刘义杰：高校信息泄漏根在“责任漏洞”

大参考

　　我国高校或成为信息安全泄漏的重灾区。记者日前对补天漏洞响应平台的数据梳理发现，自2014年4月至2015年3月的12个月间，补天平台上显示的有效高校网站漏洞多达3495个，涉及高校网站1088个。其中，高危漏洞2611个，占74.7%；中危漏洞691个，占19.8%；低危漏洞193个，占5.5%。（5月20日《经济参考报》）

　　网站信息出现安全漏洞是常有的事，重视安全漏洞的审查发现与修复也就显得十分必要。但面对漏洞不重视，无视网站安全，就让人难以理解了。过去一年间，在被告知网站存在漏洞后，会修复漏洞的高校网站只有35个，仅186个漏洞被修复，96.8%的高校网站完全无视安全漏洞的存在，94.6%的高校网站安全漏洞未被修复。有漏洞被告知了还不修复，只能说明高校责任意识的缺失。

　　实际上，高校网站安全事故也不是第一次被预警了。《2013中国高校网站安全检测报告》显示，国内2/3的高校网站安全检测成绩不及格，存在页面被挂马、植入广告黑链等风险，从而给高考考生和家长上网选报志愿带来安全隐患，严重的可能导致帐号密码泄露，甚至志愿被他人恶意篡改。2014年6月，国家互联网应急中心(CNCERT)监测发现，国内连续发生多起高校网站挂马事件。一边是充满木马病毒陷阱的高校网站，一边是网友只能靠一些杀毒软件，或者安全意识来自我预防。《信息安全等级保护管理办法》被完全无视。

　　总的说来，高校网站的信息安全漏洞都非常低级，但凡有所重视，也不至于给教师和学生个人信息带来如此大的隐患。根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》等相关规定，凡互联网站均应履行以下法定义务，如成立网络安全小组，确定安全管理责任人和安全领导小组负责人；具有安全审计或预警功能，等等。可以说，网站安全防护责任书，以及相应的防护机制是网站备案时必须完成并提供证明的，在此，高校网站集体出现问题，问题就在于“责任漏洞”无人去打补丁。

　　教育部办公厅近期印发的《2015年教育信息化工作要点》明确提出，2015年将研究制定部直属机关和部属高校加强信息技术安全的指导意见，进一步落实安全责任制度，健全工作机制。2014年3月，福州仓山警方发现某知名大学网络职业教育学院，在互联网信息安全防护方面存在巨大漏洞。根据相关法律法规，仓山警方对该学院的违法行为采取行政处罚，并责令限期改正。这也是福州公安机关因互联网信息安全防护问题，对教育系统高校做出的首个行政处罚决定。

　　一方面是责任漏洞十分普遍，另一方面却鲜有负责人被惩罚，导致的结果的学生和教师的个人信息权利被蔑视。由此来说，将高校网站纳入法治监管，加强对责任事故负责人的惩处，是保证高校网站信息安全的第一步。

nkgf

这个和高校的现行制度相关的，高校的网站少有人真正维护，各个学院的网站基本上是教师兼职维护，网页是外面公司做的，或是自行编的，就是想补这个些漏洞，也补不了。别说这个了，因为现行高校的考核制度，连教学都不过是口头重视，谁又会去管什么网站。