案例征集 | 网络资产繁杂但监管缺位 教育行业需要怎样的安全保障?
2024-12-3 17:41:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

安全419宣布启动《甲方安全建设精品采购指南》案例征集,面向金融、政府、工业、运营商、车联网、医疗、教育七大重点行业,并细化至诸如数据安全、安全运营、应用安全、身份安全、网络及端点安全等具体的应用场景,呈现对口的、经市场验证的一系列优质产品/系统/方案,解决甲方客户在数字化转型过程中采购安全产品及解决方案的选择困难。

我们同步邀约安全企业提报自家的产品和服务,将广泛调研并筛选市场中的优质代表,为业界树立标杆,并最大程度地推介给甲方用户。

扫码报名或点击文末“阅读原文”报名

为了方便甲方用户了解安全形势、明确需求,同时方便安全企业有针对性地进行报名,接下来我们将分别针对七大行业进行供需两端的市场及技术趋势分析。今天,我们走进教育行业。

数字化教育在推动教学向高效化、精细化发展,对信息化的依赖性也不断增强,同时让校园网络安全事故频发,教学系统的稳定性和师生信息安全成为教育行业的主要痛点。因此,越来越多的高校开始重视校园网络信息化建设的安全问题。

校园网络资产庞大且复杂,风险突出,技术能力和管理环节存在漏洞,个人信息保护存在不明地带。此外,网络安全管理监督缺位,管理制度不完善,安全管理职责不明确,人员网络安全意识薄弱,事前和事中监督缺位严重。这些问题共同构成了教育行业在网络安全建设上的困境。一系列法律法规为教育行业的网络安全提供了一定的制度框架,但其配套实施仍需完善加强。同时,网络安全监管理念和手段需要进一步创新,以适应网络技术的迅猛发展和攻击方式的新形态。

网络及终端安全

校园网络环境复杂,终端设备和服务器数量众多,由于缺乏专业安全防护,系统安全性不高,因此校园网内的很多设备都成为了黑客构建僵尸网络的目标,科研成果、国家机密等一些高价值的信息很容易遭受APT攻击。同时,高校的门户网站,包括主网、招生网及各院系子网,也频繁遭受攻击、篡改和挂马等恶意行为,废弃的服务器、系统和网站也缺乏统一的安全管理,持续开放的端口成为信息安全的短板

前不久广东省教育厅的短信平台遭受非法入侵就是一个典型案例。不法分子冒充教育厅向师生及家长发送含有黄色非法链接的骚扰短信。这暴露出平台安全防护措施未能有效抵御外部攻击,或内部安全管理存在疏忽。

此外,如何预防基于移动设备载体的数据安全也是一大难题。用户通过BYOD设留存数据至本地移动设备,外发共享、非法拷贝等因素也可能导致数据泄露。怎样更安全高效地排查和保护敏感终端,加强网络准入控制,防止恶意软件入侵和勒索攻击,是教育行业和安全服务供应商亟需对症下药的痛点。

数据安全

Verizon发布的《2024年度数据泄露调查报告》显示,教育行业在数据泄露事件中的占比超过86%(在1780起事件中,确认有1537起)。教育行业因其掌握的高价值数据资源,加之安全防护措施的相对不足,已成为数据泄露事件的高发领域。业务系统存在越权漏洞,管理账号存在弱口令,导致非法入侵,攻击者通过植入木马窃取数据;内部运维人员的操作失误,如在发布信息时未采取脱敏遮蔽处理,也不妨有心之人使用“废弃”测试账号,非法获取信息;以及外部攻击者的勒索软件侵袭和针对性漏洞攻击等因素错综复杂地交织在一起,构成了教育行业数据泄露的主要诱因。

2023年8月,南昌某高校超过3万条师生个人信息数据在境外互联网上被公开售卖;今年6月,学习软件“超星学习通”的数据库泄露,包括学校、姓名、性别、学号、手机号、邮箱、密码等超过1.7亿条隐私信息在境外平台被公开售卖。

校园内部的关键系统,包括校园一卡通、教学信息管理系统、电子图书馆、食堂和教育资源库等,以及对外的门户和招生系统,都在不断处理和存储着大量个人信息。信息的流动和存储临着被篡改、窃取、盗用或泄露的多重风险,不仅涉及隐私保护,还关乎资金的安全流转,受影响的不仅仅是上述的直接相关方,更可能引发连锁反应,波及至更广泛的社会领域,出现网络诈骗、电信欺诈等,进而导致经济损失和其他负面后果。

身份安全

当前的学校教育体系面临着一个复杂的挑战:管理一个多样化且持续变化的用户群体,包括教职工、不同阶段的学生、专家学者、校友、校外考生等。由于人员结构的复杂性和高流动性,校园用户的身份管理难以集中管控,让校园成为了钓鱼、诈骗和非法挖矿的重灾区。

此外,校园用户账号弱口令情况普遍存在,不满足安全合规的要求,用户账号安全问题突出。加之权限和访问控制的粗放管理,使得校园网络安全面临严峻挑战。信息更新的滞后性,导致用户账号权限的分配与回收流程,以及相关审批工作存在明显缺陷。

例如每年的开学季和毕业季,大量学生入校和离校的时间段内,需要处理账号的创建与注销、个人信息的修改、账号的申请与变更,以及人脸识别等内容。这些操作不仅需要精确的用户权限分配,还需要有效的回收机制和流程审批,以确保校园网络的安全秩序。

因此,校方在网络身份管理方面的核心关切和亟待解决的痛点在于如何完善校园网络管理机制,以及如何提升身份与访问管理体系建设。集权化的设施安全管理,作为提升网络安全性的关键措施,也是面向教育行业的安全服务供应商可以重点关注和深入探索的一大方向。

应用安全

随着智慧校园建设的不断深入,高校信息系统的数量和覆盖范围显著扩大,信息化建设和运维越来越依赖于第三方服务。但软件供应链体系的动态性、复杂性和开放性,使得网络安全事件频发。

此前就有西北工业大学遭受境外网络攻击,多个信息系统中发现木马程序,内部渗透的攻击链路多达1100余条、操作的指令序列90余个,企图非法获取权限,给学校的正常工作和生活秩序造成了重大的风险隐患。

软件开发中大量引入的开源和第三方组件,如果没有严格的产品安全开发流程、产品安全漏洞快速响应机制、供应链安全风险监测机制等,将无法及时处置供应链安全风险。供应商可能存在的质量问题、交货延迟或售后服务不足,以及教育方在供应商软件安全管理方面的不足,都加剧了这一问题。

在招生、开学、毕业、选课、考试等业务集中的关键时期,线上服务的安全稳定性显得尤为重要。教育管理系统、在线课程平台、考务终端等关键服务的连续性和安全性必须得到保障,针对考试、教学、备课等场景,解决方案应聚焦于实际应用场景,通过加强这些关键环节的安全措施,确保教育信息系统的完整性和可用性,为学生和教师提供一个安全、可靠的学习和教学环境。

安全运营

高校网络环境的复杂性和庞大的资产规模,使得建立一个清晰的资产台账变得至关重要。然而,目前许多高校在这方面存在明显不足,导致安全运维工作难以有效实施。信息保护机制也存在不均衡的现象,备份、应急和恢复机制尚有改进空间。数据资产的梳理、脱敏和溯源工作仍依赖于人工操作,缺乏自动化工具和可视化管理,数据追踪和溯源能力不足,应急能力弱。

此外,在技术储备方面,由于信息化教师人员紧缺,维护设备和处理日常事务已经占据了大量精力,缺乏专业的安全人员,以及安全制度和流程的不完善,为校园网络运营增加阻碍。

常态化安全运营体系是网络安全防护的关键。校方亟需建立一个完善的安全机制并配备强有力的技术支持。在这一过程中,资产管理和漏洞管理尤为关键,同时通过模拟真实的网络攻击场景,用于攻防演练、人才培养、竞赛和培训等,以全面检验教体系统校园网络安全监测、预警、处置和恢复能力。而面对真实环境又该如何建立靶场,亦是教育行业和安全供应商应当共同面对的题目。

NEWS

报名须知

通用方案的大包大揽并不意味着能力满级和覆盖全面,反而会造成选型迷茫和落地困难,拳拳到肉的产品/系统/方案,更能够体现出针对性和应用价值,促进了解和合作意愿达成。因此,各安全企业在报名时,请一定明确客群(即“行业”),以及着重解决的问题(即“应用场景”)。

教育行业应用场景参考

1. 身份安全(如身份与访问管理、防钓鱼等社工攻击、密码应用、零信任等)

2. 网络及端点安全(如BYOD接入管理、防僵尸网络、防勒索、防APT、防挖矿等)

3. 应用安全(如外包供应商评估管理、招考等重要时期业务安全等)

4. 数据安全(如师、生、科研数据合规及安全防护等)

5. 网络靶场(如攻防演练、竞赛、培训等)

END

推荐阅读

粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送


文章来源: https://mp.weixin.qq.com/s?__biz=MzUyMDQ4OTkyMg==&mid=2247545641&idx=1&sn=7bdf622d2cc85b698e3cc8782de41a93&chksm=f9ebed84ce9c6492bc3804493617f2f84de9e30d3e23a25f50db40c40ea017d5bb5918402ff5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh