文/本刊記者 楊燕婷

?

網(wǎng)絡(luò)安全從防患做起

文/本刊記者 楊燕婷

安全從來無小事，也不只是漏洞和破解，不只是黑客大牛和攻防高手，更重要的是從事安全工作的防護(hù)者和建設(shè)者，以及了解系統(tǒng)運(yùn)轉(zhuǎn)及其業(yè)務(wù)的安全從業(yè)者，才是整個(gè)安全行業(yè)的基石。

暴露出問題的僅僅只是高校信息泄露的“冰山一角”，據(jù)調(diào)查發(fā)現(xiàn)，實(shí)際上由于學(xué)校網(wǎng)站掌握著大量集中性人群的個(gè)人信息，已成為信息安全“黑市”交易的香餑餑。

信息安全和隱私似乎是永恒的熱門話題，2015年的網(wǎng)絡(luò)安全界也注定是不平靜的一年。近日，360互聯(lián)網(wǎng)安全中心發(fā)布了《2015年中國網(wǎng)站安全報(bào)告》，對(duì)國內(nèi)外十大網(wǎng)站安全事件進(jìn)行了盤點(diǎn)。其中，我國社保系統(tǒng)、大麥網(wǎng)以及某電信系統(tǒng)存重大漏洞，導(dǎo)致眾多個(gè)人信息泄露成為重災(zāi)區(qū)名列其中。接二連三的信息泄露事件讓每個(gè)人都岌岌可危，國內(nèi)網(wǎng)站信息安全形勢(shì)在2015年顯得格外嚴(yán)峻。

而在教育行業(yè)，我國高校也成為了信息安全泄漏的重災(zāi)區(qū)。據(jù)媒體報(bào)道，自2014年4月至2015年3月的12個(gè)月間，補(bǔ)天漏洞響應(yīng)平臺(tái)上顯示的有效高校網(wǎng)站漏洞多達(dá)3495個(gè)，涉及高校網(wǎng)站1088個(gè)，并且網(wǎng)站存在嚴(yán)重漏洞的高校中不乏頂級(jí)學(xué)府。最令人擔(dān)憂的是，過去一年間，在被告知網(wǎng)站存在漏洞后，修復(fù)漏洞的高校網(wǎng)站只有35個(gè)，僅186個(gè)漏洞被修復(fù)，96.8%的高校網(wǎng)站完全無視安全漏洞的存在，94.6%的高校網(wǎng)站安全漏洞未被修復(fù)。暴露出問題的僅僅只是高校信息泄露的“冰山一角”，據(jù)調(diào)查發(fā)現(xiàn)，實(shí)際上由于學(xué)校網(wǎng)站掌握著大量集中性人群的個(gè)人信息，已成為信息安全“黑市”交易的香餑餑。

2015年國內(nèi)高校安全事件盤點(diǎn)

那么在2015年度教育網(wǎng)內(nèi)，又有哪些較為重要的安全事件值得關(guān)注呢？梳理以下事件，可以讓我們更清晰地看出高校網(wǎng)絡(luò)安全的問題所在。

2015年3月，教育網(wǎng)安全投訴事件中值得關(guān)注的是幾起發(fā)生在兩會(huì)期間的網(wǎng)頁篡改攻擊事件。這些被篡改的網(wǎng)站都是相關(guān)學(xué)校的專有業(yè)務(wù)系統(tǒng)（如教務(wù)系統(tǒng)、迎新系統(tǒng)等），由于這些業(yè)務(wù)系統(tǒng)中存在安全漏洞導(dǎo)致被人入侵并篡改了網(wǎng)頁內(nèi)容。但是實(shí)際上述漏洞早已被廠商修補(bǔ)，但是學(xué)校卻沒有及時(shí)更新業(yè)務(wù)系統(tǒng)的版本，導(dǎo)致漏洞長期存在并被人利用。

5月高招期間，有媒體報(bào)道近千所高校網(wǎng)站存在嚴(yán)重的安全問題，可能導(dǎo)致大量的學(xué)生及教師信息被泄漏。但是實(shí)際上，相似內(nèi)容的新聞在每年高考的前夕都會(huì)出現(xiàn)。這一方面說明每年高招期間高校網(wǎng)站都最引人關(guān)注，另一方面也說明有安全問題的網(wǎng)站其實(shí)一直都存在，因?yàn)檫@些有問題的網(wǎng)站在獲知漏洞存在后的修補(bǔ)率不足百分之五。

6月，在第二屆國家網(wǎng)絡(luò)安全宣傳周期間，某黑客組織攻破了部分高校的網(wǎng)站并進(jìn)行了內(nèi)容篡改。但是對(duì)被攻擊網(wǎng)站分析后發(fā)現(xiàn)，該組織只不過很早就入侵控制了這些網(wǎng)站，并在其中放置了網(wǎng)站后門，然后再向外定期公布這些網(wǎng)站被黑的信息。黑客入侵所利用的漏洞很多都是已經(jīng)公布了很長時(shí)間的漏洞，如Struts2的漏洞，而這些網(wǎng)站被入侵實(shí)際上完全是可以避免的。

7月，進(jìn)入暑期后，安全事件的投訴數(shù)量呈下降趨勢(shì)，但需要關(guān)注的安全事件是部分高校使用的清元優(yōu)軟綜合教務(wù)系統(tǒng)存在嚴(yán)重的安全漏洞，導(dǎo)致相關(guān)網(wǎng)站被放置后門程序，漏洞實(shí)際已經(jīng)被公布了多時(shí)，但是似乎并未引起相關(guān)廠商的重視，導(dǎo)致漏洞一直存在。同時(shí)，7月值得關(guān)注的是，國務(wù)院學(xué)位委員會(huì)、教育部決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科。

8月，暑假期間，大部分的投訴事件數(shù)量有所減少，但與網(wǎng)站安全有關(guān)的事件仍在高位數(shù)運(yùn)行。這些網(wǎng)站的漏洞信息主要來源于比較紅火的各類安全眾測(cè)項(xiàng)目，這些項(xiàng)目依托眾測(cè)平臺(tái)及大量對(duì)安全感興趣的人對(duì)各類網(wǎng)站目標(biāo)進(jìn)行的安全檢測(cè)。由于安全愛好者里不乏在校大學(xué)生，所以測(cè)試目標(biāo)有很多都是高校的網(wǎng)站，也因此檢測(cè)出很多高校網(wǎng)站的漏洞。

10月，針對(duì)各學(xué)校主頁的DDoS拒絕服務(wù)攻擊的數(shù)量呈上升趨勢(shì)，隨著主干網(wǎng)絡(luò)及各類主機(jī)帶寬的增加，通過僵尸網(wǎng)絡(luò)發(fā)起的拒絕服務(wù)攻擊產(chǎn)生的流量規(guī)模也在快速上升，攻擊者發(fā)動(dòng)10G流量級(jí)別以上的拒絕服務(wù)攻擊變得輕而易舉。10G流量的規(guī)模是很多學(xué)校出口帶寬的規(guī)模，因此這類攻擊很多時(shí)候不僅僅是危害到攻擊目標(biāo)本身，也是對(duì)校園網(wǎng)出口的一種考驗(yàn)。另外，10月，為了聯(lián)合全國高校的力量，攜手應(yīng)對(duì)教育行業(yè)日益增長的網(wǎng)絡(luò)安全威脅和信息安全挑戰(zhàn)，中國高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)信息安全工作組成立。

11月，高校網(wǎng)站安全事件數(shù)量依然在高位運(yùn)行，更多的安全事件投訴來源于學(xué)校的各種業(yè)務(wù)系統(tǒng)（如教務(wù)、招生、學(xué)籍管理等）。

回顧2015年CCERT安全月報(bào)也可發(fā)現(xiàn)，垃圾郵件、網(wǎng)站漏洞及入侵以及端口掃描一直占據(jù)教育網(wǎng)內(nèi)安全投訴事件的前三位。從暴露出來的安全問題來看，教育網(wǎng)內(nèi)頻繁發(fā)生的網(wǎng)站安全問題，網(wǎng)站管理人員技術(shù)水平不足僅僅只是一小部分原因，而網(wǎng)絡(luò)信息安全管理工作在高校網(wǎng)絡(luò)建設(shè)中長期得不到重視，導(dǎo)致人員和經(jīng)費(fèi)配置不足才是最直接主因。實(shí)際上很多問題網(wǎng)站被入侵完全可以避免，因?yàn)榫W(wǎng)站缺乏監(jiān)管，在出現(xiàn)漏洞且被人入侵后都無人知曉，知曉后仍不主動(dòng)修補(bǔ)漏洞，導(dǎo)致相關(guān)漏洞長期存在直至被黑客利用。

對(duì)于高校而言，隨著互聯(lián)網(wǎng)的普及和深入，龐大系統(tǒng)的穩(wěn)定運(yùn)行變得越來越重要，學(xué)校需要及時(shí)加強(qiáng)對(duì)信息網(wǎng)站的備案和監(jiān)管，要求每個(gè)網(wǎng)站都應(yīng)有專人管理并做好技術(shù)防護(hù)，定期進(jìn)行安全評(píng)估，及時(shí)修補(bǔ)系統(tǒng)及網(wǎng)站中存在的漏洞。同時(shí)做好網(wǎng)絡(luò)信息安全人才的培養(yǎng)，建設(shè)一支健全、高效的網(wǎng)絡(luò)安全運(yùn)維團(tuán)隊(duì)。因?yàn)榘踩珡膩頍o小事，也不只是漏洞和破解，不只是黑客大牛和攻防高手，更重要的是從事安全工作的防護(hù)者和建設(shè)者，以及了解系統(tǒng)運(yùn)轉(zhuǎn)及其業(yè)務(wù)的安全從業(yè)者，才是整個(gè)安全行業(yè)的基石。