本周,高校招生錄取工作陸續開始。在清華大學李兆基大樓內,中國教育和科研計算機網CERNET網絡運行部正在執行一項相關的重要任務:高校招生網站漏洞掃描的最后檢驗。
這項任務事關高校招生的安全。據悉,6月底前,他們需要完成對全國高校所有招生網站的兩次安全檢測,以便為高校招生充分打好安全基礎。
這是CERNET及其運營單位賽爾網絡連續第六年協助教育部開展全國普通高校招生網站安全檢測工作了。在過去的五年里,他們對全國2000多所高校招生網站的漏洞掃描檢測,使漏洞存在比例大大下降。
一份檢測報告的誕生
或許很多人不知道,高招錄取的平穩有序,與一張大網密切相關。從1999年起,中國教育和科研計算機網CERNET開始支持網上高招錄取的試點工作。從2002年起,全國招生錄取工作全部在網上完成,CERNET就是支撐這項工作的網絡。
除了夯實基礎網絡的安全保障工作,近年,CERNET及其運營單位賽爾網絡對高考網絡安全的服務也逐漸延伸覆蓋到應用層面。
在6月最受關注的全國高考結束后,7月高校招生錄取工作隨之啟動。在高招錄取中,高校招生網站是學子和高校連接的“橋梁”。毋庸置疑,高招平臺的安全保障至關重要,不容半點閃失。
每年高考錄取前,高校都會對自己的相關網站做一次“安全體檢”,了解自己學校招生網站當前的漏洞情況,并做針對性修補與防護工作,所依托的平臺便是“招生安全服務平臺”。
2018年,在長期實踐實驗的基礎上,CERNET開發建設了 “招生安全服務平臺”,專門為高招網站檢測提供服務。“重點是要做好漏洞檢驗和報告檢驗。”CERNET網絡運行部李鎖鋼介紹說。每一個掃描到的漏洞都要經過反復驗證才能出現在檢測報告中,每一份檢測報告要經仔細確認無誤后方能開放給學校老師,以此來最大限度地保障安全,保證漏洞信息安全送達目標對象。
“每年,我們都會根據當年的新需求對平臺功能進行優化和升級。”李鎖鋼表示。
高危漏洞大降的背后
數據顯示,經過5年多的工作,全國高校招生網站中存在高危漏洞的比例下降了20%左右。漏洞數量大幅下降的背后,是細之又細的漏洞掃描和核實工作。
按照要求,高招網站要經過兩輪漏洞檢測。第一輪掃描檢測后,高校需對照安全檢測報告對高危漏洞進行整改,并提交整改報告。接下來,CERNET團隊再對照整改報告進行第二輪掃描檢測,確認高危漏洞的修復。
“在檢測流程中,漏洞審核是最花時間的,”李鎖鋼表示。由于機器掃描漏洞可能存在誤報,同時,對漏洞的定級也有一定難度,因此為了確認漏洞的準確信息,團隊需要對所有掃描出的漏洞進行人工驗證。據統計,每年需要檢驗的漏洞數量龐大,初檢約25萬個,復檢約5萬個,總共達30萬個。
漏洞驗證工作不僅需要耐心,更需要細心和經驗。
此前,團隊成員劉光磊在進行漏洞驗證時,發現了某招生網站中存在數據庫系統密碼泄露風險,第一時間便告知相關高校進行處置。“對于這一類非常危險的漏洞,不必等檢測報告,要在確認漏洞的第一時間就要告知學校。”劉光磊說。
經過掃描和修復,招生網站的高危漏洞每年都在減少。但每年都會有新的學校參與招生工作,也會有新的漏洞暴露出來,因此每一年的高招網站安全檢測都要高度重視,不容有失。
截至目前,今年的高校招生網站安全檢測工作已開展了一個多月,共有2200多所學校在服務平臺上填報了2400多個招生網站;團隊完成了2200多位老師的身份認證以及全部網站的審核,完成了約26萬個漏洞的驗證,生成掃描報告2400多份。
