教育大数据,数据安全吗? – 作者:中国评测网安中心

前言

《2019年国务院政府工作报告》中明确指出“深化教育教学改革、发展互联网+教育、促进优质资源共享”。移动互联网、大数据、云计算等新一代信息技术使传统教育与新兴技术进一步融合。在2020年初爆发的新冠肺炎疫情对教育行业的正常运行产生影响,在线教育模式结合大数据技术在此过程中发挥了重要作用。然而新技术的应用过程中教育大数据平台运营者(高校、培训机构、云厂商等)面临网络安全挑战,例如大数据安全管理与数据保护、云计算环境下的网络安全防护等。本文分析教育大数据存在的网络安全问题并提出建议,期待与教育领域大数据平台运营者共同提升网络安全防护能力。

一、教育大数据,数据不安全

大数据技术在教育领域已普遍应用,其重要性逐步凸显,然而目前来看其数据并不安全,以下仅从三方面阐述目前存在的数据安全问题。

1.1个人信息保护欠缺

先说几个案例。2016年高考后,不法分子非法获取50000余条山东省2016年考生个人信息,某考生因个人信息泄露而被骗走上大学的费用9900元,后因郁结于心导致丧失生命;2017年3月,一名黑客利用美国Job Link系统中的漏洞获取480万名求职者的个人信息;2019年,我国某高校的一个数据库因未正确配置公开访问权限,导致泄漏了8.4TB的电子邮件元数据;2019年8月,某高校50余名学生个人信息泄露,泄漏的信息被一家企业所利用,通过向大学生虚报工资的形式达成企业偷逃税款的目的;2020年1月在武汉就读的某大学生回家,而新冠疫情爆发后,包含该学生在内的1000多名武汉个人信息表格转遍了全市人民的微信群,包含家庭住址、家人信息、SFZ号等,因个人信息泄露导致该学生受陌生人的骚扰、辱骂。

这些案例表明教育领域个人信息泄露会造成严重后果,有企业用来违法避税,有商业秘密外泄,有学生家庭生活受影响,更有莘莘学子丧失生命。个人信息保护力度不够、意识欠缺的问题仍然存在,教育大数据平台要进一步加强个人信息保护工作

1.2数据安全管理存在盲区

教育大数据平台通过账户注册采集、检索与审计、网络爬虫等技术可以获取学生基本信息、家庭信息、学习信息、恋爱社交信息及其他敏感数据。经调研,某在线学习APP推出课程订阅与资料采购服务,需要进行实名身份认证,个人基本信息、金融支付信息、物流收货信息是必须采集项;另外好几款APP也不同程度存在采集手机号、邮箱信息的情况,个别需采集SFZ号进行实名认证;目前没有源码审计、白盒审查之外的方法可以判别应用是否访问通讯录、聊天记录、个人浏览记录等信息,但毫无疑问这些都属于敏感个人信息。

然而,目前针对种类如此之多的教育大数据进行数据安全管理,还存在着诸多现实问题与安全盲区。一是数据收集过程中存在收集过度问题;二是数据处理使用过程中未有效通过技术和管理并重的方式进行数据安全保护,例如一些招考平台在公布考生成绩时将SFZ号、出生日期、手机号等一同公布;三是教育大数据平台运营方数据安全管理能力欠缺;四是平台运营者、教师用户、学生用户的信息保护意识不强。

1.3大数据云平台成为攻击面

教育大数据依托云计算资源是一种广泛采用的服务方式,云环境使得教育数据面临的安全威胁更为复杂。一是外部威胁层出不穷,云平台、租户都可能成为入侵对象且威胁类型多样,如拒绝服务攻击、端口扫描、木马后门、强力攻击、缓冲区溢出攻击、IP碎片攻击、蠕虫病毒等;二是云平台存在虚拟机滥用、租户隔离失效、数据被泄露、篡改或丢失、应用程序接口安全以及代码级安全等问题;三是在云服务模式下安全责任划分不清晰、业务权限不透明、难以进行数据审计追责等问题,云平台和租户要时刻保持“教育大数据上云无法做到绝对安全”这种意识

二、教育大数据安全保护建议

针对以上突出问题,中国软件评测中心网安中心综合实践经验,给出具备可行性的建议。

2.1技术管理并重,做好个人信息保护

在教育大数据个人信息保护方面,教育大数据平台和应用开发方应在技术层面深入分析大数据平台基于开源软件、按需搭建的架构,对于此类情况的应用应重点进行安全防护,并进行网络安全风险评估,大数据平台应用、接口、APP应进行源代码安全审查与渗透测试,查补漏洞防止发生信息泄露事件;在管理层面要提升数据治理能力,做好多源数据汇集与敏感数据脱敏等工作,防止在数据开放、共享过程中存在泄露、滥用等安全问题。

2.2强化数据安全治理能力

在数据安全管理方面,教育大数据平台要持续强化数据安全管理能力。2019年5月国家互联网信息办公室发布《数据安全管理办法》(征求意见稿),该管理办法对数据收集、数据处理使用、数据安全监督等环节提出要求,如实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。数据安全管理与防止个人信息泄露是紧密联系但又不同的两项任务,既然是“大数据”平台,那么肯定避免不了要收集海量教育数据(包括个人敏感信息),所以提升数据安全治理能力就显得尤为重要,相关机构应符合大数据服务安全能力要求,提升整体数据安全能力成熟度

2.3纵深防御,保障大数据云平台安全

云环境使得教育数据面临的安全威胁更为复杂,教育大数据将在更广泛的移动终端、网络设备、计算设备、应用系统、业务对象中被存储和应用,因此需要有纵深防御思想,教育行业大数据平台运营方应该按照《网络安全法》、《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)的规定,严格落实国家网络安全基本要求,同时教育领域在关键信息基础设施范围,需加强安全保护和管理。网络安全测评机构作为大数据安全保障的主力军,需要对教育大数据平台运营者进行全流程的安全咨询、测试、评估、认证、培训,保持对数据与风险的敏感性,持续提供网络安全态势感知、高级持续威胁(APT)检测、教育行业IDC漏洞挖掘、大数据平台渗透测试等专业服务。

 

中国软件评测中心网安中心致力于信息系统的网络安全防护和安全运行,支撑政府主管部门履行网络安全相关的社会管理和公共服务职能。疫情之下,我们在行动!我们将与全国人民携手一起打赢这场疫情攻坚战!如需要,请联系13811563856(微信同)、18610233608(微信同)。

0311-6-bm.png

来源:freebuf.com 2020-05-06 13:51:07 by: 中国评测网安中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论