标签归档:cost

《中国教育网络》-高校招生网站渗透测试案例分析

高校招生网站渗透测试案例分析 诸葛建伟,魏克(作者单位:CCERT应急响应组) 每年高考招生前后,都是高校网站安全性最受关注的时候。由于访问量的大量增加,以及高招录取工作的敏感性,高校网站,尤其是招生网站,往往吸引着大量怀有恶意目的的攻击者,实施网站挂马、敏感信息窃取等非法行为。今年高考期间,就曾出现过北京、天津等地高考考生信息泄露并在网上公开叫卖的情况,虽然信息泄露渠道尚未有权威的认定,但这无疑已经为高招网站的网络安全防护敲响了警钟。虽然正式的高招录取工作一般都会在隔离的内网环境中进行操作,高考分数和录取信息的安全性还是值得信赖的。但各高校的高招网站仍承担着招生宣传、考生交流平台、录取信息公示等关键任务,而一旦高招网站的安全存在问题,被恶意攻击植入网页木马或钓鱼页面后,将会对考生的个人敏感信息构成泄露威胁。 为了能够对目前高招网站的安全状况和防护水平有一个更加实际的了解和掌握,中国教育与科研计算机网安全应急响应组(CCERT)在高招前夕对取得授权的3所高校的4个高招网站进行了全面深入的渗透测试,CCERT渗透测试小组对其中3所高校的3个高招网站都取得了不同程度的控制,其中1个网站已经遭遇“黑客潜伏”,实际渗透测试结果显示当前高招网站的安全形势仍然非常严峻,需要高校的网络安全管理部门与招生管理部门切实有效地落实网络安全防护责任、资源与措施,为广大考生建立起更令人放心的高招网站环境。

留下评论

《中国教育网络》-高校网站安全的“矛”与“盾”

Web应用从互联网诞生以来一直是最为主流的网络应用类型,而作为Web应用的承载体——网站也构成了互联网中最为核心的资源。在高校中,大量的网络应用同样以Web应用程序的方式进行构建,并在高校网站群上进行部署,包括学校院系门户、教学管理系统、网上课程、数字图书馆、网上办公等等,为高校师生们提供各式各样的网络服务。为了便于用户检索和访问各种网站服务资源,近几年国内高校纷纷进行“数字化校园”项目建设,打造集中的校园信息门户,并通过“校园一卡通”来统一各类校园服务的身份帐号标识和认证与支付途径,使得高校师生们能够享受到更加便捷的校园服务。 然而在以“数字化校园”和“校园一卡通”为代表的高校信息化建设过程中,网络和信息系统的安全问题却没有得到应有的重视。特别是作为承载校园网络应用服务的网站群,在设计开发、部署实施和运营维护等关键阶段中都存在着明显的安全问题,因此在面对互联网上各种形态的安全威胁时,国内高校网站的安全形势并不容乐观。本文将结合笔者在安全研究和工程实践中的一些经验体会,来细数一下目前高校网站存在的主要安全问题,以及所面临的常见安全威胁,并为高校网络管理部门提高网站安全性提供一些安全设防措施的建议。

发表在 安全意识培训, 安全意识培训 | 标签为 , , , | 留下评论