根據(jù)安全值對教育行業(yè)4477家數(shù)據(jù)庫進行的統(tǒng)計分析顯示，有515家的數(shù)據(jù)庫直接暴露在互聯(lián)網(wǎng)中。要知道教育行業(yè)使用的數(shù)據(jù)庫不僅種類繁雜、版本多樣，且其中的大部分還是有著明顯漏洞的舊版數(shù)據(jù)庫，有部分MongoDB數(shù)據(jù)庫甚至尚未設置賬號、密碼和驗證…黑客無需經(jīng)過身份驗證就可以直接入侵這些數(shù)據(jù)庫盜取數(shù)據(jù)，甚至控制數(shù)據(jù)庫。

近年來，國內(nèi)教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫泄露事件，相關人員隱私權益遭受嚴重損害，涉案企業(yè)、機構的聲譽也大打折扣。為防范重大數(shù)據(jù)安全事故的發(fā)生，很多教育單位已經(jīng)在技術和管理層面采取了對應的措施，但在數(shù)據(jù)庫安全防護層面卻存在如數(shù)據(jù)庫安全現(xiàn)狀不清、防護手段薄弱、漏洞防御能力低、互聯(lián)網(wǎng)滲透威脅大、數(shù)據(jù)庫訪問行為管控不嚴以及數(shù)據(jù)明文存儲等諸多威脅與風險。 

918搏天堂建議廣大教育單位應根據(jù)行業(yè)實際狀況，針對數(shù)據(jù)庫的安全建立防護機制——從數(shù)據(jù)庫使用的“事前、事中、事后”三個層面，建立起“檢查預警、主動防御、底線防守、事后追查”的縱深防護體系，用以解決教育行業(yè)數(shù)據(jù)庫所面臨的復雜問題： 

1、檢查預警

教育單位應對業(yè)務系統(tǒng)數(shù)據(jù)庫進行綜合安全風險評估，通過數(shù)據(jù)庫漏洞掃描產(chǎn)品提供有價值的修復建議，為教育單位提升數(shù)據(jù)庫系統(tǒng)的安全基線提供整體、有效的參考。

2、主動防御

教育單位應通過數(shù)據(jù)庫防火墻及數(shù)據(jù)庫安全運維管控技術進行主動防御，具體措施如下：

（1）執(zhí)行細粒度訪問控制

首先，教育單位的業(yè)務系統(tǒng)數(shù)據(jù)庫應僅接受可信人員及應用發(fā)起的訪問請求，從根源上徹底杜絕第三方人員、內(nèi)部人員的非授權訪問行為，減小被攻擊面。

其次，教育單位應建立威脅主動防御措施，通過數(shù)據(jù)庫防火墻的SQL攻擊防護、虛擬補丁等功能，防范針對數(shù)據(jù)庫的SQL注入和漏洞攻擊等非法行為。

（2）規(guī)范化運維管控

教育單位應改善傳統(tǒng)管理模式，建立規(guī)范的數(shù)據(jù)庫運維流程，包括事前審批、事中控制、事后記錄操作信息等環(huán)節(jié)，從而實現(xiàn)對運維全流程的規(guī)范化管理。例如：使用數(shù)據(jù)庫安全運維系統(tǒng)對運維行為進行審批管控——先提交運維申請并指定運維的時間、對象和內(nèi)容，通過審批后才可進行相關操作。

3、底線防守

教育局、教育服務部門、高校應將存儲在數(shù)據(jù)庫中的教務、學籍等敏感信息通過數(shù)據(jù)庫加密產(chǎn)品進行加密存儲，防止此類敏感信息被以明文泄露。

4、事后追查

運用數(shù)據(jù)庫審計技術對數(shù)據(jù)庫協(xié)議進行精確識別，針對數(shù)據(jù)庫的攻擊、篡改、泄露、誤操作等行為進行記錄和回放，為事后溯源定責提供準確依據(jù)，并對上述行為以郵件、短信等形式及時告警。

 “長期以來，單位里一直存在著多位運維人員共享一個登錄賬號的情況。通過部署918搏天堂數(shù)據(jù)庫安全運維系統(tǒng)和數(shù)據(jù)庫防火墻系統(tǒng)，我們對網(wǎng)絡環(huán)境進行了合理規(guī)劃，例如：通過對IP進行分區(qū)，禁止通過IP直接訪問數(shù)據(jù)庫的行為，實現(xiàn)了對應用端和運維端登錄IP分區(qū)的有效管控；每一位運維人員被分配了唯一的登錄賬號，并劃分了賬號權限，從而提高對其的監(jiān)管能力；通過對運維行為進行事前審批、事中管控和事后審計，實現(xiàn)了對運維全流程的管理，提高了對內(nèi)部人員操作的規(guī)范性；數(shù)據(jù)庫防火墻的SQL攻擊防護和虛擬補丁等功能，也幫助我們針對數(shù)據(jù)庫的SQL注入及其他攻擊行為展開了有效防護�！�

——某教育機構信息中心負責人