網絡安全從防患做起

文/本刊記者 楊燕婷

?

網絡安全從防患做起

文/本刊記者 楊燕婷

安全從來無小事，也不只是漏洞和破解，不只是黑客大牛和攻防高手，更重要的是從事安全工作的防護者和建設者，以及了解系統運轉及其業務的安全從業者，才是整個安全行業的基石。

暴露出問題的僅僅只是高校信息泄露的“冰山一角”，據調查發現，實際上由于學校網站掌握著大量集中性人群的個人信息，已成為信息安全“黑市”交易的香餑餑。

信息安全和隱私似乎是永恒的熱門話題，2015年的網絡安全界也注定是不平靜的一年。近日，360互聯網安全中心發布了《2015年中國網站安全報告》，對國內外十大網站安全事件進行了盤點。其中，我國社保系統、大麥網以及某電信系統存重大漏洞，導致眾多個人信息泄露成為重災區名列其中。接二連三的信息泄露事件讓每個人都岌岌可危，國內網站信息安全形勢在2015年顯得格外嚴峻。

而在教育行業，我國高校也成為了信息安全泄漏的重災區。據媒體報道，自2014年4月至2015年3月的12個月間，補天漏洞響應平臺上顯示的有效高校網站漏洞多達3495個，涉及高校網站1088個，并且網站存在嚴重漏洞的高校中不乏頂級學府。最令人擔憂的是，過去一年間，在被告知網站存在漏洞后，修復漏洞的高校網站只有35個，僅186個漏洞被修復，96.8%的高校網站完全無視安全漏洞的存在，94.6%的高校網站安全漏洞未被修復。暴露出問題的僅僅只是高校信息泄露的“冰山一角”，據調查發現，實際上由于學校網站掌握著大量集中性人群的個人信息，已成為信息安全“黑市”交易的香餑餑。

2015年國內高校安全事件盤點

那么在2015年度教育網內，又有哪些較為重要的安全事件值得關注呢？梳理以下事件，可以讓我們更清晰地看出高校網絡安全的問題所在。

2015年3月，教育網安全投訴事件中值得關注的是幾起發生在兩會期間的網頁篡改攻擊事件。這些被篡改的網站都是相關學校的專有業務系統（如教務系統、迎新系統等），由于這些業務系統中存在安全漏洞導致被人入侵并篡改了網頁內容。但是實際上述漏洞早已被廠商修補，但是學校卻沒有及時更新業務系統的版本，導致漏洞長期存在并被人利用。

5月高招期間，有媒體報道近千所高校網站存在嚴重的安全問題，可能導致大量的學生及教師信息被泄漏。但是實際上，相似內容的新聞在每年高考的前夕都會出現。這一方面說明每年高招期間高校網站都最引人關注，另一方面也說明有安全問題的網站其實一直都存在，因為這些有問題的網站在獲知漏洞存在后的修補率不足百分之五。

6月，在第二屆國家網絡安全宣傳周期間，某黑客組織攻破了部分高校的網站并進行了內容篡改。但是對被攻擊網站分析后發現，該組織只不過很早就入侵控制了這些網站，并在其中放置了網站后門，然后再向外定期公布這些網站被黑的信息。黑客入侵所利用的漏洞很多都是已經公布了很長時間的漏洞，如Struts2的漏洞，而這些網站被入侵實際上完全是可以避免的。

7月，進入暑期后，安全事件的投訴數量呈下降趨勢，但需要關注的安全事件是部分高校使用的清元優軟綜合教務系統存在嚴重的安全漏洞，導致相關網站被放置后門程序，漏洞實際已經被公布了多時，但是似乎并未引起相關廠商的重視，導致漏洞一直存在。同時，7月值得關注的是，國務院學位委員會、教育部決定在“工學”門類下增設“網絡空間安全”一級學科。

8月，暑假期間，大部分的投訴事件數量有所減少，但與網站安全有關的事件仍在高位數運行。這些網站的漏洞信息主要來源于比較紅火的各類安全眾測項目，這些項目依托眾測平臺及大量對安全感興趣的人對各類網站目標進行的安全檢測。由于安全愛好者里不乏在校大學生，所以測試目標有很多都是高校的網站，也因此檢測出很多高校網站的漏洞。

10月，針對各學校主頁的DDoS拒絕服務攻擊的數量呈上升趨勢，隨著主干網絡及各類主機帶寬的增加，通過僵尸網絡發起的拒絕服務攻擊產生的流量規模也在快速上升，攻擊者發動10G流量級別以上的拒絕服務攻擊變得輕而易舉。10G流量的規模是很多學校出口帶寬的規模，因此這類攻擊很多時候不僅僅是危害到攻擊目標本身，也是對校園網出口的一種考驗。另外，10月，為了聯合全國高校的力量，攜手應對教育行業日益增長的網絡安全威脅和信息安全挑戰，中國高等教育學會教育信息化分會網絡信息安全工作組成立。

11月，高校網站安全事件數量依然在高位運行，更多的安全事件投訴來源于學校的各種業務系統（如教務、招生、學籍管理等）。

回顧2015年CCERT安全月報也可發現，垃圾郵件、網站漏洞及入侵以及端口掃描一直占據教育網內安全投訴事件的前三位。從暴露出來的安全問題來看，教育網內頻繁發生的網站安全問題，網站管理人員技術水平不足僅僅只是一小部分原因，而網絡信息安全管理工作在高校網絡建設中長期得不到重視，導致人員和經費配置不足才是最直接主因。實際上很多問題網站被入侵完全可以避免，因為網站缺乏監管，在出現漏洞且被人入侵后都無人知曉，知曉后仍不主動修補漏洞，導致相關漏洞長期存在直至被黑客利用。

對于高校而言，隨著互聯網的普及和深入，龐大系統的穩定運行變得越來越重要，學校需要及時加強對信息網站的備案和監管，要求每個網站都應有專人管理并做好技術防護，定期進行安全評估，及時修補系統及網站中存在的漏洞。同時做好網絡信息安全人才的培養，建設一支健全、高效的網絡安全運維團隊。因為安全從來無小事，也不只是漏洞和破解，不只是黑客大牛和攻防高手，更重要的是從事安全工作的防護者和建設者，以及了解系統運轉及其業務的安全從業者，才是整個安全行業的基石。