本周,高校招生錄取工作陸續(xù)開始。在清華大學(xué)李兆基大樓內(nèi),中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET網(wǎng)絡(luò)運(yùn)行部正在執(zhí)行一項(xiàng)相關(guān)的重要任務(wù):高校招生網(wǎng)站漏洞掃描的最后檢驗(yàn)。
這項(xiàng)任務(wù)事關(guān)高校招生的安全。據(jù)悉,6月底前,他們需要完成對(duì)全國(guó)高校所有招生網(wǎng)站的兩次安全檢測(cè),以便為高校招生充分打好安全基礎(chǔ)。
這是CERNET及其運(yùn)營(yíng)單位賽爾網(wǎng)絡(luò)連續(xù)第六年協(xié)助教育部開展全國(guó)普通高校招生網(wǎng)站安全檢測(cè)工作了。在過去的五年里,他們對(duì)全國(guó)2000多所高校招生網(wǎng)站的漏洞掃描檢測(cè),使漏洞存在比例大大下降。
一份檢測(cè)報(bào)告的誕生
或許很多人不知道,高招錄取的平穩(wěn)有序,與一張大網(wǎng)密切相關(guān)。從1999年起,中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET開始支持網(wǎng)上高招錄取的試點(diǎn)工作。從2002年起,全國(guó)招生錄取工作全部在網(wǎng)上完成,CERNET就是支撐這項(xiàng)工作的網(wǎng)絡(luò)。
除了夯實(shí)基礎(chǔ)網(wǎng)絡(luò)的安全保障工作,近年,CERNET及其運(yùn)營(yíng)單位賽爾網(wǎng)絡(luò)對(duì)高考網(wǎng)絡(luò)安全的服務(wù)也逐漸延伸覆蓋到應(yīng)用層面。
在6月最受關(guān)注的全國(guó)高考結(jié)束后,7月高校招生錄取工作隨之啟動(dòng)。在高招錄取中,高校招生網(wǎng)站是學(xué)子和高校連接的“橋梁”。毋庸置疑,高招平臺(tái)的安全保障至關(guān)重要,不容半點(diǎn)閃失。
每年高考錄取前,高校都會(huì)對(duì)自己的相關(guān)網(wǎng)站做一次“安全體檢”,了解自己學(xué)校招生網(wǎng)站當(dāng)前的漏洞情況,并做針對(duì)性修補(bǔ)與防護(hù)工作,所依托的平臺(tái)便是“招生安全服務(wù)平臺(tái)”。
2018年,在長(zhǎng)期實(shí)踐實(shí)驗(yàn)的基礎(chǔ)上,CERNET開發(fā)建設(shè)了 “招生安全服務(wù)平臺(tái)”,專門為高招網(wǎng)站檢測(cè)提供服務(wù)。“重點(diǎn)是要做好漏洞檢驗(yàn)和報(bào)告檢驗(yàn)。”CERNET網(wǎng)絡(luò)運(yùn)行部李鎖鋼介紹說(shuō)。每一個(gè)掃描到的漏洞都要經(jīng)過反復(fù)驗(yàn)證才能出現(xiàn)在檢測(cè)報(bào)告中,每一份檢測(cè)報(bào)告要經(jīng)仔細(xì)確認(rèn)無(wú)誤后方能開放給學(xué)校老師,以此來(lái)最大限度地保障安全,保證漏洞信息安全送達(dá)目標(biāo)對(duì)象。
“每年,我們都會(huì)根據(jù)當(dāng)年的新需求對(duì)平臺(tái)功能進(jìn)行優(yōu)化和升級(jí)。”李鎖鋼表示。
高危漏洞大降的背后
數(shù)據(jù)顯示,經(jīng)過5年多的工作,全國(guó)高校招生網(wǎng)站中存在高危漏洞的比例下降了20%左右。漏洞數(shù)量大幅下降的背后,是細(xì)之又細(xì)的漏洞掃描和核實(shí)工作。
按照要求,高招網(wǎng)站要經(jīng)過兩輪漏洞檢測(cè)。第一輪掃描檢測(cè)后,高校需對(duì)照安全檢測(cè)報(bào)告對(duì)高危漏洞進(jìn)行整改,并提交整改報(bào)告。接下來(lái),CERNET團(tuán)隊(duì)再對(duì)照整改報(bào)告進(jìn)行第二輪掃描檢測(cè),確認(rèn)高危漏洞的修復(fù)。
“在檢測(cè)流程中,漏洞審核是最花時(shí)間的,”李鎖鋼表示。由于機(jī)器掃描漏洞可能存在誤報(bào),同時(shí),對(duì)漏洞的定級(jí)也有一定難度,因此為了確認(rèn)漏洞的準(zhǔn)確信息,團(tuán)隊(duì)需要對(duì)所有掃描出的漏洞進(jìn)行人工驗(yàn)證。據(jù)統(tǒng)計(jì),每年需要檢驗(yàn)的漏洞數(shù)量龐大,初檢約25萬(wàn)個(gè),復(fù)檢約5萬(wàn)個(gè),總共達(dá)30萬(wàn)個(gè)。
漏洞驗(yàn)證工作不僅需要耐心,更需要細(xì)心和經(jīng)驗(yàn)。
此前,團(tuán)隊(duì)成員劉光磊在進(jìn)行漏洞驗(yàn)證時(shí),發(fā)現(xiàn)了某招生網(wǎng)站中存在數(shù)據(jù)庫(kù)系統(tǒng)密碼泄露風(fēng)險(xiǎn),第一時(shí)間便告知相關(guān)高校進(jìn)行處置。“對(duì)于這一類非常危險(xiǎn)的漏洞,不必等檢測(cè)報(bào)告,要在確認(rèn)漏洞的第一時(shí)間就要告知學(xué)校。”劉光磊說(shuō)。
經(jīng)過掃描和修復(fù),招生網(wǎng)站的高危漏洞每年都在減少。但每年都會(huì)有新的學(xué)校參與招生工作,也會(huì)有新的漏洞暴露出來(lái),因此每一年的高招網(wǎng)站安全檢測(cè)都要高度重視,不容有失。
截至目前,今年的高校招生網(wǎng)站安全檢測(cè)工作已開展了一個(gè)多月,共有2200多所學(xué)校在服務(wù)平臺(tái)上填報(bào)了2400多個(gè)招生網(wǎng)站;團(tuán)隊(duì)完成了2200多位老師的身份認(rèn)證以及全部網(wǎng)站的審核,完成了約26萬(wàn)個(gè)漏洞的驗(yàn)證,生成掃描報(bào)告2400多份。
