站内搜索:

[资讯]山东省教育厅关于2017年第四季度教育系统网络与信息安全情况的通报


    日期:2018-01-25

  各市教育局,各高等学校,厅属各单位:

  2017年第四季度,我省教育系统网络与信息系统运行总体稳定,但网络与信息安全面临的形势依然严峻,个别教育行政部门和学校的信息系统及网站存在安全漏洞,页面被植入非法暗链、身份证号信息泄露等事件发生较多。第四季度共监测发现安全事件115起,比三季度减少28起。其中烟台大学、山东铝业职业学院、东营市教育局、泰安市教育局、济宁市教育局所属系统漏洞较多。对发现的安全问题,我厅已第一时间通知和督促处理。为进一步加强教育系统网络与信息安全管理,现将第三季度发生安全事件的具体情况通报如下:

       一、暗链漏洞

  共发生68次。暗链是黑客通过网站漏洞篡改页面源代码,以隐蔽的方式植入不易被觉察的代码链接到其他网站,达到对其他网站的宣传,因此被植入暗链一般说明网站已被攻陷。暗链往往被链接到黄赌毒、诈骗甚至反动等非法网站,对政府和企事业单位的影响较大。涉及单位:山东职业学院、烟台大学、曲阜师范大学、聊城大学、东营市教育局、泰安市教育局、济宁市教育局、威海市教育局、淄博市教育局、临沂市教育局、枣庄市教育局、聊城市教育局、莱芜市教育局、德州市教育局、青岛市教育局。

       二、信息泄露漏洞

  共发生26次。主要是网站发布公示信息时泄露个人身份证号等敏感信息,也包括服务器中源代码等信息可以被直接下载利用导致服务器配置、数据库连接等敏感信息泄露。涉及单位:烟台大学、山东铝业职业学院、山东师范大学、济南大学、山东理工大学、山东职业学院、济宁学院、齐鲁工业大学、青岛港湾职业技术学院、山东工商学院、山东工艺美术学院、山东华宇工学院、山东凯文科技职业学院、山东体育学院、枣庄学院。

       SQL注入漏洞

  共发生5次。即黑客通过把SQL(数据库操作语言)语句插入存在漏洞的页面,欺骗服务器执行恶意命令,取得对数据库的操作权限,以达到获取和篡改数据的目的。涉及单位:山东师范大学、曲阜师范大学、潍坊学院、临沂大学、菏泽学院。

       四、弱口令漏洞

  共发生4次。弱口令指的是仅包含简单数字和字母的口令,例如“123456”“abc123”等,很容易被破解,黑客可以轻易进入系统获取和篡改数据,而安全设施很难发现。涉及单位:烟台大学、山东职业学院。

       五、任意文件读取与下载漏洞

  共发生3次。因系统或网站一般具有下载附件等文件的功能,因这些功能程序设置不当,导致也可用于下载数据库、源程序和服务器配置等文件,致使黑客可获取数据库或侵入系统。涉及单位:青岛理工大学、泰安市教育局、山东铝业职业学院。

       六、网站后门漏洞

  共发生4次。网页后门其实就是一段网页代码,由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。涉及单位:烟台大学、滨州医学院、山东建筑大学。

       七、跨站脚本攻击漏洞

  共发生2次。跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码盗取用户信息。涉及单位:滨州医学院。

       八、目录遍历漏洞

  共发生1次。目录遍历是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web根目录以外的文件),甚至执行系统命令。涉及单位:山东铝业职业学院。

       九、编辑器上传漏洞

  共发生1次。利用上传漏洞可以直接得到WebShell,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。涉及单位:山东铝业职业学院。

       十、暴力破解漏洞

  共发生1次。暴力破解是一种针对于密码的破译方法,即将密码进行逐个尝试直到找出真正的密码,例如一个四位数字组成的密码最多尝试10000次就能找到正确的密码。如果服务器端允许用户不断发送请求,攻击者即可不断尝试破解,直至获取管理员密码及控制整个站点。涉及单位:临沂大学。

  请以上安全事件涉及单位确认已修复安全漏洞(具体信息见附件),切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通报和督办。各单位必须加强组织领导,明确主体责任,增强安全防范意识和防护能力,提高发现问题和处置安全事件的能力。

  

        附件:安全事件具体信息(略)

 

                                                                                                                山东省教育厅

2018112