數據泄密問題和電信詐騙今年在教育行業愈演愈烈，甚至奪走了年輕的生命。北京中安比特作為專注于數據安全管理的“學院派”高技術企業，對教育行業有著特殊感情。為防止悲劇再次發生，公司決定對教育行業免費提供旗下的中安威士數據庫防火墻系統，從源頭上減少數據泄露的風險。

1. 案情回放

開學季到來，針對大學生的詐騙事件接連發生。尤其是8月21日與23日，兩個大學生遭遇電信詐騙導致猝死。兩個本該在象牙塔揮灑青春，在知識海洋吸取營養，有望成為家之榮耀，國之棟梁的青年才俊，含恨結束了自己的生命，家人也陷入了無盡的悲痛之中。

2. 原因探究

作為數據安全專家，我們感覺到，僅僅抓捕詐騙罪犯并不能從根本上阻止此類悲劇的重演。我們注意到，詐騙案中的一個讓騙子得手的一個關鍵點，是在被騙大學生接到陌生電話之前，曾接到過教育部門發放助學金的通知，而騙子就是打著這個幌子行騙，最終得手。這意味著騙子行騙時已精準掌握了被騙學生的多類個人信息。在扼腕嘆息的同時，我們不禁發問：學生的信息是如何被精準泄漏的？

近日網上流傳的一個安全專家寫的文章說，大學生們的信息有可能是被黑客盜取后，賣給了詐騙人員。據他稱，有黑客團隊曾試過“侵入”多個市縣教育局和高校的系統，發現幾分鐘就可以進入，相關信息可以隨意瀏覽和下載。而網上更有報道“數據販子：國內學校數據我有一半，幾分鐘黑進教育局”，并明碼標價：“今年新入學的學生信息1元/條”。這是多么可怕的情況。

在過去一段時間，烏云、補天等平臺爆出的數據泄漏漏洞中，來自高校系統的SQL注入漏洞數量可以用觸目驚心來形容，涉及到80%以上的高校。從某種程度上來說，教育行業的大面積數據泄漏，實屬是必然。

3. 安全現狀

目前教育行業主要的防御手段，基本是在網絡層面，通過部署網關/網閘、堡壘機等安全準入系統，以及網絡防火墻等網絡安全設備來防止外部黑客的攻擊。這些設備雖然起到了很好的防護作用，但不可否認仍然不能阻止數據泄漏。原因是這些網絡安全手段，以及當下非常流行的應用防火墻（WAF）和下一代防火墻（NGFW），由于不了解應用程序在業務層的語義，更無從知道后臺數據庫的類型等因素，都不能很好的防御類似SQL注入等針對數據層面的攻擊行為。

在教育行業，數據庫、以及數據安全，還是一個盲區。所以構建基于數據本身的安全防御體系，勢在必行。

4. 技術方案

人命關天。所有的學生信息、以及教職工和其它教育相關信息，都存在于學?；蚪逃?、考試中心的數據庫中。對數據庫的安全運維和對敏感數據的安全保護，是教育行業整體安全防御的重點。這一點，無論怎么強調都不為過。

每年的8月9月開學季，正是案發的高發期。此時此刻，我們不能袖手旁觀，必須采取相應的防范措施，防止悲劇再次發生。北京中安比特作為國內最早專門從事數據庫安全的高科技公司，結合十余年在數據安全方面的技術積累，和對教育行業當前安全狀況的認知，提出我們的思路。即：盡快為所有在線系統，部署數據庫防火墻，形成網絡+數據庫的多層防御模式，完善安全防御體系，從數據源頭上消除數據被泄漏的風險。

5. 方案實施

通過部署數據庫防火墻，圍繞數據庫建立了一個外圍防御圈。數據庫防火墻能夠通過SQL語法分析技術，檢查發往數據庫的SQL語句，并根據預先制定的策略決定是否讓某SQL語句通過、或者是進行丟棄、替換，以及是否記錄等操作。從而實時監控應用、運維人員等對數據庫的一切訪問活動，允許正常的活動，阻斷存在風險的活動。

數據庫防火墻可以彌補針對數據庫攻擊防護能力不足的現狀，配合堡壘機、網關/網閘等準入和網絡安全系統，形成準入安全、網絡安全、數據庫安全三位一體的立體安全防御體系。

6. 特殊考慮

該方案成敗的核心問題之一在于數據庫防火墻的規則配置。如果沒有配置出合理有效的規則，數據庫防火墻的防護能力將會大打折扣。針對教育行業，尤其是高校中信息系統運維人員較少的現實情況，又對規則配置的簡單易用性提出了很高的要求。鑒于此，中安威士數據庫防火墻提供了基于自動學習的特殊規則配置方式。該功能自動學習應用系統對數據庫的訪問模式，并進行抽象歸類，形成訪問行為特征的基線，并根據基線的偏離程度大小來識別違規訪問，從而基本實現規則零配置。

該方案成敗的另一核心問題是部署方式。因為在教育行業，尤其是高校的另一個實際問題是系統眾多、數據分散。根據教育行業等保定級指導意見，高校信息系統中涉及敏感信息的系統有幾十個之多。如果完全采用硬件方式的數據庫防火墻，將給實際的部署以及采購成本帶來壓力。中安威士提供業內唯一的軟件版本數據庫防火墻，使之運行于學?，F有服務器或虛擬環境之上，從而極大的減少了方案的實施成本。

軟件數據庫防火墻部署方式一，將數據庫防火墻部署于獨立的硬件之上，部署在數據庫前端，形成對數據庫中核心數據的保護。

軟件數據庫防火墻部署方式二，利用學校現有數據庫服務器的空閑資源，在數據庫服務器上安裝數據庫防火墻軟件，直接保護數據庫中的核心數據。

7. 免費提供

    北京中安比特作為“學院派”高技術企業，對教育行業和高校具有特殊感情。面對當前教育行業數據泄露的嚴峻形勢，決定免費為該行業提供數據庫防火墻系統，以盡一分力量。該產品剛剛榮獲“2016年度中國數據安全管理最佳產品獎”，具有超高的處理能力和安全防護能力。