从两起案件透视高校网络安全

　　电脑报记者 朱文利 特约记者 李小郭 毛建敏 北京、海口报道

　　2007年5月下旬，海南省海口市某看守所。

　　30岁的王树哲被海口市公安局办案民警从关押的监舍提出审讯。跨出监舍铁门，走在看守所内外两道高墙之间的小块空地上，王顿显神情萎顿动作迟缓。

　　3个月后。8月2日，海南警方公布了王树哲等11名犯罪嫌疑人利用“黑客技术”侵入海南大学招生网站，篡改招生信息数据，获取巨大利益的犯罪事实。

　　令人震惊的是，根据警方的公布，海南大学只是被入侵的全国多所高校中的一所，所涉人数，则涉及全国17个省市上千高考落榜生。

　　差不多同一时间，四川则发生了黑客侵入多所高校学生档案管理系统，改动学生成绩档案、制造“真毕业证”的案件。

　　高校网络安全案件频发，一时间人心惶惶。本报调查发现，跟随犯罪案件浮出水面的，是全国高校网络安全系统的薄弱和相关人员对此的漠视。

　　两起高校网络大案

　　提起2007年3月15日，21岁的何胜英(化名)“针刺一般的痛楚”。她是那场惊天诈骗的受害者。

　　那天上午10点，何胜英带着海南大学旅游学院录取通知书，来到了海南大学招生办办理入学手续——此前，她已在海南大学招生录取网查询到了自己的相关信息。

　　但她遭到了拒绝。相同命运者，还有10名学生。

　　“我们调查出了学校招生网站数据库进行查对。”8月上旬，一位招生办老师回忆说。查对结果让老师们大为震惊：一共有87名2006年秋季录取学生名单被篡改，何胜英是其中之一。

　　进一步核实查对，已有52名学生在海南大学报名并缴费，更离谱的是，有19名学生已住进了海南大学。

　　“直觉在那一瞬间告诉我，这是一起特大招生诈骗案。”该老师回忆说。

　　案情并不复杂。当日下午17时，海口市公安局将主要犯罪嫌疑人杨柳、纪秋玲抓获。

　　对千里之外的四川省绵阳市公安局来说，相类似的案情则显得较为复杂。

　　5月15日，四川省绵阳市公安局网监支队接到绵阳某师范学院保卫处报案，称该校教务管理计算机系统多次被黑客非法入侵，系统网上100余名300多科学生的成绩被异常改动。

　　一名学生向警方交代称，自己以每科50元的价格，通过中间联络人交给一个网名叫“摆解轰”的人，然后学校网上的成绩也得以改动。

　　6月21日，绵阳警方抓获犯罪嫌疑人头目吕斌，同时还发现吕斌从事伪造毕业证的犯罪行为。

　　真正让警方大吃一惊的是——查获的假文凭，在高校档案系统和教育网站上都有编号可以查到，假的怎么变成了“真”的了呢？

　　电脑黑客高科技作案

　　此时，海大招生诈骗案的侦破工作已进入了尾声。

　　抓获王树哲时，一名干警的第一反应，是想起了《疯狂的石头》中的一句台词：“还高科技嗦。”

　　给自己QQ号取名为“龙哥”的王树哲，原是一家网站的网站管理员。在与杨柳结识后，曾在其指示下，侵入一家高校网站，篡改了该高校网站的数据。事后，王从中获利6万余元。

　　因此，在海大招生诈骗案中。他并不参与招生诈骗案中常见的诈骗环节和手段，比如物色提供生源、提供伪造通知书，他的任务只有一个——入侵海南大学招生信息网。

　　2007年1月21日，在杨柳的指使下，王树哲联手因交流黑客心得而结识的马伟利，进入了海大招生信息网，破坏了信息系统，分三次篡改了海大招生信息网站的数据，使87名高考落榜学生录取信息出现在了海大招生信息网上。

　　根据本报了解，海大招生信息网是海南大学官方网站的子网站。“其作用是发布海南大学招生公告、信息以及计划。考生可以从上面查询到自己是否被录取等信息。”

　　“全国大多数学生都会在学校的官方网站查询自己是否会录取。我在海大网站上查询到了自己的录取信息，这让我和父母不得不相信她们有能力运作这个事情。”落榜的何胜英说。随后，她们被杨柳收取了5万多元的运作费。

　　根据本报从警方了解，87名被篡改的学生，在从海大录取网上“证实”了自己录取信息后，向杨柳犯罪团伙交了5万至10万的运作费——只是，至始至终，这些学生并不清楚自己的信息如何能出现录取网上，更不知道王树哲这个关键的人物。

　　6月下旬，四川绵阳警方的侦破工作也取得了很大进展。

　　和海大招生诈骗案相同的是，吕斌也和王树哲一样，多次侵入多所高校网络系统。不同的是，吕斌则在获得管理权限后，选择了修改学生的考试成绩——通常，这些学生的成绩不能拿到毕业证，但经过修改后，这些学生的成绩将足以达到核发毕业证书的分数。

　　同时，吕斌还开发了一向重要的新业务——下载那些因为种种原因被学校扣下毕业证的学生的文凭档案编号，以此制作成“真”的毕业证。

　　高校网络安全警钟

　　“真正触目惊心的是，海大诈骗案不过是其中冰山一角。”侯亨浪说。

　　据了解，抓获杨柳后，民警从杨柳的笔记本电脑、闪存中发现，最近两年以来，杨柳一伙大肆利用电脑黑客攻击多所高校网站。被骗落榜生高达上千人，涉及17个省市。

　　在警方破案后，海大所涉57名学生已全部退学。但在一位专案组民警看来，海大招生诈骗案并未尘埃落定。“全国还有多少利用网络入侵高校的诈骗团伙？有多少高校网络的招生信息曾被改动？”

　　对绵阳警方来说，更未有破获案件后的兴奋之情。一位知情人士透露，被篡改的成绩科目无法统计，而全国多所高校的“真毕业证”已经外流五、六百本，无从查证。

　　“这两个案件反映出的一个重要信号是，薄弱的高校网络安全系统。”8月8日，华中科技大学计算机与技术学院副院长李之棠教授给本报记者打来电话，如是称。

　　实际上，薄弱的高校网络安全系统，早就悄悄地敲响了警钟。

　　2007年6月，一篇名为《管理密码随意泄露，校园网安全堪忧》的文章在上海高校论坛中流传，文章声称由于校园网安全防护性不高等原因，电子学籍系统内多名学生和管理员的账号密码泄露，一些帐号可以任意修改学生信息。随后许多学生利用泄露的帐号登录，证实了该文章说法属实。

　　百年名校的警钟也已敲响。在网络流传的《黑客手册》中，黑客攻破

清华大学的过程被详细记录于其中。而黑客入侵高校网络最早有资料可查者，也是清华大学，时间是1996年。

　　在一些黑客看来，入侵高校网站是轻而易举的事情。 “与攻击其它网站相比，高校网络差不多是最容易攻破的了。”8月9日，一位小有名气的黑客对本报说，“遗憾的是，我以前却未从中发现巨大商机。”

　　事实上，除了黑客攻击，威胁还来自校园内部。

　　“那些自认计算机水平高的学生，常常有意无意地破坏校园网系统，以显自己的厉害。”武汉某大学计算中心主任说，客观上，这些学生成了黑客的“开路先锋”。

　　安全防卫的缺失

　　“在过去，高校网络采用的是相对薄弱的网络安全系统。”李之棠教授说。他的另外两个身份，是天华网络信息安全研究所所长 、CERNET华中地区网络中心主任。

　　“安全防范措施主要是两种。一是基本层面普遍使用的防火墙，二是针对重要的服务器，根据应用的重要性，如web服务器、招生的信息专门打补丁和使用IDS入侵检测系统设备。”李之棠教授说。

　　缺少必要安全防范措施的高校网络，成了众多黑客一显身手的平台。“实际仅采用SQL注入式攻击就可以顺利进入高校网络。”一名黑客说。

　　“管理的不善，相关人士的漠然，也是黑客能轻易入侵的原因。”绵阳一民警对记者如是叹息。

　　据民警透露，被吕斌一伙非法入侵的高校网站，在四川省就达到了6家。但是，除了绵阳的两所高校报了案，其他高校则保持了沉默。更让人震惊的，则是被吕斌等人破译的高校网络管理软件，至今仍有大量高校在使用。

　　在海南大学来，也至今面临“管理不善”的诘问。

　　名校清华，也对本报的采访格外激动。

　　“清华并未被黑客侵入过，清华网络安全并不存在多大问题。”8月8日，清华大学计算机与信息管理中心信息室一主任否认了清华曾被黑客入侵的传言，但同时他承认：“清华网络安全曾多次遭受攻击行为。”

　　而在涉及清华网络安全防范措施、投入等更多细节问题上，该主任则谨慎地向拒绝了采访。

　　教育部也拒绝了本报的采访。与高层发出不同声音的，是来自一线的高校教师。

　　8月9日，广州某高校一计算机教师联系上了本报，讲述了自己的亲历。

　　“在广州比较有名的高校中，主站点还算安全。但是，到了各院系负责的子站点时，往往会出现很多问题。”该教师如是称，他在一次测试过程中，曾进入了广州几个高校的部分服务器，赫然发现那些服务器早已被别人安装了后门。“虽然位置明显，却无人管理。”

　　更为严重的问题，则是一些高校网络主页中被嵌入了木马也依然毫不知晓，而更多的服务器则是漏洞百出。“这就包括我所在的学校，曾经告诉过学校相关负责人，却依然无人回应。”他叹息着说。

　　不过，高校网络管理人员也有自己的一肚子苦水。

　　“实际上，网络总会存在许多网络自身的问题，比如ip地址不足、mac地址冲突、数据安全、数据备份等等。”接受本报采访时，上海某大学一网络管理员难以掩饰自己的委屈。

　　他指出，随着高校的迅速发展，许多高校原有的校园网设备(尤其是中心交换机和服务器)已不能满足高校正常的使用需求。

　　“据我了解，在服务器方面，很多高校采用的是师生组建的兼容机，这样的服务器在系统的可用性、扩展性、稳定性、可靠性、可管理性等方面存在严重不足。”因此，在该人士看，服务器等设备的升级，才是堵住高校网络频频出现漏洞的关键。

　　截至本报发稿时止，最官方的声音，来自于海南——8月3日，海南省教育厅副厅长支小纪公开表示，高校应加强网络安全的管理，避免让人沉痛的案件的再次发生。

　[1]　[2]　[3]　[下一页]

本文导航:
·从两起案件透视高校网络安全 ·链接：高校网络发展历程		·技术评论：高校网络安全防备策略