高校数据泄露防护技术研究与应用

　　摘要：随着近年来高校信息化建设快速发展，各高校围绕数据标准制定、业务系统数据对接、数据治理、大数据分析开展了一系列工作。数据泄露问题频发，数据安全问题也得到日益关注。本文以数据泄露防护技术为研究对象，介绍了高校面临的数据安全现状，分析对比当前数据泄露防护技术，并结合高校实际环境探索了高校场景下相关技术的应用。

　　关键词：数据安全;数据泄露;防护技术;高校应用

　　随着近年来信息化建设快速发展，各高校都部署建设了大量网站和信息系统。高校在享受信息化带来的便利同时，高校网络安全和数据安全问题也日益凸显。近年来围绕高校的数据泄露安全事件层出不穷。师生科研数据泄露、学生个人和家庭隐私数据泄露、教务数据泄露、邮件数据泄露带来的安全风险隐患不断，轻则导致学生和家长屡遭推销电话骚扰，重则给电信诈骗犯罪分子可乘之机，甚至造成国家重要科研成果数据的泄露。

　　大数据论文范例：大数据时代下计算机网络安全及防护措施

　　根据教育部印发的《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)文件的指导建议，高校信息系统分为校务管理、教学科研、招生就业、综合服务，4大类23种具体业务类型。其中建议安全保护等级定为三级的有6种业务类型，其余为二级。6种具体业务类型主要涵盖科研、招生、门户、一卡通等方面。高校信息系统数据安全的重要性可见一斑。

　　1高校数据安全现状与存在的问题当前高校针对数据安全和数据泄露的防护的工作开展还存在一定问题。具体表现在以下几个方面：

　　1.1数据保护的安全意识不足师生对敏感数据保护的安全意识不足，数据使用随意性强。对师生有意或无意的敏感数据泄漏缺乏检测与防护手段。

　　1.2数据安全制度标准缺乏在数据处理过程中大量的师生个人信息、教务数据和科研数据管控机制不足，秘密和敏感数据的信息在处理、共享和使用过程中面临违规越权使用或被用于非法用途等数据泄漏的安全风险。学校内部数据流转难以管控，无法跟踪保护，更难以做到最小授权和规范使用。

　　1.3数据泄露防护手段有限缺乏有效的数据泄露事前、事中防护手段。发生数据泄露事件后也无法立即响应，难以定位源头。

　　1.4安全与效率缺乏平衡缺乏数据管理、使用和安全防护经验，难以做好数据安全管控和工作效率之间的平衡。2数据泄露防护技术研究目前数据泄露技术主要涉及：个人终端、信息系统、数据库、网络边界、邮件、云平台、数据脱敏等几个方面。

　　2.1个人终端数据泄露防护技术个人终端数据泄漏防护系统能够对用户终端上可能发生泄露的渠道进行检测和控制。典型如：打印、USB盘、存储卡、CD/DVD刻录、红外、蓝牙等。同时也能完整记录并统计分析所有可能的数据泄露事件，确保整个企业范围内事件可视性。部署模式主要以C-S模式为主，在需要防护的个人终端上部署数据泄露防护代理客户端，客户端接受后台数据泄露防护平台的统一管理。

　　2.2信息系统(网站)数据泄露防护技术直接面向互联网提供服务的信息系统(网站)，受到的安全威胁种类多，数据泄露安全风险较大。首先在网站设计时，应采用前后端分离架构，避免后台数据库直接暴露在互联网上。网站公开信息发布应进行内容审核和敏感信息筛查，避免因工作失误造成的人为信息泄露。网站可使用安全证书，使用HTTPS协议加密传输。对于部署在内网的信息系统(网站)，同时还要注意内网与互联网严格物理隔离。终端和服务器严禁使用多网卡跨网络连接。

　　2.3数据库数据泄露防护技术

　　(1)数据库防火墙数据库防火墙基于数据库协议分析与控制技术，实现数据库的访问行为控制、危险操作阻断、可疑行为审计等主动防御机制。通过分析数据库流量数据，获取权限控制所需关键信息，对相应数据库请求行为进行放行或阻断。通过SQL注入特征库捕获，阻断SQL注入行为、高危SQL操作、限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间，避免大规模损失。

　　(2)数据库审计数据库审计要求能够完整记录数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警。所有用户访问数据库行为的记录、分析和汇报，支持生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。2.4网络数据泄露防护技术在网络边界部署下一代防火墙、应用负载均衡、WAF、防病毒墙、网闸等安全设备。安全设备可以通过限定源和目的IP地址和端口、IP地址映射转换、7层应用识别、病毒库识别、单向流量控制等技术手段，有效防护来自外部网络的恶意扫描和攻击入侵。在网络层面将大多数的外部威胁拒之门外。 在核心网络处，旁路部署IDS/IPS、流量探针、流量分析、上网行为管理等安全设备。通过分析镜像流量的方式对安全威胁进行主动识别、告警，并记录日志便于分析取证。

　　2.5邮件数据泄露防护技术邮件数据泄露防护是在邮件数据传输过程中，实现邮件数据分析、敏感数据识别审计、邮件数据脱敏处理、邮件审批管理、阻断策略响应访问控制。专用邮件数据泄露防护设备可以部署在邮件服务器前端或在个人终端上部署代理客户端，便于设备在监测到数据泄露事件时可以及时阻断。普通用户在使用电子邮件时，推荐开启SSL协议，对邮件通信过程进行加密，避免传输过程中心的数据泄露。

　　2.6云平台数据泄露防护技术当前云平台成为数据中心的发展方向，云平台在给管理使用带来便利的同时，数据泄露防护技术也得到大家关注。云平台在规划建设时，不同资源池要做到物理区域隔离，同一资源池中的虚拟机实现横向隔离。针对每个安全域、安全组根据业务需求，制定相应的安全策略。同时要对云平台和虚拟机的日志进行记录审计。

　　2.7数据脱敏技术

　　数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。数据脱敏规则包括数据仿真、数据遮蔽、随机字符串、重置固定值、Hash、列关联、纵向乱序、关联列计算、字典映射、随机映射等多种算法。脱敏后的数据保持了数据的一致性和业务的关联性，应用于开发测试环境、数据交换、数据分析、数据共享等场景。数据脱敏技术根据应用场景不同，分为静态数据脱敏和动态数据脱敏两种。

　　(1)静态数据脱敏静态数据脱敏是将敏感数据从生产环境脱敏完毕之后再在非生产环境使用，一般用于解决测试、开发库需要生产库的数据量与数据间的关联，以排查问题或进行数据分析等，但又不能将敏感数据存储于非生产环境的问题。(2)动态数据脱敏动态数据脱敏是在访问敏感数据当时进行脱敏，一般应用于生产环境需要。

　　3数据泄露防护技术应用

　　数据泄露技术手段应结合高校实际情况。因地制宜的灵活应用各种技术，才能给高校数据安全添砖加瓦。

　　3.1在高校信息系统中的应用数据泄露防护技术应贯穿信息系统的全生命周期，在系统论证、规划阶段应同步考虑安全因素，在系统设计、软件架构、需求分析中融入安全设计。明确系统数据安全级别，尤其在系统间数据共享调用接口设计、数据上传下载模块、数据查询检索模块设计要充分考虑数据泄露防护技术。在系统运维使用阶段，在用户管理上应做到用户、业务管理员、系统管理员账号分离，采取必要的强密码、验证码、短信、微信等多因子认证方式，避免密码泄露或暴力破解。应做到开发环境和生产环境分离，开发人员、运维人员一律使用堡垒机操作，便于审计回溯。

　　3.2在高校校园网中的应用校园网在规划建设时，应合理划分各安全域，安全域之间使用必要的网络安全设备予以隔离防护。重要核心节点部署流量采集设备，采集网络流量进行分析监测。校园网各个业务专网、要物理或逻辑隔离，避免数据流量互联互通。如有业务需求，外网连接到内网严格使用堡垒机、VPN等安全通道。各类安全设备日志至少保留180天，以备审计溯源。

　　3.3在校园大数据平台中的应用当前校园大数据平台在高校校务/校情分析、信息化成果展示中扮演重要角色。大数据平台对接、汇总各个业务系统数据，其数据安全尤为重要。大数据平台应把握最小化数据对接原则，尽量根据实际需求确定数据范围。重要数据、敏感数据、师生个人隐私数据应进行脱敏处理后再使用。数据分析结果应注意保密，明确发布范围、可使用范围、可阅览范围，必要时可以使用水印、电子印章和加密技术避免数据泄露和事后调查溯源。

　　4结束语

　　高校行业的数据泄露防护是国家教育信息化和国家网络安全中的重要一环。合理应用数据泄露防护技术，可以有效降低高校数据泄露风险隐患，防范数据泄露安全事件的发生，为高校信息化建设发展保驾护航。

　　参考文献：

　　[1]寇思佳.教育行业数据泄露防护浅析[J].网络空间安全，2019.

　　[2]李运佳.高校网络安全问题研究与防御体系探索[J].网络安全技术与应用，2020.

　　[3]包英明.大数据平台数据安全防护技术[J].信息安全研究，2019.

　　[4]吴振庭.浅谈大数据背景下的个人信息安全防护[J].网络通信与安全维护，2020.

　　[5]吴浩数.据泄露防护_DLP_分域安全技术分析[J].信息安全管理，2019.

　　[6]杨春华.数据泄露防护产品的分类和作用[J].信息技术与信息化，2020.

　　作者：马峥