本周，高校招生錄取工作陸續(xù)開(kāi)始。在清華大學(xué)李兆基大樓內(nèi)，中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET網(wǎng)絡(luò)運(yùn)行部正在執(zhí)行一項(xiàng)相關(guān)的重要任務(wù)：高校招生網(wǎng)站漏洞掃描的最后檢驗(yàn)。

　　這項(xiàng)任務(wù)事關(guān)高校招生的安全。據(jù)悉，6月底前，他們需要完成對(duì)全國(guó)高校所有招生網(wǎng)站的兩次安全檢測(cè)，以便為高校招生充分打好安全基礎(chǔ)。

　　這是CERNET及其運(yùn)營(yíng)單位賽爾網(wǎng)絡(luò)連續(xù)第六年協(xié)助教育部開(kāi)展全國(guó)普通高校招生網(wǎng)站安全檢測(cè)工作了。在過(guò)去的五年里，他們對(duì)全國(guó)2000多所高校招生網(wǎng)站的漏洞掃描檢測(cè)，使漏洞存在比例大大下降。

　　一份檢測(cè)報(bào)告的誕生

　　或許很多人不知道，高招錄取的平穩(wěn)有序，與一張大網(wǎng)密切相關(guān)。從1999年起，中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET開(kāi)始支持網(wǎng)上高招錄取的試點(diǎn)工作。從2002年起，全國(guó)招生錄取工作全部在網(wǎng)上完成，CERNET就是支撐這項(xiàng)工作的網(wǎng)絡(luò)。

　　除了夯實(shí)基礎(chǔ)網(wǎng)絡(luò)的安全保障工作，近年，CERNET及其運(yùn)營(yíng)單位賽爾網(wǎng)絡(luò)對(duì)高考網(wǎng)絡(luò)安全的服務(wù)也逐漸延伸覆蓋到應(yīng)用層面。

　　在6月最受關(guān)注的全國(guó)高考結(jié)束后，7月高校招生錄取工作隨之啟動(dòng)。在高招錄取中，高校招生網(wǎng)站是學(xué)子和高校連接的“橋梁”。毋庸置疑，高招平臺(tái)的安全保障至關(guān)重要，不容半點(diǎn)閃失。

　　每年高考錄取前，高校都會(huì)對(duì)自己的相關(guān)網(wǎng)站做一次“安全體檢”，了解自己學(xué)校招生網(wǎng)站當(dāng)前的漏洞情況，并做針對(duì)性修補(bǔ)與防護(hù)工作，所依托的平臺(tái)便是“招生安全服務(wù)平臺(tái)”。

　　2018年，在長(zhǎng)期實(shí)踐實(shí)驗(yàn)的基礎(chǔ)上，CERNET開(kāi)發(fā)建設(shè)了 “招生安全服務(wù)平臺(tái)”，專(zhuān)門(mén)為高招網(wǎng)站檢測(cè)提供服務(wù)?！爸攸c(diǎn)是要做好漏洞檢驗(yàn)和報(bào)告檢驗(yàn)?！盋ERNET網(wǎng)絡(luò)運(yùn)行部李鎖鋼介紹說(shuō)。每一個(gè)掃描到的漏洞都要經(jīng)過(guò)反復(fù)驗(yàn)證才能出現(xiàn)在檢測(cè)報(bào)告中，每一份檢測(cè)報(bào)告要經(jīng)仔細(xì)確認(rèn)無(wú)誤后方能開(kāi)放給學(xué)校老師，以此來(lái)最大限度地保障安全，保證漏洞信息安全送達(dá)目標(biāo)對(duì)象。

　　“每年，我們都會(huì)根據(jù)當(dāng)年的新需求對(duì)平臺(tái)功能進(jìn)行優(yōu)化和升級(jí)?！崩铈i鋼表示。

　　高危漏洞大降的背后

　　數(shù)據(jù)顯示，經(jīng)過(guò)5年多的工作，全國(guó)高校招生網(wǎng)站中存在高危漏洞的比例下降了20%左右。漏洞數(shù)量大幅下降的背后，是細(xì)之又細(xì)的漏洞掃描和核實(shí)工作。

　　按照要求，高招網(wǎng)站要經(jīng)過(guò)兩輪漏洞檢測(cè)。第一輪掃描檢測(cè)后，高校需對(duì)照安全檢測(cè)報(bào)告對(duì)高危漏洞進(jìn)行整改，并提交整改報(bào)告。接下來(lái)，CERNET團(tuán)隊(duì)再對(duì)照整改報(bào)告進(jìn)行第二輪掃描檢測(cè)，確認(rèn)高危漏洞的修復(fù)。

　　“在檢測(cè)流程中，漏洞審核是最花時(shí)間的，”李鎖鋼表示。由于機(jī)器掃描漏洞可能存在誤報(bào)，同時(shí)，對(duì)漏洞的定級(jí)也有一定難度，因此為了確認(rèn)漏洞的準(zhǔn)確信息，團(tuán)隊(duì)需要對(duì)所有掃描出的漏洞進(jìn)行人工驗(yàn)證。據(jù)統(tǒng)計(jì)，每年需要檢驗(yàn)的漏洞數(shù)量龐大，初檢約25萬(wàn)個(gè)，復(fù)檢約5萬(wàn)個(gè)，總共達(dá)30萬(wàn)個(gè)。

　　漏洞驗(yàn)證工作不僅需要耐心，更需要細(xì)心和經(jīng)驗(yàn)。

　　此前，團(tuán)隊(duì)成員劉光磊在進(jìn)行漏洞驗(yàn)證時(shí)，發(fā)現(xiàn)了某招生網(wǎng)站中存在數(shù)據(jù)庫(kù)系統(tǒng)密碼泄露風(fēng)險(xiǎn)，第一時(shí)間便告知相關(guān)高校進(jìn)行處置。“對(duì)于這一類(lèi)非常危險(xiǎn)的漏洞，不必等檢測(cè)報(bào)告，要在確認(rèn)漏洞的第一時(shí)間就要告知學(xué)校?！眲⒐饫谡f(shuō)。

　　經(jīng)過(guò)掃描和修復(fù)，招生網(wǎng)站的高危漏洞每年都在減少。但每年都會(huì)有新的學(xué)校參與招生工作，也會(huì)有新的漏洞暴露出來(lái)，因此每一年的高招網(wǎng)站安全檢測(cè)都要高度重視，不容有失。

　　截至目前，今年的高校招生網(wǎng)站安全檢測(cè)工作已開(kāi)展了一個(gè)多月，共有2200多所學(xué)校在服務(wù)平臺(tái)上填報(bào)了2400多個(gè)招生網(wǎng)站;團(tuán)隊(duì)完成了2200多位老師的身份認(rèn)證以及全部網(wǎng)站的審核，完成了約26萬(wàn)個(gè)漏洞的驗(yàn)證，生成掃描報(bào)告2400多份。