近日,甘肃兰州网警对当地某高校系统服务器开展日常检查时,发现该校对服务器系统未采取有效的防范措施,特别是内部网络未采取横向隔离措施,导致其服务器已被远程植入挖矿木马恶意程序,并横向传播至其它办公设备。
属地公安机关依据《中华人民共和国网络安全法》第二十三条、第六十一条之规定,对该校不履行网络安全保护义务的违法行为作出行政处罚,责令该校限期整改。
这一事件再次为高校校园网络安全敲响警钟。
高校已成网络安全“重灾区”
一方面,高校普遍存储大量师生个人信息、科研数据和教务资料,敏感性高、价值大,容易成为黑客攻击的重点目标。
另一方面,校园网络设备种类繁多、接入用户复杂,管理难度大,使得安全防护更易出现薄弱环节。
从近年案例来看,高校已成为网络安全事件的高发场景之一。自2023年以来,全国已有多所高校因网络安全问题受到处罚。
2023年8月,南昌某高校因未健全全流程数据安全管理制度,未采取数据加密等相应技术措施保障数据安全,导致学校数据库被黑客非法入侵,3万余条师生个人信息数据在境外互联网上被公开售卖。学校及相关责任人共计被罚款85万元。
2023年11月,九江一职业学院官网被不法分子攻击入侵,并植入非法链接。经查,该职业学院未履行网络安全保护义务,未落实网络安全保护责任,接到公安机关情况通报后未启动应急预案,未采取相应的补救措施,未按照规定向有关主管部门报告,被公安机关责令限期整改,并给予警告。该高校发出紧急通知,要求校属各单位加强网站信息发布管理,防止个人信息泄露。
梳理上述案例可以发现,高校网络安全问题主要集中在三方面短板:
✎技术防护层面:缺乏隔离机制,加密措施不到位;
✎制度管理层面:制度缺失或执行流于形式;
✎应急响应层面:处置迟缓、报告机制缺位。
“信息脱敏不足”成为新风险点
除了系统安全漏洞,近年来高校在信息公开环节的“非脱敏发布”问题也逐渐凸显。
2024年3月,湖南一职业学院官网子网页因未设置查看权限,任意访问者均可查看学生毕业设计书,且毕业设计任务书里面显示了学生和指导老师的姓名、联系电话、电子邮箱、QQ等个人信息,造成了个人信息泄露的违法行为,最终被责令改正、给予警告,并处5万元人民币罚款。
2025年8月,河南一高校接到上级公安部门及教育主管部门通报,指出该校网站公示的新闻、通知、附件等内容中存在未脱敏处理的身份证号、教工号/学号、手机号等个人敏感信息,违反相关法律法规要求,存在重大信息泄露风险。
此类泄漏的危险性在于往往范围广,面向全体互联网用户;传播快,可被搜索引擎收录;且极易被用于“精准诈骗”或“身份冒用”。
麦可思研究发布的显示,当问及受骗的高校师生被骗的主要原因时,30.8%表示是因为个人信息泄露,对方能准确说出隐私以博取信任,排在受骗原因的第二位。
转发收藏:各类信息脱敏方式
针对上述问题,部分高校已开始强化信息发布规范。河南某高校发布专项通知,对常见个人信息脱敏方式作出统一要求:
各类上网信息(包括但不限于新闻稿、公示公告、附件文件、配图等),不得直接展示身份证完整号码、教职工工号、学生学号、银行卡完整号码、家庭详细住址、未经脱敏处理的手机号码等个人敏感信息,并对各类信息如何脱敏发布指导:
●身份证号:保留前6位(地址码)和后4位,中间部分用“*”替代;
●手机号:保留前3位(运营商识别码)和后4位,中间4位用“*”替代;
●银行卡号:保留前6位(发卡行标识)和后4位,中间部分用“*”替代;
●姓名:2字姓名保留首字,第二字用“*”替代;3字及以上姓名保留首尾字,中间用“*”替代;
●邮箱:保留第一个字符和“@”后内容,中间用“*”替代;
●学号/工号:保留前4位和后2位,中间用“*”替代。
通知最后要求,所有上网信息需经“起草人自校→部门负责人初审→分管领导终审”三级审核,确保内容合规。
以上信息脱敏操作方法,也值得其他高校借鉴使用。
来源:麦可思研究整理自公安部网安局、新法治报、衡阳市人民政府网站、澎湃新闻、麦可思研究等。
声明:麦可思研究原创内容全面开放非盈利目的的转载授权,转载请留言或添加编辑微信获得长期白名单授权(电话或微信搜索18602824882)。转载要求——
1.文首注明“转载于麦可思研究”。
2.转载请在文章发布的24小时后进行。
关注“麦研文选”,获取更多数据——
热门跟贴