10年前,学生数据要比现在值钱。一位北京某学校教师告诉记者:“倒卖生源数据的漏洞长期存在。很多民办大学会借合法专业的名义搞非法成教、网教来招生。每年高考之后,他们就从各省买考生数据,当时一个省考生数据售价几十万元。每年卖出十多万的名单。”
对于开设成教、网教教育的学校而言,“高分学生数据不值钱,都是白送,分数低的才值钱。拿到数据之后,学校安排话务组开始打电话,几天就能招50-60人。”该教师告诉记者:“有的学校每年因此盈利上亿元,2006年左右,吃这碗饭的人粗略估计有20多万。”
“学校、教师、教育局、招生办,能拿到学生数据的部门太多了,很多人都可能成为泄露数据的源头。不光卖学生数据,学校教师的数据也都被卖出去了,老师天天都接好多推销电话”,该人士回忆称:“2008年之后,主管部门发文明确倒卖生源数据是违法行为,但也没有控制住。后来,因为生源减少,公立专业都招不满,民办的招不到生源,这个生意才淡下来。”
几分钟攻破学校漏洞
行业内市场衰落,行业外的电信诈骗、广告推销市场则开始兴起,而大量的学生数据流入黑色产业。
“数据流入黑产的途径有三种,”数据库安全企业安华金和的安全专家告诉记者,“一种是接触到数据的工作人员泄露数据,一种是黑客入侵目标获取数据,还有一种是第三方IT系统服务公司在提供服务时获取数据并泄露。”
一位教育信息化资深人士告诉记者:“学生数据存放在很多地方,学校、招生办、教育机构等等。目前中小学数据教育部会提供统一平台,但大学数据,则存储在各个大学自己手中。”数据存储渠道的多样,增加了接触数据人员的数量,也无限放大了内部人员泄密的风险。
另一方面,多位来自信息安全领域的权威人士告诉21世纪经济报道记者:“教育行业的信息安全能力普遍极低。”在360旗下补天漏洞平台上,最近两年内提交的相关教育机构的漏洞超过1100条,“实际上远比这多,主要是教育机构漏洞太多,白帽子都懒得去测试,因为没有成就感。随便一个入门的黑客,都能搞定绝大多数学校系统,几乎不耗时间,甚至只需要敲几下回车就可以。”
一位信息安全资深人士对某部委直属大学做了测试,仅用几分钟即发现了该大学的漏洞,目前该大学已经修复该漏洞。需要指出,根据补天漏洞平台信息,该平台上最近两年内提交的清华大学、北京大学也均在50个左右。此外,近年来,因为“套号学历”、“学历造假”等事件,教育部指定的学历查询唯一网站学信网被屡次质疑,不过,教育部多次回应中强调“学信网安全”、“没有漏洞”。
2014年、2015年,教育部与公安部先后联合印发《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》,在全国开展信息系统安全等级定级备案工作。两份通知中,学生的学籍、学位等信息管理系统大多列入第三级等级保护。教育行业最高安全保护等级为第三级。
根据相关要求,私密级、绝密级、机密级信息系统的安全防护水平分别不低于第三级、第四级、第五级。根据人民银行发布文件,银行部分系统最高防护等级为第四级。
前述教育信息化行业人士告诉记者:“从这两年分析的结果来看,信息安全,是一个全社会都漠视的问题,需要所有企业、机构去提高重视程度,靠公民提高安全意识,根本没用。”
