志愿填报季或成安全事故高发季 浪潮提醒高校进行系统加固谨防数据泄露

各省高考分数查询时间相继发布，查分的同时，很多考生都会到心仪的高校网站了解校园信息，准备志愿填报。如果高校网站被病毒感染、或被植入木马很容易导致个人信息泄露，甚至可能因为重要信息被篡改影响了考生考取理想大学。对此，浪潮信息安全技术专家苑鸿剑：“高校作为公众教育资源的承载者，应该将数据安全和网站安全放在更为重要的位置，并采用自动安全加固工具，一劳永逸的化解数据安全威胁。”

高校网络漏洞高发数据安全面临两大威胁

黑客甚至只需要凭借公开的系统漏洞，利用攻击工具，就可以轻而易举的攻破高校网络安全防护系统的“大门”。为什么众多高校信息系统如此“不堪一击”呢？苑鸿剑指出，高校信息系统的特殊性与网络环境的复杂性是高校系统易遭受攻击的原因。

首先，高校信息系统组成复杂，考试数据管理、后勤管理等子系统种类繁多，而且很多系统采用的是开源平台，产生漏洞的几率较高。以网站漏洞为例， 2014年4月至2015年3月的12个月间，补天漏洞响应平台上显示的有效高校网站漏洞多达3495个，涉及高校网站1088个，其中不乏一些顶级学府。

其次，高校信息系统的复杂性使得系统管理权限控制成为大问题，拥有系统管理权限的人员众多，而且很难得到有效的监督与制约。不仅黑客在窃取系统管理权限之后可以对数据进行肆意窃取、破坏，内部人员的失误也会导致安全事故。

安全加固两条路，高校怎么选？

要解决高校信息系统所面临的问题，需要对系统进行安全加固，加固的实现有两条路径：一条是手工加固，一条是自动加固工具。聘请专家手工加固，能够有针对性的解决高校信息系统中已知的安全威胁，却无法有效的应对未知威胁，容易陷入“亡羊补牢”式的处理；采用自动加固工具，在提升操作系统安全等级的基础上，利用最先进的代码重构技术，可以一劳永逸的化解安全威胁。

浪潮信息安全技术专家苑鸿剑指出：“高校信息系统拥有着极高的复杂性，面临的新安全威胁更是层出不穷，要从根本上解决问题，建议高校采用操作系统安全增强系统等自动加固工具，从安全管理体系的底层入手，杜绝网络攻击造成的危害。”具体来说，自动加固工具的优势体现在漏洞防护、系统权限控制等各个层面。

从漏洞防护来看，传统手工的漏洞修补方式不仅容易出现疏漏，还会由于漏洞修补的‘真空期’被黑客抓住机会。而自动加固工具则可以缩小“真空期”的范围，降低负面影响。例如，浪潮SSR等主机安全加固系统采用了强制访问控制和白名单机制，只允许可信的账户和进程访问科研项目、考生分数等被保护资源，并对操作系统中重要二进制文件进行完整性保护。即使恶意代码利用未知漏洞获取了系统的权限，也不能植入木马或破坏系统文件。

从权限控制来看，高校需要警惕黑客在拿到系统权限之后为所欲为。对此，浪潮建议有实力的高校信息部门，采用专人专职，或者在人手有限的情况下，利用自动加固工具中的 “三权分立”功能，把权限分散设置成系统操作员、安全管理员和审计管理员，让系统管理员“身兼多职”行驶三个权限，达成“最小授权”的安全原则，确保三个环节中任何一个出现的问题都不会影响整体数据的安全性。

目前，浪潮SSR已经应用在河南工业大学、吉林大学、东北财经大学、云南省农业大学、华西师范等高校的信息系统中，帮助这些高校在根本上免疫了安全威胁，保证了信息系统的安全性。其中，华西师范等高校信息中心负责人表示：“面对日益严峻的信息安全威胁，我们采用了浪潮SSR解决方案，有效保障我校业务信息系统的连续性、安全性及可用性，在近两年高考考试与录取环节中，实现了信息安全事件的‘零发生率’”。