日前,《经济参考报》记者对补天漏洞响应平台的数据梳理发现,自2014年4月至2015年3月的12个月间,补天平台上显示的有效高校网站漏洞多达3495个,涉及高校网站1088个。其中,高危漏洞2611个,占74.7%;中危漏洞691个,占19.8%;低危漏洞193个,占5.5%。
而令人担忧的是,过去一年间,在被告知网站存在漏洞后,会修复漏洞的高校网站只有35个,仅186个漏洞被修复,96.8%的高校网站完全无视安全漏洞的存在,94.6%的高校网站安全漏洞未被修复。明知道网站有安全隐患,却不去修复,这是为何?笔者认为,原因可能有以下三个方面:
首先,高校普遍缺乏网络和信息安全责任意识。其实,也不光是各高校,很多人和单位都是这样,谈责任的时候,头头是道,什么道理都懂,真到了落实的时候,如果不牵扯自己的利益,则往往会“事不关己高高挂起”。针对这种情况,教育部门必须在各高校指定负责本校网站信息安全的直接责任人,加强问责机制,弥补我国在信息安全方面的责任缺位问题。
其次,强化高校网络安全保障还需要“顶层设计”。我们都知道,保障网络安全从来就不是个简单的事,不是说你今天下大力气弄了一套很牛的网络安全防护体系,就可以高枕无忧,从此过上太平日子了。因为,与网络有关的技术发展速度太快,你的防护措施再好也有过时、暴露漏洞的一天。比如,我们每个人的电脑上安装的杀毒软件需要实时更新就是这个道理。既然网络安全不可能一蹴而就,那高校要想保护好网站的信息安全就需要设专人、专款来长期负责和支持这个事情,投入还不能太少。
因此,教育主管部门需要加大政策支持和倒逼的力度,确保各高校的网站安全建设落到实处。教育部办公厅近期印发的《2015年教育信息化工作要点》明确提出,2015年将研究制定部直属机关和部属高校加强信息技术安全的指导意见,进一步落实安全责任制度,健全工作机制。希望这一政策的出台能对高校起到激励作用,并在政策的针对性和可操作性上不断完善。
最后,对网络安全的违法犯罪行为打击力度不够。高校网站的安全漏洞一般会被不法分子用来窃取教职员工及学生个人信息,然后再将其转卖给各种培训机构、商家甚至是诈骗者。其实,类似的问题也存在于网络零售业和银行业,为何这种随意窃取并转卖信息的行为如此猖狂?原因中很重要的一条就是打击力度不够。
按照我国的相关法律,在未经当事人允许的情况下,出售他人个人信息的行为可以被认定为违法行为。产生严重后果的可以认定为刑事责任,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。相对于非法窃取及转卖他人信息所获取的利益,以及由此对受害人可能带来的损失而言,这样的量刑标准显然过轻了,不足以对犯罪分子起到威慑和警示作用。
维护互联网安全,既是国家治理体系和治理能力现代化的题中之义,也是我国实施“互联网+”战略的必然选择。因此,我国的教育主管部门、各高校以及公安部门有义务和责任从上述三个方面入手,补好高校网站的安全漏洞,为信息安全兜底。