上海交通大学网络信息中心副主任姜开达在分论坛上作演讲。澎湃新闻记者陈伊萍图
教育单位IT人员普遍缺位,专家建议重视网络安全漏洞,防止信息泄露。
9月17日,作为2019年国家网络安全宣传周上海地区活动,网络安全教育分论坛在位于上海市松江区的上海视觉艺术学院举行。
上海交通大学网络信息中心副主任姜开达在作主题演讲《教育行业安全漏洞观察》时称,目前,中国教育系统单位量大面广,有数十万单位,信息资产小、散、乱,各地区经济和安全意识发展不平衡,教育系统单位的IT人员和安全人员普遍缺位。
“根据第三方来源教育漏洞统计分析,今年第三方来源已向各单位发送12532个漏洞通知,常见漏洞类型包括弱口令、信息泄露、越权、SQL注入攻击等。”姜开达说,如果这些漏洞不加以重视,很可能就会发生师生信息泄露、科研数据被窃取等事件,造成重大损失。
对此,作为行业专家,姜开达通过自己在上海交大的实际经验,向在座参加论坛的与会者交流经验,“各单位的信息安全部门应该积极自主发现存在的漏洞,比如上线前安全检查、定期安全巡检、定向渗透测试等。积极主动发现的漏洞数量远高于被动接收的数量。”
他称,除此之外,要将安全漏洞管理量化考核,并通过制定相关管理办法来使网络安全漏洞管理工作制度化,“比如,上海交通的信息化建设项目管理办法中规定,在各类项目验收阶段,首先由业务部门根据需求说明对系统的功能、性能安全等进行测试。网络信息中心对项目的安全性组织测试,如果存在严重安全隐患,则测试不通过。”