掌握3.4亿学生数据

【掌握3.4亿学生数据】4月24日,2021西湖论剑·网络安全大会教育安全分论坛在杭州举行,聚焦数字校园安全 。
据了解,教育部数据中心是仅次于公安部人口库之外最大的个人信息数据库,但与此同时,教育系统普遍对数据的安全意识淡薄、防护能力不足、内部管理缺位 。
有专家在论坛上指出,信息化校园的安全建设是一个全链路、体系化的过程,需要把安全体系重新梳理成一个整体架构 。为了应对新情况,国家立法层面已有部署,教育部也会持续开展网络安全监测预警,落实网络安全等级保护 。

掌握3.4亿学生数据

文章插图
在复旦大学2019年迎新现场,新生们进行人脸识别报到 。新华社采访人员 刘颖 摄
师生信息泄露问题严重,国家立法层面已有部署
信息化日益成为教育管理、教学和工作等各个环节的基本手段,但网络安全问题也更加凸显 。
教育部教育管理信息中心副主任曾德华将教育信息化目前面临的网络安全问题总结为三类:一是在线教育平台缺乏安全保障,网络遭受攻击后无法提供服务,师生信息泄露等问题严重 。
二是数字校园、智慧校园普及应用,导致校园网络跟传统网络的边界更加模糊 。校园内的各类人脸识别系统、校园卡系统、App等应用成为新一类网络安全隐患 。
三是很多黑客攻击时利用人工智能和大数据开展攻击,给网络安全防护带来更多的挑战 。
曾德华说,为了应对新时代的新情况,国家在立法层面已有所部署,国家正在制定网络安全等级保护条例,数据安全法和个人信息保护法也列入了2021年全国人大的立法议程 。
他表示,教育部还会持续开展网络安全的监测预警,完善教育系统网络安全通报机制,落实网络安全等级保护相关要求,践行教育网络信息安全的工作机制和技术标准 。
“最大问题在数据太多”,内部管理缺位
“目前教育系统数据安全最大的问题就是数据太多 。”教育信息化与网络安全处干部潘润恺透露,教育部数据中心现掌握着63万家机构的3.4亿学生、1600万教师数据,以及近1亿的家长数据,是仅次于公安部人口库之外体量最大的个人信息数据库 。
潘润恺直言,大部分的学校和单位是没有能力很好地储存、保管和使用敏感的个人信息 。他指出,与庞大数据量形成对比的是,教育系统普遍对数据的安全意识淡薄、防护能力不足、内部管理缺位 。
比如,部分高校曾将学生信息公开发到网上,其中包括身份证号、手机号等隐私信息;有个人信息数据被黑客偷走之后放到暗网上卖,并通过比特币交易,难以侦破;也有辅导员在微信上传输师生防疫信息不慎泄露的情况 。
潘润恺还强调,人的生物识别信息在没有科学认证时被滥用,是教育系统数据安全方面的另一个严重问题 。“我们其实不支持泛滥地采集、储存大量学生、家长、教师的生物识别信息,比如人脸签到等 。”他建议,应对储存100万以上个人信息的系统加以严管,可采取报省厅备案、进行安全审计和安全评估等措施 。
“黑客防不住”,专家建议安全防护应体系化
高校数据体量大、用户多,各种漏洞普遍存在,风险泄露、篡改和劫持的现象频繁发生 。北京大学计算中心主任张蓓就在论坛上透露,“北京大学一天几万次攻击都是非常频繁和普遍的 。”
张蓓介绍,为提升安全防护能力,北京大学采取了坚决消灭弱口令、使用堡垒主机、常态化的网络安全扫描与渗透测试、购买安全监控服务远程自动一键断网等技术手段 。但同时她坦言,新技术虽有帮助,但离解决问题还有很大差距,最重要的是在细节、执行度、自身建设方面加强管理 。“黑客是防不住的 。”
浙江大学信息技术中心主任、教育部教育管理信息化专家组副组长陈文智同样指出,信息化校园的安全建设是一个全链路、体系化的过程,需要把安全体系重新梳理成一个整体架构 。
“有了整体架构就可以引入新防护技术 。”陈文智提出,比如可以引入网络威胁诱捕与动态防御欺骗技术,即利高校的空余IP段,构造大量拓扑节点,“就像站了很多假哨兵”,形成虚拟网络场景 。这样,黑客攻击时就不知道哪个是真地址、哪个是假地址,需要通过扫描来试探,而防御一方就能通过收集虚拟IP中受到攻击的地址,检测到未知威胁 。
南都个人信息保护课题组研究员 郭天琪