“超星”变“操心”,数据何时能安心?

admin 2022年6月28日09:59:18安全新闻评论2 views2071字阅读6分54秒阅读模式

“超星”变“操心”,数据何时能安心?

近日,有国内某网络安全组织宣称“超星学习通”出现信息泄露,有网友在微博上爆料称,“超星学习通”数据库信息被人在网上兜售,大约1.7亿条信息。消息一经曝出,热度直线上升,这款在学校中拥有大量学生用户群体的软件成为重点关注对象。


“超星”变“操心”,数据何时能安心?
“超星”变“操心”,数据何时能安心?

事实上,大规模的数据泄露主因只有两个,一方面是黑客网络攻击,一方面是内部人员泄露。黑客通过前期踩点、试探等一系列行为发现系统存在可利用的漏洞,通过提升系统权限和植入后门等手段,拿到有价值的数据,内部人员则是利用自己的账号权限,窃取有价值的数据进行地下交易。究其原因都是因为过于注重业务发展忽略了网络安全为其底座的重要性所造成的。

由于新冠疫情爆发,从某种程度上促进了互联网+教育不断深入和发展,在疫情期间,基于互联网+的教育各类移动应用有力的支持了我国大部分师生的教学工作和学习,学校教学工作大量地应用了各类在线教育移动应用,已经成为学校教学方式的重要途径之一,为广大学校师生带来了便利。移动应用一般都由供应商自行开发和运行维护,部分移动应用在使用之初,会对师生信息进行采集用于验证,后台应用数据库会留存大量的师生个人敏感信息,一旦系统被发现有可利用的漏洞,很容易造成数据泄露。

网络攻击一方面导致师生的个人信息泄露,另外一方面还会存在诱发其他的一连串连锁反应的可能性。通过攻击和学校有合作关系的第三方供应商获得进入学校内部系统的机会,比直接攻击学校系统获得成功的概率要高出很多,第三方供应商往往是疏于自身的安全防护,很容易被攻破。这也是这两年,黑客组织为了提高网络攻击效率,实现最大化经济利益价值,对攻击思路进行调整,该攻击方式被称之为供应链攻击或者是第三方攻击。

“超星”变“操心”,数据何时能安心?

国家一贯重视网络安全和个人隐私安全,近几年随着《网络安全法》、《数据安全法》、《个人信息保护法》等一系列法律出台,在国家层面对网络安全和数据安全提出了更高要求。《网络安全法》和《数据安全法》中明确了提供网络服务的网络经营者和利用互联网开展数据处理活动的数据处理者均是属于责任主体,必须遵照法律履行网络安全保护义务,维护网络数据的完整性、保密性和可用性,承担社会责任。

围绕国家法律要求和实际情况,面对因为供应商自身安全能力薄弱所引发的安全事件对学校造成影响的问题,应站在预防和应急的角度,学校在重视和建设自身校园网络安全体系的同时,也要关注和要求与自己有关联关系的第三方供应商所具备的安全能力,尽可能地避免安全事件所造成的连锁反应,最大程度保障数据安全和信息安全,安恒信息建议采取以下两个方面的具体措施:

事前预防措施

1.学校建立教育移动应用的选用制度,在学校选择供应商时,需要对方提供所需业务系统安全能力方面的证明,例如移动应用程序是否依照教育部发布的《教育移动互联网应用程序备案管理方法》的要求进行ICP备案和信息系统网络安全等级保护定级备案,如果移动应用程序会对师生个人信息进行采集和存储,在移动应用的其他方面(技术、功能)相同的条件下,建议优先选择通过信息系统安全等级保护(三级)备案的供应商。

2.在合同签署时,以附件的形式要求供应商在合同中承诺不过度采集跟个人信息相关的数据,落实网络安全防护责任,在技术和组织层面实现网络安全保障能力。例如要求供应商开展常态化的安全检查工作,如新业务上线评估、基线核查、代码审计、渗透测试、安全加固等,并向学校提交第三方机构的检查报告。

事后的应急措施

1.督促师生尽快修改现有校内和校外应用账号的密码,不少师生的网络安全意识较为薄弱,为图方便,在很多情况下都是多个应用不同账户同一个密码,甚至是多个应用同一套账号密码。这样存在着极大的隐患,一旦泄露,其他应用账号都会面临威胁,所以账号密码的修改工作迫在眉睫。

2.督促供应商即刻开展网络安全应急响应处置工作,迅速定位事件源头,尽快处置风险,降低安全事件所造成的损失,并要求供应商提交处置结果报告用以证明安全问题已经消除。

3.个人信息敏感信息的泄露会威胁师生的个人隐私,同时也有可能会对学校的业务系统安全造成威胁。黑客组织通过撞库的方式拿到校内的账号密码以正常身份绕过学校的网络安全防御体系,在内部扫描学校资产,发现可利用的漏洞,拿走有价值的信息,或者植入木马程序进行控制用于其他目的,例如挖矿、勒索等。学校应该迅速组织技术力量进行内部检查,通过流量分析和业务主机检查的方式发现异常行为并及时进行处置,消除影响。

网络安全无小事,对于学校和第三方供应商而言,做好网络安全等级保护制度的落实、加强数据安全防护和网络安全意识培训教育,满足合规化要求是基本义务,更应该注重网络安全的动态防御,建立完善的网络安全运营体系,从事前预防、事中响应、事后审计做好全流程的网络安全保障工作。


往期精彩回顾



“超星”变“操心”,数据何时能安心?

捷报!安恒信息明鉴漏洞扫描产品中标某国有银行采购项目

2022-06-23

“超星”变“操心”,数据何时能安心?

看、学、玩|邀你来逛西湖论剑主题科普展啦

2022-06-22

“超星”变“操心”,数据何时能安心?

携手华为 共谱未来|安恒信息获2022鲲鹏开发者峰会双项大奖

2022-06-21

“超星”变“操心”,数据何时能安心?



“超星”变“操心”,数据何时能安心?

原文始发于微信公众号(安恒信息):“超星”变“操心”,数据何时能安心?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月28日09:59:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  “超星”变“操心”,数据何时能安心? http://cn-sec.com/archives/1139852.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: