高校成网络攻击“重灾区”,另有隐情? . 2019-09-04
面对病毒侵袭,高校缘何频频中招?
近100个国家和地区遭到攻击,超过7.5万起攻击事件,造成约80亿美元的损失……5月中旬,“永恒之蓝(WannaCry)”勒索病毒席卷全球,给这个在互联网上行走的世界造成了不小的麻烦。然而有数据显示,在中国地区,高校网络成为最主要的被攻击对象之一。被感染的除了学生的电脑,校园图书馆电子阅览室、电子展示屏等连网设备同样不能幸免。
教育部发布的《2017信息化工作要点》明确提出,要提高教育行业网络安全保障能力,增强网络安全监测预警和应急响应能力。作为高等学府,高校网络的数据关系着高校教研、教学、以及科研成果的进展。一旦文件丢失或损坏,将可能直接影响到科研和教学的停滞。问题出现后,数十所高校发布紧急通知,要求校内师生立即加强防护措施,保证损失不再进一步扩大。但问题是,当所有行业都对信息保障非常重视的时候,高校的网络安全问题为何依然严峻?是技术水平不够,是软件硬件缺失,还是另有隐情?
病毒隐患笼罩高校,反衬部分高校对安全意识的淡薄
对于高校成为病毒爆发重灾区的原因,香港《南华早报》援引国际网络安全专家的观点,认为高校的校园网络的等级安全千差万别,预警能力不强。而系统的管控问题是造成其安全等级较低的关键因素。清华大学信息化技术中心信息安全高级工程师郑先伟也曾提到,大部分被攻击控制的高校网站并不仅仅是因为其存在安全漏洞,而是因为它们长期无人管理。
两方面专家并不认为高校“中招”的原因在于技术的落后,而纷纷将矛头指向高校的安全意识问题。根据某教育研究院的调查显示,我国高校在信息化软硬件设施建设上比较完善,但在应用效果上却参差不齐。对117所院校的调研中,在中央IT系统和架构、科研、教学的数据层面有安全考虑的院校不超过30%;已经制定并实行信息系统数据安全管理制度的学校占比不足一半。实际上,微软在3月份就发布了修复系统漏洞的补丁,只要打开系统就会避免此次攻击。而早已不受微软技术支持的XP系统依然在中国市场保持一定的占有率,其中大部分份额来自高校、国企及基层政府部门。综合看来,一些院校对于信息系统安全的管理亟待提升。
病毒并非唯一网络威胁,高校如何为自身加持防护措施?
然而在众多国内高校中,理工类与科技类院校对信息系统的安全与管理拥有足够的重视,其中华东理工大学便安然无恙的度过了此次大规模病毒侵袭。该校不仅拥有国内顶级的软硬件设施,设有专门的信息安全部门,更与专业的教育技术公司合作,使校内信息系统达到国家信息安全3级等保水平。
作为为该校提供网络平台并进行运维部署的技术企业,弘成教育集团一位技术专家认为,近年来针对教育用户的攻击持续增加,甚至形成了一种黑色产业链,对用户进行多手段、多等级的攻击。当前高校面临的网络安全问题远不止病毒攻击一种手段。直接以拒绝服务形式的DDOS攻击,会以大带宽持续攻击的方式达到用户带宽饱和而造成无法访问。此外,内部人员误操作导致的系统损坏,同样会让高校面临难以挽回的损失。
正如行业专家所言,院校面对的安全问题多种多样。当问题出现时,有些需要大量技术人员处理,有些则需要更大的带宽应对。一些院校对此加大投入,而一旦问题解决,额外的人力物力就会造成信息化成本的浪费和闲置。2015年5月,上海高校信息化部门考察团走访加州理工大学、加州州立大学、纽约大学、哈佛大学等著名高校时发现,即使是技术、资金、人力资源都非常充足的美国高校,其技术运维也多数采用外包方式,机房甚至远在千里之外。像我国高校独立采购设备,独自面对安全问题的现象是非常少见的。所以,院校要制定相应的安全制度、加强事前防范、进行安全风险识别、对重要资料进行安全备份、定期进行登录检查。必要时应该采取运维外包,由技术过硬、软硬件资源充足的技术企业进行维护并采取更有效的防护措施。或许只有“加强内部安全管理+运维外包”的方式,才是当前高校更为有效的信息安全解决方案。
6月1日,国家《网络安全法》正式实施。其中首次在法律层面提到“网络安全等级保护制度”这一概念,也就是说包括高校、机构和企业在内的所有与互联网相关单位,必须进行安全等级保护工作。而用户单位不做等级保护测评,将会受到最高百万罚金的处罚。作为高校,现在提高信息安全意识,加强安全部署尚不迟晚。如果对信息安全依然怠慢,那么或许最终不仅是遭到网络攻击、受到有关制裁,更会对院校名誉和未来发展产生不可估量的损失。