您是否知道，平均而言，黑客每39 秒攻擊一次可以訪問 Internet 的計算機？擁有易于破解的用戶名和密碼，如“root”、“admin”、“test”、“test123”等，只會讓他們的工作更輕松。教育機構(gòu)的數(shù)據(jù)非常關(guān)鍵，但沒有多少人將數(shù)據(jù)安全視為他們的首要任務(wù)之一。未能保護學(xué)生數(shù)據(jù)不僅會影響學(xué)院的聲譽，而且他們還有義務(wù)對每條被泄露的記錄支付巨額罰款。然而，隨著技術(shù)控制信息的增加和安全漏洞的增加，教育機構(gòu)正在慢慢接受數(shù)據(jù)安全實踐。

關(guān)于教育機構(gòu)數(shù)據(jù)泄露的一些事實

平均而言，僅在美國，每天就有超過6000 萬學(xué)生和教師使用該機構(gòu)的互聯(lián)網(wǎng)和其他內(nèi)部在線應(yīng)用程序。如此多的關(guān)于學(xué)生、教師和機構(gòu)的信息和數(shù)據(jù)都暴露在外，隨時可供訪問。未能保護這些數(shù)據(jù)可能會導(dǎo)致關(guān)鍵數(shù)據(jù)和個人信息的巨大損失。

以下是過去 10 年影響一些頂級教育機構(gòu)的一些數(shù)據(jù)攻擊。從ITRC 資源中心收集的數(shù)據(jù)。

亞利桑那州的馬里科帕社區(qū)學(xué)院發(fā)生了兩次背靠背的數(shù)據(jù)泄露攻擊——一次發(fā)生在 2011 年，另一次發(fā)生在 2013 年。屬于學(xué)生、教師和供應(yīng)商的大量個人數(shù)據(jù)（例如姓名、地址和社會安全號碼）被泄露并在網(wǎng)上銷售。

2019 年，未經(jīng)授權(quán)訪問 Web 應(yīng)用程序?qū)е伦糁蝸喞砉W(xué)院發(fā)生大規(guī)模數(shù)據(jù)泄露事件。大約 130 萬用戶（員工、學(xué)生、教職員工）的個人信息遭到泄露。

在這個技術(shù)世界中，我們往往會忘記網(wǎng)絡(luò)犯罪也可能發(fā)生在物理世界中！2017 年，華盛頓州立大學(xué)鎖定了一個硬盤，其中包含大約 110 萬用戶的關(guān)鍵信息。不用說，這個硬盤被盜了，數(shù)據(jù)也被泄露了。該大學(xué)必須向該數(shù)據(jù)庫犯罪中的每個受害者支付 5000 美元作為和解金，以便其他教育機構(gòu)加強其安全系統(tǒng)以避免此類違規(guī)行為。

教育機構(gòu)的頂級數(shù)據(jù)安全提示

學(xué)校和大學(xué)發(fā)生數(shù)據(jù)泄露的幾個主要原因是網(wǎng)絡(luò)防火墻薄弱、未經(jīng)授權(quán)的訪問、缺乏網(wǎng)絡(luò)犯罪響應(yīng)計劃等等。但大多數(shù)網(wǎng)絡(luò)安全攻擊都是由于人為錯誤造成的——95%的時間！

然而，遵循一些指導(dǎo)方針和程序可以幫助教育機構(gòu)更好地保護他們的數(shù)據(jù)——

數(shù)據(jù)存儲

許多教育機構(gòu)更喜歡本地存儲，因為它可以完全控制數(shù)據(jù)。物理安全是這里的一個大問題，應(yīng)采取措施保護數(shù)據(jù)服務(wù)器。然而，大型機構(gòu)的另一個選擇是使用基于云的存儲選項。它不僅提供更多空間（易于擴展），還提供各種保護數(shù)據(jù)隱私的選項。這里有一些提示可以幫助您做出更好的選擇——

選擇本地存儲時，請確保實施數(shù)據(jù)加密。（不要忘記安全存儲加密密鑰）

確保您的前員工（被解雇或心懷不滿）在離開機構(gòu)后無法訪問服務(wù)器。

選擇提供高級安全性的基于云的服務(wù)，如強加密、SSL/TSL 協(xié)議、零知識加密（密鑰不會由提供商存儲）。

私有云為公共云服務(wù)器提供了更高的安全性和控制。

探索混合數(shù)據(jù)存儲解決方案，該解決方案提供基于云的存儲和基于本地的存儲的完美組合。

強大的數(shù)據(jù)隱私標準

教育機構(gòu)處理各種數(shù)據(jù)。在學(xué)生到教師到管理之間傳輸?shù)臄?shù)據(jù)。有了嚴格的數(shù)據(jù)安全標準和政策，就可以防止數(shù)據(jù)泄露。

應(yīng)實施社交媒體法以避免網(wǎng)絡(luò)釣魚攻擊、網(wǎng)絡(luò)欺凌和數(shù)據(jù)泄露。學(xué)生和教職員工應(yīng)接受培訓(xùn)并告知如何在機構(gòu)網(wǎng)絡(luò)上安全使用社交媒體

電子郵件政策應(yīng)包括警告教職員工和學(xué)生通過電子郵件共享個人信息、在發(fā)送大量電子郵件時使用密件抄送、避免共享極其敏感的數(shù)據(jù)等。

應(yīng)制定有關(guān)訪問互聯(lián)網(wǎng)的政策。例如，應(yīng)警告學(xué)生和教職員工不要使用包含露骨內(nèi)容、沒有 SSL 證書 (https)、點擊有害鏈接等的網(wǎng)站。

內(nèi)容過濾器和互聯(lián)網(wǎng)防火墻應(yīng)經(jīng)常更新，限制對垃圾郵件站點和不當內(nèi)容的訪問。

安全的內(nèi)容管理系統(tǒng)

教育機構(gòu)的網(wǎng)站很容易受到攻擊，因為它是數(shù)據(jù)庫的一個簡單入口。考慮到網(wǎng)站擁有大量重要的學(xué)生和管理信息，保護它變得更加重要。

在選擇安全的 CMS 之前應(yīng)該記住的事情 -

開源 CMS 始終是更好的選擇，因為它由不斷致力于改進 CMS 的社區(qū)提供支持。

精細的內(nèi)容和訪問控制。

單點登錄為擁有多個資源中心的機構(gòu)提供更安全的環(huán)境。

安全意識計劃

正如我們之前所討論的，95% 的網(wǎng)絡(luò)犯罪是由于人為錯誤而發(fā)生的。因此，組織頻繁的安全意識計劃和教育學(xué)生、教師和管理人員變得非常重要。安全威脅的類型和級別隨著時間的推移而變化，因此定期更新安全策略和合規(guī)性法規(guī)非常重要。你的意識計劃應(yīng)該包括什么？

應(yīng)注意正確選擇數(shù)字通信方法以及如何安全使用它們。

關(guān)于登錄保護的定期培訓(xùn)課程，包括強密碼和用戶名，以及為什么他們不應(yīng)該與任何人共享。

意識到點擊有害的第三方鏈接和下載惡意電子郵件附件。

由于大多數(shù)員工都不是非常精通技術(shù)，因此培訓(xùn)他們在發(fā)現(xiàn)問題后立即向 IT 部門報告是非常重要的。

對員工和學(xué)生進行安全可靠的在線購物培訓(xùn)。

持續(xù)監(jiān)控數(shù)據(jù)

隨著大量敏感數(shù)據(jù)在教育機構(gòu)中存儲和移動，很難找到攻擊的根本原因。保持數(shù)據(jù)透明并且 IT 人員知道數(shù)據(jù)的確切存儲位置和移動位置非常重要。解決方案？數(shù)據(jù)丟失防護 (DLP) 系統(tǒng)。DLP 軟件提供了一組工具和流程，可確保數(shù)據(jù)不被違反、丟失或濫用。

它提供了對數(shù)據(jù)和控制的深入分析和可見性，有助于保護它。

在任何數(shù)據(jù)泄露之前，可以阻止可疑帳戶。

識別任何違反機構(gòu)政策的行為。

允許跟蹤網(wǎng)絡(luò)和端點上的數(shù)據(jù)。

限制使用便攜式設(shè)備

大部分學(xué)生的普遍做法是使用便攜式設(shè)備（如 USB）隨身攜帶他們的工作并將它們連接到教育機構(gòu)的計算機。這是一個簡單但巨大的漏洞，需要立即關(guān)注。

應(yīng)建立關(guān)于如何在校園內(nèi)安全使用便攜式設(shè)備的意識。

鼓勵使用可自動加密數(shù)據(jù)的設(shè)備。

DLP 工具還可以通過限制便攜式設(shè)備的訪問和使用來提供幫助。

準備好應(yīng)急計劃

嚴格執(zhí)行上述策略可以防止數(shù)據(jù)泄露，但不能完全排除這種可能性。始終確保制定了災(zāi)難恢復(fù)計劃。IT 人員應(yīng)確保即使在受到黑客攻擊后，其他一切仍能順利運行，不會出現(xiàn)任何故障。擁有保險來支付數(shù)據(jù)泄露攻擊后的成本非常重要。

技術(shù)有利也有弊。在這個快速發(fā)展的技術(shù)世界中，保護敏感和個人數(shù)據(jù)變得更加重要。學(xué)校和大學(xué)處理大量關(guān)于學(xué)生、家長、教職員工和管理層的重要信息。登錄憑據(jù)、地址、社會安全號碼等信息有被壞世界泄露和濫用的風險。教育機構(gòu)是第二個最容易受到黑客攻擊的行業(yè)。實施數(shù)據(jù)安全策略有助于減輕可能的攻擊。