高考志愿遭"黑客"篡改 网络安全凸显"短板"
来源:中国电脑教育网 更新时间:2007-09-05

 


  一场虚惊之后,曾同学填报的高考志愿终于在各级考试部门的帮助下得以恢复。

  8月14日,海南考生曾同学在海南省琼中县一网吧登录海南省考试局网站,并按正常程序填报了专科高职批志愿。当他再次上网查询时却发现,第一志愿已经被人改掉了。

  事件:高考志愿遭到篡改

  “填好志愿以后我还特意将每个选项反复检查了好几遍,直到确定没有差错了才退出,但是过了几天再去看时,第一志愿已经变了”,曾同学回忆起当天的情景,“上面显示的修改时间是五点多,刚好是我填完志愿的两个小时以后,当时觉得特惊讶,我赶紧把志愿打印出来与考试部门取得了联系。”

  “如果没有及时发现自己的志愿被篡改,我的人生也许将是另外一道轨迹。”回忆起这几天发生的事情,曾同学不免有些后怕。

  相比之下,去年在填报志愿过程中由于泄露自己的密码而招致志愿被篡改的小倪却没那么幸运,直到云南某大学的录取电话打来,他才知道自己的志愿被修改了,一切皆已成为定局,北京市门头沟区招生办公室给他的答复是:我们没有权力更改志愿。只能寄希望于你原来报考的北京市经济管理干部学院进行补录。小倪最终还是与自己心仪的学校失之交臂。


  探源:管理意识的缺失

  1997年公安部发布的《计算机信息网络国际联网安全保护管理办法》中也规定,未经允许,任何单位和个人不得进入计算机信息网络;……不得对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加,构成违反治安管理行为的,依照治安管理处罚条例的规定处罚;构成犯罪的,依法追究刑事责任。

  网络安全日益得到各级部门的重视,为什么相关教育部门与各学校的网站仍然如此频繁地遭到黑客攻击?网络屡遭攻击,究竟是人之过还是网之过?

  对此,华中某大学的一位信息中心主任分析到,黑客入侵网站最常用的方法就是SQL注入,教育行业的很多网站都采用了ASP、PHP或者JSP动态网页,Access或者MSSQL作数据库,如果敏感字符过滤不严,很容易给黑客可乘之机。同时,网络管理也存在疏漏,不少网站的网络日志检查都没有真正落到实处。此外,使用者安全意识的淡薄和互联网基本常识的缺乏也给黑客的入侵创造了机会。

  清华大学计算机与信息管理中心主任蒋东兴则认为,网络安全管理的观念跟不上是黑客肆行的主要原因,这一问题表面上看是技术问题,但背后却透视出管理的不足。蒋东兴告诉记者,光靠安全技术是不能完全解决问题的,在强化技术的基础上加强对网络的科学管理才能更加确保网络安全。

  据了解,尽管信息化建设已经受到各级教育部门和学校的普遍重视,但少数部门的最高领导对于信息化建设的认识还有待于进一步深化,部分领导人仍然缺少网络安全管理的观念,网络安全管理人员和管理经费的不足、相关制度不完善等问题在各级教育部门中普遍存在。

  反思:要把安全当回事

  凑巧的是,发生在海南考生小曾身上的小插曲距离小倪遭遇的网上高考志愿第一案刚好一年,距离今年北京市高考网上志愿填报系统发现严重漏洞(2007年5月14日)正好三个月的时间,事实面前谁也不敢保证,同样的故事在明天不会重演,我们能做的,只有提高意识,尽量避免。

  负责网络运行的学校和各级教育部门对于网络安全的管理负有至关重要的责任。有关专家提醒到,要确保网络安全,不仅要安装好硬件防火墙等安全设备,更应该提高警惕,加强日常管理。

  一方面要健全网络安全管理的各种制度,加强队伍建设,另一方面要将各种日常的维护工作落到实处。如及时关闭系统中不使用的功能,尽量减少漏洞发生的机会;对已有的网站系统进行检测,管理员在修补安全漏洞的同时,通读系统的源代码,对系统进行深入的了解以便全面过滤敏感字符;此外还要定时对服务器系统进行检测,查看网络日志里面是否存在可疑的信息记录。

  对于提供网络安全相关产品和服务的企业来说,更应把注意力放在用户的应用和运行上,而不是单纯地贩卖一些技术概念。

  正如蒋东兴所说的,无论是企业还是学校,都不能热衷于追逐一个个技术概念,而是要真正落实到实际的运用中去,踏踏实实练好战术。只有扎实码好每一块砖,高筑信息安全的大堤,信息的湖泊才会滴水不漏,不至于决堤。

  对于用户来说,基本的网络安全常识也是非常必要的。也许因为一个小小的疏漏,考生的志愿或者其他重要信息就会遭到恶意的更改,而这些变化也许会改变一个人的一生。尽管如此,在填报志愿的过程中,又有几个人想到了信息的安全性和保密性?学校和教师应该对学生进行教育,帮助他们形成确保网络安全的意识,帮助他们养成良好的上网习惯,如考生在填报高考志愿时,应该尽量避免在网吧等网络安全不能保障的场所进行,输入密码时要注意保密,防止被偷看,密码的设置要避免过于简单。

  “网招”陷阱逐个数

  2007年5月15日,四川省绵阳市公安局网监支队破获一起造假证案,一个名叫“摆解轰”的网民通过黑客技术入侵若干所高校教务网站修改学生成绩,并伪造毕业证和学位证。

  2007年5月底,上海大学学生信息泄露,近百名家长接到敲诈电话,称他们的孩子出事了,需要赶紧把医疗费打到指定账户。

  2007年8月2日,海口市公安局公开了一起全国罕见的特大招生诈骗案件。犯罪团伙通过篡改学校招生网站的数据库,对低分、落榜生的“未被录取”学生进行“录取”。

  2007年8月14日,海南琼中县一考生在网吧填报了专科高职批志愿,两小时后高考志愿遭到黑客篡改。

  2007年8月,北京吉利大学的老师发现,一个名为“北京吉利大学07年招生介绍”的网站在冒充吉利大学进行招生,该网站里面的招生简章以及图片都是原封不动地采用北京吉利大学专用网站的信息,但是在末尾附加了一条非吉利大学的网上报名点击栏,同时会向报考的学生索要40元到200元不等的报名费。