5月31日,距2022年全國高考還有6天。在清華大學李兆基大樓內,中國教育和科研計算機網CERNET網絡運行部正在執行一項重要任務:高校招生網站漏洞掃描。
6月底前,他們需要完成對全國高校所有招生網站的兩次安全檢測,以便為即將到來備受矚目的高考招生打好安全基礎。
這是CERNET連續第六年協助教育部開展全國普通高校招生網站安全檢測工作了。具體執行這項任務的是CERNET網絡運行團隊。在過去的五年里,他們對全國2000多所高校的招生網站進行了漏洞掃描檢測,使高招網站的漏洞存在比例大降。由于這一工作的突出貢獻,相關部門先后兩次發來感謝信。
一份檢測報告的誕生
或許很多人不知道,高招錄取的平穩有序,與一張大網密切相關。從1999年起,中國教育和科研計算機網CERNET開始支持網上高招錄取的試點工作。從2002年起,全國招生錄取工作全部在網上完成,CERNET就是支撐這項工作的網絡。
除了夯實基礎網絡的安全保障工作,近年,CERNET對高考網絡安全的服務也逐漸延伸覆蓋到應用層面。
在6月最受關注的全國高考結束后,7月高校招生錄取工作隨之啟動。在高招錄取中,高校招生網站是學子和高校連接的“橋梁”。毋庸置疑,高招平臺的安全保障至關重要,不容半點閃失。
每年高考錄取前,高校都會對自己的相關網站做一次“安全體檢”,了解自己學校招生網站當前的漏洞情況,并做針對性修補與防護工作,依托的平臺便是“招生安全服務平臺”。
2018年,在長期實踐實驗的基礎上,CERNET開發建設了 “招生安全服務平臺”,專門為高招網站檢測提供服務。“重點是要做好漏洞檢驗和報告檢驗。”CERNET網絡運行部李鎖鋼介紹說。每一個掃描到的漏洞都要經過反復驗證才能出現在檢測報告中,每一份檢測報告要經仔細確認無誤后方能開放給學校老師,以此來最大限度地保障安全,保證漏洞信息安全送達目標對象。
“每年,我們都會根據當年的新需求對平臺功能進行優化和升級。”李鎖鋼表示。
高危漏洞大降的背后
經過5年多的工作,數據顯示,全國高校招生網站中存在高危漏洞的比例下降了20%左右。漏洞數量大幅下降的背后,是細之又細的漏洞掃描和核實工作。
按照要求,高招網站要經過兩輪漏洞檢測。第一輪掃描檢測后,高校需對照安全檢測報告對高危漏洞進行整改,并提交整改報告。接下來,CERNET團隊再對照整改報告進行第二輪掃描檢測,確認高危漏洞的修復。
“在檢測流程中,漏洞審核是最花時間的,”李鎖鋼表示。由于機器掃描漏洞可能存在誤報,同時,對漏洞的定級也有一定難度,因此為了確認漏洞的準確信息,團隊需要對所有掃描出的漏洞進行人工驗證。據統計,每年需要檢驗的漏洞數量龐大,初檢約25萬個,復檢約5萬個,總共達30萬個。
漏洞驗證工作不僅需要耐心,更需要細心和經驗。
幾天前,團隊的劉光磊在進行漏洞驗證時,發現了某招生網站中存在數據庫系統密碼泄露風險,第一時間便告知相關高校進行處置。“對于這一類非常危險的漏洞,不必等檢測報告,要在確認漏洞的第一時間就要告知學校。”劉光磊說。
經過掃描和修復,招生網站的高危漏洞每年都在減少。但每年都會有新的學校參與招生工作,也會有新的漏洞暴露出來,因此每一年的高招網站安全檢測都要高度重視,不容有失。
疫情下的堅守
“高招漏洞掃描時間緊,任務急”,李鎖鋼表示,“在7月招生季到來前,高校招生網站的檢測工作必須圓滿安全完成。”
今年更加特殊的是疫情反撲后的挑戰。5月,北京疫情加重,因為疫情防控需要,CERNET網絡中心辦公所在的清華大學要求以最少入校人員提供保障。因此,安全團隊只有1人留守辦公地點。其他團隊成員居家辦公,通過協同工作平臺,大家分工合作,配合有序執行任務。
截至目前,今年的高校招生網站安全檢測工作已開展了十多天,共有2000多所學校在服務平臺上填報了2246個招生網站;團隊完成了2000多位用戶的身份認證以及2178個網站的審核,完成了3萬多個漏洞的驗證,生成掃描報告900多份。
進入6月,更多的檢測工作有待完成。
“招生網站的安全防護是一項艱巨的政治任務,意義重大。教育部目前正部署開展2022高考護航行動,我們承擔的招生網站安全檢測工作無疑也是高考護航行動的重要組成部分。”李鎖鋼表示,“正因為意識到這項工作的重要性,我們更要全力以赴,保質保量,竭盡所能完成招生網站安全檢測任務,為考生們的人生航途保駕護航。”