两起高校网络特大案透视:SOS!中国高校网络安全陷危机
事件
2007年5月下旬,海南省海口市某看守所。
30岁的王树哲被海口市公安局办案民警从关押的监舍提出审讯。跨出监舍铁门,走在看守所内外两道高墙之间的小块空地上,王树哲顿显神情萎顿动作迟缓。
3个月后,8月2日,海南警方公布了王树哲等11名犯罪嫌疑人利用“黑客技术”侵入海南大学招生网站,窜改招生信息数据,获取巨大利益的犯罪事实。
令人震惊的是,根据警方的公布,海南大学只是被入侵的全国多所高校中的一所,所涉人数,则涉及全国17个省市上千高考落榜生。
差不多同一时间,四川则发生了黑客侵入多所高校学生档案管理系统,改动学生成绩档案、制造“真毕业证”的案件。
高校网络安全案件频发,一时间人心惶惶。本报调查发现,跟随犯罪案件浮出水面的,是全国高校网络安全系统的薄弱和相关人员对此的漠视。
两起高校网络大案
提起2007年3月15日,21岁的何胜英(化名)“针刺一般的痛楚”。她是那场惊天诈骗的受害者。
那天上午10点,何胜英带着海南大学旅游学院录取通知书,来到了海南大学招生办办理入学手续——此前,她已在海南大学招生网上查询到了自己的相关信息。
但她遭到了拒绝。相同命运者,还有10名学生。
“我们调出了学校招生网站数据库进行查对。”8月上旬,一位招生办老师对记者回忆。查对结果让老师们大为震惊:一共有87名2006年秋季录取学生名字被窜改。
进一步核实查对,已有52名学生在海南大学报名并缴费,更离谱的是,有19名学生已住进了海南大学。
“直觉在那一瞬间告诉我,这是一起特大招生诈骗案。”该老师回忆。
案情并不复杂。当日下午5时,海口市公安局将主要犯罪嫌疑人杨柳、纪秋玲抓获。
对千里之外的四川省绵阳市公安局来说,相类似的案情则显得较为复杂。
5月15日,四川省绵阳市公安局网监支队接到绵阳某师范学院保卫处报案,称该校教务管理计算机系统多次被黑客非法入侵,系统网上100余名学生300多科的成绩被异常改动。
6月21日,绵阳警方抓获主要犯罪嫌疑人吕斌,同时还发现吕斌从事伪造毕业证的犯罪行为。
真正让警方大吃一惊的是——查获的假文凭,在高校档案系统和教育网站上都有编号可以查到,假的怎么变成了“真”的呢?
电脑黑客高科技作案
此时,海大招生诈骗案的侦破工作已进入了尾声。
抓获王树哲时,一名干警的第一反应,是想起了《疯狂的石头》中的一句台词:“还高科技嗦。”
给自己QQ号取名为“龙哥”的王树哲,原是一家网站的管理员。在与杨柳结识后,曾在其指示下,侵入一家高校网站,窜改了该高校网站的数据。事后,王从中获利6万余元。
因此,在海大招生诈骗案中,他并不参与招生诈骗案中常见的诈骗环节和手段,比如物色提供生源、提供伪造通知书,他的任务只有一个——入侵海南大学招生信息网。
2007年1月21日,在杨柳的指使下,王树哲联手因交流黑客心得而结识的马伟利,进入了海大招生信息网,破坏了信息系统,分三次窜改了海大招生信息网站的数据,使87名高考落榜学生录取信息出现在了海大招生信息网上,因此获得87名学生家长的信任,从而收取高达数万元的运作费。
只是,至始至终,这些受骗学生并不清楚自己的录取信息如何能出现在招生网上,更不知道王树哲这个关键的人物。
和海大招生诈骗案相同的是,吕斌也和王树哲一样,多次侵入多所高校网络系统。不同的是,吕斌在获得管理权限后,选择了修改学生的考试成绩——通常,这些学生的成绩不能拿到毕业证,但经过修改后,这些学生的成绩将足以达到核发毕业证书的分数。
同时,吕斌还开发了一项重要的新业务——从高校网络上,下载那些因为种种原因被学校扣下毕业证的学生的文凭档案编号,以此制作成“真”的毕业证。
高校网络安全敲响警钟
据了解,抓获杨柳后,民警从杨柳的笔记本电脑、闪存中发现,最近两年来,杨柳一伙大肆利用电脑黑客攻击多所高校网站。被骗落榜生高达上千人,涉及17个省市。因此,在一位专案组民警看来,海大招生诈骗案远未尘埃落定。
对绵阳警方来说,更未有破获案件后的兴奋之情。一位知情人士透露,被窜改的成绩科目无法统计,而全国多所高校的“真毕业证”已经外流五六百本,无从查证。
“这两个案件反映出的一个重要信号是——高校网络安全系统的薄弱。”8月8日,华中科技大学计算机与技术学院副院长李之棠教授给本报记者打来电话,如是称。
实际上,薄弱的高校网络安全系统,早就敲响了警钟。
2007年6月,一篇名为《管理密码随意泄露,校园网安全堪忧》的文章在上海高校论坛中流传,文章声称由于校园网安全防护性不高等原因,电子学籍系统内多名学生和管理员的账号密码泄露,利用泄露账号可以任意修改学生信息。随后许多学生利用泄露的账号登录,证实了该文章说法属实。
百年名校的警钟也已敲响。在网络流传的《黑客手册》中,黑客攻破清华大学的过程被详细记录其中。而黑客入侵高校网络最早有资料可查者,也是清华大学,时间是1996年。
在一些黑客看来,入侵高校网站是轻而易举的事情。 “与攻击其它网站相比,高校网络差不多是最容易攻破的了。”8月9日,一位小有名气的黑客对本报说,“遗憾的是,我以前却未从中发现巨大商机。”
事实上,除了黑客攻击,威胁还来自校园内部。
“那些自认计算机水平高的学生,常常有意无意地破坏校园网络系统,以显自己的厉害。”武汉某大学计算中心主任说。客观上,这些学生成了黑客的“开路先锋”。
安全防卫缺陷
“在过去,高校网络采用的是相对薄弱的网络安全系统。”李之棠教授说。他的另外两个身份,是天华网络信息安全研究所所长 、CERNET华中地区网络中心主任。
“安全防范措施主要是两种。一是基本层面普遍使用的防火墙,二是针对重要的服务器,根据应用的重要性,如web服务器、招生的信息专门打补丁和使用IDS入侵检测系统设备。”
缺少更多安全防范措施的高校网络,成了众多黑客一显身手的平台。“只需采用SQL注入式攻击就可以顺利进入高校网络。”一名黑客说。
“管理的不善,相关人士的漠然,也是黑客能轻易入侵的原因。”绵阳一民警对记者如是叹息。
据民警透露,被吕斌一伙非法入侵的高校网站,在四川省就达到了6家。但是,除了绵阳的两所高校报了案,其他高校则保持了沉默。
名校清华,也对本报的采访格外激动。
“清华并未被黑客侵入过,清华网络安全并不存在多大问题。”8月8日,清华大学计算机与信息管理中心信息室一主任否认了清华曾被黑客入侵的传言,但同时他承认:“清华网络安全系统曾多次遭受攻击行为。”
而在涉及清华网络安全系统防范措施、投入等更多细节问题上,该主任则谨慎地拒绝了采访。
与高层发出不同声音的,是来自一线的教师。
8月9日,广州某高校一计算机教师联系上了本报,讲述了自己的经历。
“在广州比较有名的高校中,主站点还算安全。但是,到了各院系负责的子站点时,往往会出现很多问题。”该教师如是称,他在一次测试过程中,曾进入了广州几所高校的部分服务器,赫然发现那些服务器早已被别人安装了后门。“虽然位置明显,却无人管理。”
不过,高校网络管理人员也有自己的一肚子苦水。
“实际上,网络总会存在许多自身的问题,比如IP地址不足、MAC地址冲突、数据安全、数据备份等等。”接受本报采访时,上海某大学一网络管理员难以掩饰自己的委屈。
他指出,随着高校规模的迅速发展,许多高校原有的网络设备(尤其是中心交换机和服务器)已不能满足高校正常的使用需求。
“据我了解,在服务器方面,很多高校采用的是师生组建的兼容机,这样的服务器在系统的可用性、扩展性、稳定性、可靠性、可管理性等方面存在严重不足。”因此,在该网管看来,服务器等设备的升级,才是堵住高校网络频频出现漏洞的关键。
链接:高校网络发展历程
中国高校网络,一直是中国网络发展的领头羊。
1994年7月,中国教育和科研计算机网CERNET示范工程启动。同年,清华北大建成了自己的校园网,事实上这也是中国互联网的开端。据教育部统计,截至2006年,97%的高校已组建了自己的校园网络(有一部分民办、职业学校未组建)。
高校网络的建设大概经历了三个时期。2000年前是基础设施建设时期,主要关注网络的连通性和兼容性;2000年到2005年,则是应用宽带时期;最近两年以及在未来几年,是万兆以太网在高校网络中的规模化应用和IPTV6技术的逐步应用。
而在结构方面,“中国高校网络和其它网络结构一样。”8月9日,西南大学一位校园网络管理员向记者表示。
据该网管介绍,从网络拓朴结构图来看,高校网络主要是由核心层、汇聚层(分布层)、接入层、计费系统四部分组成。各高校根据校园网络规模大小进行方案设计。
技术评论:高校网络安全防御策略
本报网络软件工程师 陈邓新
入侵高校网站,黑客最常用的就是SQL注入,因为这种方法使用灵活、涉及范围大。很多大学都采用了ASP、PHP或者JSP动态网页,Access或者MSSQL做数据库,如果敏感字符过滤不严,就会给黑客可乘之机,造成严重的损失。其他的攻击方法也能入侵大学网站,不过就较为繁琐,例如给网络管理员传送木马等。
要想保证学校网站系统的安全,首先管理员可以关闭其中不使用的系统功能,这样就减少了漏洞发生的机会。接着就是对已有的网站系统进行检测,除了修补安全漏洞以外,管理员最好通读一下系统的源代码,这样可以对系统进行更好的了解并过滤敏感字符。然后就是要定时对服务器系统进行检测,查看网络日志里面是否存在可疑的信息记录。最后在有条件的情况下,最好安装硬件防火墙等安全设备,进一步防止黑客的网路入侵。