相关案例

　　学生屡次攻陷自家校园网

事实上，学生发现校园网漏洞，并用各种方式炫耀“战绩”的做法，的确是很多高校共同面对的问题。据记者不完全统计，仅去年一年就有5起相关新闻报道。去年8月底，广东外语外贸大学(大学城校区)校园网遭黑客攻击，正在上网的学生电脑全部自动关机。所幸大部分同学电脑并未遭受损坏。“黑客”为该校信息学院大四学生，事后通过微博向全体学生公开道歉。

而就在今年3月底，南昌大学某学生匿名入侵校园网站后，篡改网站公告抱怨“学校断电太早，希望学生寝室0点30分再断电”，因此被广大网友称为“最有爱的黑客哥”。而据信息安全检测结果，南昌大学网站此前存在多个高危漏洞，才会被黑客轻易入侵篡改。

沪上不少高校的校园网也同样未能幸免。现在就职于一家外资IT企业的软件工程师“hackerzhou”早在复旦大学读书时，就发现了校方数据库管理系统的漏洞，并利用该漏洞，编写了选课软件。“我只想做点帮助同学的事情，所以没有做得过分。其实，如果我想的话，可以把其他任何同学的成绩信息调出来。这个软件一开始的时候，也只是在计算机专业的同学之间内部流传。”他如此说道。

此外，上海大学校友金先生在校时，也曾利用系统漏洞，设计过一个选课助手软件，累计使用人数达到130余万人次。他曾告诉记者，该软件出于善意的目的设计，但由于数据源问题，让该软件蒙上了一层阴影，最后只能被迫关停。这让他着实难过了一阵子。

》校园网“免疫力”差的四大原因

　　1.校园网大小网页太多

    质量参差不齐易被攻

多名IT从业人员均表示，相对于一些门户网站，校园网经受的攻击强度测试不够，“免疫力”差，管理员安全设置方面的漏洞，使其安全系数降低。

专业人士透露，虽然这名华理学生并未公布漏洞细节，但通常的做法是，他通过不断猜测，发现了照片链接的编号就是学号的编号，于是，校园网便被他成功侵入。如果去一些大公司网站，他们的重要照片链接可能通过编码设置得更为复杂，更为隐蔽，绝不会如此轻易就被发现规律。

软件工程师“hackerzhou”说，“像华理这位同学的做法不算新鲜，此前也有人这样尝试过。发现此类校园网漏洞并不难。”

金先生目前在银行从事IT工作，他也给记者举了一个例子。一般而言，银行网络受到攻击的可能性较少，因为它暴露给受众的充其量只有网银，其他庞大的系统架构都是内网，黑客根本无从攻击。但校园网大大小小的网页何其多，质量参差不齐，有一定技术水平的人想随便找个网页“练练手”，并不难。

2.专职信息安全人员少

　　学生常来“充专家”

记者了解到，随着互联网的普及，高校网上办公越来越风行。学生档案系统、校园卡系统、选课系统等纷纷出炉，方便大家的同时，其间包含的各类重要私人信息，却带来了信息安全的隐忧。

资深信息安全人士曾佛春对高校网络观察多年，目前也在从事相关的信息安全工作。他告诉记者，“校园网的安全性相当重要。因为学生的个人信息容易被不法商家套取、利用，进而牟利。此外，校园‘黑客’事件一多，会给校园正常教学秩序带来严重干扰。”

在他看来，早年的各大高校校园网一般漏洞都比较多，因为出于成本等考虑，参与建设的大多为相关专业的老师和学生，并且利用业余时间完成，而不是专职人士。近几年，在一些关键性的官方系统上，部分高校开始委托一些专业的公司进行建设，不过，一些院系的小网站仍会由学生来开发。这样一来，校园网的质量参差不齐，时不时受到“骚扰”，也在所难免。这种说法在“hackerzhou”那里得到了证实。“校园网一般由高校的信息化办公室或者网络信息中心负责。其中，学生仍是不可或缺的一部分。”他同时表示，由于投入有限，专职的信息安全人员并不多。他本人学生时代就在相关部门帮过忙。

3.校园网建设被外包

　　只重功能轻视防御

此外，与其事后亡羊补牢，不如事前主动防御，但现实往往并非如此。在“hackerzhou”看来，部分高校会将一些系统的开发项目外包给软件公司。在验收时，高校信息办往往只关注功能是否完备，页面是否美观，而忽视了“找漏洞”的环节。“学校的内部团队应该在验收时，测试一下系统的安全性，或者找专业的网络安全公司来进行把关。”

在这方面，曾佛春则给记者举了个例子。沪上某高校的新生数据库数据曾遭外泄，造成信息外流，事后该校才采取了一些改进措施。如果不发生这件事，是不是就“天下太平”了？

“目前，攻击校园网的主体是大学生。学生可能只是小打小闹，还会‘手下留情’。但随着越来越多有含金量的学生信息都被放在了网上，不排除哪天会有黑客看到其中价值，进行有组织、有系统的攻击。这些怀有恶意的黑客，可不是那么好惹的。”

“学校可以请一些专门的网络安全公司进行审计、咨询，对校园网逐一检测，找出漏洞，防患于未然。”曾佛春不无遗憾地说，目前由于诸多限制，就这一点而言，多数学校还无法做到。

4.对学生不好强制管理

　　网络中心难及时补漏

当然，校园网的信息安全难题还在于管理方面。曾佛春用公司和高校来比较。如果在一家公司，领导层出于安全考虑，关闭聊天软件，甚至不让上网，员工都不大可能有所怨言。但换作了高校，限制学生的诸多上网行为，活泼好动的大学生不要都跳起来？“公司的管理往往具有强制性，但高校的各大院系之间本来就相对松散，具体到个体学生，就更加不能用强硬措施了。”

某些高校的“技术大牛”为了小试牛刀，将校园网作为练兵场，一时间，大学生“黑客”层出不穷。“我认识一个同学，前些阵子利用系统漏洞，做了一个选课插件。他自认为造福了同学，并很有成就感。但万一这个插件，被有恶意的人利用，带上攻击性软件怎么办？学校当然是不支持的，但也无计可施，结果，只能将他‘招安’，来信息中心帮忙。”

此外，网络信息中心作为服务部门，对于各院系网站的漏洞只能提供建议，没法强制责令其尽快修补。“在有些老师的旧有观念中，网络信息中心的工作人员就是来帮忙修修电脑的，怎么可能凌驾于他们之上？”曾佛春坦言，一个学校的整体网络布局，需要配备系统化的管理，就这一点而言，似乎很多学校都有较长的路要走。