据新华网报道,日前,辽宁、福建的两名大学生黑客入侵沈阳某高校的教学管理系统,将16名大学生的成绩从不及格改为及格,因此获利13.8万元。法院一审以破坏计算机信息系统罪,对两被告人判处缓刑,并没收非法所得。这一消息一时激起社会对网络安全问题的担忧。福州知名软件企业伊时代为保护高校数据安全支招。
据了解,近年,随着计算机技术和网络技术的发展,各高校纷纷建立了教育信息网络,建立了学生学籍管理、课程编排管理、教学资源管理、教学计划管理、学生成绩管理、考试事务管理、教学考评管理、教材管理等一系列教学管理平台。
然而,记者了解到,在各种信息化手段为科研及教学手段起到了革命性改变,促进了教学质量提高的同时,安全问题也随之裹挟而来。新华网2月26日报道的这起罕见的黑客入侵高校网络擅改学生成绩案,事件暴露出高校信息系统的数据安全防护存在的脆弱性一面,业内人士称,这是目前高校信息化建设中存在的薄弱环节。
为此,记者采访了专业从事信息安全行业的福建伊时代企业,该企业根据多年在数据防泄漏和数据防抵赖的数据安全领域的研发经验,提出一套高校数据安全防范解决方案。企业技术人员认为,高校教学管理系统的数据安全问题,应该建立事先防范、事中控制、事后审计的设计原则,对高校教学管理系统从用户身份认证、数据库访问控制、数据库内容安全实现全程控制与日志审计。“首先要做到事先防范”,伊时代技术人员介绍,即做到DBA职责分离、限制特权用户访问、限制 SCHEMA账号访问、限制流动人员(黑客)访问、限制工具型应用访问,严格遵循授权和控制管理。
对存储到高校教学管理系统的数据进行加密保护,访问高校教学管理系统后台数据进程做到严格控制,确保只有合法的应用或进程才能读取指定的数据,从而实现对数据传输和数据存储进行全程加密保护,可以有效防范非法用户入侵(黑客)、伪造信息插入、数据窃听分析、以及对存储设备上的数据删除修改等安全问题,有力保障用户存储数据的安全性。
其次,事中控制也是关键性的措施,即在通过“事前防范”机制,建立安全策略性的管理之后,一旦发现不满足预定义策略的任何访问行为(例如黑客直接通过工具访问关键的学生成绩表),安全系统将实施阻断,拒绝非法行为访问数据库。
事中控制是数据库安全管理的核心,只有在非法访问阶段进行阻断,才能确保数据库安全。
最后,通过事后审计,可以全程记录数据库访问记录,根据日志的级别及时发现问题和风险,提供决策依据,确保整个信息系统的安全稳定运行。
