透过近期“泄题门”看教育信息安全

继网上曝出2011年注册会计师考试陷入“泄题门”后，同在上周末举行的2011年国家司法考试，昨晚也被曝出“泄题疑云”。有网友贴出手机短信截屏照片，显示在18日下午2点试卷四开考前2小时，已经有人获悉了大部分考题。

　　智恒联盟WEB安全专家针对这个事件，从教育行业信息安全角度突出web安全防护，通过网站攻击窃取数据;以及突出内部审计措施，对数据库进行严格进行运维审计两个方面，剖析对该类事件发生原因并给出了针对性解决方案。

　　随着教育信息化建设的逐步深入，教务工作对信息系统依赖的程度越来越高，Web数据服务器成为了高校重要组成内容，积聚越来越多的信息资源。教育行业在大力进行网站业务建设的同时，各高校在门户网站面临的安全隐患也在增加，网站挂马、网页篡改、DDOS攻击等攻击事件呈逐年上升的趋势;近几年网上黑客攻击，修改考试成绩，骗取认证证书等事件屡有发生，教育网站已经逐渐成为黑客关注的重点目标，高校网站的安全保障工作已经迫在眉睫。

　　教育网站安全风险分析

　　1、来自互联网风险

　　教育行业网站系统中括学校院系门户、教学管理系统、网上课程、数字图书馆、网上办公等，为高校师生们提供各式各样的网络服务。并且都与上级教育部门进行多项联系，教育系统网络如果与Internet公网直接或间接互联，那么由于互联网自身的广泛性、自由性等特点，像高校这样的教育行业网站自然会被恶意的入侵者列入其攻击目标的前列。

　　2、来自运维管理的安全风险

　　随着信息教育行业信息化建设进程，由于设备和服务器众多，系统管理员压力太大等因素，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响教务工作运行效能，并对学校声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限，闯入部门内部网络，造成不可估量的损失。如何提高系统运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏，提供控制和审计依据，降低运维成本，满足相关标准要求，越来越成为教育单位关心的问题。

　　根据教育行业网站系统现状及安全风险分析，智恒联盟应用安全团队通过对教育行业网站安全多年的研究，针对教育行业网站安全提出了全新的安全防护方式，采WebPecker网站安全检测平台，对教育行业的门户及业务外网做整体安全测评，发现网站风险点，针对风险提出有效的解决办法;采用WebGuard网页防篡改保护系统+ WAF解决教育行业网站安全防护问题，有效保障网站免遭黑客攻击篡改，防患于未然;采用SAS运维安全审计系统，综合管理审计所有管理人员、运维人员的所有操作过程，当出现安全问题时，可以回放所有操作记录，准确定位，方便快捷找的到事故原因。使用以上设备可以从根本上解决教育行业网站所面临的安全隐患，保障教育行业网站安全、稳定的运行。