“徐玉玉案”的警醒：個人信息泄露如何防

文/張璇

“徐玉玉案”的警醒：個人信息泄露如何防

文/張璇

又是一年高考季，在為學子們似錦前程喝彩的同時，去年高考季發生的“徐玉玉案”卻令人心痛不已。

分析詐騙分子的犯罪手法不難發現，他們早已經從“大海撈針”式廣撒網的詐騙模式，進化為以個人信息為基礎的“精準”詐騙模式。個人信息泄露可能是內鬼所為、用戶安全意識薄弱等原因，另一大主要原因就是信息系統或網站存在漏洞。

信息安全防護能力全面升級是大勢所趨

個人信息保護層面，今年6月1日實施的《網絡安全法》明確了網絡信息安全的責任主體，確立了“誰收集，誰負責”的基本原則。第四十條明確規定，網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。

同樣是6月1日生效的“關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋”第九條規定：“網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當依照刑法第二百八十六條之一的規定，以拒不履行信息網絡安全管理義務罪定罪處罰。”

教育部關于信息安全保障的一系列動作與國家網絡空間安全戰略的發展是完全契合的，相關法律法規的出臺標志著教育行業網絡安全防護能力要求提升到了新的階段,升級信息安全防護能力已是大勢所趨。

構建信息安全立體防護體系

新形勢下，對教育行業信息安全防護能力的要求更高，這對安全從業人員來說，既是挑戰，更是機遇。借著《網絡安全法》與《教育行業網絡安全綜合治理行動方案》的東風，可以補齊原有的短板和不足，構建一個科學合理的信息安全立體防護體系。筆者認為應重點關注以下方面：

1.做好信息安全頂層設計

大到一個國家，小到一個機構，都需要做好保障信息安全的頂層設計，也就是系統性的規劃和設計，目標是解決人、信息系統、技術、數據的關系問題。在構建信息安全立體防護體系方面，技術和管理并重才能共同構建完善的保障體系。

主要包括制定信息安全相關政策與制度，如人才政策，獎懲政策等；確立信息安全負責部門，責任具體到人；加強各部門間統籌協調。

根據《網絡安全法》的要求，應落實建立安全監測和信息通報制度、網絡安全事件應急預案、安全事件及時響應和快速處置制度，完善風險評估機制，并規范數據的采集、傳輸、存儲和開放共享。

2.夯實等保基線

等級保護制度是我國信息安全防護的基線要求，在網絡安全保障方面起著至關重要的作用。2007年公安部出臺的《信息安全等級保護管理辦法》為信息安全建設構建了一個基本框架，制定了統一的信息安全等級保護管理規范和技術標準，對信息系統實行分級安全保護，并對等級保護工作的實施進行監督、管理。

據悉，為適應新技術的發展，解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要，全新的《網絡安全等級保護基本要求》不久將會出臺。

《網絡安全法》第二十一條明確規定，國家實行網絡安全等級保護制度。根據法律要求，每個信息系統都應進行定級備案，按照要求定期開展等級測評和整改工作。換言之，不按規定進行等保測評整改將是違法行為。

3.實現精細化管理

充分掌握本單位信息系統情況，準確進行安全等級的劃分，明確關鍵信息基礎設施，實行重點保護。教育行業重要的信息基礎設施包括網絡基礎設施，涉及到考試、招生、學籍、資助等教育核心業務的信息系統，全國聯網的信息系統，存儲大量師生數據的信息系統。同時對網站、IP、域名等網絡信息資產管理到位。加強內外部審計，做到安全事件事前、事中、事后有跡可查。

4.培養專業人才隊伍

人是信息安全工作是否到位的關鍵。教育行業網絡信息安全隊伍普遍存在人員少，任務重的狀況，由于與企業信息安全從業人員相比收入低，人才往往引不來，留不住。這個問題可以通過購買安全運維服務的方式解決，但仍然無法從根本上解決問題，信息安全工作不能完全依賴外部力量。上海交通大學姜開達老師倡導的學生團隊參與日常安全運維的做法值得參考，既鍛煉了學生的技術水平，又一定程度上解決了人才匱乏的問題。

從具體案件看信息安全防護能力提升之道

《教育行業網絡安全綜合治理行動方案》指出，當前教育行業網絡安全工作主要問題表現在安全責任不落實、管理不規范、安全隱患修復不及時、監測預警和應急響應能力不足、網絡安全事件時有發生等方面。盡管沒有看到官方發布的調查報告，僅從“徐玉玉案”案情分析，涉案平臺或多或少都存在這些問題。

互聯網公開資料顯示，“山東省2016高考網上報名信息系統”責任單位是山東省教育招生考試院，由于平臺的特殊性，安全責任管理機制、規范已初步建立，購置了相應的安全設備，客觀來說其安全防護水平高于行業平均水準。出現徐玉玉個人信息泄露的問題，筆者分析原因極有可能是安全運維人員沒有及時修復漏洞所致。在事后并未見有相關責任人處理的報道，也反映出其安全責任可能并未落實到人，管理規范不夠細化，沒有獎懲細則。

筆者認為，事件給我們的啟示有以下幾點：一是沒有系統的安全防護措施規劃，單純購置先進的防護設備是無法發揮其最大作用的。二是欠缺及時的漏洞發現和修復能力是當前安全工作的一大頑疾。三是應充分重視信息安全頂層設計，制定信息安全相關政策與制度。面對經驗豐富的黑客，任何一點安全工作的瑕疵都可能釀成嚴重的后果。

山東省教育招生考試院同樣也看到了這些問題，從其采購信息發現，“徐玉玉案”后，公開招標安全運維服務、遠程滲透測試服務、信息安全管理體系（ISMS）建設服務、安全設備、容災服務等項目，同時改進了報名系統的登錄驗證方式，首次使用短信驗證登錄。山東省教育招生考試院2017年工作要點中也重點提出切實加強網絡信息安全建設，以建立相應的信息安全管理制度和網絡安全保障體系為基礎，完善規范、規章制度，同時采取加強對重要設備、信息系統和網站的運行監控和安全監測，大力推動國產密碼的應用，進一步完善防病毒、防攻擊、防篡改、防癱瘓、防竊密的技術措施。從這些措施可以看得出來，涉案網站主管單位吸取了“徐玉玉案”慘痛的教訓，亡羊補牢，未為晚矣！

教育行業數據安全防護常見技術

信息泄漏的兩大主因是外部攻擊和內部監控疏漏。外部攻擊主要是黑客利用信息系統的漏洞獲取數據，如考試報名系統本身存在注入點，或者其使用的中間件存在漏洞。內部監控疏漏可能由于內部人員故意泄露、第三方合作機構問題、計算機遺失導致的“被動”泄密、使用社交網絡無意泄露敏感數據等。因此需要必要的數據安全技術來防止信息泄露。

通常情況下，使用數據安全技術要達到的目標有：數據加密存儲；用戶身份鑒別，能夠阻止不合法的用戶來訪問數據；保證數據的完整性和數據的一致性；保證所有的數據都是可用的；保證對數據進行的一切操作進行跟蹤記錄。

信息防泄露是一個系統工程，下面就從應用的角度來探討其常見技術措施。

首先要明確要保證安全的核心數據，例如報名系統的Web數據庫就是需要防護的核心數據。如果機構龐大，數據源復雜，還需要自動發現服務器和數據庫系統，判斷是否存在沒有授權的服務器被臨時架設，以及是否開設未授權的服務。

明確了核心數據資產之后，制定信息防泄露策略。策略要針對核心數據從其創建、獲取、使用、傳遞、存儲、銷毀的整個周期來進行設計，面向設備、文件、網絡、應用幾個層面，如網站站群管理、WAF、數據庫安全產品、數據脫敏技術、文檔、終端加密等安全應用技術。

數據安全產品繁雜，需要專業規劃才能保證安全產品發揮最大作用。在實踐中需要有綜合性的應用技術。

目前比較有代表性的綜合性技術是“數據泄漏防護”(Data leakage prevention, DLP)技術。DLP技術是近年來比較受關注的技術或管理手段，防止用戶的指定數據或信息資產以違反安全策略規定的形式被有意或意外流出。DLP的核心技術就是內容識別，內容識別的依據主要有關鍵字、正則表達式、文檔指紋、確切數據源（數據庫指紋）、支持向量機算法等。

DLP防護范圍包括網絡和終端。網絡防護主要以審計、控制為主，終端防護除審計與控制能力外，還應包含傳統的主機控制能力、加密和權限控制能力。最終實現智能發現、智能加密、智能管控、智能審計。

總之，在網絡空間安全戰略與《網絡安全法》的大背景下，教育行業信息安全防護能力全面升級是大勢所趨。面對新的機遇與挑戰，抓住契機補齊原有的短板和不足，構建一個科學合理的信息安全立體防護體系，必將大大促進教育行業信息安全工作，類似徐玉玉這樣的悲劇才不會再次發生。

（責編：王左利）

（作者單位為山東警察學院）