�,非法獲取個人信息進行黑色交易��。
不論是黑客的外部攻擊還是系統(tǒng)內(nèi)部的泄露都表明了教育行業(yè)網(wǎng)站和系統(tǒng)在數(shù)據(jù)信息保護方面存在嚴重不足����,那么如何給廣大學生一份穩(wěn)穩(wěn)的安全感呢��?
教育部曾提出要提高教育行業(yè)網(wǎng)絡(luò)安全保障能力�����,增強網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急響應(yīng)能力�。作為我國最大的民生行業(yè)之一,教育行業(yè)是網(wǎng)絡(luò)安全法定義的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)�����,《網(wǎng)絡(luò)安全法》規(guī)定��,教育類網(wǎng)站應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求����,履行相關(guān)安全保護義務(wù)�。具體來說,教育類網(wǎng)站可以從以下幾個方面入手:
1. 根據(jù)等保三級測評網(wǎng)絡(luò)合規(guī)要求�����,部署 實現(xiàn)網(wǎng)站HTTPS 加密數(shù)據(jù)傳輸和教育網(wǎng)站身份真實性驗證,避免學生信息泄露����、篡改(如學籍信息、成績數(shù)據(jù)��、報考信息)�,防止學生及家長被釣魚網(wǎng)站欺騙。
Tips : 為了加強保護學生信息��,建議教育及高校網(wǎng)站使用 OV 組織型或EV 增強型SSL 證書���。 在SSL 證書的選擇上�,應(yīng)使用合法合規(guī)��、支持主流算法����、滿足用戶使用各種主流操作系統(tǒng)與瀏覽器訪問需求的證書。其次�,考慮到使用證書服務(wù)器在境外的國外證書存在教育、科研信息外泄的風險���,自主可控的 是首選�����。
2. 采用“零信任”安全機制�����,通過 客戶端證書驗證訪問者真實身份之后��,再開放系統(tǒng)訪問權(quán)限����,并做好全程訪問過的實時監(jiān)控和預(yù)判,從而更好的實施訪問權(quán)限限制��,并追蹤溯源訪問者的行為和落實其責任��。
3. 加強內(nèi)部人員的數(shù)據(jù)安全知識培訓及安全意識培養(yǎng)��。教育行業(yè)相關(guān)人員的網(wǎng)絡(luò)安全意識相對較為淡薄����, 教育機構(gòu)需加強對內(nèi)部員工進行數(shù)據(jù)安全方面的培訓��,例如不要在聊天或電子郵件 分享學生的敏感數(shù)據(jù),識別釣魚網(wǎng)站的方法等����,豐富相關(guān)人多的安全知識,提高應(yīng)對安全問題的能力�����。
通過采用低成本�、高快捷的SSL證書對教育系統(tǒng)網(wǎng)站進行身份認證和HTTPS數(shù)據(jù)加密,從自身做好安全防護工作����,防止學生信息泄露;其次采用“零信任”安全機制進行權(quán)限訪問限制���,提升員工的安全意識��,很大程度上可以預(yù)防教育相關(guān)人員因處理不當或非法泄密�。
最后���,不論是線上教育平臺還是國家教育網(wǎng)站����,為了您的學生信息安全,請趕快行動起來吧��!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
