浏览量:0
创建时间:2023-07-07 17:55

中国人民大学学生信息泄密,供人“颜值打分”,高校该如何完善信息保护?

前一个:
后一个:

       2023年7月1日,有网友爆料称,中国人民大学毕业生马某某((25岁)在人大就读硕士期间,通过爬虫爬取学校的学籍管理系统,窃取了全校2014级到2022级学生的个人信息,然后全上传到自己搭建的网站,分门别类供人搜索浏览,甚至还建立了女学生颜值打分系统。

 

 

       事情迅速引起广泛关注,令人咂舌的是,该网站已经存留3年之久,当事人还多次在网上分享。由于被泄露的信息包含照片、学号、姓名、学院、籍贯、生日等,人民大学已经确认情况属实,平台搭建者马某某已被北京海淀警方刑拘,涉嫌侵犯公民个人信息罪,将面临被追究刑事责任。

 

       此次人民大学学生信息泄露事件,是近年来高校发生个人信息泄露影响力较大的一次,再次将高校网络信息安全问题推到了公众面前。高校全面推进信息化之后,面临的网络安全威胁在持续加大,学生隐私信息泄露、系统被攻击等安全事件也逐渐增多。

 

 

       公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。根据刑法规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

 

       根据《网络安全法》相关条例,网络运营者应该对其收集的用户信息严格保密,并建立健全用户信息保护制度。当马某某拥有职务之便,则是网络运营者的一个组成部分,网络运营者不得泄露、篡改、损毁搜集到的个人信息,未经被收集者同意,不得向他人提供个人信息。

 

 

高校信息安全保护现状

 

       现在学校教育工作涉及的信息系统有政务管理类、学校管理类、学生管理类、教师管理类和综合服务类,这些系统汇集了大量的学生个人信息,以及学籍学历管理、学位管理、招生录取管理等信息,若是这些信息系统的访问下载缺乏有效管理,很容易出现信息批量泄露的风险。

 

       从近年发生的信息泄露事件可以看到,高校信息数据的泄露绝大多数来自于内部监控疏漏、权限分配不严谨等,学校的学生信息教学信息数据量大,对数据保密性要求高,系统维护工作量也大,若是缺乏有力的安全管理措施,容易导致机密数据被外泄。

       高校网络安全不被重视:由于高校在传统上都是固定的学术机构,因此大多数高校领导在网络安全方面的关注度相对较低,从整个网络安全行业来讲,做的更多是事后的“亡羊补牢”,就是发现问题修补问题,并不能够完全做到预防。  

 

       服务器及系统普遍存在安全隐患:维护团队安全技术能力不足,甚至有的维护团队就是由学生担任,在提供学生学习或助学平台的同时并不能兼顾网络安全。 目前官方尚未披露马某某是通过何种方式获取的学生信息,不过据知情人透漏,马某某就读期间,曾在学校信息中心勤工俭学,做过学生助理,有机会使用到信息系统的高权限账号。

 

       总之,在现实中,很多高校网络信息服务平台的保护一直相对薄弱,为防止类似事件发生,学校要对获取学生信息的工作人员严格管理,尤其是对信息管理中心严加管理,保护好超级管理员登录账号及密码。

 

高校该如何保护信息安全

 

       目前高校迫切需要思考的问题是如何增加软实力,从管理的角度增强网络安全,重点加强机构设置、人员配备,增强自身安全力量。

 

       高校在信息化建设过程中,通过加强安全意识、加强网络安全管理、使用安全软件和工具以及加强网络应急响应等措施,才能够建立起更加有效的高校网络安全体系,以确保高校网络的安全运行。

 

       首先,学校可以针对不同类型的管理人员,差异化设置学生个人信息的查看权限。

 

       其次,数据泄露途径一般是利用U盘拷走图纸、信息资料,通过邮件、网络工具发送,打印之后带走,接入内部网络非法下载数据,恶意删除电脑数据等。在数据泄露途径上进行管控和监管,例如:进行加密和权限设定等,对内部上网人员行为进行分析和监测,发现风险进行风险管控等。

 

        最后,强化内部管理制度,企业还除了借助相关的数据防泄密技术手段真正做到有效管控、警示商业窃密行为外,与强化内部管理制度相辅相成。

 

 

亚讯建议

 

       构建符合等级保护要求,以及满足《网络安全法》《个人信息保护法》等相关法规规定的信息保护体系,已经成为当前各大学校的重点工作,现在亚讯也与众多高校以及教育咨询机构进行合作,帮助教育行业的机构组织解决内部信息安全问题。

 

       学校保护数据信息安全,不仅要对能够接触信息系统的人员权限进行严格管理,也要对终端的操作行为进行规范管理。

 

       亚讯从终端安全管理的角度,助力学校建立一体化的终端安全管理体系,加强内部信息的安全管理,如对重要文档进行加密管理,集中运维管理内部计算机,及时修补系统漏洞解决故障问题等,帮助学校打造需要的信息管理系统,该方案也得到了各大学校的充分认可。一体化终端安全管理系统已经覆盖文档加密、终端操作管控、日志审计、敏感内容识别、文档备份、服务器数据保护、准入控制等终端所需的各项管控功能,可以帮助企事业部署一体化的终端安全管理系统,提高终端风险防御能力,保护机密安全完整。

 

       一体化终端安全管理系统,仅通过“一个客户端,统一控制台”,就可以对企事业内的所有终端进行规范管理,掌控终端的全局动态,最大程度地节省管理资源,提高管理效果。与此同时,灵活的模块化结构,让企事业可以“量身定制”最符合当前管理需要的解决方案,未来也可以根据发展需要无缝扩展终端安全整体解决方案。

 

       信息安全隐患多且经常发生变化,只有不断增强信息的保护能力,才能更好防止信息被泄露。一体化终端安全管理系统,不仅可以帮助高校对重要信息的存储使用进行加密保护,还可以对终端安全风险进行有效防范,防止信息发生泄露。

关于我们
产品服务
解决方案
客户案例
技术讲堂
联系方式
扫描关注公众号
联系我们