摘? ?要：當(dāng)前，數(shù)據(jù)泄露事件頻發(fā)，成為網(wǎng)絡(luò)安全最重要的威脅之一。針對數(shù)據(jù)安全合規(guī)性的要求，國家出臺了《網(wǎng)絡(luò)安全法》《信息安全等級保護(hù)管理辦法》等法律法規(guī)，要求按照相關(guān)要求做到合法合規(guī)。教育行業(yè)更要以數(shù)據(jù)安全治理為抓手，體系化建設(shè)信息系統(tǒng)。在數(shù)據(jù)的傳輸、采集、處理、發(fā)布、歸檔和銷毀的過程中，加強(qiáng)人員意識，以數(shù)據(jù)分級為基礎(chǔ)，以數(shù)據(jù)安全使用制度與安全制度為保障，最終保護(hù)數(shù)據(jù)安全。論文以數(shù)據(jù)泄露防護(hù)為研究對象，介紹教育行業(yè)中數(shù)據(jù)泄露的問題以及防護(hù)數(shù)據(jù)泄露事件發(fā)生的方法。

關(guān)鍵詞：教育行業(yè);數(shù)據(jù)泄露;大數(shù)據(jù)

中圖分類號：TP393.0? ? ? ? ? 文獻(xiàn)標(biāo)識碼：B

Abstract： At present， data leakage incidents occur frequently and become one of the most important threats to network security. In response to the requirements of data security compliance， the State has enacted the "Network Security Law of the People's Republic of China" and the "Measures for the Protection of Information Security Levels" and other regulations， which require compliance with legal requirements and do not violate the law. To achieve the level of protection requirements， do not violate the rules. The education industry should take the data security governance as the starting point and systematically construct the information system. In the process of data transmission， collection， processing， release and destruction， and strengthening of personnel awareness， based on data classification， data security use system and security system as the guarantee， and ultimately protect data security. This paper takes data leakage protection as the research object， introduces the problem of data leakage in the education industry and how to prevent data leakage incidents.

Key words： education industry; data leakage; big data

1 引言

隨著“互聯(lián)網(wǎng)+教育”的深度融合和網(wǎng)絡(luò)應(yīng)用的不斷創(chuàng)新，教育信息化逐漸成為國家信息化發(fā)展的重要組成部分。教育信息化應(yīng)用系統(tǒng)當(dāng)前已然成為建設(shè)教育強(qiáng)國的重要載體，為學(xué)校、教師、學(xué)生以及家長的使用提供了巨大的便利，提高了教學(xué)的質(zhì)量和效率。與此同時，教育工作的信息化應(yīng)用系統(tǒng)每天產(chǎn)生并長期保存著大量數(shù)據(jù)，如老師學(xué)生家長注冊登錄個人信息、教學(xué)資源信息、國家教學(xué)資助信息等。在大數(shù)據(jù)分布式計算和分布式存儲等新技術(shù)廣泛應(yīng)用的情況下，數(shù)據(jù)分析挖掘、共享交易等新應(yīng)用場景也不斷出現(xiàn)，使得數(shù)據(jù)安全以及個人隱私泄露等問題日益凸顯[1]。

2? 我國教育行業(yè)面臨數(shù)據(jù)泄露風(fēng)險

我國關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要領(lǐng)域之一包含教育行業(yè)，教育領(lǐng)域更是關(guān)乎國家強(qiáng)盛和國計民生的重中之重。如何在教育領(lǐng)域異構(gòu)、多重和復(fù)雜的情況下，建立相應(yīng)的大數(shù)據(jù)處理中心以及建立有效的防數(shù)據(jù)泄露的法規(guī)和制度，使大數(shù)據(jù)成為教育信息化發(fā)展的重要安全支撐，從而保證教育領(lǐng)域信息系統(tǒng)在安全、可信的環(huán)境下建設(shè)運(yùn)行，成為教育領(lǐng)域網(wǎng)點(diǎn)狀、條狀甚至塊狀聯(lián)動的信息化發(fā)展必須面臨的問題[2]。

我國教育行業(yè)對海量的數(shù)據(jù)沒有建立一個統(tǒng)一系統(tǒng)的大數(shù)據(jù)處理平臺對產(chǎn)生的數(shù)據(jù)進(jìn)行保護(hù)、挖掘、分析以及利用，也沒有對產(chǎn)生的數(shù)據(jù)特征進(jìn)行識別，甚至在系統(tǒng)使用過程中原始數(shù)據(jù)由于存儲空間等問題被定期刪除，即使存儲數(shù)據(jù)也未能被高效利用，加之教育行業(yè)長期以來注重信息化發(fā)展輕網(wǎng)絡(luò)安全方面的數(shù)據(jù)管理的現(xiàn)象，信息系統(tǒng)建設(shè)、運(yùn)行以及維護(hù)過程中，針對大數(shù)據(jù)的保護(hù)較為薄弱，容易發(fā)生數(shù)據(jù)泄露的事件。

據(jù)統(tǒng)計，教育系統(tǒng)公共資源平臺上的課件泄露時有發(fā)生，對課件的制作者產(chǎn)生了嚴(yán)重的侵權(quán)現(xiàn)象。部分教育企業(yè)的學(xué)校、教師、學(xué)生和家長等平臺，對用戶的注冊個人信息沒有進(jìn)行有效的保護(hù)，如果個人信息落到不法分子手中，騷擾電話將嚴(yán)重影響教師、學(xué)生和家長的生活，更嚴(yán)重還有可能出現(xiàn)詐騙等情況，危及被詐騙人生命安全。2016年8月21日，某高考考生因個人信息泄露，被不法分子騙走上大學(xué)的費(fèi)用9900元，最終導(dǎo)致學(xué)生心臟驟停，不幸離世[3]。

由此可見，教育行業(yè)數(shù)據(jù)泄露問題已經(jīng)成為威脅社會安定團(tuán)結(jié)且急需解決的問題[2]。

3 教育行業(yè)數(shù)據(jù)泄露事件發(fā)生的原因

鑒于大部分教育行業(yè)信息系統(tǒng)數(shù)據(jù)保護(hù)的現(xiàn)狀和面臨的情況，數(shù)據(jù)泄露事件發(fā)生的原因可歸納為管理缺陷和技術(shù)缺陷兩方面[4]。

3.1 人員意識與管理原因

從管理與人員意識的角度來說，教育系統(tǒng)數(shù)據(jù)泄露的主要原因主要表現(xiàn)在四個方面。

第一，內(nèi)部員工故意泄露系統(tǒng)用戶數(shù)據(jù)。內(nèi)部員工利用工作便利條件，在對組織不滿或者利益驅(qū)動的情況下，與數(shù)據(jù)需求方或者其他教育行業(yè)競爭對手互相勾結(jié)，出賣教育系統(tǒng)用戶的個人信息?；蛘撸瑢θ粘I(yè)務(wù)操作系統(tǒng)中越權(quán)查看，違規(guī)下載數(shù)據(jù)[1]。相關(guān)教育企業(yè)在對教育部及其直屬單位進(jìn)行技術(shù)服務(wù)的同時，其中人員素質(zhì)以及人員流動性，也影響著數(shù)據(jù)的安全性。

第二，內(nèi)部員工無意泄露系統(tǒng)用戶數(shù)據(jù)，員工數(shù)據(jù)保護(hù)意識薄弱，常常為了工作的便利性，將涉密數(shù)據(jù)上傳到微信、QQ、網(wǎng)盤、郵箱或者辦公自動化系統(tǒng)等網(wǎng)絡(luò)中，并且沒有對包含敏感數(shù)據(jù)的文檔進(jìn)行保密處理，無意間將用戶數(shù)據(jù)泄露，這也是當(dāng)前教育行業(yè)數(shù)據(jù)泄露的最主要原因。

第三，職能部門數(shù)據(jù)保護(hù)權(quán)責(zé)交叉，資源協(xié)調(diào)難度大。從數(shù)據(jù)的全生命周期的角度來看，在數(shù)據(jù)產(chǎn)生、使用、交換、存儲、發(fā)布和廢棄情況下[5]，在不同信息系統(tǒng)規(guī)劃組織、開發(fā)采購、實(shí)施交付和運(yùn)行維護(hù)的過程中，部分教育單位無法發(fā)揮保密部門的監(jiān)管權(quán)力，來調(diào)動業(yè)務(wù)部門的積極性，最大化利用涉及部門的技術(shù)和人員等資源。

第四，管理制度宣傳覆蓋面不足，貫徹落實(shí)沒有深入到部分農(nóng)村偏遠(yuǎn)地區(qū)的管理單位與相關(guān)教育培訓(xùn)機(jī)構(gòu)等企業(yè)。目前，教育部及其直屬單位已出臺數(shù)據(jù)保護(hù)制度，但是由于部分農(nóng)村偏遠(yuǎn)地區(qū)教育信息化發(fā)展相對落后，數(shù)據(jù)保護(hù)意識淡薄，對數(shù)據(jù)保護(hù)執(zhí)行彈性較大，將制度貫徹到每一位員工的周期長、難度大。教育行業(yè)對于體系龐大、組織復(fù)雜的教育培訓(xùn)等相關(guān)企業(yè)數(shù)據(jù)保護(hù)情況已經(jīng)進(jìn)行了宣傳教育，但由于大部分企業(yè)重發(fā)展，輕安全的情況，導(dǎo)致推進(jìn)數(shù)據(jù)管理保護(hù)的工作產(chǎn)生了很大的阻力。

3.2 技術(shù)原因

從技術(shù)層面來講，教育行業(yè)數(shù)據(jù)泄露原因主要可以分為三個方面。

第一，部署的軟硬件設(shè)備中存在漏洞。由于國外的基礎(chǔ)軟硬件起步的比國內(nèi)早，在教育系統(tǒng)中大量基礎(chǔ)軟硬件仍然在使用國外產(chǎn)品，部分產(chǎn)品可能存在安全漏洞或預(yù)留后門，存在安全隱患。例如學(xué)校招考信息系統(tǒng)，存在著重要信息泄露的風(fēng)險[1]。2018年的英特爾處理器“Meltdown（熔斷）”和“Spectre（幽靈）漏洞”事件以及“思科高危漏洞”事件，都是這一技術(shù)原因的典型代表。

第二，權(quán)限控制和數(shù)據(jù)脫敏等技術(shù)手段使用不到位，導(dǎo)致大數(shù)據(jù)在分析挖掘過程中，用戶隱私的泄露。在分析挖掘數(shù)據(jù)，用以刻畫用戶行為圖像的時候，脫敏技術(shù)手段不到位，過度披露用戶隱私，導(dǎo)致數(shù)據(jù)泄露。通過新興的人工智能、機(jī)器學(xué)習(xí)、知識挖掘等技術(shù)，將數(shù)據(jù)進(jìn)行重新的整合與關(guān)聯(lián)，使原始數(shù)據(jù)隱藏的個人信息被展示出來。

第三，安全防護(hù)措施不到位。教育相關(guān)企業(yè)中部分信息系統(tǒng)沒有防火墻和漏洞掃描等必要設(shè)備，或者病毒庫、漏洞庫更新不及時，導(dǎo)致系統(tǒng)被攻破，造成數(shù)據(jù)泄露。在數(shù)據(jù)存儲的時候，未對數(shù)據(jù)進(jìn)行加密，導(dǎo)致黑客可以直接竊取明文數(shù)據(jù)。

4? 防范教育行業(yè)數(shù)據(jù)泄露的對策和建議

針對數(shù)據(jù)泄露事件存在的原因，為了提升數(shù)據(jù)安全保護(hù)的效果，切實(shí)保護(hù)教育行業(yè)數(shù)據(jù)的安全性，現(xiàn)提出對策和建議。

4.1 建立以數(shù)據(jù)為核心的泄露防護(hù)體系

針對數(shù)據(jù)泄露事件的問題，構(gòu)建以數(shù)據(jù)安全為核心的防護(hù)體系，通過磁盤加密、容災(zāi)備份。電子文檔安全和數(shù)據(jù)庫安全保護(hù)等方式來保障數(shù)據(jù)的安全可控。

其中，磁盤加密是指磁盤上的數(shù)據(jù)以密文的形式保存，在操作系統(tǒng)的內(nèi)核態(tài)或者對磁盤直接存儲的硬件電路上進(jìn)行磁盤加密部署[6]。用戶空間通過應(yīng)用程序?qū)?shù)據(jù)與磁盤內(nèi)核進(jìn)行加密。磁盤加密的過程一般將整塊物理硬盤或一個邏輯卷作為操作對象，把其中所有數(shù)據(jù)，甚至是空白區(qū)域都用算法進(jìn)行處理加密[6]，如圖1所示。

容災(zāi)備份系統(tǒng)是指信息系統(tǒng)在發(fā)生災(zāi)難損害后，也能夠最大限度的保證用戶正常使用的系統(tǒng)，其核心是數(shù)據(jù)的復(fù)制[7]。容災(zāi)備份相當(dāng)于以應(yīng)急處置的方式來對數(shù)據(jù)進(jìn)行保護(hù)管理。構(gòu)建電子文檔中數(shù)據(jù)安全保密化是數(shù)據(jù)防護(hù)的另一個重要手段。通過設(shè)置防火墻、身份認(rèn)證與訪問控制以及計算機(jī)病毒防治等技術(shù)手段，來保護(hù)電子文檔中的數(shù)據(jù)安全。數(shù)據(jù)庫的審計和攻擊檢測是數(shù)據(jù)庫管理的重要組成部分，是在身份鑒別、存取控制、加密技術(shù)等多種安全措施下，進(jìn)一步提升數(shù)據(jù)系統(tǒng)的安全性，用以主動識別和控制風(fēng)險[8]。

4.2 積極鼓勵研發(fā)大數(shù)據(jù)關(guān)鍵技術(shù)

積極研究國內(nèi)大數(shù)據(jù)關(guān)鍵技術(shù)，使大數(shù)據(jù)安全技術(shù)可控，成為現(xiàn)在保護(hù)數(shù)據(jù)安全性的重要手段之一。通過科研以及專項(xiàng)經(jīng)費(fèi)支持和政府扶持的手段，為研發(fā)科研人員提供支持，增強(qiáng)自主創(chuàng)新的能力。同時，教育部及其直屬單位優(yōu)先采用國內(nèi)研發(fā)的產(chǎn)品，支持國產(chǎn)產(chǎn)品研發(fā)，為大數(shù)據(jù)關(guān)鍵技術(shù)發(fā)展提供更安全的環(huán)境。

4.3 建立敏感數(shù)據(jù)識別規(guī)范標(biāo)準(zhǔn)

在數(shù)據(jù)全生命周期過程中，依據(jù)數(shù)據(jù)信息的敏感程度對數(shù)據(jù)進(jìn)行分類，依據(jù)敏感數(shù)據(jù)的標(biāo)準(zhǔn)對數(shù)據(jù)進(jìn)行分級管理。用數(shù)據(jù)標(biāo)簽對創(chuàng)建數(shù)據(jù)、應(yīng)用數(shù)據(jù)、存儲數(shù)據(jù)、傳輸數(shù)據(jù)和銷毀數(shù)據(jù)提供技術(shù)上和操作上的規(guī)范要求。對于關(guān)系到教育行業(yè)發(fā)展以及系統(tǒng)用戶個人信息的重要數(shù)據(jù)，需嚴(yán)格控制其存儲位置、傳輸和使用方式。對于完全可以對外公開的數(shù)據(jù)，不需要采取特殊的保護(hù)方式。

4.4 明確職能部門數(shù)據(jù)保護(hù)權(quán)責(zé)

統(tǒng)籌教育信息化業(yè)務(wù)、網(wǎng)絡(luò)安全與管理部門在數(shù)據(jù)防泄漏中的作用，在爭得管理部門的同意后，網(wǎng)絡(luò)安全負(fù)責(zé)部門牽頭，與教育信息化業(yè)務(wù)部門一起出臺數(shù)據(jù)泄露防護(hù)規(guī)則及獎懲標(biāo)準(zhǔn)，把數(shù)據(jù)安全防護(hù)作為績效考評的重點(diǎn)，對發(fā)生數(shù)據(jù)泄露的事件零容忍[4]。在教育部及其直屬單位的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)要求下，相關(guān)教育培訓(xùn)機(jī)構(gòu)與第三方技術(shù)機(jī)構(gòu)也需要明確權(quán)責(zé)義務(wù)，防止數(shù)據(jù)泄露事件的發(fā)生。

4.5 提升教育行業(yè)信息系統(tǒng)用戶安全意識

在教育行業(yè)中的數(shù)據(jù)泄漏問題處理方面，尤其需要增強(qiáng)用戶的網(wǎng)絡(luò)安全意識。對于教育信息化的蓬勃發(fā)展而言，在PC端或者移動端都需要養(yǎng)成定期殺毒的好習(xí)慣，并且安裝防火墻以及漏洞查殺系統(tǒng)，對存儲的個人信息妥善保管，防止被他人盜用，造成不必要的損失。

5 結(jié)束語

教育是國家不斷發(fā)展的保證之一，教育行業(yè)的數(shù)據(jù)安全更需要引起部門、機(jī)構(gòu)還有用戶的重視。大數(shù)據(jù)時代下教育行業(yè)的數(shù)據(jù)安全是教育信息化發(fā)展的基石。合理建設(shè)防護(hù)體系對數(shù)據(jù)進(jìn)行系統(tǒng)的防護(hù)，鼓勵國內(nèi)數(shù)據(jù)防泄漏軟件的研發(fā)，對敏感數(shù)據(jù)進(jìn)行統(tǒng)一的管理等一系列的舉措，將會預(yù)防教育行業(yè)數(shù)據(jù)泄露事件的發(fā)生。

參考文獻(xiàn)

[1] 陳錦，王禹.從數(shù)據(jù)全生命周期看數(shù)據(jù)泄露防護(hù)問題[J].中國信息安全，2018（03）：69-71.

[2] 王勝.交通運(yùn)輸行業(yè)數(shù)據(jù)泄露現(xiàn)狀淺析[J].中國信息安全，2018（03）：76-77.

[3] 孫艷.電信詐騙犯罪立法問題研究及其防控[J].遼寧警察學(xué)院學(xué)報，2017，19（04）：44-48.

[4] 王春偉.央企防范數(shù)據(jù)泄露思考與應(yīng)對[J].中國信息安全，2018（04）：96-99.

[5] 周文，李亞楠，吳波.商用密碼在中央企業(yè)數(shù)據(jù)安全治理中的應(yīng)用[J].信息安全與通信保密，2018（05）：57-62.

[6] 張慧，郭翠芳，牛夏牧，吳春歡.磁盤加密模式分析[J].計算機(jī)工程，2010，36（05）：134-136.

[7] 明曉明，李松筠.淺議信息容災(zāi)備份系統(tǒng)的建設(shè)[J].中國電力教育，2006（S3）：4-6.

[8] 李東風(fēng)，謝昕.數(shù)據(jù)庫安全技術(shù)研究與應(yīng)用[J].計算機(jī)安全，2008（01）：42-44.

作者簡介：

寇思佳（1992-），女，漢族，陜西人，英國曼徹斯特大學(xué)，碩士，中央電化教育館，助理研究員;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、教育信息化。