教育行業數據泄露防護淺析

摘? ?要：當前，數據泄露事件頻發，成為網絡安全最重要的威脅之一。針對數據安全合規性的要求，國家出臺了《網絡安全法》《信息安全等級保護管理辦法》等法律法規，要求按照相關要求做到合法合規。教育行業更要以數據安全治理為抓手，體系化建設信息系統。在數據的傳輸、采集、處理、發布、歸檔和銷毀的過程中，加強人員意識，以數據分級為基礎，以數據安全使用制度與安全制度為保障，最終保護數據安全。論文以數據泄露防護為研究對象，介紹教育行業中數據泄露的問題以及防護數據泄露事件發生的方法。

關鍵詞：教育行業;數據泄露;大數據

中圖分類號：TP393.0? ? ? ? ? 文獻標識碼：B

Abstract： At present， data leakage incidents occur frequently and become one of the most important threats to network security. In response to the requirements of data security compliance， the State has enacted the "Network Security Law of the People's Republic of China" and the "Measures for the Protection of Information Security Levels" and other regulations， which require compliance with legal requirements and do not violate the law. To achieve the level of protection requirements， do not violate the rules. The education industry should take the data security governance as the starting point and systematically construct the information system. In the process of data transmission， collection， processing， release and destruction， and strengthening of personnel awareness， based on data classification， data security use system and security system as the guarantee， and ultimately protect data security. This paper takes data leakage protection as the research object， introduces the problem of data leakage in the education industry and how to prevent data leakage incidents.

Key words： education industry; data leakage; big data

1 引言

隨著“互聯網+教育”的深度融合和網絡應用的不斷創新，教育信息化逐漸成為國家信息化發展的重要組成部分。教育信息化應用系統當前已然成為建設教育強國的重要載體，為學校、教師、學生以及家長的使用提供了巨大的便利，提高了教學的質量和效率。與此同時，教育工作的信息化應用系統每天產生并長期保存著大量數據，如老師學生家長注冊登錄個人信息、教學資源信息、國家教學資助信息等。在大數據分布式計算和分布式存儲等新技術廣泛應用的情況下，數據分析挖掘、共享交易等新應用場景也不斷出現，使得數據安全以及個人隱私泄露等問題日益凸顯[1]。

2? 我國教育行業面臨數據泄露風險

我國關鍵信息基礎設施領域的重要領域之一包含教育行業，教育領域更是關乎國家強盛和國計民生的重中之重。如何在教育領域異構、多重和復雜的情況下，建立相應的大數據處理中心以及建立有效的防數據泄露的法規和制度，使大數據成為教育信息化發展的重要安全支撐，從而保證教育領域信息系統在安全、可信的環境下建設運行，成為教育領域網點狀、條狀甚至塊狀聯動的信息化發展必須面臨的問題[2]。

我國教育行業對海量的數據沒有建立一個統一系統的大數據處理平臺對產生的數據進行保護、挖掘、分析以及利用，也沒有對產生的數據特征進行識別，甚至在系統使用過程中原始數據由于存儲空間等問題被定期刪除，即使存儲數據也未能被高效利用，加之教育行業長期以來注重信息化發展輕網絡安全方面的數據管理的現象，信息系統建設、運行以及維護過程中，針對大數據的保護較為薄弱，容易發生數據泄露的事件。

據統計，教育系統公共資源平臺上的課件泄露時有發生，對課件的制作者產生了嚴重的侵權現象。部分教育企業的學校、教師、學生和家長等平臺，對用戶的注冊個人信息沒有進行有效的保護，如果個人信息落到不法分子手中，騷擾電話將嚴重影響教師、學生和家長的生活，更嚴重還有可能出現詐騙等情況，危及被詐騙人生命安全。2016年8月21日，某高考考生因個人信息泄露，被不法分子騙走上大學的費用9900元，最終導致學生心臟驟停，不幸離世[3]。

由此可見，教育行業數據泄露問題已經成為威脅社會安定團結且急需解決的問題[2]。

3 教育行業數據泄露事件發生的原因

鑒于大部分教育行業信息系統數據保護的現狀和面臨的情況，數據泄露事件發生的原因可歸納為管理缺陷和技術缺陷兩方面[4]。

3.1 人員意識與管理原因

從管理與人員意識的角度來說，教育系統數據泄露的主要原因主要表現在四個方面。

第一，內部員工故意泄露系統用戶數據。內部員工利用工作便利條件，在對組織不滿或者利益驅動的情況下，與數據需求方或者其他教育行業競爭對手互相勾結，出賣教育系統用戶的個人信息。或者，對日常業務操作系統中越權查看，違規下載數據[1]。相關教育企業在對教育部及其直屬單位進行技術服務的同時，其中人員素質以及人員流動性，也影響著數據的安全性。

第二，內部員工無意泄露系統用戶數據，員工數據保護意識薄弱，常常為了工作的便利性，將涉密數據上傳到微信、QQ、網盤、郵箱或者辦公自動化系統等網絡中，并且沒有對包含敏感數據的文檔進行保密處理，無意間將用戶數據泄露，這也是當前教育行業數據泄露的最主要原因。

第三，職能部門數據保護權責交叉，資源協調難度大。從數據的全生命周期的角度來看，在數據產生、使用、交換、存儲、發布和廢棄情況下[5]，在不同信息系統規劃組織、開發采購、實施交付和運行維護的過程中，部分教育單位無法發揮保密部門的監管權力，來調動業務部門的積極性，最大化利用涉及部門的技術和人員等資源。

第四，管理制度宣傳覆蓋面不足，貫徹落實沒有深入到部分農村偏遠地區的管理單位與相關教育培訓機構等企業。目前，教育部及其直屬單位已出臺數據保護制度，但是由于部分農村偏遠地區教育信息化發展相對落后，數據保護意識淡薄，對數據保護執行彈性較大，將制度貫徹到每一位員工的周期長、難度大。教育行業對于體系龐大、組織復雜的教育培訓等相關企業數據保護情況已經進行了宣傳教育，但由于大部分企業重發展，輕安全的情況，導致推進數據管理保護的工作產生了很大的阻力。

3.2 技術原因

從技術層面來講，教育行業數據泄露原因主要可以分為三個方面。

第一，部署的軟硬件設備中存在漏洞。由于國外的基礎軟硬件起步的比國內早，在教育系統中大量基礎軟硬件仍然在使用國外產品，部分產品可能存在安全漏洞或預留后門，存在安全隱患。例如學校招考信息系統，存在著重要信息泄露的風險[1]。2018年的英特爾處理器“Meltdown（熔斷）”和“Spectre（幽靈）漏洞”事件以及“思科高危漏洞”事件，都是這一技術原因的典型代表。

第二，權限控制和數據脫敏等技術手段使用不到位，導致大數據在分析挖掘過程中，用戶隱私的泄露。在分析挖掘數據，用以刻畫用戶行為圖像的時候，脫敏技術手段不到位，過度披露用戶隱私，導致數據泄露。通過新興的人工智能、機器學習、知識挖掘等技術，將數據進行重新的整合與關聯，使原始數據隱藏的個人信息被展示出來。

第三，安全防護措施不到位。教育相關企業中部分信息系統沒有防火墻和漏洞掃描等必要設備，或者病毒庫、漏洞庫更新不及時，導致系統被攻破，造成數據泄露。在數據存儲的時候，未對數據進行加密，導致黑客可以直接竊取明文數據。

4? 防范教育行業數據泄露的對策和建議

針對數據泄露事件存在的原因，為了提升數據安全保護的效果，切實保護教育行業數據的安全性，現提出對策和建議。

4.1 建立以數據為核心的泄露防護體系

針對數據泄露事件的問題，構建以數據安全為核心的防護體系，通過磁盤加密、容災備份。電子文檔安全和數據庫安全保護等方式來保障數據的安全可控。

其中，磁盤加密是指磁盤上的數據以密文的形式保存，在操作系統的內核態或者對磁盤直接存儲的硬件電路上進行磁盤加密部署[6]。用戶空間通過應用程序將數據與磁盤內核進行加密。磁盤加密的過程一般將整塊物理硬盤或一個邏輯卷作為操作對象，把其中所有數據，甚至是空白區域都用算法進行處理加密[6]，如圖1所示。

容災備份系統是指信息系統在發生災難損害后，也能夠最大限度的保證用戶正常使用的系統，其核心是數據的復制[7]。容災備份相當于以應急處置的方式來對數據進行保護管理。構建電子文檔中數據安全保密化是數據防護的另一個重要手段。通過設置防火墻、身份認證與訪問控制以及計算機病毒防治等技術手段，來保護電子文檔中的數據安全。數據庫的審計和攻擊檢測是數據庫管理的重要組成部分，是在身份鑒別、存取控制、加密技術等多種安全措施下，進一步提升數據系統的安全性，用以主動識別和控制風險[8]。

4.2 積極鼓勵研發大數據關鍵技術

積極研究國內大數據關鍵技術，使大數據安全技術可控，成為現在保護數據安全性的重要手段之一。通過科研以及專項經費支持和政府扶持的手段，為研發科研人員提供支持，增強自主創新的能力。同時，教育部及其直屬單位優先采用國內研發的產品，支持國產產品研發，為大數據關鍵技術發展提供更安全的環境。

4.3 建立敏感數據識別規范標準

在數據全生命周期過程中，依據數據信息的敏感程度對數據進行分類，依據敏感數據的標準對數據進行分級管理。用數據標簽對創建數據、應用數據、存儲數據、傳輸數據和銷毀數據提供技術上和操作上的規范要求。對于關系到教育行業發展以及系統用戶個人信息的重要數據，需嚴格控制其存儲位置、傳輸和使用方式。對于完全可以對外公開的數據，不需要采取特殊的保護方式。

4.4 明確職能部門數據保護權責

統籌教育信息化業務、網絡安全與管理部門在數據防泄漏中的作用，在爭得管理部門的同意后，網絡安全負責部門牽頭，與教育信息化業務部門一起出臺數據泄露防護規則及獎懲標準，把數據安全防護作為績效考評的重點，對發生數據泄露的事件零容忍[4]。在教育部及其直屬單位的數據保護標準要求下，相關教育培訓機構與第三方技術機構也需要明確權責義務，防止數據泄露事件的發生。

4.5 提升教育行業信息系統用戶安全意識

在教育行業中的數據泄漏問題處理方面，尤其需要增強用戶的網絡安全意識。對于教育信息化的蓬勃發展而言，在PC端或者移動端都需要養成定期殺毒的好習慣，并且安裝防火墻以及漏洞查殺系統，對存儲的個人信息妥善保管，防止被他人盜用，造成不必要的損失。

5 結束語

教育是國家不斷發展的保證之一，教育行業的數據安全更需要引起部門、機構還有用戶的重視。大數據時代下教育行業的數據安全是教育信息化發展的基石。合理建設防護體系對數據進行系統的防護，鼓勵國內數據防泄漏軟件的研發，對敏感數據進行統一的管理等一系列的舉措，將會預防教育行業數據泄露事件的發生。

參考文獻

[1] 陳錦，王禹.從數據全生命周期看數據泄露防護問題[J].中國信息安全，2018（03）：69-71.

[2] 王勝.交通運輸行業數據泄露現狀淺析[J].中國信息安全，2018（03）：76-77.

[3] 孫艷.電信詐騙犯罪立法問題研究及其防控[J].遼寧警察學院學報，2017，19（04）：44-48.

[4] 王春偉.央企防范數據泄露思考與應對[J].中國信息安全，2018（04）：96-99.

[5] 周文，李亞楠，吳波.商用密碼在中央企業數據安全治理中的應用[J].信息安全與通信保密，2018（05）：57-62.

[6] 張慧，郭翠芳，牛夏牧，吳春歡.磁盤加密模式分析[J].計算機工程，2010，36（05）：134-136.

[7] 明曉明，李松筠.淺議信息容災備份系統的建設[J].中國電力教育，2006（S3）：4-6.

[8] 李東風，謝昕.數據庫安全技術研究與應用[J].計算機安全，2008（01）：42-44.

作者簡介：

寇思佳（1992-），女，漢族，陜西人，英國曼徹斯特大學，碩士，中央電化教育館，助理研究員;主要研究方向和關注領域：網絡安全、教育信息化。