我國高?;虺蔀樾畔踩孤┑闹貫?zāi)區(qū)?!督?jīng)濟(jì)參考報(bào)》記者日前對補(bǔ)天漏洞響應(yīng)平臺的數(shù)據(jù)梳理發(fā)現(xiàn),自2014年4月至2015年3月的12個(gè)月間,補(bǔ)天平臺上顯示的有效高校網(wǎng)站漏洞多達(dá)3495個(gè),涉及高校網(wǎng)站1088個(gè)。其中,高危漏洞2611個(gè),占74.7%;中危漏洞691個(gè),占19.8%;低危漏洞193個(gè),占5.5%。
在上述漏洞中,至少有384個(gè)漏洞可能造成教職員工或?qū)W生個(gè)人信息泄漏,一旦這些漏洞全部被惡意利用,至少會導(dǎo)致837萬以上的教職員工及學(xué)生個(gè)人信息泄漏。令人擔(dān)憂的是,過去一年間,在被告知網(wǎng)站存在漏洞后,會修復(fù)漏洞的高校網(wǎng)站只有35個(gè),僅186個(gè)漏洞被修復(fù),96.8%的高校網(wǎng)站完全無視安全漏洞的存在,94.6%的高校網(wǎng)站安全漏洞未被修復(fù)。
統(tǒng)計(jì)結(jié)果顯示,網(wǎng)站存在嚴(yán)重漏洞的高校中不乏頂級學(xué)府,如山東大學(xué)、浙江大學(xué)、廈門大學(xué)、東北師范大學(xué)、中國地質(zhì)大學(xué)、北京師范大學(xué)、北京大學(xué)、中國人民大學(xué)、清華大學(xué)、中國礦業(yè)大學(xué)等。
《經(jīng)濟(jì)參考報(bào)》記者通過多個(gè)渠道聯(lián)系到了幾位高校漏洞的黑客。他們表示,很多高校網(wǎng)站的信息安全漏洞都非常低級,卻會造成很嚴(yán)重的后果,一旦不法分子利用這些漏洞,就可以輕而易舉地入侵郵件系統(tǒng),獲取科研項(xiàng)目和領(lǐng)導(dǎo)機(jī)密,篡改網(wǎng)頁,植入任意內(nèi)容,控制大量電腦并侵入校園網(wǎng)絡(luò),發(fā)動APT(進(jìn)階持續(xù)性威脅)攻擊,竊取賬號密碼等個(gè)人信息等。
實(shí)際上,由于學(xué)校網(wǎng)站掌握著大量集中性人群的個(gè)人信息,已成為信息安全“黑市”交易的香餑餑。
在一家國有企業(yè)做技術(shù)的王樂(化名)向記者講述了自己信息泄露后被騷擾的經(jīng)歷。他在2014年秋季報(bào)考了清華MBA,同時(shí)通過學(xué)校網(wǎng)站填寫了相關(guān)資料并上傳。令他感到奇怪的是,在他備考期間,其郵箱和手機(jī)都會接到關(guān)于買賣答案、修改成績等信息,以及輔導(dǎo)班等機(jī)構(gòu)的電話騷擾,其中不乏詐騙電話。
“我們預(yù)錄取的同學(xué)很多都和我的情況一模一樣。我平時(shí)非常注意保護(hù)個(gè)人隱私,但是他們對我的個(gè)人信息掌握得非常準(zhǔn)確,有一次詐騙電話甚至準(zhǔn)確說出我的名字、單位和部門,很明顯我們的信息已經(jīng)被泄露了。”王樂邊說邊向記者展示了其郵箱和手機(jī)接收到的騷擾信息。
王樂及其同學(xué)們的經(jīng)歷不過是高校信息泄露的“冰山一角”。記者了解到,根據(jù)國家統(tǒng)計(jì)局發(fā)布的《2014年國民經(jīng)濟(jì)和社會發(fā)展統(tǒng)計(jì)公報(bào)》顯示,2014年我國普通本??圃谛I_(dá)2547.7萬人,全年研究生招生62.1萬人,在學(xué)研究生184.8萬人。
西安交通大學(xué)信息安全法律研究中心主任馬民虎在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時(shí)表示,一方面高校涉及人數(shù)眾多,并且包括大量學(xué)生和老師的隱私信息,另一方面很多重要院校還承擔(dān)著國家諸多重要科研和軍工項(xiàng)目,這些都可能成為不法分子的目標(biāo)。一旦信息大量泄露,后果非常嚴(yán)重。
實(shí)際上,教育部曾于2014年10月下發(fā)《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南(試行)》,要求部屬各高等學(xué)校加強(qiáng)教育行業(yè)信息安全工作,并要求高校參照國家對信息系統(tǒng)的安全保護(hù)等級標(biāo)準(zhǔn)的等級劃分,形成教育行業(yè)信息系統(tǒng)安全等級劃分。
落實(shí)高校信息安全責(zé)任制也是教育部2015年重要工作。記者查閱教育部網(wǎng)站獲悉,教育部辦公廳近期印發(fā)的《2015年教育信息化工作要點(diǎn)》明確提出,2015年將研究制定部直屬機(jī)關(guān)和部屬高校加強(qiáng)信息技術(shù)安全的指導(dǎo)意見,進(jìn)一步落實(shí)安全責(zé)任制度,健全工作機(jī)制。并與公安部聯(lián)合部署信息系統(tǒng)安全等級保護(hù)工作,建立部屬單位網(wǎng)絡(luò)安全通報(bào)機(jī)制,指導(dǎo)各單位建立完善的安全事件應(yīng)急預(yù)案和安全事件監(jiān)測體制。
馬民虎告訴記者,盡管教育部頻頻下文,但目前高校對于信息安全并不十分重視,折射我國在信息安全立法方面的空白。
“這從一個(gè)側(cè)面反映出我國對于網(wǎng)絡(luò)和信息安全責(zé)任落實(shí)有多么嚴(yán)重的漏洞。”中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會主任嚴(yán)明在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時(shí)建議,必須真正提高對信息安全重要程度的認(rèn)識,特別是要建立“首席安全官”制度,加強(qiáng)問責(zé),像安監(jiān)、環(huán)保等部門一樣,把責(zé)任落實(shí)到人,彌補(bǔ)我國在信息安全方面的責(zé)任缺位問題。