安卓版下载

高校安全防护重心将向底层数据转变

2019-06-25 09:22郑先伟
中国教育网络 2019年5期
关键词:数据保护攻击者漏洞

文/郑先伟

CCERT 月报

4 月教育网运行正常,未发现影响严重的安全事件。四月初公安部会同其他两家单位一起发布了《互联网个人信息安全防护指南》,这是国内首个由公安机关发布的专门针对个人信息保护的指导文件。该文件对涉及个人信息数据的收集、保存及应用提出了明确的要求和责任。近几年,互联网个人隐私数据保护已经成为全世界关注的重点,欧盟在去年五月生效的《通用数据保护条例》(GDPR)堪称史上最严格的个人隐私数据保护法。截止到2018 年底,全球已经有90 多个国家和地区颁布了个人信息保护的法律法规,另有40 多个国家正在立法的过程中,我国的个人信息保护法也在加速起草及立法中。高校作为一个教育机构,掌握着众多学生的身份信息,这些信息都可归属为个人信息,都需要加强保护。因此建议后期学校的安全工作重心应该从上层的网络信息安全逐步向更深层的信息数据安全转移,因为不论我们做何种网络和系统的安全防护措施,真正要保护的实际上都是底层的数据。

近期新增的病毒没有特别需要关注的,用户需要防范的依然是各类勒索类的病毒。

2019 年3~4 月安全投诉事件统计

近期新增严重漏洞评述:

1. 微软4 月的例行安全公告修复了其多款产品存在的74 个安全漏洞。涉及Windows 多个核心组件(Windows、win32k、LUAFV、CSRSS、MSXML、VSScript)、IE 浏 览 器、Edge 浏 览 器、Office 办公软件、Exchange 服务及ASP.NET 等,这74 个漏洞中有13 个属于严重级别,61 个属于重要级别。利用这些漏洞攻击者可以远程执行任意代码、权限提升,获取敏感信息或是进行拒绝服务攻击。这些漏洞中需要特别关注的是2 个内核权限提升的0day 漏洞(CVE-2019-0830、CVE-2019-0859),因为互联网上已经检测到与这两个漏洞的相关的攻击存在。建议用户尽快使用Windows 系统自带的更新功能进行补丁更新。

2. 四月中旬Oracle 发布了今年2 季度的安全更新,修复了其产品线中存在的297 个安全漏洞。涉及的系统包括:Oracle Database Server 数据库(6个)、Oracle Health Sciences Applications(2 个)、Oracle Communications Applications(26个)、Oracle Construction and Engineering Suite(8 个)、电子商务套装软件Oracle E-Business Suite(35 个)、Oracle Enterprise Manager Products Suite(11 个)、Oracle Financial Services Applications(14个)、Oracle Food and Beverage Applications(1 个)、中间件产品Fusion Middleware(53个)、Oracle Berkeley DB(1 个)、Oracle Commerce(3 个)、Oracle Health Sciences Applications(5 个)、Oracle Java SE(5个)、Oracle MySQL 数据库(45 个)、Oracle PeopleSoft 产品(12 个)、Oracle JD Edwards 产品(8个)、Oracle Retail Applications(24 个)、Oracle Support Tools(1 个)、Utilities Applications(6个)和Oracle Virtualization(15 个)。这些漏洞中有270 个可以远程利用,有157个属于高危漏洞。其中需要特别关注的是WebLogic 服务中存在的两个漏洞(CVE-2019-2615 和CVE-2019-2618),其 中CVE-2019-2615 为任意文件读取漏洞,利用该漏洞攻击者可以使用一个合法登录的普通用户身份读取WebLogic 服务器上的任意文件。而CVE-2019-2618 则为任意文件上传漏洞,攻击者可以远程构造HTTP 请求,利用该漏洞获取服务器权限。目前Oracle 已经针对这些漏洞发布了补丁程序,建议相关的的管理员尽快根据需求进行更新。

安全提示

学校传统的以信息系统为防护目标的安全架构并不能很好地应对个人信息保护的需求。因为这些个人信息往往需要在学校的多个信息系统中共享和流转,而这些系统的防护等级并不统一,这可能导致高等级的数据信息从低防护等级的系统中泄漏出去。因此要保护个人信息,学校应该转变思路,引入数据资产的概念,先以资产的形式对学校所有的信息数据进行摸查,搞清楚到底有多少数据涉及用户信息和个人隐私,并对这些数据资产进行分级分类,最后以数据资产为防护目标按照相应的安全要求级别进行防护建设。

猜你喜欢
数据保护攻击者漏洞
漏洞
今日农业(2022年13期)2022-09-15
数据保护护航IT转型
——戴尔易安信数据保护解决方案
网络安全和信息化(2019年5期)2019-12-23
欧洲数据保护委员会通过《一般数据保护条例》相关准则
互联网天地(2019年11期)2019-11-29
欧盟通用数据保护条例中的数据保护官制度
中国科技论坛(2019年12期)2019-01-26
正面迎接批判
爱你·心灵读本(2018年6期)2018-09-10
正面迎接批判
爱你(2018年16期)2018-06-21
三明:“两票制”堵住加价漏洞
中国卫生(2016年5期)2016-11-12
漏洞在哪儿
儿童时代(2016年6期)2016-09-14
高铁急救应补齐三漏洞
中国卫生(2015年12期)2015-11-10
有限次重复博弈下的网络攻击行为研究
指挥与控制学报(2015年4期)2015-11-01

中国教育网络2019年5期

中国教育网络的其它文章
2019 年全国教育信息化工作会议在昆明召开
攻关校园安防 智能机器人“北邮一号”正式亮相
钟登华:深入推进教育信息化2.0发展更加公平更有质量的教育
第十四届中国电子信息技术年会在合肥召开
中国慕课大会在京举行
外媒速览
杂志排行

  1. 1《师道·教研》2024年10期

  2. 2《思维与智慧·上半月》2024年11期

  3. 3《现代工业经济和信息化》2024年2期

  4. 4《微型小说月报》2024年10期

  5. 5《工业微生物》2024年1期

  6. 6《雪莲》2024年9期

  7. 7《世界博览》2024年21期

  8. 8《中小企业管理与科技》2024年6期

  9. 9《现代食品》2024年4期

  10. 10《卫生职业教育》2024年10期

关于参考网