网络安全从防患做起

文/本刊记者 杨燕婷



网络安全从防患做起

文/本刊记者 杨燕婷

安全从来无小事，也不只是漏洞和破解，不只是黑客大牛和攻防高手，更重要的是从事安全工作的防护者和建设者，以及了解系统运转及其业务的安全从业者，才是整个安全行业的基石。

暴露出问题的仅仅只是高校信息泄露的“冰山一角”，据调查发现，实际上由于学校网站掌握着大量集中性人群的个人信息，已成为信息安全“黑市”交易的香饽饽。

信息安全和隐私似乎是永恒的热门话题，2015年的网络安全界也注定是不平静的一年。近日，360互联网安全中心发布了《2015年中国网站安全报告》，对国内外十大网站安全事件进行了盘点。其中，我国社保系统、大麦网以及某电信系统存重大漏洞，导致众多个人信息泄露成为重灾区名列其中。接二连三的信息泄露事件让每个人都岌岌可危，国内网站信息安全形势在2015年显得格外严峻。

而在教育行业，我国高校也成为了信息安全泄漏的重灾区。据媒体报道，自2014年4月至2015年3月的12个月间，补天漏洞响应平台上显示的有效高校网站漏洞多达3495个，涉及高校网站1088个，并且网站存在严重漏洞的高校中不乏顶级学府。最令人担忧的是，过去一年间，在被告知网站存在漏洞后，修复漏洞的高校网站只有35个，仅186个漏洞被修复，96.8%的高校网站完全无视安全漏洞的存在，94.6%的高校网站安全漏洞未被修复。暴露出问题的仅仅只是高校信息泄露的“冰山一角”，据调查发现，实际上由于学校网站掌握着大量集中性人群的个人信息，已成为信息安全“黑市”交易的香饽饽。

2015年国内高校安全事件盘点

那么在2015年度教育网内，又有哪些较为重要的安全事件值得关注呢？梳理以下事件，可以让我们更清晰地看出高校网络安全的问题所在。

2015年3月，教育网安全投诉事件中值得关注的是几起发生在两会期间的网页篡改攻击事件。这些被篡改的网站都是相关学校的专有业务系统（如教务系统、迎新系统等），由于这些业务系统中存在安全漏洞导致被人入侵并篡改了网页内容。但是实际上述漏洞早已被厂商修补，但是学校却没有及时更新业务系统的版本，导致漏洞长期存在并被人利用。

5月高招期间，有媒体报道近千所高校网站存在严重的安全问题，可能导致大量的学生及教师信息被泄漏。但是实际上，相似内容的新闻在每年高考的前夕都会出现。这一方面说明每年高招期间高校网站都最引人关注，另一方面也说明有安全问题的网站其实一直都存在，因为这些有问题的网站在获知漏洞存在后的修补率不足百分之五。

6月，在第二届国家网络安全宣传周期间，某黑客组织攻破了部分高校的网站并进行了内容篡改。但是对被攻击网站分析后发现，该组织只不过很早就入侵控制了这些网站，并在其中放置了网站后门，然后再向外定期公布这些网站被黑的信息。黑客入侵所利用的漏洞很多都是已经公布了很长时间的漏洞，如Struts2的漏洞，而这些网站被入侵实际上完全是可以避免的。

7月，进入暑期后，安全事件的投诉数量呈下降趋势，但需要关注的安全事件是部分高校使用的清元优软综合教务系统存在严重的安全漏洞，导致相关网站被放置后门程序，漏洞实际已经被公布了多时，但是似乎并未引起相关厂商的重视，导致漏洞一直存在。同时，7月值得关注的是，国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科。

8月，暑假期间，大部分的投诉事件数量有所减少，但与网站安全有关的事件仍在高位数运行。这些网站的漏洞信息主要来源于比较红火的各类安全众测项目，这些项目依托众测平台及大量对安全感兴趣的人对各类网站目标进行的安全检测。由于安全爱好者里不乏在校大学生，所以测试目标有很多都是高校的网站，也因此检测出很多高校网站的漏洞。

10月，针对各学校主页的DDoS拒绝服务攻击的数量呈上升趋势，随着主干网络及各类主机带宽的增加，通过僵尸网络发起的拒绝服务攻击产生的流量规模也在快速上升，攻击者发动10G流量级别以上的拒绝服务攻击变得轻而易举。10G流量的规模是很多学校出口带宽的规模，因此这类攻击很多时候不仅仅是危害到攻击目标本身，也是对校园网出口的一种考验。另外，10月，为了联合全国高校的力量，携手应对教育行业日益增长的网络安全威胁和信息安全挑战，中国高等教育学会教育信息化分会网络信息安全工作组成立。

11月，高校网站安全事件数量依然在高位运行，更多的安全事件投诉来源于学校的各种业务系统（如教务、招生、学籍管理等）。

回顾2015年CCERT安全月报也可发现，垃圾邮件、网站漏洞及入侵以及端口扫描一直占据教育网内安全投诉事件的前三位。从暴露出来的安全问题来看，教育网内频繁发生的网站安全问题，网站管理人员技术水平不足仅仅只是一小部分原因，而网络信息安全管理工作在高校网络建设中长期得不到重视，导致人员和经费配置不足才是最直接主因。实际上很多问题网站被入侵完全可以避免，因为网站缺乏监管，在出现漏洞且被人入侵后都无人知晓，知晓后仍不主动修补漏洞，导致相关漏洞长期存在直至被黑客利用。

对于高校而言，随着互联网的普及和深入，庞大系统的稳定运行变得越来越重要，学校需要及时加强对信息网站的备案和监管，要求每个网站都应有专人管理并做好技术防护，定期进行安全评估，及时修补系统及网站中存在的漏洞。同时做好网络信息安全人才的培养，建设一支健全、高效的网络安全运维团队。因为安全从来无小事，也不只是漏洞和破解，不只是黑客大牛和攻防高手，更重要的是从事安全工作的防护者和建设者，以及了解系统运转及其业务的安全从业者，才是整个安全行业的基石。