7月1日,有网友发文称,中国人民大学一硕士毕业生盗取全校学生个人信息,制作颜值打分网站供人查看,被泄露的信息包含学号、姓名、学院、家乡、生日等。#人大泄露信息#话题登上热搜,引发广泛关注。
▲ 图片来自网页截图
7月2日,中国人民大学就此事发布通报:
▲ 图片来自网页截图
7月3日,平安北京海淀针对“中国人民大学部分学生信息被非法获取”的情况发布情况通报:
▲ 图片来自网页截图
此次事件并不是学生信息泄露被曝出的第一次。2016年徐玉玉案,也是因为个人信息被泄露,让电信诈骗分子有机可乘,不仅骗光了徐玉玉的全部学费,也骗走了这个18岁女孩的年轻生命。
而就在去年,西安警方接到了西北工业大学的报警称,学校信息系统和教职工个人电脑受到境外黑客攻击,广大师生的重要数据受到重大威胁。
……类似事件数不胜数!
尤其是在互联网时代,个人信息泄露已然并不鲜见。据权威数据调查显示,个人信息数据是泄露最多的数据。仅2022年3-9月,就有868.8亿条个人信息泄露数据,相当于14亿中国人平均每人泄露了约62条个人信息数据。
而学校,更是个人信息密集之地。从小学到大学,我们都在不断填写、更新各种有关个人信息情况表。如今数字化时代,这些信息又被转化成电子数据,以便储存和管理。
一旦这些学生信息被泄露,极易被不法分子或别有用心之人利用。而学生又往往因为承担风险的能力和抗压能力不高,最终产生的后果将十分恶劣。
此次,人大学生信息泄露事件再次为我们敲响了警钟,对学生个人信息的保护必须加快提上议事日程。
从学生自身层面,要加强个人信息保护意识,例如,在使用的各大平台软件时,养成定期更换密码、密码不统一等习惯。
从学校管理层面,在制度上要提升学生信息安全的管理意识,尤其是个人数据,既要最小化采集,也要集中存储和管理。
从技术防护层面,加强校园网络安全建设,强化数字时代智慧校园的数字安全与信息安全,防止未经授权的访问和数据窃取等非法行为。
例如,学校可以借助IAM技术,构建校园统一身份管理与权限管控平台,控制“谁”可以访问“谁”,并充分利用最小权限原则和持续动态原则,让数字身份欺诈及时被识别并阻断,从而保护信息免遭窃取。
此外,通过全面梳理校园所有身份账户,识别出弱密码、僵尸账户、幽灵账户等风险账户和密码,杜绝外部人员利用这些风险账户有机可乘。
在网络接入访问安全层面,学校可以采取SDP技术,在终端访问接入内部网络前先经由SDP构建的安全边界,始终保持先验证后连接访问,并基于会话的持续验证,让学校网络安全的暴露面极致收敛。
在数据安全层面,采用API网关等技术,实现流量过滤、渗透测试防护、身份认证、鉴权功能等,并对业务流量数据加解密、加验签、数据脱敏、数据校验,有效保障数据安全。
此外,利用数据库安全技术,实现一站式数据库访问操作入口,提供操作权限、导出权限、行列过滤、限时限量限次、高危资源控制、脱敏加密、数据水印等360度数据防控手段,粒度控制到列等。
以上只是列举了部分技术安全防护手段,学校可以结合自身实际情况采取相适用的技术安全防护措施,从而保护学校师生的个人信息安全,亦是在保护学校自身的数据资产。
总而言之,此次人大学生信息泄露事件再次提醒我们,学校不能成为个人信息保护“被遗忘的角落”,保护个人信息安全,道阻且长!