关闭

学生信息精准泄露导致电信诈骗,你有办法阻止吗?

标签: 信息安全教育网络隔离
530人阅读 评论(0) 收藏 举报

临近开学,最近网上报导了多起针对学生的电信诈骗事件。之后便看到很多的分析文章,来分析学生的信息是如何被精准泄露的。其中的一篇文章吓我一跳,里面提到:

“徐玉玉的信息有可能是被黑客盗取后,卖给了诈骗人员。这位人士表示,有团队曾试过侵入临沂周边多个市县教育局的网站,发现几分钟就可以进入,相关信息可以随意浏览和下载。”

“教育行业的信息安全能力普遍偏低,在360旗下补天漏洞平台上,最近两年内提交的相关教育机构的漏洞超过1100条,实际上远比这多,主要是教育机构漏洞太多,白帽子都懒的去测试,因为没有成就感。随便一个入门的黑客,都能搞定绝大多数学校系统,几乎不耗时间,甚至只需要敲几下回车就可以了。”

教育行业的信息安全真的有这么差吗?

谈到信息安全,特别是网络安全,很多人想到的就是防火墙。我想绝大部分的教育局或者高校都会部署防火墙,有些还部署了应用层的防火墙。我们花了很多的精力去把数据中心的外壳尽量保护好。但是,仍然被外界认为“信息安全能力普遍偏低”,这是为什么呢?

其实,我们可以想到,数据中心的边缘防护固然重要,但是百密终有一疏,特别是当前的应用开发通常都是外包完成,水平良莠不齐,也很少能够做到完备的应用安全漏洞测试。一旦一个应用被攻破,黑客再以这个被攻破的应用系统作为跳板,去攻击其他的应用系统就会非常容易。就如同小偷从窗户爬进了你家一个卧室,而你家所有的房门又都没有锁。

当然,我们可以一个漏洞一个漏洞的去修补,这也是必须要去做的。但是这需要时间,而且随着新应用的不断上线,还会有新的漏洞引入。为了避免由于一个漏洞造成整个数据中心的风险,我们需要的是更加细粒度的网络隔离,也就是给每个“房间”再加一把“锁”。

那是不是多买些防火墙就可以做到?会有两个主要问题,一是成本问题,二是性能问题。成本问题是说没预算买很多很多的防火墙,性能问题是说所有数据中心内部流量都到防火墙走一圈会导致应用性能严重下降。其实运维这么多的防火墙也会是一个大问题。理想很丰满,现实很骨感,似乎细粒度的隔离很难做到。

在服务器虚拟化已经大行其道的今天,绝大部分的教育机构的信息系统都运行在X86虚拟化平台上。由于应用系统都运行在虚拟机中,虚拟机之间的通信必须要经过虚拟化平台,这就给我们提供了一个从虚拟化层进行防护的可能性。简单的说,就是在每台X86服务器的虚拟化层内核中都部署一个虚拟的防火墙,对应用之间访问的流量进行过滤。这样,一方面避免了大量的硬件投入;另一方面,由于虚拟防火墙的工作负载分散在每台物理服务器上面,完全是分布式的,从设计上就消除了性能瓶颈,而且整个处理过程是在虚拟化内核中进行,而不是旁路到外部的设备上去,所以保证了高效的处理速度。

说到这里,大部分读者可能想到VMware在私有云市场占有绝对的市场份额,那VMware有没有配合vSphere的虚拟化网络隔离方案呢?

当然有!你要找的其实就是VMware的NSX产品。NSX的逻辑防火墙模块集成在vSphere虚拟化内核中,从而实现了应用微分段的功能。其实原理非常简单,就是一个嵌入到虚拟化层的分布式的逻辑防火墙。这些信息大家可以从很多渠道获得,我就不在此赘述了。

徐玉玉学校所在地山东临沂的教育局否认泄露徐玉玉的信息。我理解,他们更多的是说,教育局没有内鬼贩卖个人信息。其实,我是相信的,很多的评论文章也提到,学生的信息其实并不是很值钱,而作为体制内的工作人员,利益和风险不平衡的事情也未必愿意去做。但是是否有黑客入侵,我想在他们也许并不比周边市县的教育局有更多的自信。亡羊补牢不如未雨绸缪,这是一个很好的机遇可以提升数据中心的安全水平。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:532次
    • 积分:15
    • 等级:
    • 排名:千里之外
    • 原创:1篇
    • 转载:0篇
    • 译文:0篇
    • 评论:0条
    文章存档