由于新冠疫情的影响,从2020 年起远程教育快速发展,线上教育机构以及国家教育网站成为网络攻击的重灾区,仅2020 年1 月1 日-3 月22 日期间,全国教育行业在线网站和系统累计遭受9600 多万次攻击,数万条学生信息被泄露,整个教育行业的网络安全形势不容乐观。
先来看看近年来发生的教育行业网络安全事件!
教育行业网络安全事件
1. 江苏盐城7 万余条学生信息遭泄露,原因是“内鬼”所为。
2021 年7 月,盐城警方侦破一起公民信息贩卖案件,涉及7 万条学生家长个人信息流出的源头是机关单位内部人员凭借职务之便,将敏感数据发送给教育培训机构用于营销获利。
2. 多地数千高校学生隐私遭泄露,学生信息成偷税公司首选。
2020 年4 月,河南郑州、陕西西安、重庆、湖北武汉、山东青岛、安徽滁州等多所高校的数千名学生发现,自己的个人信息被企业冒用以达到偷税目的。高校学生大规模信息泄露的源头与学校脱不了干系。
3. 美国圣地亚哥联合学区遭遇网络钓鱼, 50 万学生与员工数据被泄露。
2018 年12 月,圣地亚哥联合学区(SDUSD )逾50 万学生与50 名员工个人数据在安全入侵事件中遭遇泄露。其中,黑客向SDUSD 的人员发送了鱼叉式网络钓鱼,意欲引诱受害者暴露凭证以便访问该地区网络服务。
如上事件中类似的大规模学生信息泄露的原因主要是由于黑客攻击和教育系统/ 平台“内鬼”泄密。黑客利用自己的网络技术,入侵相关网站或系统后台,窃取公民个人信息进行贩卖、诈骗;“内鬼”则是利用自己的权限,非法获取个人信息进行黑色交易。
不论是黑客的外部攻击还是系统内部的泄露都表明了教育行业网站和系统在数据信息保护方面存在严重不足,那么如何给广大学生一份稳稳的安全感呢?
教育部曾提出要提高教育行业网络安全保障能力,增强网络安全监测预警和应急响应能力。作为我国最大的民生行业之一,教育行业是网络安全法定义的关键基础设施行业,《网络安全法》规定,教育类网站应当按照网络安全等级保护制度的要求,履行相关安全保护义务。具体来说,教育类网站可以从以下几个方面入手:
1. 根据等保三级测评网络合规要求,部署 实现网站HTTPS 加密数据传输和教育网站身份真实性验证,避免学生信息泄露、篡改(如学籍信息、成绩数据、报考信息),防止学生及家长被钓鱼网站欺骗。
Tips : 为了加强保护学生信息,建议教育及高校网站使用 OV 组织型或EV 增强型SSL 证书。 在SSL 证书的选择上,应使用合法合规、支持主流算法、满足用户使用各种主流操作系统与浏览器访问需求的证书。其次,考虑到使用证书服务器在境外的国外证书存在教育、科研信息外泄的风险,自主可控的 是首选。
2. 采用“零信任”安全机制,通过 客户端证书验证访问者真实身份之后,再开放系统访问权限,并做好全程访问过的实时监控和预判,从而更好的实施访问权限限制,并追踪溯源访问者的行为和落实其责任。
3. 加强内部人员的数据安全知识培训及安全意识培养。教育行业相关人员的网络安全意识相对较为淡薄, 教育机构需加强对内部员工进行数据安全方面的培训,例如不要在聊天或电子邮件 分享学生的敏感数据,识别钓鱼网站的方法等,丰富相关人多的安全知识,提高应对安全问题的能力。
通过采用低成本、高快捷的SSL证书对教育系统网站进行身份认证和HTTPS数据加密,从自身做好安全防护工作,防止学生信息泄露;其次采用“零信任”安全机制进行权限访问限制,提升员工的安全意识,很大程度上可以预防教育相关人员因处理不当或非法泄密。
最后,不论是线上教育平台还是国家教育网站,为了您的学生信息安全,请赶快行动起来吧!