摘要：隨著近年來高校信息化建設快速發展，各高校圍繞數據標準制定、業務系統數據對接、數據治理、大數據分析開展了一系列工作。數據泄露問題頻發，數據安全問題也得到日益關注。本文以數據泄露防護技術為研究對象，介紹了高校面臨的數據安全現狀，分析對比當前數據泄露防護技術，并結合高校實際環境探索了高校場景下相關技術的應用。

　　關鍵詞：數據安全;數據泄露;防護技術;高校應用

　　隨著近年來信息化建設快速發展，各高校都部署建設了大量網站和信息系統。高校在享受信息化帶來的便利同時，高校網絡安全和數據安全問題也日益凸顯。近年來圍繞高校的數據泄露安全事件層出不窮。師生科研數據泄露、學生個人和家庭隱私數據泄露、教務數據泄露、郵件數據泄露帶來的安全風險隱患不斷，輕則導致學生和家長屢遭推銷電話騷擾，重則給電信詐騙犯罪分子可乘之機，甚至造成國家重要科研成果數據的泄露。

　　大數據論文范例：大數據時代下計算機網絡安全及防護措施

　　根據教育部印發的《教育行業信息系統安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)文件的指導建議，高校信息系統分為校務管理、教學科研、招生就業、綜合服務，4大類23種具體業務類型。其中建議安全保護等級定為三級的有6種業務類型，其余為二級。6種具體業務類型主要涵蓋科研、招生、門戶、一卡通等方面。高校信息系統數據安全的重要性可見一斑。

　　1高校數據安全現狀與存在的問題當前高校針對數據安全和數據泄露的防護的工作開展還存在一定問題。具體表現在以下幾個方面：

　　1.1數據保護的安全意識不足師生對敏感數據保護的安全意識不足，數據使用隨意性強。對師生有意或無意的敏感數據泄漏缺乏檢測與防護手段。

　　1.2數據安全制度標準缺乏在數據處理過程中大量的師生個人信息、教務數據和科研數據管控機制不足，秘密和敏感數據的信息在處理、共享和使用過程中面臨違規越權使用或被用于非法用途等數據泄漏的安全風險。學校內部數據流轉難以管控，無法跟蹤保護，更難以做到最小授權和規范使用。

　　1.3數據泄露防護手段有限缺乏有效的數據泄露事前、事中防護手段。發生數據泄露事件后也無法立即響應，難以定位源頭。

　　1.4安全與效率缺乏平衡缺乏數據管理、使用和安全防護經驗，難以做好數據安全管控和工作效率之間的平衡。2數據泄露防護技術研究目前數據泄露技術主要涉及：個人終端、信息系統、數據庫、網絡邊界、郵件、云平臺、數據脫敏等幾個方面。

　　2.1個人終端數據泄露防護技術個人終端數據泄漏防護系統能夠對用戶終端上可能發生泄露的渠道進行檢測和控制。典型如：打印、USB盤、存儲卡、CD/DVD刻錄、紅外、藍牙等。同時也能完整記錄并統計分析所有可能的數據泄露事件，確保整個企業范圍內事件可視性。部署模式主要以C-S模式為主，在需要防護的個人終端上部署數據泄露防護代理客戶端，客戶端接受后臺數據泄露防護平臺的統一管理。

　　2.2信息系統(網站)數據泄露防護技術直接面向互聯網提供服務的信息系統(網站)，受到的安全威脅種類多，數據泄露安全風險較大。首先在網站設計時，應采用前后端分離架構，避免后臺數據庫直接暴露在互聯網上。網站公開信息發布應進行內容審核和敏感信息篩查，避免因工作失誤造成的人為信息泄露。網站可使用安全證書，使用HTTPS協議加密傳輸。對于部署在內網的信息系統(網站)，同時還要注意內網與互聯網嚴格物理隔離。終端和服務器嚴禁使用多網卡跨網絡連接。

　　2.3數據庫數據泄露防護技術

　　(1)數據庫防火墻數據庫防火墻基于數據庫協議分析與控制技術，實現數據庫的訪問行為控制、危險操作阻斷、可疑行為審計等主動防御機制。通過分析數據庫流量數據，獲取權限控制所需關鍵信息，對相應數據庫請求行為進行放行或阻斷。通過SQL注入特征庫捕獲，阻斷SQL注入行為、高危SQL操作、限定數據查詢和下載數量、限定敏感數據訪問的用戶、地點和時間，避免大規模損失。

　　(2)數據庫審計數據庫審計要求能夠完整記錄數據庫活動，對數據庫操作進行細粒度審計的合規性管理，對數據庫遭受到的風險行為進行告警。所有用戶訪問數據庫行為的記錄、分析和匯報，支持生成合規報告、事故追根溯源，同時加強內外部數據庫網絡行為記錄，提高數據資產安全。2.4網絡數據泄露防護技術在網絡邊界部署下一代防火墻、應用負載均衡、WAF、防病毒墻、網閘等安全設備。安全設備可以通過限定源和目的IP地址和端口、IP地址映射轉換、7層應用識別、病毒庫識別、單向流量控制等技術手段，有效防護來自外部網絡的惡意掃描和攻擊入侵。在網絡層面將大多數的外部威脅拒之門外。 在核心網絡處，旁路部署IDS/IPS、流量探針、流量分析、上網行為管理等安全設備。通過分析鏡像流量的方式對安全威脅進行主動識別、告警，并記錄日志便于分析取證。

　　2.5郵件數據泄露防護技術郵件數據泄露防護是在郵件數據傳輸過程中，實現郵件數據分析、敏感數據識別審計、郵件數據脫敏處理、郵件審批管理、阻斷策略響應訪問控制。專用郵件數據泄露防護設備可以部署在郵件服務器前端或在個人終端上部署代理客戶端，便于設備在監測到數據泄露事件時可以及時阻斷。普通用戶在使用電子郵件時，推薦開啟SSL協議，對郵件通信過程進行加密，避免傳輸過程中心的數據泄露。

　　2.6云平臺數據泄露防護技術當前云平臺成為數據中心的發展方向，云平臺在給管理使用帶來便利的同時，數據泄露防護技術也得到大家關注。云平臺在規劃建設時，不同資源池要做到物理區域隔離，同一資源池中的虛擬機實現橫向隔離。針對每個安全域、安全組根據業務需求，制定相應的安全策略。同時要對云平臺和虛擬機的日志進行記錄審計。

　　2.7數據脫敏技術

　　數據脫敏是指對某些敏感信息通過脫敏規則進行數據的變形，實現敏感隱私數據的可靠保護。數據脫敏規則包括數據仿真、數據遮蔽、隨機字符串、重置固定值、Hash、列關聯、縱向亂序、關聯列計算、字典映射、隨機映射等多種算法。脫敏后的數據保持了數據的一致性和業務的關聯性，應用于開發測試環境、數據交換、數據分析、數據共享等場景。數據脫敏技術根據應用場景不同，分為靜態數據脫敏和動態數據脫敏兩種。

　　(1)靜態數據脫敏靜態數據脫敏是將敏感數據從生產環境脫敏完畢之后再在非生產環境使用，一般用于解決測試、開發庫需要生產庫的數據量與數據間的關聯，以排查問題或進行數據分析等，但又不能將敏感數據存儲于非生產環境的問題。(2)動態數據脫敏動態數據脫敏是在訪問敏感數據當時進行脫敏，一般應用于生產環境需要。

　　3數據泄露防護技術應用

　　數據泄露技術手段應結合高校實際情況。因地制宜的靈活應用各種技術，才能給高校數據安全添磚加瓦。

　　3.1在高校信息系統中的應用數據泄露防護技術應貫穿信息系統的全生命周期，在系統論證、規劃階段應同步考慮安全因素，在系統設計、軟件架構、需求分析中融入安全設計。明確系統數據安全級別，尤其在系統間數據共享調用接口設計、數據上傳下載模塊、數據查詢檢索模塊設計要充分考慮數據泄露防護技術。在系統運維使用階段，在用戶管理上應做到用戶、業務管理員、系統管理員賬號分離，采取必要的強密碼、驗證碼、短信、微信等多因子認證方式，避免密碼泄露或暴力破解。應做到開發環境和生產環境分離，開發人員、運維人員一律使用堡壘機操作，便于審計回溯。

　　3.2在高校校園網中的應用校園網在規劃建設時，應合理劃分各安全域，安全域之間使用必要的網絡安全設備予以隔離防護。重要核心節點部署流量采集設備，采集網絡流量進行分析監測。校園網各個業務專網、要物理或邏輯隔離，避免數據流量互聯互通。如有業務需求，外網連接到內網嚴格使用堡壘機、VPN等安全通道。各類安全設備日志至少保留180天，以備審計溯源。

　　3.3在校園大數據平臺中的應用當前校園大數據平臺在高校校務/校情分析、信息化成果展示中扮演重要角色。大數據平臺對接、匯總各個業務系統數據，其數據安全尤為重要。大數據平臺應把握最小化數據對接原則，盡量根據實際需求確定數據范圍。重要數據、敏感數據、師生個人隱私數據應進行脫敏處理后再使用。數據分析結果應注意保密，明確發布范圍、可使用范圍、可閱覽范圍，必要時可以使用水印、電子印章和加密技術避免數據泄露和事后調查溯源。

　　4結束語

　　高校行業的數據泄露防護是國家教育信息化和國家網絡安全中的重要一環。合理應用數據泄露防護技術，可以有效降低高校數據泄露風險隱患，防范數據泄露安全事件的發生，為高校信息化建設發展保駕護航。

　　參考文獻：

　　[1]寇思佳.教育行業數據泄露防護淺析[J].網絡空間安全，2019.

　　[2]李運佳.高校網絡安全問題研究與防御體系探索[J].網絡安全技術與應用，2020.

　　[3]包英明.大數據平臺數據安全防護技術[J].信息安全研究，2019.

　　[4]吳振庭.淺談大數據背景下的個人信息安全防護[J].網絡通信與安全維護，2020.

　　[5]吳浩數.據泄露防護_DLP_分域安全技術分析[J].信息安全管理，2019.

　　[6]楊春華.數據泄露防護產品的分類和作用[J].信息技術與信息化，2020.

　　作者：馬崢