千余高校網站存資訊泄漏風險 多所頂級學府"上榜"
- 發佈時間:2015-05-20 07:15:16 來源:經濟參考報 責任編輯:金瀟
我國高校或成為資訊安全泄漏的重災區。《經濟參考報》記者日前對補天漏洞響應平臺的數據梳理髮現,自2014年4月至2015年3月的12個月間,補天平臺上顯示的有效高校網站漏洞多達3495個,涉及高校網站1088個。其中,高危漏洞2611個,佔74.7%;中危漏洞691個,佔19.8%;低危漏洞193個,佔5.5%。
在上述漏洞中,至少有384個漏洞可能造成教職員工或學生個人資訊泄漏,一旦這些漏洞全部被惡意利用,至少會導致837萬以上的教職員工及學生個人資訊泄漏。令人擔憂的是,過去一年間,在被告知網站存在漏洞後,會修復漏洞的高校網站只有35個,僅186個漏洞被修復,96.8%的高校網站完全無視安全漏洞的存在,94.6%的高校網站安全漏洞未被修復。
統計結果顯示,網站存在嚴重漏洞的高校中不乏頂級學府,如山東大學、浙江大學、廈門大學、東北師範大學、中國地質大學、北京師範大學、北京大學、中國人民大學、清華大學、中國礦業大學等。
《經濟參考報》記者通過多個渠道聯繫到了幾位高校漏洞的駭客。他們表示,很多高校網站的資訊安全漏洞都非常低級,卻會造成很嚴重的後果,一旦不法分子利用這些漏洞,就可以輕而易舉地入侵郵件系統,獲取科研項目和領導機密,篡改網頁,植入任意內容,控制大量電腦並侵入校園網路,發動APT(進階持續性威脅)攻擊,竊取賬號密碼等個人資訊等。
實際上,由於學校網站掌握著大量集中性人群的個人資訊,已成為資訊安全“黑市”交易的香餑餑。
在一家國有企業做技術的王樂(化名)向記者講述了自己資訊洩露後被騷擾的經歷。他在2014年秋季報考了清華MBA,同時通過學校網站填寫了相關資料並上傳。令他感到奇怪的是,在他備考期間,其郵箱和手機都會接到關於買賣答案、修改成績等資訊,以及輔導班等機構的電話騷擾,其中不乏詐騙電話。
“我們預錄取的同學很多都和我的情況一模一樣。我平時非常注意保護個人隱私,但是他們對我的個人資訊掌握得非常準確,有一次詐騙電話甚至準確説出我的名字、單位和部門,很明顯我們的資訊已經被洩露了。”王樂邊説邊向記者展示了其郵箱和手機接收到的騷擾資訊。
王樂及其同學們的經歷不過是高校資訊洩露的“冰山一角”。記者了解到,根據國家統計局發佈的《2014年國民經濟和社會發展統計公報》顯示,2014年我國普通本專科在校生達2547.7萬人,全年研究生招生62.1萬人,在學研究生184.8萬人。
西安交通大學資訊安全法律研究中心主任馬民虎在接受《經濟參考報》記者採訪時表示,一方面高校涉及人數眾多,並且包括大量學生和老師的隱私資訊,另一方面很多重要院校還承擔著國家諸多重要科研和軍工項目,這些都可能成為不法分子的目標。一旦資訊大量泄漏,後果非常嚴重。
實際上,教育部曾于2014年10月下發《教育行業資訊系統安全等級保護定級工作指南(試行)》,要求部屬各高等學校加強教育行業資訊安全工作,並要求高校參照國家對資訊系統的安全保護等級標準的等級劃分,形成教育行業資訊系統安全等級劃分。
落實高校資訊安全責任制也是教育部2015年重要工作。記者查閱教育部網站獲悉,教育部辦公廳近期印發的《2015年教育資訊化工作要點》明確提出,2015年將研究制定部直屬機關和部屬高校加強資訊技術安全的指導意見,進一步落實安全責任制度,健全工作機制。並與公安部聯合部署資訊系統安全等級保護工作,建立部屬單位網路安全通報機制,指導各單位建立完善的安全事件應急預案和安全事件監測體制。
馬民虎告訴記者,儘管教育部頻頻下文,但目前高校對於資訊安全並不十分重視,折射我國在資訊安全立法方面的空白。
“這從一個側面反映出我國對於網路和資訊安全責任落實有多麼嚴重的漏洞。”中國電腦學會電腦安全專業委員會主任嚴明在接受《經濟參考報》記者採訪時建議,必須真正提高對資訊安全重要程度的認識,特別是要建立“首席安全官”制度,加強問責,像安監、環保等部門一樣,把責任落實到人,彌補我國在資訊安全方面的責任缺位問題。