站内搜索:

山东省教育厅关于今年一季度教育系统网络与信息安全情况的通报


    日期:2017-04-11

各市教育局,各高等学校,厅属各单位:

  今年一季度,我省教育系统网络与信息系统运行总体稳定,但网络安全面临的形势依然严峻,教育行政部门和高等学校的不少信息系统和网站存在安全漏洞,系统后门和信息泄露的风险隐患不容忽视,页面被植入黄赌毒、黑产等非法暗链及被直接篡改等情况相当严重。对发现的以上安全问题,我厅和省通信管理局及时通知相关单位作了处理。为切实加强教育系统网络与信息安全管理,现将今年一季度发生安全事件的相关情况通报如下:

       一、 Struts2 S2-045漏洞事件

  共发生94次。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意构造的HTTP数据包,利用该漏洞在受影响服务器上执行系统命令,最终可完全控制该服务器,造成拒绝服务、数据泄露、网站遭篡改等后果。涉及单位:曲阜师范大学、山东财经大学、青岛科技大学、鲁东大学、青岛理工大学、山东女子学院、山东交通学院、青岛港湾职业技术学院、山东政法学院、济宁医学院、济南大学、潍坊学院、齐鲁工业大学、泰山医学院、烟台大学、枣庄学院、滨州医学院、哈尔滨工业大学(威海)、临沂大学、山东工商学院、山东理工大学、山东商业职业技术学院、山东艺术学院、山东职业学院、聊城大学、山东凯文科技职业学院、山东农业大学、山东医学高等专科学校、山东中医药大学、泰山学院、中国石油大学胜利学院、德州学院、滨州学院、济宁学院、青岛农业大学、青岛职业技术学院、山东建筑大学、山东科技大学、济宁市教育局、烟台市教育局、潍坊市教育局。

       二、 弱口令事件

  共发生2次。弱口令指的是仅包含简单数字和字母的口令,例如123456”、“abc123等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,建议用户不要使用。涉及单位:山东财经大学、山东水利职业学院。

       三、 SQL注入事件

  共发生2次。黑客通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞网站上的数据库。涉及单位:山东财经大学、滨州医学院。

       四、 网站暗链事件

  共发生2次。“暗链”就是看不见的网站链接,“暗链”在网站中的链接做得非常隐蔽,短时间内不易被搜索引擎察觉。暗链攻击是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链,这些暗链往往被非法链接色情、诈骗甚至反动信息。涉及单位:枣庄学院、青岛农业大学。

       五、 文件上传漏洞事件

  共发生2次。文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马、病毒、恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常低,对于攻击者来说很容易实施。涉及单位:青岛理工大学、泰山护理职业学院。

       六、 跨站脚本攻击事件

  共发生1次。跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码盗取用户信息。涉及单位:山东财经大学。

       七、 源码泄露事件

  共发生1次。该漏洞往往会导致服务器整站源代码或者部分页面的源代码被下载、利用。源代码中所包含的各类敏感信息,如服务器数据库连接信息,服务器配置信息等会因此而泄露,造成巨大损失。被泄露的源代码还可能会被用于代码审计,从而对整个系统的安全造成隐患。涉及单位:聊城大学。

  请以上安全事件涉及单位及时修复安全漏洞(具体信息见附件),切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通知和督促办理。各单位必须认真排查隐患,加强管理,增强安全防范意识,提高发现和处置安全事件能力,切实做好以下几方面工作:

  一是高度重视,提高管理水平。面对网络与信息安全事件层出不穷,尤其是信息泄露风险日益加剧的严峻形势,各单位要借助漏洞报告平台,定期对本单位网站和信息系统进行全面排查,及时发现安全隐患并进行安全加固,采取有效措施进行处置,进一步提高网络与信息安全管理水平。

  二是健全制度,强化安全保障。完善网络信息安全制度和人员管理制度,定期对安全制度执行情况进行检查,制定安全事件应急预案并根据演练情况及时更新,加强应急技术队伍建设,认真做好应急演练、安全事件处置和重要数据备份等工作。

  三是加强培训,提升防范能力。加强对网络与信息安全管理和技术人员的培训,强化安全设施的建设利用,做到人防、物防、技防紧密结合。规范网络与信息安全管理,切实提高防范和处置能力。

 

        附件:安全事件具体信息(略)

  

                                                    山东省教育厅

                                                   2017年4月11日