摘 要：當(dāng)前，數(shù)據(jù)泄露事件頻發(fā)，成為網(wǎng)絡(luò)安全最重要的威脅之一。針對(duì)數(shù)據(jù)安全合規(guī)性的要求，國(guó)家出臺(tái)了《網(wǎng)絡(luò)安全法》《信息安全等級(jí)保護(hù)管理辦法》等法律法規(guī)，要求按照相關(guān)要求做到合法合規(guī)。教育行業(yè)更要以數(shù)據(jù)安全治理為抓手，體系化建設(shè)信息系統(tǒng)。在數(shù)據(jù)的傳輸、采集、處理、發(fā)布、歸檔和銷毀的過(guò)程中，加強(qiáng)人員意識(shí)，以數(shù)據(jù)分級(jí)為基礎(chǔ)，以數(shù)據(jù)安全使用制度與安全制度為保障，最終保護(hù)數(shù)據(jù)安全。論文以數(shù)據(jù)泄露防護(hù)為研究對(duì)象，介紹教育行業(yè)中數(shù)據(jù)泄露的問(wèn)題以及防護(hù)數(shù)據(jù)泄露事件發(fā)生的方法。

　　關(guān)鍵詞：教育行業(yè)；數(shù)據(jù)泄露；大數(shù)據(jù)

　　中圖分類號(hào)：TP393.0 文獻(xiàn)標(biāo)識(shí)碼：B

　　Abstract： At present， data leakage incidents occur frequently and become one of the most important threats to network security. In response to the requirements of data security compliance， the State has enacted the “Network Security Law of the People‘s Republic of China” and the “Measures for the Protection of Information Security Levels” and other regulations， which require compliance with legal requirements and do not violate the law. To achieve the level of protection requirements， do not violate the rules. The education industry should take the data security governance as the starting point and systematically construct the information system. In the process of data transmission， collection， processing， release and destruction， and strengthening of personnel awareness， based on data classification， data security use system and security system as the guarantee， and ultimately protect data security. This paper takes data leakage protection as the research object， introduces the problem of data leakage in the education industry and how to prevent data leakage incidents.

　　Key words： education industry； data leakage； big data

　　1 引言

　　隨著“互聯(lián)網(wǎng)+教育”的深度融合和網(wǎng)絡(luò)應(yīng)用的不斷創(chuàng)新，教育信息化逐漸成為國(guó)家信息化發(fā)展的重要組成部分。教育信息化應(yīng)用系統(tǒng)當(dāng)前已然成為建設(shè)教育強(qiáng)國(guó)的重要載體，為學(xué)校、教師、學(xué)生以及家長(zhǎng)的使用提供了巨大的便利，提高了教學(xué)的質(zhì)量和效率。與此同時(shí)，教育工作的信息化應(yīng)用系統(tǒng)每天產(chǎn)生并長(zhǎng)期保存著大量數(shù)據(jù)，如老師學(xué)生家長(zhǎng)注冊(cè)登錄個(gè)人信息、教學(xué)資源信息、國(guó)家教學(xué)資助信息等。在大數(shù)據(jù)分布式計(jì)算和分布式存儲(chǔ)等新技術(shù)廣泛應(yīng)用的情況下，數(shù)據(jù)分析挖掘、共享交易等新應(yīng)用場(chǎng)景也不斷出現(xiàn)，使得數(shù)據(jù)安全以及個(gè)人隱私泄露等問(wèn)題日益凸顯[1]。

　　2 我國(guó)教育行業(yè)面臨數(shù)據(jù)泄露風(fēng)險(xiǎn)

　　我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要領(lǐng)域之一包含教育行業(yè)，教育領(lǐng)域更是關(guān)乎國(guó)家強(qiáng)盛和國(guó)計(jì)民生的重中之重。如何在教育領(lǐng)域異構(gòu)、多重和復(fù)雜的情況下，建立相應(yīng)的大數(shù)據(jù)處理中心以及建立有效的防數(shù)據(jù)泄露的法規(guī)和制度，使大數(shù)據(jù)成為教育信息化發(fā)展的重要安全支撐，從而保證教育領(lǐng)域信息系統(tǒng)在安全、可信的環(huán)境下建設(shè)運(yùn)行，成為教育領(lǐng)域網(wǎng)點(diǎn)狀、條狀甚至塊狀聯(lián)動(dòng)的信息化發(fā)展必須面臨的問(wèn)題[2]。

　　我國(guó)教育行業(yè)對(duì)海量的數(shù)據(jù)沒(méi)有建立一個(gè)統(tǒng)一系統(tǒng)的大數(shù)據(jù)處理平臺(tái)對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行保護(hù)、挖掘、分析以及利用，也沒(méi)有對(duì)產(chǎn)生的數(shù)據(jù)特征進(jìn)行識(shí)別，甚至在系統(tǒng)使用過(guò)程中原始數(shù)據(jù)由于存儲(chǔ)空間等問(wèn)題被定期刪除，即使存儲(chǔ)數(shù)據(jù)也未能被高效利用，加之教育行業(yè)長(zhǎng)期以來(lái)注重信息化發(fā)展輕網(wǎng)絡(luò)安全方面的數(shù)據(jù)管理的現(xiàn)象，信息系統(tǒng)建設(shè)、運(yùn)行以及維護(hù)過(guò)程中，針對(duì)大數(shù)據(jù)的保護(hù)較為薄弱，容易發(fā)生數(shù)據(jù)泄露的事件。

　　據(jù)統(tǒng)計(jì)，教育系統(tǒng)公共資源平臺(tái)上的課件泄露時(shí)有發(fā)生，對(duì)課件的制作者產(chǎn)生了嚴(yán)重的侵權(quán)現(xiàn)象。部分教育企業(yè)的學(xué)校、教師、學(xué)生和家長(zhǎng)等平臺(tái)，對(duì)用戶的注冊(cè)個(gè)人信息沒(méi)有進(jìn)行有效的保護(hù)，如果個(gè)人信息落到不法分子手中，騷擾電話將嚴(yán)重影響教師、學(xué)生和家長(zhǎng)的生活，更嚴(yán)重還有可能出現(xiàn)詐騙等情況，危及被詐騙人生命安全。2016年8月21日，某高考考生因個(gè)人信息泄露，被不法分子騙走上大學(xué)的費(fèi)用9900元，最終導(dǎo)致學(xué)生心臟驟停，不幸離世[3]。

　　由此可見(jiàn)，教育行業(yè)數(shù)據(jù)泄露問(wèn)題已經(jīng)成為威脅社會(huì)安定團(tuán)結(jié)且急需解決的問(wèn)題[2]。

　　3 教育行業(yè)數(shù)據(jù)泄露事件發(fā)生的原因

　　鑒于大部分教育行業(yè)信息系統(tǒng)數(shù)據(jù)保護(hù)的現(xiàn)狀和面臨的情況，數(shù)據(jù)泄露事件發(fā)生的原因可歸納為管理缺陷和技術(shù)缺陷兩方面[4]。

　　3.1 人員意識(shí)與管理原因

　　從管理與人員意識(shí)的角度來(lái)說(shuō)，教育系統(tǒng)數(shù)據(jù)泄露的主要原因主要表現(xiàn)在四個(gè)方面。

　　第一，內(nèi)部員工故意泄露系統(tǒng)用戶數(shù)據(jù)。內(nèi)部員工利用工作便利條件，在對(duì)組織不滿或者利益驅(qū)動(dòng)的情況下，與數(shù)據(jù)需求方或者其他教育行業(yè)競(jìng)爭(zhēng)對(duì)手互相勾結(jié)，出賣教育系統(tǒng)用戶的個(gè)人信息?；蛘?，對(duì)日常業(yè)務(wù)操作系統(tǒng)中越權(quán)查看，違規(guī)下載數(shù)據(jù)[1]。相關(guān)教育企業(yè)在對(duì)教育部及其直屬單位進(jìn)行技術(shù)服務(wù)的同時(shí)，其中人員素質(zhì)以及人員流動(dòng)性，也影響著數(shù)據(jù)的安全性。

　　第二，內(nèi)部員工無(wú)意泄露系統(tǒng)用戶數(shù)據(jù)，員工數(shù)據(jù)保護(hù)意識(shí)薄弱，常常為了工作的便利性，將涉密數(shù)據(jù)上傳到微信、QQ、網(wǎng)盤、郵箱或者辦公自動(dòng)化系統(tǒng)等網(wǎng)絡(luò)中，并且沒(méi)有對(duì)包含敏感數(shù)據(jù)的文檔進(jìn)行保密處理，無(wú)意間將用戶數(shù)據(jù)泄露，這也是當(dāng)前教育行業(yè)數(shù)據(jù)泄露的最主要原因。

　　第三，職能部門數(shù)據(jù)保護(hù)權(quán)責(zé)交叉，資源協(xié)調(diào)難度大。從數(shù)據(jù)的全生命周期的角度來(lái)看，在數(shù)據(jù)產(chǎn)生、使用、交換、存儲(chǔ)、發(fā)布和廢棄情況下[5]，在不同信息系統(tǒng)規(guī)劃組織、開(kāi)發(fā)采購(gòu)、實(shí)施交付和運(yùn)行維護(hù)的過(guò)程中，部分教育單位無(wú)法發(fā)揮保密部門的監(jiān)管權(quán)力，來(lái)調(diào)動(dòng)業(yè)務(wù)部門的積極性，最大化利用涉及部門的技術(shù)和人員等資源。

　　第四，管理制度宣傳覆蓋面不足，貫徹落實(shí)沒(méi)有深入到部分農(nóng)村偏遠(yuǎn)地區(qū)的管理單位與相關(guān)教育培訓(xùn)機(jī)構(gòu)等企業(yè)。目前，教育部及其直屬單位已出臺(tái)數(shù)據(jù)保護(hù)制度，但是由于部分農(nóng)村偏遠(yuǎn)地區(qū)教育信息化發(fā)展相對(duì)落后，數(shù)據(jù)保護(hù)意識(shí)淡薄，對(duì)數(shù)據(jù)保護(hù)執(zhí)行彈性較大，將制度貫徹到每一位員工的周期長(zhǎng)、難度大。教育行業(yè)對(duì)于體系龐大、組織復(fù)雜的教育培訓(xùn)等相關(guān)企業(yè)數(shù)據(jù)保護(hù)情況已經(jīng)進(jìn)行了宣傳教育，但由于大部分企業(yè)重發(fā)展，輕安全的情況，導(dǎo)致推進(jìn)數(shù)據(jù)管理保護(hù)的工作產(chǎn)生了很大的阻力。

　　3.2 技術(shù)原因

　　從技術(shù)層面來(lái)講，教育行業(yè)數(shù)據(jù)泄露原因主要可以分為三個(gè)方面。

　　第一，部署的軟硬件設(shè)備中存在漏洞。由于國(guó)外的基礎(chǔ)軟硬件起步的比國(guó)內(nèi)早，在教育系統(tǒng)中大量基礎(chǔ)軟硬件仍然在使用國(guó)外產(chǎn)品，部分產(chǎn)品可能存在安全漏洞或預(yù)留后門，存在安全隱患。例如學(xué)校招考信息系統(tǒng)，存在著重要信息泄露的風(fēng)險(xiǎn)[1]。2018年的英特爾處理器“Meltdown（熔斷）”和“Spectre（幽靈）漏洞”事件以及“思科高危漏洞”事件，都是這一技術(shù)原因的典型代表。

　　第二，權(quán)限控制和數(shù)據(jù)脫敏等技術(shù)手段使用不到位，導(dǎo)致大數(shù)據(jù)在分析挖掘過(guò)程中，用戶隱私的泄露。在分析挖掘數(shù)據(jù)，用以刻畫(huà)用戶行為圖像的時(shí)候，脫敏技術(shù)手段不到位，過(guò)度披露用戶隱私，導(dǎo)致數(shù)據(jù)泄露。通過(guò)新興的人工智能、機(jī)器學(xué)習(xí)、知識(shí)挖掘等技術(shù)，將數(shù)據(jù)進(jìn)行重新的整合與關(guān)聯(lián)，使原始數(shù)據(jù)隱藏的個(gè)人信息被展示出來(lái)。

　　第三，安全防護(hù)措施不到位。教育相關(guān)企業(yè)中部分信息系統(tǒng)沒(méi)有防火墻和漏洞掃描等必要設(shè)備，或者病毒庫(kù)、漏洞庫(kù)更新不及時(shí)，導(dǎo)致系統(tǒng)被攻破，造成數(shù)據(jù)泄露。在數(shù)據(jù)存儲(chǔ)的時(shí)候，未對(duì)數(shù)據(jù)進(jìn)行加密，導(dǎo)致黑客可以直接竊取明文數(shù)據(jù)。

　　4 防范教育行業(yè)數(shù)據(jù)泄露的對(duì)策和建議

　　針對(duì)數(shù)據(jù)泄露事件存在的原因，為了提升數(shù)據(jù)安全保護(hù)的效果，切實(shí)保護(hù)教育行業(yè)數(shù)據(jù)的安全性，現(xiàn)提出對(duì)策和建議。

　　4.1 建立以數(shù)據(jù)為核心的泄露防護(hù)體系

　　針對(duì)數(shù)據(jù)泄露事件的問(wèn)題，構(gòu)建以數(shù)據(jù)安全為核心的防護(hù)體系，通過(guò)磁盤加密、容災(zāi)備份。電子文檔安全和數(shù)據(jù)庫(kù)安全保護(hù)等方式來(lái)保障數(shù)據(jù)的安全可控。

　　其中，磁盤加密是指磁盤上的數(shù)據(jù)以密文的形式保存，在操作系統(tǒng)的內(nèi)核態(tài)或者對(duì)磁盤直接存儲(chǔ)的硬件電路上進(jìn)行磁盤加密部署[6]。用戶空間通過(guò)應(yīng)用程序?qū)?shù)據(jù)與磁盤內(nèi)核進(jìn)行加密。磁盤加密的過(guò)程一般將整塊物理硬盤或一個(gè)邏輯卷作為操作對(duì)象，把其中所有數(shù)據(jù)，甚至是空白區(qū)域都用算法進(jìn)行處理加密[6]，如圖1所示。

　　容災(zāi)備份系統(tǒng)是指信息系統(tǒng)在發(fā)生災(zāi)難損害后，也能夠最大限度的保證用戶正常使用的系統(tǒng)，其核心是數(shù)據(jù)的復(fù)制[7]。容災(zāi)備份相當(dāng)于以應(yīng)急處置的方式來(lái)對(duì)數(shù)據(jù)進(jìn)行保護(hù)管理。構(gòu)建電子文檔中數(shù)據(jù)安全保密化是數(shù)據(jù)防護(hù)的另一個(gè)重要手段。通過(guò)設(shè)置防火墻、身份認(rèn)證與訪問(wèn)控制以及計(jì)算機(jī)病毒防治等技術(shù)手段，來(lái)保護(hù)電子文檔中的數(shù)據(jù)安全。數(shù)據(jù)庫(kù)的審計(jì)和攻擊檢測(cè)是數(shù)據(jù)庫(kù)管理的重要組成部分，是在身份鑒別、存取控制、加密技術(shù)等多種安全措施下，進(jìn)一步提升數(shù)據(jù)系統(tǒng)的安全性，用以主動(dòng)識(shí)別和控制風(fēng)險(xiǎn)[8]。

　　4.2 積極鼓勵(lì)研發(fā)大數(shù)據(jù)關(guān)鍵技術(shù)

　　積極研究國(guó)內(nèi)大數(shù)據(jù)關(guān)鍵技術(shù)，使大數(shù)據(jù)安全技術(shù)可控，成為現(xiàn)在保護(hù)數(shù)據(jù)安全性的重要手段之一。通過(guò)科研以及專項(xiàng)經(jīng)費(fèi)支持和政府扶持的手段，為研發(fā)科研人員提供支持，增強(qiáng)自主創(chuàng)新的能力。同時(shí)，教育部及其直屬單位優(yōu)先采用國(guó)內(nèi)研發(fā)的產(chǎn)品，支持國(guó)產(chǎn)產(chǎn)品研發(fā)，為大數(shù)據(jù)關(guān)鍵技術(shù)發(fā)展提供更安全的環(huán)境。

　　4.3 建立敏感數(shù)據(jù)識(shí)別規(guī)范標(biāo)準(zhǔn)

　　在數(shù)據(jù)全生命周期過(guò)程中，依據(jù)數(shù)據(jù)信息的敏感程度對(duì)數(shù)據(jù)進(jìn)行分類，依據(jù)敏感數(shù)據(jù)的標(biāo)準(zhǔn)對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理。用數(shù)據(jù)標(biāo)簽對(duì)創(chuàng)建數(shù)據(jù)、應(yīng)用數(shù)據(jù)、存儲(chǔ)數(shù)據(jù)、傳輸數(shù)據(jù)和銷毀數(shù)據(jù)提供技術(shù)上和操作上的規(guī)范要求。對(duì)于關(guān)系到教育行業(yè)發(fā)展以及系統(tǒng)用戶個(gè)人信息的重要數(shù)據(jù)，需嚴(yán)格控制其存儲(chǔ)位置、傳輸和使用方式。對(duì)于完全可以對(duì)外公開(kāi)的數(shù)據(jù)，不需要采取特殊的保護(hù)方式。

　　4.4 明確職能部門數(shù)據(jù)保護(hù)權(quán)責(zé)

　　統(tǒng)籌教育信息化業(yè)務(wù)、網(wǎng)絡(luò)安全與管理部門在數(shù)據(jù)防泄漏中的作用，在爭(zhēng)得管理部門的同意后，網(wǎng)絡(luò)安全負(fù)責(zé)部門牽頭，與教育信息化業(yè)務(wù)部門一起出臺(tái)數(shù)據(jù)泄露防護(hù)規(guī)則及獎(jiǎng)懲標(biāo)準(zhǔn)，把數(shù)據(jù)安全防護(hù)作為績(jī)效考評(píng)的重點(diǎn)，對(duì)發(fā)生數(shù)據(jù)泄露的事件零容忍[4]。在教育部及其直屬單位的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)要求下，相關(guān)教育培訓(xùn)機(jī)構(gòu)與第三方技術(shù)機(jī)構(gòu)也需要明確權(quán)責(zé)義務(wù)，防止數(shù)據(jù)泄露事件的發(fā)生。

　　4.5 提升教育行業(yè)信息系統(tǒng)用戶安全意識(shí)

　　在教育行業(yè)中的數(shù)據(jù)泄漏問(wèn)題處理方面，尤其需要增強(qiáng)用戶的網(wǎng)絡(luò)安全意識(shí)。對(duì)于教育信息化的蓬勃發(fā)展而言，在PC端或者移動(dòng)端都需要養(yǎng)成定期殺毒的好習(xí)慣，并且安裝防火墻以及漏洞查殺系統(tǒng)，對(duì)存儲(chǔ)的個(gè)人信息妥善保管，防止被他人盜用，造成不必要的損失。

　　5 結(jié)束語(yǔ)

　　教育是國(guó)家不斷發(fā)展的保證之一，教育行業(yè)的數(shù)據(jù)安全更需要引起部門、機(jī)構(gòu)還有用戶的重視。大數(shù)據(jù)時(shí)代下教育行業(yè)的數(shù)據(jù)安全是教育信息化發(fā)展的基石。合理建設(shè)防護(hù)體系對(duì)數(shù)據(jù)進(jìn)行系統(tǒng)的防護(hù)，鼓勵(lì)國(guó)內(nèi)數(shù)據(jù)防泄漏軟件的研發(fā)，對(duì)敏感數(shù)據(jù)進(jìn)行統(tǒng)一的管理等一系列的舉措，將會(huì)預(yù)防教育行業(yè)數(shù)據(jù)泄露事件的發(fā)生。

　　參考文獻(xiàn)

　　[1] 陳錦，王禹.從數(shù)據(jù)全生命周期看數(shù)據(jù)泄露防護(hù)問(wèn)題[J].中國(guó)信息安全，2018（03）：69-71.

　　[2] 王勝.交通運(yùn)輸行業(yè)數(shù)據(jù)泄露現(xiàn)狀淺析[J].中國(guó)信息安全，2018（03）：76-77.

　　[3] 孫艷.電信詐騙犯罪立法問(wèn)題研究及其防控[J].遼寧警察學(xué)院學(xué)報(bào)，2017，19（04）：44-48.

　　[4] 王春偉.央企防范數(shù)據(jù)泄露思考與應(yīng)對(duì)[J].中國(guó)信息安全，2018（04）：96-99.

　　[5] 周文，李亞楠，吳波.商用密碼在中央企業(yè)數(shù)據(jù)安全治理中的應(yīng)用[J].信息安全與通信保密，2018（05）：57-62.

　　[6] 張慧，郭翠芳，牛夏牧，吳春歡.磁盤加密模式分析[J].計(jì)算機(jī)工程，2010，36（05）：134-136.

　　[7] 明曉明，李松筠.淺議信息容災(zāi)備份系統(tǒng)的建設(shè)[J].中國(guó)電力教育，2006（S3）：4-6.

　　[8] 李東風(fēng)，謝昕.數(shù)據(jù)庫(kù)安全技術(shù)研究與應(yīng)用[J].計(jì)算機(jī)安全，2008（01）：42-44.

　　作者簡(jiǎn)介：

　　寇思佳（1992-），女，漢族，陜西人，英國(guó)曼徹斯特大學(xué)，碩士，中央電化教育館，助理研究員；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、教育信息化。

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來(lái)看……