x
在线咨询
刷新
您当前的位置: 资讯中心 > 安全事件
北京某高校信息泄露引发关注,高校数据安全风险不容忽视
发布时间:2023.07.06 浏览数量:836人

7月1日,有网友在微博上爆料称,北京某高校马某某在读硕士研究生期间,利用校内网络盗取全校学生个人信息,包括照片、姓名、学号、籍贯、生日等,并搭建了给全校学生颜值打分的网站。该毕业生还曾在个人社交账号上发布动态公开此事。网传截图显示,该动态发布于2020年10月。

7月3日,据平安北京海淀微博通报,针对“北京某高校部分学生信息被非法获取”的情况,海淀警方接到报警后,立即开展调查。经查,嫌疑人马某某(男,25岁,该校毕业生)涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前,马某某已被海淀公安分局依法刑事拘留,案件正在进一步调查中。
据相关人士了解,马某某在校期间,曾在学校信息中心勤工俭学,做过学生助理。开学、毕业时需要大量人手帮忙,比如制作毕业证书和开学注册,这些都需要获取学生个人比较隐私的信息,学生助理就有机会使用到高权限账号并私自保存。

马某某以上行为触犯了《网络安全法》第四十四条:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

同时也触犯了《刑法》第二百五十三条之一“侵犯公民个人信息罪”的规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

在数字化时代,网络攻击日益呈现手段专业化、目的商业化、源头国际化的趋势,对国家安全造成重大威胁。对于高校科研机构来说,迫切需要寻找更好的解决方案来保护学生的隐私,以及机构自身的声誉。基于深耕高校领域多年的经验,我们总结了高校数据泄露的四大原因:

行业法规落地慢

1.三法一例(网安法、数安法、个保法、关基条例)之前,主要基于等级保护为数据安全防护的依据;

2.三法一例相继颁布实施至今,尚未建立健全的高校行业的数据安全督促和考核体系。

能力制度现短板

1.技术方面:大多数高校仅依靠网络安全的等级保护手段保护数据,缺乏从采集、存储、使用,到销毁的全生命周期的系统性数据安全技术体系;

2.管理方面:高校内部数据安全管理制度建设落后,无相关标准和规程。

外部攻击演愈烈

1.攻击者遍布国外、国内、校园;

2.攻击者受到企业、社团组织、甚至是国家力量的支持;

3.攻击方式越来越系统、越来越高级、越来越隐蔽、越来越持久;

4.攻击的目标越来越针对数据。

内部特权成忧患

1.内部人员复杂:专职、外包、业务厂家驻场;

2.内部人员无意识的疏漏;

3.内外合谋:不法分子与高校工作人员、服务人员合作盗取学生、教师隐私数据;

4.内部人员违规很少能被感知到。


针对高校的数据安全建设,我司提供“能、管、服”数据安全解决方案,也就是数据安全能力建设、数据安全管理体系建设以及数据安全服务,目标是把数据的安全管好管服。
数据安全能力体系建设:从技术类别上,建立数据访问审计、数据防火墙、数据库加密、数据库脱敏、数据安全运维、数据接口安全、数据梳理和数据分类分级等多种数安能力。数安能力涵盖从数据采集、使用加工到数据销毁的全生命周期。保护对象包含了结构化数据、非结构化数据和大数据等数据存管系统。
数据安全管理体系建设:至上而下,通过整体规范、组织管理制度、技术指南和技术规范、场景和过程要求,建立四层管理体系。
数据安全服务体系:通过数据安全评估,正确把控当前高校数据安全存在的问题。通过数据资产的梳理,建立高校数据资产台账和分类分级清单。通过数据安全运营,建立数据安全的常态化运营体系,确保数据安全体系发挥作用。
数达安全核心团队专注数据安全已经20余年,致力于为各高校提供专业的数据安全解决方案,如需了解更多高校数据安全方案请参考数达安全官网和官方抖音号。