中安比特为教育行业免费提供数据库防火墙，让悲剧不再重演

数据泄密问题和电信诈骗今年在教育行业愈演愈烈，甚至夺走了年轻的生命。北京中安比特作为专注于数据安全管理的“学院派”高技术企业，对教育行业有着特殊感情。为防止悲剧再次发生，公司决定对教育行业免费提供旗下的中安威士数据库防火墙系统，从源头上减少数据泄露的风险。

1. 案情回放

开学季到来，针对大学生的诈骗事件接连发生。尤其是8月21日与23日，两个大学生遭遇电信诈骗导致猝死。两个本该在象牙塔挥洒青春，在知识海洋吸取营养，有望成为家之荣耀，国之栋梁的青年才俊，含恨结束了自己的生命，家人也陷入了无尽的悲痛之中。

2. 原因探究

作为数据安全专家，我们感觉到，仅仅抓捕诈骗罪犯并不能从根本上阻止此类悲剧的重演。我们注意到，诈骗案中的一个让骗子得手的一个关键点，是在被骗大学生接到陌生电话之前，曾接到过教育部门发放助学金的通知，而骗子就是打着这个幌子行骗，最终得手。这意味着骗子行骗时已精准掌握了被骗学生的多类个人信息。在扼腕叹息的同时，我们不禁发问：学生的信息是如何被精准泄漏的？

近日网上流传的一个安全专家写的文章说，大学生们的信息有可能是被黑客盗取后，卖给了诈骗人员。据他称，有黑客团队曾试过“侵入”多个市县教育局和高校的系统，发现几分钟就可以进入，相关信息可以随意浏览和下载。而网上更有报道“数据贩子：国内学校数据我有一半，几分钟黑进教育局”，并明码标价：“今年新入学的学生信息1元/条”。这是多么可怕的情况。

在过去一段时间，乌云、补天等平台爆出的数据泄漏漏洞中，来自高校系统的SQL注入漏洞数量可以用触目惊心来形容，涉及到80%以上的高校。从某种程度上来说，教育行业的大面积数据泄漏，实属是必然。

3. 安全现状

目前教育行业主要的防御手段，基本是在网络层面，通过部署网关/网闸、堡垒机等安全准入系统，以及网络防火墙等网络安全设备来防止外部黑客的攻击。这些设备虽然起到了很好的防护作用，但不可否认仍然不能阻止数据泄漏。原因是这些网络安全手段，以及当下非常流行的应用防火墙（WAF）和下一代防火墙（NGFW），由于不了解应用程序在业务层的语义，更无从知道后台数据库的类型等因素，都不能很好的防御类似SQL注入等针对数据层面的攻击行为。

在教育行业，数据库、以及数据安全，还是一个盲区。所以构建基于数据本身的安全防御体系，势在必行。

4. 技术方案

人命关天。所有的学生信息、以及教职工和其它教育相关信息，都存在于学校或教育局、考试中心的数据库中。对数据库的安全运维和对敏感数据的安全保护，是教育行业整体安全防御的重点。这一点，无论怎么强调都不为过。

每年的8月9月开学季，正是案发的高发期。此时此刻，我们不能袖手旁观，必须采取相应的防范措施，防止悲剧再次发生。北京中安比特作为国内最早专门从事数据库安全的高科技公司，结合十余年在数据安全方面的技术积累，和对教育行业当前安全状况的认知，提出我们的思路。即：尽快为所有在线系统，部署数据库防火墙，形成网络+数据库的多层防御模式，完善安全防御体系，从数据源头上消除数据被泄漏的风险。

5. 方案实施

通过部署数据库防火墙，围绕数据库建立了一个外围防御圈。数据库防火墙能够通过SQL语法分析技术，检查发往数据库的SQL语句，并根据预先制定的策略决定是否让某SQL语句通过、或者是进行丢弃、替换，以及是否记录等操作。从而实时监控应用、运维人员等对数据库的一切访问活动，允许正常的活动，阻断存在风险的活动。

数据库防火墙可以弥补针对数据库攻击防护能力不足的现状，配合堡垒机、网关/网闸等准入和网络安全系统，形成准入安全、网络安全、数据库安全三位一体的立体安全防御体系。

6. 特殊考虑

该方案成败的核心问题之一在于数据库防火墙的规则配置。如果没有配置出合理有效的规则，数据库防火墙的防护能力将会大打折扣。针对教育行业，尤其是高校中信息系统运维人员较少的现实情况，又对规则配置的简单易用性提出了很高的要求。鉴于此，中安威士数据库防火墙提供了基于自动学习的特殊规则配置方式。该功能自动学习应用系统对数据库的访问模式，并进行抽象归类，形成访问行为特征的基线，并根据基线的偏离程度大小来识别违规访问，从而基本实现规则零配置。

该方案成败的另一核心问题是部署方式。因为在教育行业，尤其是高校的另一个实际问题是系统众多、数据分散。根据教育行业等保定级指导意见，高校信息系统中涉及敏感信息的系统有几十个之多。如果完全采用硬件方式的数据库防火墙，将给实际的部署以及采购成本带来压力。中安威士提供业内唯一的软件版本数据库防火墙，使之运行于学校现有服务器或虚拟环境之上，从而极大的减少了方案的实施成本。

软件数据库防火墙部署方式一，将数据库防火墙部署于独立的硬件之上，部署在数据库前端，形成对数据库中核心数据的保护。

软件数据库防火墙部署方式二，利用学校现有数据库服务器的空闲资源，在数据库服务器上安装数据库防火墙软件，直接保护数据库中的核心数据。

7. 免费提供

    北京中安比特作为“学院派”高技术企业，对教育行业和高校具有特殊感情。面对当前教育行业数据泄露的严峻形势，决定免费为该行业提供数据库防火墙系统，以尽一分力量。该产品刚刚荣获“2016年度中国数据安全管理最佳产品奖”，具有超高的处理能力和安全防护能力。