“修改成绩、窃取个人信息”……网络黑手防不胜防，别让信息泄露成为大学无法承受之重。

国外高校在信息安全方面似乎从来都是问题不断。2016年1月22日，美国弗吉尼亚大学表示，学校的人力资源系统被黑客入侵，导致约1400名学术研究人员信息泄露。在弗吉尼亚大学，校园网络被攻击事件已不是第一次发生。2015年8月11日，弗吉尼亚大学确认网络系统被非法入侵，由于发现及时，重要信息未被泄露。

除了弗吉尼亚大学，每年都有多所国外高校在网络安全上“中招”。例如在2015年7月1日，哈佛大学通过电子邮件通知师生，哈佛大学艺术与科学学院和学校中央管理系统的网络遭到入侵。又例如宾夕法尼亚州立大学工学院在2015年5月15日成为黑客目标，遭受了两起复杂的网络攻击，导致约18000人的登录信息有被暴露的风险，学院网站也因此一度被关闭。

“高校通常缺乏资源来建设强有力的网络安全防护，这让大学成为具有高价值的黑客的目标。”资深安全分析师肯恩·威斯汀说。

一方面国外高校在苦苦阻止网络攻击带来的威胁，另一方面国内高校的网络安全和信息保密情况也不容乐观。

新闻链接

“修改考试成绩，删除旷课、处分记录……”90后小伙闫某在网上多个高校贴吧发布这个广告，以此办法牟利。闫某利用所学的计算机专业技术成功破译教务网管理员账号密码，进而登录网站修改成绩，最终获利1.3万余元。近日，闫某因涉嫌破坏计算机信息系统罪，被检察院批捕。（《成都商报》，2016-08-09）

信息泄露重灾区？

不需要身份验证和账号密码，就能登录学院网站，直接修改、下载学院8万余名学生的个人信息和学籍卡信息——这并非天方夜谭，而是福建某大学网络职业学院在2014年3月遇到的现实情况。据民警介绍，该学院网站连最基本的安全防护措施都未设置，8万余名学生的个人信息包括学生的姓名、年龄、照片、学籍号、身份证号、家庭住址、联系电话以及部分简历、电子邮箱等内容，这些信息一旦被不法分子用于实施犯罪，后果难以想象。（《法制晚报》，2014-03-26）

掌握着大量学生和教职工的个人信息，承担着多个国家级重要科研甚至军工项目，高校自然成为信息安全“黑市”的香饽饽，信息泄露事件也就更容易发生。

在北京交通大学计算机与信息技术学院教授黎琳看来，相比国外高校，国内高校网站的信息安全意识并不高。“高校信息泄露，原因之一肯定是系统设计的时候，学校对于安全这一块就没怎么考虑，安全意识不是很强，同时学校网站系统本身就存在一些漏洞。”黎琳说。

高校信息系统组成复杂，考试数据管理、后勤管理等子系统种类繁多，漏洞也就容易产生。根据《经济参考报》2015年5月20日的报道，自2014年4月至2015年3月的12个月间，补天漏洞响应平台上显示的有效高校网站漏洞多达3495个，涉及高校网站1088个。其中，高危漏洞2611个，占74.7%；中危漏洞691个，占19.8%；低危漏洞193个，占5.5%。

在上述漏洞中，至少有384个漏洞可能造成高校教职员工或学生个人信息泄漏，一旦这些漏洞全部被恶意利用，至少会导致837万以上的教职员工及学生个人信息泄漏。令人担忧的是，在2014年至2015年间，在被告知网站存在漏洞后，会修复漏洞的高校网站只有35个，仅186个漏洞被修复，96.8%的高校网站完全无视安全漏洞的存在，94.6%的高校网站安全漏洞未被修复。无视网站漏洞，重建设不维护，客观上怂恿了不法分子冒险入侵。黑客只需要凭借这些公开的系统漏洞，加上攻击工具的利用，就可以轻而易举地攻破高校的网络安全防护系统。

每年的6、7月，各省的高考分数查询时间相继公布，高校的门户网站正是大量高考生了解校园信息的重要平台。在这一时间段，若高校网站感染病毒或被恶意植入木马，会对学校造成负面影响。

如何构筑坚固的信息安全网？

在黎琳看来，在网站的信息安全问题上，高校管理者应考虑五点：“第一，学校的领导、主管部门得重视高校网站建设。第二，建设的时候对于安全措施应有考虑。第三，每年一定要定期检查学校网站。第四，对管理人员要进行安全意识的培训。第五，高校最好做好突发情况的应急预案。”

在信息安全问题上，国外多数高校建立了自己的一套信息安全规章制度。例如牛津大学在2012年7月颁布的学校信息安全政策里，清楚说明了对信息的敏感程度应有不同等级的分级，建立了一套风险评估体系，对信息的存储、使用、复制与清理都有明确的要求。在网站管理和信息管理的制度层面，国内高校也可效仿国外高校，结合自身实际情况，建立一套清晰的信息安全制度。

除了做好制度建设、人员培训和网站漏洞查处，一套操作性强的信息泄露紧急应对预案更是必不可少。凯斯西储大学在其官网上发布的《数据泄露应对程序》提供了一个极佳的范本。

一旦信息泄露事件发生，凯斯西储大学会有四个主要部门参与泄露事件的处理：

◆隐私办公室/法规管理处：负责引导和维持整个数据泄露处理流程的系统进行，作为处理事件的中心和对外沟通的最初接触方，负责通知受隐私泄露影响的每个人。

◆信息技术安全服务部门：负责电脑诊断，提供信息安全专业知识和建议，为防止泄露事件再次发生而提供补救措施。

◆法律顾问办公室：在调查过程中负责提供法律意见。

◆市场营销与沟通部门：在涉及事件当事人和内部利益相关人时，为隐私办公室提供交际策略，并负责与隐私办公室和大学赞助方协商后和媒体沟通。

除了这四大主要部门，其他部门和人员也同样重要，例如校长办公室、院长、学生事务副教务长等。

凯斯西储大学将应对流程分为十步：

1.校内教职人员发现一处私有信息可能泄露。

2.迅速将这一可疑的泄露情况报告给隐私办公室。

3.隐私办公室与发现者联系，确认信息，尽快调查泄露事件。

4.若隐私办公室确认没有私有信息遭到泄露，会将这一决定记录下来，调查过程至此结束。

5.若隐私办公室确认有私有信息遭到泄露，会与遭受影响的办公室或部门一起合力控制住数据泄露的局面。之后，隐私办公室会对泄露事件的范围和影响程度进行评估，其他部门此时也有可能加入进来。例如，如果泄露的信息是电子信息，信息技术安全服务部门会参与事件的处理。

6.控制住数据泄露的局面后，隐私办公室会与法律顾问办公室交换意见，确定泄露的信息是否明确受法律保护，并找出法律条文里相关的责任认定条例。之后，隐私办公室和法律顾问办公室会互相协作，确定所有会对学校的回应产生影响的法律条例。

7.隐私办公室按照相关的法律规定，拟定正式的通知信并发送给受泄露事件影响的每个人。

8.除了发布通知，隐私办公室还会寻找其他的补救措施以减轻数据泄露带来的影响，同时还会确认是否有其他制度流程上的缺陷必须处理。若缺陷存在，隐私办公室会与受影响的人一起努力，保证学校的工作流程得到改进，避免未来有类似的泄露情况再次发生。

9.隐私办公室拟定数据泄露事件报告，数据泄露事件的处理过程至此结束，关于泄露事件的内部记录会被视为学校的机密文件被保存。考虑到泄露事件当事人和学校领导层的意见，隐私办公室会自行决定是否公开数据泄露事件报告。根据收集到的可用信息，数据泄露报告应当包括以下所有的内容：

◆数据泄露被发现的具体时间。

◆数据泄露的物理位置、系统和涉及的学校服务。

◆负责该系统或服务的部门或办公室。

◆被盗数据的类型和范围。

◆简要概述导致数据泄露的安全隐患。

◆泄露事件对个人、校内操作和学校资源的潜在影响。

◆学校应对泄露事件的总结。

10.隐私办公室将每份事件报告收集汇总，可以将报告用于向相应的联邦政府机构履行法律报告义务。此外，大学办公室在遵守隐私相关法律的前提下，持续记录事件过程。

承载着重要的公众教育资源，数据安全和网站安全理应成为高校不可忽视的管理要点。从国外大学的经验来看，前期做好网站建设和人员培训，拟定一套便于操作的紧急应对程序，才能防患于未然。泄露事件一旦发生，安全意识高的高校更能及时作出反应，迅速解决“虫害”问题。