堵住网站漏洞,这支技术团队为高校招生工作护航

发布者: 发布时间:2022-06-24来源:

堵住网站漏洞,这支技术团队为高校招生工作护航
2022-06-24 中国青年报客户端 叶雨婷 余兴真
  本周,高校招生录取工作陆续开始。在清华大学李兆基大楼内,中国教育和科研计算机网CERNET网络运行部正在执行一项相关的重要任务:高校招生网站漏洞扫描的最后检验。
 
  这项任务事关高考招生的安全。据悉,6月底前,他们需要完成对全国高校所有招生网站的两次安全检测,以便为高考招生充分打好安全基础。
 
  这是CERNET连续第六年协助教育部开展全国普通高校招生网站安全检测工作,具体执行这项任务的是CERNET网络运行团队。在过去的五年里,他们对全国2000多所高校招生网站的漏洞扫描检测,使漏洞存在比例大大下降。
 
  在高招录取中,高校招生网站是学子和高校连接的“桥梁”。毋庸置疑,高招平台的安全保障至关重要,不容半点闪失。
 
  每年高考录取前,高校都会对自己的相关网站做一次“安全体检”,了解自己学校招生网站当前的漏洞情况,并做针对性修补与防护工作,所依托的平台便是“招生安全服务平台”。
 
  2018年,在长期实践实验的基础上,CERNET开发建设了 “招生安全服务平台”,专门为高招网站检测提供服务。“重点是要做好漏洞检验和报告检验。”CERNET网络运行部负责人李锁钢介绍说。每一个扫描到的漏洞都要经过反复验证才能出现在检测报告中,每一份检测报告要经仔细确认无误后方能开放给学校老师,以此来最大限度地保障安全,保证漏洞信息安全送达目标对象。
 
  “每年,我们都会根据当年的新需求对平台功能进行优化和升级。”李锁钢表示。
 
  数据显示,经过5年多的工作,全国高校招生网站中存在高危漏洞的比例下降了20%左右。漏洞数量大幅下降的背后,是细之又细的漏洞扫描和核实工作。
 
  按照要求,高招网站要经过两轮漏洞检测。第一轮扫描检测后,高校需对照安全检测报告对高危漏洞进行整改,并提交整改报告。接下来,CERNET团队再对照整改报告进行第二轮扫描检测,确认高危漏洞的修复。
 
  “在检测流程中,漏洞审核是最花时间的,”李锁钢表示。由于机器扫描漏洞可能存在误报,同时,对漏洞的定级也有一定难度,因此为了确认漏洞的准确信息,团队需要对所有扫描出的漏洞进行人工验证。据统计,每年需要检验的漏洞数量庞大,初检约25万个,复检约5万个,总共达30万个。
 
  漏洞验证工作不仅需要耐心,更需要细心和经验。
 
  此前,团队成员刘光磊在进行漏洞验证时,发现了某招生网站中存在数据库系统密码泄露风险,第一时间便告知相关高校进行处置。“对于这一类非常危险的漏洞,不必等检测报告,要在确认漏洞的第一时间就要告知学校。”刘光磊说。
 
  经过扫描和修复,招生网站的高危漏洞每年都在减少。但每年都会有新的学校参与招生工作,也会有新的漏洞暴露出来,因此每一年的高招网站安全检测都要高度重视,不容有失。
 
  截至目前,今年的高校招生网站安全检测工作已开展了一个多月,共有2200多所学校在服务平台上填报了2400多个招生网站;团队完成了2200多位老师的身份认证以及全部网站的审核,完成了约26万个漏洞的验证,生成扫描报告2400多份。
 
  中青报·中青网记者 叶雨婷
 
  通讯员 余兴真