高校网站信息存泄漏风险

导语 高校信息泄漏是一件非常危险的事情，但我国高校却是成为信息安全泄漏的重灾区。

　　有专家日前对补天漏洞响应平台的数据梳理发现，自2014年4月至2015年3月的12个月间，补天平台上显示的有效高校网站漏洞多达3495个，涉及高校网站1088个。其中，高危漏洞2611个，占74.7%;中危漏洞691个，占19.8%;低危漏洞193个，占5.5%。

　　在上述漏洞中，至少有384个漏洞可能造成教职员工或学生个人信息泄漏，一旦这些漏洞全部被恶意利用，至少会导致837万以上的教职员工及学生个人信息泄漏。令人担忧的是，过去一年间，在被告知网站存在漏洞后，会修复漏洞的高校网站只有35个，仅186个漏洞被修复，96.8%的高校网站完全无视安全漏洞的存在，94.6%的高校网站安全漏洞未被修复。

　　统计结果显示，网站存在严重漏洞的高校中不乏顶级学府，如山东大学、浙江大学、厦门大学、东北师范大学、中国地质大学、北京师范大学、北京大学、中国人民大学、清华大学、中国矿业大学等。

　　很多高校网站的信息安全漏洞都非常低级，却会造成很严重的后果，一旦不法分子利用这些漏洞，就可以轻而易举地入侵邮件系统，获取科研项目和领导机密，篡改网页，植入任意内容，控制大量电脑并侵入校园网络，发动APT(进阶持续性威胁)攻击，窃取账号密码等个人信息等。

　　实际上，由于学校网站掌握着大量集中性人群的个人信息，已成为信息安全“黑市”交易的香饽饽。

　　根据国家统计局发布的《2014年国民经济和社会发展统计公报》显示，2014年我国普通本专科在校生达2547.7万人，全年研究生招生62.1万人，在学研究生184.8万人。一方面高校涉及人数众多，并且包括大量学生和老师的隐私信息，另一方面很多重要院校还承担着国家诸多重要科研和军工项目，这些都可能成为不法分子的目标。一旦信息大量泄漏，后果非常严重。

　　实际上，教育部曾于2014年10月下发《教育行业信息系统安全等级保护定级工作指南(试行)》，要求部属各高等学校加强教育行业信息安全工作，并要求高校参照国家对信息系统的安全保护等级标准的等级划分，形成教育行业信息系统安全等级划分。

　　落实高校信息安全责任制也是教育部2015年重要工作。教育部办公厅近期印发的《2015年教育信息化工作要点》明确提出，2015年将研究制定部直属机关和部属高校加强信息技术安全的指导意见，进一步落实安全责任制度，健全工作机制。并与公安部联合部署信息系统安全等级保护工作，建立部属单位网络安全通报机制，指导各单位建立完善的安全事件应急预案和安全事件监测体制。

　　尽管教育部频频下文，但目前高校对于信息安全并不十分重视，折射我国在信息安全立法方面的空白。