“修改成績(jī)�����、竊取個(gè)人信息”……網(wǎng)絡(luò)黑手防不勝防,別讓信息泄露成為大學(xué)無(wú)法承受之重�。
國(guó)外高校在信息安全方面似乎從來(lái)都是問(wèn)題不斷。2016年1月22日�����,美國(guó)弗吉尼亞大學(xué)表示��,學(xué)校的人力資源系統(tǒng)被黑客入侵�,導(dǎo)致約1400名學(xué)術(shù)研究人員信息泄露���。在弗吉尼亞大學(xué)�,校園網(wǎng)絡(luò)被攻擊事件已不是第一次發(fā)生�。2015年8月11日,弗吉尼亞大學(xué)確認(rèn)網(wǎng)絡(luò)系統(tǒng)被非法入侵�����,由于發(fā)現(xiàn)及時(shí)���,重要信息未被泄露���。
除了弗吉尼亞大學(xué)��,每年都有多所國(guó)外高校在網(wǎng)絡(luò)安全上“中招”��。例如在2015年7月1日����,哈佛大學(xué)通過(guò)電子郵件通知師生,哈佛大學(xué)藝術(shù)與科學(xué)學(xué)院和學(xué)校中央管理系統(tǒng)的網(wǎng)絡(luò)遭到入侵�����。又例如賓夕法尼亞州立大學(xué)工學(xué)院在2015年5月15日成為黑客目標(biāo),遭受了兩起復(fù)雜的網(wǎng)絡(luò)攻擊��,導(dǎo)致約18000人的登錄信息有被暴露的風(fēng)險(xiǎn)�,學(xué)院網(wǎng)站也因此一度被關(guān)閉。
“高校通常缺乏資源來(lái)建設(shè)強(qiáng)有力的網(wǎng)絡(luò)安全防護(hù),這讓大學(xué)成為具有高價(jià)值的黑客的目標(biāo)������!資深安全分析師肯恩·威斯汀說(shuō)���。
一方面國(guó)外高校在苦苦阻止網(wǎng)絡(luò)攻擊帶來(lái)的威脅���,另一方面國(guó)內(nèi)高校的網(wǎng)絡(luò)安全和信息保密情況也不容樂(lè)觀���。
新聞鏈接
“修改考試成績(jī)��,刪除曠課��、處分記錄……”90后小伙閆某在網(wǎng)上多個(gè)高校貼吧發(fā)布這個(gè)廣告����,以此辦法牟利��。閆某利用所學(xué)的計(jì)算機(jī)專業(yè)技術(shù)成功破譯教務(wù)網(wǎng)管理員賬號(hào)密碼����,進(jìn)而登錄網(wǎng)站修改成績(jī)��,最終獲利1.3萬(wàn)余元。近日�,閆某因涉嫌破壞計(jì)算機(jī)信息系統(tǒng)罪,被檢察院批捕�。(《成都商報(bào)》,2016-08-09)
信息泄露重災(zāi)區(qū)��?
不需要身份驗(yàn)證和賬號(hào)密碼�����,就能登錄學(xué)院網(wǎng)站�,直接修改���、下載學(xué)院8萬(wàn)余名學(xué)生的個(gè)人信息和學(xué)籍卡信息——這并非天方夜譚,而是福建某大學(xué)網(wǎng)絡(luò)職業(yè)學(xué)院在2014年3月遇到的現(xiàn)實(shí)情況���。據(jù)民警介紹����,該學(xué)院網(wǎng)站連最基本的安全防護(hù)措施都未設(shè)置,8萬(wàn)余名學(xué)生的個(gè)人信息包括學(xué)生的姓名�、年齡、照片、學(xué)籍號(hào)���、身份證號(hào)、家庭住址��、聯(lián)系電話以及部分簡(jiǎn)歷��、電子郵箱等內(nèi)容,這些信息一旦被不法分子用于實(shí)施犯罪�����,后果難以想象。(《法制晚報(bào)》�,2014-03-26)
掌握著大量學(xué)生和教職工的個(gè)人信息���,承擔(dān)著多個(gè)國(guó)家級(jí)重要科研甚至軍工項(xiàng)目,高校自然成為信息安全“黑市”的香餑餑���,信息泄露事件也就更容易發(fā)生����。
在北京交通大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院教授黎琳看來(lái)�,相比國(guó)外高校�����,國(guó)內(nèi)高校網(wǎng)站的信息安全意識(shí)并不高�����!案咝P畔⑿孤���,原因之一肯定是系統(tǒng)設(shè)計(jì)的時(shí)候�����,學(xué)校對(duì)于安全這一塊就沒(méi)怎么考慮,安全意識(shí)不是很強(qiáng)��,同時(shí)學(xué)校網(wǎng)站系統(tǒng)本身就存在一些漏洞�!崩枇照f(shuō)。
高校信息系統(tǒng)組成復(fù)雜,考試數(shù)據(jù)管理���、后勤管理等子系統(tǒng)種類繁多,漏洞也就容易產(chǎn)生��。根據(jù)《經(jīng)濟(jì)參考報(bào)》2015年5月20日的報(bào)道��,自2014年4月至2015年3月的12個(gè)月間�,補(bǔ)天漏洞響應(yīng)平臺(tái)上顯示的有效高校網(wǎng)站漏洞多達(dá)3495個(gè)��,涉及高校網(wǎng)站1088個(gè)��。其中,高危漏洞2611個(gè)����,占74.7%�;中危漏洞691個(gè),占19.8%���;低危漏洞193個(gè)�,占5.5%�。
在上述漏洞中����,至少有384個(gè)漏洞可能造成高校教職員工或?qū)W生個(gè)人信息泄漏����,一旦這些漏洞全部被惡意利用�,至少會(huì)導(dǎo)致837萬(wàn)以上的教職員工及學(xué)生個(gè)人信息泄漏。令人擔(dān)憂的是���,在2014年至2015年間,在被告知網(wǎng)站存在漏洞后,會(huì)修復(fù)漏洞的高校網(wǎng)站只有35個(gè)�����,僅186個(gè)漏洞被修復(fù)���,96.8%的高校網(wǎng)站完全無(wú)視安全漏洞的存在���,94.6%的高校網(wǎng)站安全漏洞未被修復(fù)���。無(wú)視網(wǎng)站漏洞�,重建設(shè)不維護(hù)����,客觀上慫恿了不法分子冒險(xiǎn)入侵。黑客只需要憑借這些公開的系統(tǒng)漏洞����,加上攻擊工具的利用�,就可以輕而易舉地攻破高校的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。
每年的6�、7月�,各省的高考分?jǐn)?shù)查詢時(shí)間相繼公布,高校的門戶網(wǎng)站正是大量高考生了解校園信息的重要平臺(tái)�。在這一時(shí)間段,若高校網(wǎng)站感染病毒或被惡意植入木馬����,會(huì)對(duì)學(xué)校造成負(fù)面影響�。
如何構(gòu)筑堅(jiān)固的信息安全網(wǎng)��?
在黎琳看來(lái)�����,在網(wǎng)站的信息安全問(wèn)題上,高校管理者應(yīng)考慮五點(diǎn):“第一�����,學(xué)校的領(lǐng)導(dǎo)、主管部門得重視高校網(wǎng)站建設(shè)��。第二,建設(shè)的時(shí)候?qū)τ诎踩胧⿷?yīng)有考慮��。第三,每年一定要定期檢查學(xué)校網(wǎng)站��。第四�,對(duì)管理人員要進(jìn)行安全意識(shí)的培訓(xùn)��。第五�,高校最好做好突發(fā)情況的應(yīng)急預(yù)案����!
在信息安全問(wèn)題上���,國(guó)外多數(shù)高校建立了自己的一套信息安全規(guī)章制度��。例如牛津大學(xué)在2012年7月頒布的學(xué)校信息安全政策里���,清楚說(shuō)明了對(duì)信息的敏感程度應(yīng)有不同等級(jí)的分級(jí),建立了一套風(fēng)險(xiǎn)評(píng)估體系��,對(duì)信息的存儲(chǔ)����、使用�、復(fù)制與清理都有明確的要求��。在網(wǎng)站管理和信息管理的制度層面,國(guó)內(nèi)高校也可效仿國(guó)外高校�����,結(jié)合自身實(shí)際情況,建立一套清晰的信息安全制度����。
除了做好制度建設(shè)�����、人員培訓(xùn)和網(wǎng)站漏洞查處���,一套操作性強(qiáng)的信息泄露緊急應(yīng)對(duì)預(yù)案更是必不可少。凱斯西儲(chǔ)大學(xué)在其官網(wǎng)上發(fā)布的《數(shù)據(jù)泄露應(yīng)對(duì)程序》提供了一個(gè)極佳的范本。
一旦信息泄露事件發(fā)生����,凱斯西儲(chǔ)大學(xué)會(huì)有四個(gè)主要部門參與泄露事件的處理:
◆隱私辦公室/法規(guī)管理處:負(fù)責(zé)引導(dǎo)和維持整個(gè)數(shù)據(jù)泄露處理流程的系統(tǒng)進(jìn)行��,作為處理事件的中心和對(duì)外溝通的最初接觸方���,負(fù)責(zé)通知受隱私泄露影響的每個(gè)人����。
◆信息技術(shù)安全服務(wù)部門:負(fù)責(zé)電腦診斷��,提供信息安全專業(yè)知識(shí)和建議�����,為防止泄露事件再次發(fā)生而提供補(bǔ)救措施。
◆法律顧問(wèn)辦公室:在調(diào)查過(guò)程中負(fù)責(zé)提供法律意見。
◆市場(chǎng)營(yíng)銷與溝通部門:在涉及事件當(dāng)事人和內(nèi)部利益相關(guān)人時(shí),為隱私辦公室提供交際策略���,并負(fù)責(zé)與隱私辦公室和大學(xué)贊助方協(xié)商后和媒體溝通�����。
除了這四大主要部門�,其他部門和人員也同樣重要,例如校長(zhǎng)辦公室�、院長(zhǎng)����、學(xué)生事務(wù)副教務(wù)長(zhǎng)等����。
凱斯西儲(chǔ)大學(xué)將應(yīng)對(duì)流程分為十步:
1.校內(nèi)教職人員發(fā)現(xiàn)一處私有信息可能泄露�。
2.迅速將這一可疑的泄露情況報(bào)告給隱私辦公室����。
3.隱私辦公室與發(fā)現(xiàn)者聯(lián)系,確認(rèn)信息����,盡快調(diào)查泄露事件��。
4.若隱私辦公室確認(rèn)沒(méi)有私有信息遭到泄露�,會(huì)將這一決定記錄下來(lái),調(diào)查過(guò)程至此結(jié)束�。
5.若隱私辦公室確認(rèn)有私有信息遭到泄露����,會(huì)與遭受影響的辦公室或部門一起合力控制住數(shù)據(jù)泄露的局面�����。之后�,隱私辦公室會(huì)對(duì)泄露事件的范圍和影響程度進(jìn)行評(píng)估,其他部門此時(shí)也有可能加入進(jìn)來(lái)����。例如����,如果泄露的信息是電子信息���,信息技術(shù)安全服務(wù)部門會(huì)參與事件的處理��。
6.控制住數(shù)據(jù)泄露的局面后,隱私辦公室會(huì)與法律顧問(wèn)辦公室交換意見�,確定泄露的信息是否明確受法律保護(hù)����,并找出法律條文里相關(guān)的責(zé)任認(rèn)定條例���。之后,隱私辦公室和法律顧問(wèn)辦公室會(huì)互相協(xié)作���,確定所有會(huì)對(duì)學(xué)校的回應(yīng)產(chǎn)生影響的法律條例����。
7.隱私辦公室按照相關(guān)的法律規(guī)定����,擬定正式的通知信并發(fā)送給受泄露事件影響的每個(gè)人���。
8.除了發(fā)布通知��,隱私辦公室還會(huì)尋找其他的補(bǔ)救措施以減輕數(shù)據(jù)泄露帶來(lái)的影響�����,同時(shí)還會(huì)確認(rèn)是否有其他制度流程上的缺陷必須處理���。若缺陷存在,隱私辦公室會(huì)與受影響的人一起努力��,保證學(xué)校的工作流程得到改進(jìn),避免未來(lái)有類似的泄露情況再次發(fā)生���。
9.隱私辦公室擬定數(shù)據(jù)泄露事件報(bào)告����,數(shù)據(jù)泄露事件的處理過(guò)程至此結(jié)束�,關(guān)于泄露事件的內(nèi)部記錄會(huì)被視為學(xué)校的機(jī)密文件被保存����?紤]到泄露事件當(dāng)事人和學(xué)校領(lǐng)導(dǎo)層的意見�,隱私辦公室會(huì)自行決定是否公開數(shù)據(jù)泄露事件報(bào)告����。根據(jù)收集到的可用信息�����,數(shù)據(jù)泄露報(bào)告應(yīng)當(dāng)包括以下所有的內(nèi)容:
◆數(shù)據(jù)泄露被發(fā)現(xiàn)的具體時(shí)間�。
◆數(shù)據(jù)泄露的物理位置����、系統(tǒng)和涉及的學(xué)校服務(wù)�����。
◆負(fù)責(zé)該系統(tǒng)或服務(wù)的部門或辦公室�。
◆被盜數(shù)據(jù)的類型和范圍。
◆簡(jiǎn)要概述導(dǎo)致數(shù)據(jù)泄露的安全隱患。
◆泄露事件對(duì)個(gè)人�����、校內(nèi)操作和學(xué)校資源的潛在影響。
◆學(xué)校應(yīng)對(duì)泄露事件的總結(jié)�。
10.隱私辦公室將每份事件報(bào)告收集匯總�,可以將報(bào)告用于向相應(yīng)的聯(lián)邦政府機(jī)構(gòu)履行法律報(bào)告義務(wù)�����。此外,大學(xué)辦公室在遵守隱私相關(guān)法律的前提下�����,持續(xù)記錄事件過(guò)程����。
承載著重要的公眾教育資源���,數(shù)據(jù)安全和網(wǎng)站安全理應(yīng)成為高校不可忽視的管理要點(diǎn)�。從國(guó)外大學(xué)的經(jīng)驗(yàn)來(lái)看,前期做好網(wǎng)站建設(shè)和人員培訓(xùn),擬定一套便于操作的緊急應(yīng)對(duì)程序,才能防患于未然��。泄露事件一旦發(fā)生���,安全意識(shí)高的高校更能及時(shí)作出反應(yīng),迅速解決“蟲害”問(wèn)題���。
