教务系统又遭入侵，高校应如何有效“防黑”？

信息泄露的危害有多大？高危漏洞的普遍存在意味着学校网站极易被黑客入侵和篡改，从而为网络诈骗和其他网络犯罪提供逍遥法外的温床，漏洞典型危害：商家：精准推销，肆意骚扰；黑客植入：钓鱼页面、色情暴力等不良信息；泄露：学生家长信息，教师个人信息；黑产：录入修改学生成绩等。

近日，就有这样一则新闻进入大众视野：

“修改考试成绩，删除旷课、处分记录……”90后小伙闫某在网上多个高校贴吧发布这个广告，以此办法牟利。闫某利用所学的计算机专业技术成功破译教务网管理员账号密码，进而登录网站修改成绩，最终获利1.3万余元。近日，闫某因涉嫌破坏计算机信息系统罪，被检察院批捕。（《成都商报》，2016-08-09）

近年来，高校系统被入侵已不是新鲜事，多所高校都曾中招。

为了炫耀自己的能力，新疆维吾尔自治区乌鲁木齐市一所大学的大三学生蒋某从2013年10月至2014年3月，利用学校教务管理系统的漏洞，为该校18名学生篡改成绩，非法获利3.4万余元。（《法制日报》，2015年7月）

一名无业男子利用从网上购买的“黑客软件”，侵入多所高校的教务系统，为20多名在校大学生修改成绩，获利18万余元。（《今晚报》，2015年3月）

湖南某高校教务处网站被一高中生入侵，黑客自称入侵的动机竟是想要到本校来上学希望被破格录取……（新浪博客：独孤沉雪，2012年3月）

高校信息安全问题日渐突显，这届网友也纷纷表达了对于入侵高校教务系统一事的看法。

【“你知道的太多了”篇】

@原来名字还能够改

太年轻，不知道删库么？

@强xhhf

很多高校系统有漏洞，

有的管理员连密码都懒得改。

@muyimee

现在混，要讲法律，

难道你们以为银行的系统很安全么，

只是大神不敢去动而已。

@狐狸虫小七

讲真，不管高校有啥漏洞，大家可以提，可是都上大学了，还不懂得人间正道是沧桑，利用小聪明违法牟利，学校真的应该从小学生就做普法教育，从小就引导孩子创新可以，不要去做违法与违反道德的创新，学学比尔盖茨那种创新而不要学什么网络诈骗的创新！

【学生篇】

@chastexh

我们学校就有个查分小霸王，发红包就可以查分，

不过他有原则，给多少钱都不改分。

（嗯，真是个有原则的霸王（竖大拇指））

@real_zxhhhhh

我学校计机的师兄们是进去改下课表而已，

换成离自己宿舍近的教学楼上课、

和考试容易过的老师。

（你们这是要上天啊）

@你猜我的名字是什么-

讲真，我们班就有直接黑官网改成绩的，

我是交土工程的。

（你是什么专业我不管，就问你是那个学校的）

@吉什么呀

我觉得要好好学习知识，争取自己改分，300一科太贵了。这就是：知识就是金钱。改分这种事情，这才是中国教育信息化的未来趋势和方向，造福学生，服务用户。

（这位同学放学别走，来我办公室一下。）

【高校老师篇】

“学校的系统安全性确实存在很多问题，很多部门自己单打独斗，买个服务器，买套系统，用一个懂计算机的干事管着就算信息化了，呵呵，不管是操作系统还是应用系统一百年不升级，缺乏维护。”

（嗯，这样下去是要出问题的...）

【专家篇】

安全意识不足，安全风险预见性薄弱；暴风雨尚未来临、危机感缺乏；监管机制尚不完善；那高校应该怎么办？

【原景重现】

这位90后小朋友是怎么修改成绩的

这位同学闲暇之间喜欢捣鼓一些黑客工具，没事就对着自己学校的网段扫描；发现有好多漏洞暴露在外面，在一群系统中看到了教务系统，随后意识察觉到自己还有不及格的成绩；心生恶念，开始利用爬行工具对其进行扫描，并且找出可利用漏洞；对数据库进行越权及恶意的篡改；同时利用乌云（百度快照）按照学校的教务系统版本搜索，找到漏洞特征；并且利用钟馗之眼（ZoomEye）找到其他同类特征的系统发起攻击。

【防护建议】

从安全意识上及防护手段上共同推进

l 对于安全建设的第一步首先要明确需要防护哪些系统，对系统做分析；

l 确保业务系统不要存在重大已知漏洞或者逻辑漏洞。

l 从数据中心入口层关闭不必要的端口，包括管理端口；

l 从web防护上加强重点业务系统的防护深度；

l 防止系统相互之间的攻击，尤其是虚拟化环境；

l 对数据库进行最后一道防护，防止对数据的越权操作、数据库恶意攻击；同时设定一些规则，例如禁止某些修改、删除的语句等。

最后，没有绝对的安全，关键是要在出现问题时能够快速的修复，同时借助备份方案能够尽量恢复被篡改数据，减少损失。

上海交通大学网络信息中心信息安全主管姜开达在在高校信息安全等级保护特训营《高校网络安全防护体系建设经验分享》中提到：

高校长期安全投入不可或缺，短平快的思路注定做不好安全，长期的持续投入和积累才能小有所成，安全设备仅仅只是投入的一方面，持续的安全运维能力和安全团队能力建设更为关键。安全不能存在短板，应修补短板，层层设防，立体监控，提高攻击成本。同时要进行安全巡检和早期预警。

对校园网络的帮助：

常规安全扫描和漏洞评估；新上线应用系统安全评估；已有业务系统的安全渗透测试；安全意识普及教育和安全培训；突发安全事件的应急响应和追踪；在网络安全诸多领域的深入研究。

给各校的建议参考：

做好顶层设计，规划建设完整的安全保障体系；至少有一人的专职安全人员，组建安全团队；要争取每年固定的安全投入，分阶段实施补缺；积极对外参与安全学术交流，不能闭门造车；加强与国内外安全组织机构的密切联系与合作；充分发挥学生的力量，来辅助学校的安全工作。