千余高校网站存信息泄漏风险 多所*学府上榜

□记者杨晔北京来源:经济参考

中国的高校可能成为信息安全漏洞的重灾区。日前，《经济参考报》记者梳理了补天漏洞应对平台的数据，发现在2014年4月至2015年3月的12个月中，补天平台上有3495个有效漏洞，涉及1088个高校网站。其中，高风险漏洞2611个，占74.7%。691个漏洞，占19.8%；有193个低风险漏洞，占5.5%。

至少有384个以上的漏洞可能导致教职员工或学生的个人信息泄露。一旦所有这些漏洞被恶意利用，将导致至少837万教师和学生的个人信息泄露。令人担忧的是，在过去的一年里，在被告知网站存在漏洞后，只有35个大学网站会修补漏洞，只有186个漏洞得到了修补，96.8%的大学网站完全忽略了安全漏洞的存在，94.6%的大学网站没有得到修补。

统计显示，网站上有很多漏洞严重的顶尖大学，如山东大学、浙江大学、厦门大学、东北师范大学、中国地质大学、北京师范大学、北京大学、中国人民大学、清华大学、中国矿业大学等。

《经济参考》记者通过多种渠道联系了几名存在漏洞的高校黑客。他们说，许多大学网站有非常低层次的信息安全漏洞，但他们会有非常严重的后果。一旦犯罪分子利用了这些漏洞，他们就可以轻易地入侵邮件系统，获取科研项目和领导机密，篡改网页，植入任意内容，控制大量计算机并入侵校园网络，发起APT(高级持续威胁)攻击，窃取个人信息，如帐号和密码等。

事实上，由于学校网站上保存着大量集中人群的个人信息，它已经成为信息安全领域“黑市”交易的热点。

在一家国有企业工作的王乐(化名)告诉记者，在他的信息被泄露后，他有过被骚扰的经历。2014年秋，他在清华大学申请了工商管理硕士学位，并通过学校网站填写相关信息并上传。令他惊讶的是，在他准备考试的过程中，他的邮箱和手机收到了关于买卖答案、修改成绩和其他信息的信息，以及来自补习班等组织的电话骚扰，包括欺诈电话。

“我们许多未来的学生和我的完全一样。我通常非常注意保护个人隐私，但他们对我的个人信息有非常准确的掌握。一个欺诈电话甚至准确地说出了我的名字、单位和部门。显然，我们的信息已经泄露了。”王乐边说边向记者展示了他的邮箱和手机收到的骚扰信息。

王乐和他的同学的经历只是大学信息披露的“冰山一角”。记者了解到，根据国家统计局发布的《2014年国民经济和社会发展统计公报》，2014年普通高校在校生2547.7万人，在校研究生62.1万人，在校生184.8万人。

交通大学信息安全法律研究中心主任马在接受《经济参考报》采访时表示，一方面，高校涉及大量人员，包括大量学生和教师的私人信息；另一方面，许多重要的大学也承担许多重要的国家科学研究和军事项目，这些项目可能成为罪犯的目标。一旦大量信息被泄露，后果将非常严重。

事实上，2014年10月，教育部发布了《教育行业信息系统安全等级保护分级指引(试行)》，要求部属高校加强教育行业信息安全工作，并要求高校参照国家信息系统安全等级分类标准，形成教育行业信息系统安全等级分类。

落实高校信息安全责任制也是教育部2015年的一项重要工作。记者在教育部网站上了解到，教育部办公厅近日发布的《2015年教育信息化纲要》明确表示，2015年教育部直属机关和部属高校将研究制定加强信息技术安全的指导意见，进一步落实安全责任制，完善工作机制。此外，*部和*部联合部署信息系统安全等级保护工作，建立下属单位网络安全通报机制，指导各单位建立健全安全事件应急预案和安全事件监控系统。

马告诉记者，虽然教育部多次跟进，目前高校并不重视信息安全，反映了我国信息安全立法的差距。

“这从一个侧面反映了我国在履行网络和信息安全责任方面存在多么严重的漏洞。”中国计算机联合会计算机安全专业委员会主任严明在接受《经济参考报》采访时建议，我们必须真正提高对信息安全重要性的认识，特别是建立“首席安全官”制度和加强问责制。就像安全监管和环境保护部门一样，我们应该履行对人民的责任，弥补我国信息安全责任的缺失。(原标题:1000多个大学网站威胁837万教职员工和学生的个人信息，许多*大学“名单”)