专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


徐玉玉案宣判了,警示和思考没有结束……

2017-08-28 15:26 推荐: 浏览: 458 views 字号:

摘要: “徐玉玉被电信诈骗致死案”的关联案件:杜天禹侵犯公民个人信息案于8月24日上午9:00在山东省临沂市罗庄区人民法院一审公开开庭审理并当庭宣判,杜天禹被指控非法获取公民个人信息罪名成立,被判有期徒刑6年,并处罚金6万元。 公诉机关指控,2016年4月初,被告人杜...

“徐玉玉被电信诈骗致死案”的关联案件:杜天禹侵犯公民个人信息案于8月24日上午9:00在山东省临沂市罗庄区人民法院一审公开开庭审理并当庭宣判,杜天禹被指控非法获取公民个人信息罪名成立,被判有期徒刑6年,并处罚金6万元。

公诉机关指控,2016年4月初,被告人杜天禹通过植入木马等方式,非法侵入山东省2016年普通高等学校招生考试信息平台网站,窃取2016年山东省高考考生个人信息64万余条,并对外出售牟利。其中,杜天禹通过腾讯QQ、支付宝等工具,向陈文辉(另案处理)出售上述信息10万余条,获利14100余元。

陈文辉等人使用所购的上述信息实施电信诈骗,拨打诈骗电话1万余次,骗取他人钱款20余万元,造成山东省临沂市罗庄区高考考生徐玉玉死亡。

公诉机关认为,被告人杜天禹非法获取公民个人信息,并向他人出售,情节特别严重,应当以侵犯公民个人信息罪追究其刑事责任。

  案情回顾

2016年8月19日下午4点30分,刚刚被南京邮电大学录取的徐玉玉接到陌生电话,对方称自己是教育局的人,有一笔助学金要发放给她。可她并没有想到,这通来电是从江西九江一间出租屋里打出的。随后,徐玉玉拨打了“教育局”提供的“财政局”电话,按照对方以“激活账户”的指令,将准备交学费的9900元打入了骗子提供的账号。

发现被骗后,徐玉玉万分难过。当晚,在报案后回家的途中,徐玉玉突然晕厥,不省人事,后经抢救无效死亡。

  案破了,警示和思考没有结束

教育行业是一个包含巨大信息流的行业,大到国家级别的教育资源和管理公共服务平台,小到院、校级别的各种数字教学平台,都汇聚存储了教育管理、教学支持领域的海量数据,比如学籍学历信息、考生成绩、教职工信息、学生信息等。

高校数据中心的业务信息系统,包括“一卡通”、教学信息管理系统、电子图书馆、教育资源库等,由于保存有学生成绩、学历、就业信息、资金等敏感信息,成为不法分子觊觎的对象。

信息时代,教育行业发生了翻天覆地的变化,在教育系统、教育设备、教育环境等纷纷融入信息化元素的同时,也把数据安全的威胁带入到了这片“净土”之上。

诸多教育行业信息泄露事件,暴露出教育行业在数据库管理方面存在的问题 :

1、对关键数据的访问无记录,出现事故无法追踪。

2、无法有效分析数据访问来源,做到快速定位。

3、对于黑客攻击,无法做到有效防范和攻击留痕。

4、不能实时监控对数据库的非法访问,没有预警。

5、非授权进入业务系统或误操作、越权操作,导致数据泄漏或被修改。

6、一旦数据库日志被清除,无法发现事故,无法做到事故定位等。

传统的防护思路虽然在一定时间内限制了恶意攻击,却无法长久的解决数据安全问题。保护数据的关键应当是保护数据库和数据库与应用之间的会话安全。而事实上,大部分安全产品只是针对网络层面的防护。只有真正的数据库安全产品,能够从数据库角度进行直接有效的防护,杜绝此类数据泄露事件的发生。

管理手段与技术手段的有效配合,才能真正有效保护数据库安全。

  加强管理制度的规范

从数据库运维及业务系统使用行为角度,制定相应的规范和制度,通过强力的流程管理避免权限的越权及违规使用。

  监控数据库访问过程

通过技术手段,实时了解数据库的使用情况,筛选、记录核心数据的访问和使用过程,及时对违规事件进行告警。

今年6月1日起实施的《网络安全法》,建立了个人信息数据泄露通知制度。如果发生个人信息泄露,网络运营者要立即采取补救措施,按规定及时告知受影响的个人并报告有关部门。法律与技术的共同作用,将为教育行业的数据安全安装了一道“防火墙”。

联系站长租广告位!

中国首席信息安全官


关闭


关闭