> 幸运飞艇分析app > 关于优炫 > 公司动态 > 幸运飞艇分析app >

公司新闻

Company News

干货分享 | 教育行业数据库安全防护初探

2019-09-29
随着教育行业信息化的不断推进,数据库已经成为日常工作中的基础。但由于教育行业使用的数据库版本繁杂,甚至有不少老版数据库,存在较多隐患,很容易成为攻击目标。近年发生过多起数据泄露事件,因此教育行业数据库安全亟待提升。对于教育行业数据库存在的安全风险,优炫软件进行简单分析并提供防护思路,以供分享。

数据库安全风险

01
缺少专业人员


教育行业的数据库管理人员多数不是专业人士,因此检查数据库时耗时多且不够深入。同时,缺少对数据库的整体安全情况评估,也容易忽略重要安全隐患和不正确的安全配置,从而导致弱口令、补丁未更新等脆弱点被威胁利用。

02
防护手段薄弱


目前教育行业的防护手段主要是网络防火墙、入侵防御设备,并在网络各区域实施访问控制策略,但这些手段在数据库防护时的作用并不明显。

03
数据库漏洞防御能力低


虽然相关单位采取了众多防范措施,但数据库自身的漏洞防御能力较低。黑客利用Web应用漏洞,进行SQL注入,或以Web应用服务器为跳板,利用数据库自身漏洞进行攻击和侵入。

04
数据库访问行为管控不严


数据库运维管理员的违规操作也会导致安全隐患增加,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令的操作等行为,都可能导致数据泄露。

05
数据明文存储


随着教育行业信息化程度的提高,大量机密敏感数据集中存储在数据库系统中,比如学籍信息、教师信息、成绩信息等,由于这些信息都是明文存储在数据库中,这将显著加剧敏感数据批量泄露风险。

数据库安全防护方案

根据教育行业数据库的安全现状,优炫软件认为教育行业单位应根据“事前、事中、事后”三个环节,打造“检查预警、主动防御、底线防守、事后追查”的纵深防护思路,解决数据库安全防护问题。

01
检查预警


对业务系统数据库进行综合安全风险评估,通过数据库漏洞扫描产品提供有价值的修复建议,为数据库系统的安全基线提升提供有效参考。

02
主动防御


通过数据库防火墙、数据库安全运维的等产品技术对数据库进行主动防御。

具体措施如下

2.1执行细粒度访问控制措施:

首先,业务系统数据库应仅接受可信人员和应用发起的访问请求,从根源上彻底杜绝第三方人员、内部人员的非授权行为,减小被攻击面。其次,建立主动防御安全威胁的措施,通过数据库防火墙的SQL攻击防护、虚拟补丁等功能,防范针对数据库SQL注入和漏洞攻击行为。

2.2规范化运维管控:

改进管理模式,针对数据库运维建立规范运维流程,包括事前审批,事中控制,事后记录操作信息,实现全运维流程的管理,实现规范运营。

在规范化运维管控中,可以使用数据库安全运维系统对数据库运维的行为进行审批管控。做到只有提交运维申请并指定运维的时间、对象、操作内容进行审批后方可操作。

03
底线防守


教育行业各相关单位应将存储在数据库中的教务信息、学籍信息等敏感信息使用数据库加密产品进行加密存储,防止此类敏感信息被解析为明文从而导致信息泄密。

04
事后追查


运用数据库审计技术对数据库协议进行精确识别,记录和回放针对统计数据库的攻击、篡改、泄密、误操作等行为,为事后追查定责提供准确依据,同时对上述行为提供邮件、短信等多种报警方式。

数据库安全防护不是一劳永逸,需要常抓不懈。教育行业需要在人员、技术等方面进一步提升。优炫软件作为深耕数据安全领域十余年的知名品牌,自主研发的优炫数据库(UXDB)相比国外同类产品毫不逊色,拥有足够的安全性能。此外,围绕数据库安全,优炫软件同样打造众多安全产品,全方位护航数据库安全。