近期,南昌公安网安部门工作发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。
南昌网安部门对涉案高校不履行数据安全保护义务违法行为开展了执法检查发现。
涉案高校未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。
网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
随着信息技术的发展和互联网的普及,高校业务系统之间的数据流通打破数据孤岛,实现数据流动共享,为学校的日常教学、后勤、财务和安防等工作的开展提供有力的数据支撑。将松散的数据沉淀为科学有效的学校数据资产,同时数据安全风险问题也开始突显。
通常,高校会面临以下网络安全风险:
1. 数据泄露:高校拥有大量敏感和个人信息,包括学生、教职员工和研究数据等。数据泄露可能导致个人隐私泄露、身份盗用等问题。
2. 僵尸网络攻击:高校的计算机网络规模庞大,存在可能被黑客利用形成僵尸网络(botnet)。这些僵尸网络可以用于分布式拒绝服务攻击、垃圾邮件传播等活动。
3 恶意软件和病毒:高校的计算机和网络系统常常成为恶意软件和病毒的目标。这些恶意软件可能导致系统崩溃、数据损坏或被盗取。
4 针对研究和知识产权的攻击:高校是研究和知识产权的重要场所,黑客可能试图获取敏感研究数据、专利和商业机密等。
5. 社交工程攻击:黑客可能利用社交工程手段诱骗高校网络用户透露账号密码或其他敏感信息,从而入侵系统或窃取信息。
如今,我们正面对着全然不同于以往的复杂网络环境。全球网络黑产发展的越来越迅猛。
网络安全在企业中的地位也越来越高,已经被纳入各企事业单位管理者的年度业绩考核指标之中,成为组织日常管理中十分重要的一部分。
事实上,许多高校都面临着网络安全技能缺口这一障碍,勒索软件、网络钓鱼和有针对性的攻击每年都在增加。但因为负担过重和人员不足,很多高校都还没有把网络安全防护提上日程。
目前最经济最有效的做法,是对高校全员进行安全意识的塑造。
攻击者主要通过网络钓鱼和社交工程发起攻击。它们针对的是人类交互中的弱点,而不是应用程序或设备中的漏洞。电子邮件仍然是黑产使用的最有效的网络技术。
然而高校大多数成员对网络攻击和安全应对方式都是没有意识的,高校管理者必须制定有关办公设备使用和网络类型的明确政策,并且经常进行网络安全意识培训,确保教师和学生熟悉网络欺诈的类型以及如何识别那些钓鱼行为,以尽可能的避免安全威胁。
正所谓,没有意识到风险是最大的风险。‘患生于所忽,祸起于细微’。