披露女孩徐玉玉被騙學費離世背后：數據倒賣現象嚴重

來源:21世紀經濟報道 2016-08-25 10:22 http://www.iosapp77.com/ 海峽都市報電子版

　　10年前，學生數據要比現在值錢。一位北京某學校教師告訴記者：“倒賣生源數據的漏洞長期存在。很多民辦大學會借合法專業的名義搞非法成教、網教來招生。每年高考之后，他們就從各省買考生數據，當時一個省考生數據售價幾十萬元。每年賣出十多萬的名單。”

　　對于開設成教、網教教育的學校而言，“高分學生數據不值錢，都是白送，分數低的才值錢。拿到數據之后，學校安排話務組開始打電話，幾天就能招50-60人。”該教師告訴記者：“有的學校每年因此盈利上億元，2006年左右，吃這碗飯的人粗略估計有20多萬。”

　　“學校、教師、教育局、招生辦，能拿到學生數據的部門太多了，很多人都可能成為泄露數據的源頭。不光賣學生數據，學校教師的數據也都被賣出去了，老師天天都接好多推銷電話”，該人士回憶稱：“2008年之后，主管部門發文明確倒賣生源數據是違法行為，但也沒有控制住。后來，因為生源減少，公立專業都招不滿，民辦的招不到生源，這個生意才淡下來。”

幾分鐘攻破學校漏洞

　　行業內市場衰落，行業外的電信詐騙、廣告推銷市場則開始興起，而大量的學生數據流入黑色產業。

　　“數據流入黑產的途徑有三種，”數據庫安全企業安華金和的安全專家告訴記者，“一種是接觸到數據的工作人員泄露數據，一種是黑客入侵目標獲取數據，還有一種是第三方IT系統服務公司在提供服務時獲取數據并泄露。”

　　一位教育信息化資深人士告訴記者：“學生數據存放在很多地方，學校、招生辦、教育機構等等。目前中小學數據教育部會提供統一平臺，但大學數據，則存儲在各個大學自己手中。”數據存儲渠道的多樣，增加了接觸數據人員的數量，也無限放大了內部人員泄密的風險。

　　另一方面，多位來自信息安全領域的權威人士告訴21世紀經濟報道記者：“教育行業的信息安全能力普遍極低。”在360旗下補天漏洞平臺上，最近兩年內提交的相關教育機構的漏洞超過1100條，“實際上遠比這多，主要是教育機構漏洞太多，白帽子都懶得去測試，因為沒有成就感。隨便一個入門的黑客，都能搞定絕大多數學校系統，幾乎不耗時間，甚至只需要敲幾下回車就可以。”

　　一位信息安全資深人士對某部委直屬大學做了測試，僅用幾分鐘即發現了該大學的漏洞，目前該大學已經修復該漏洞。需要指出，根據補天漏洞平臺信息，該平臺上最近兩年內提交的清華大學、北京大學也均在50個左右。此外，近年來，因為“套號學歷”、“學歷造假”等事件，教育部指定的學歷查詢唯一網站學信網被屢次質疑，不過，教育部多次回應中強調“學信網安全”、“沒有漏洞”。

　　2014年、2015年，教育部與公安部先后聯合印發《教育行業信息系統安全等級保護定級工作指南（試行）》、《教育部公安部關于全面推進教育行業信息安全等級保護工作的通知》，在全國開展信息系統安全等級定級備案工作。兩份通知中，學生的學籍、學位等信息管理系統大多列入第三級等級保護。教育行業最高安全保護等級為第三級。

　　根據相關要求，私密級、絕密級、機密級信息系統的安全防護水平分別不低于第三級、第四級、第五級。根據人民銀行發布文件，銀行部分系統最高防護等級為第四級。

　　前述教育信息化行業人士告訴記者： “從這兩年分析的結果來看，信息安全，是一個全社會都漠視的問題，需要所有企業、機構去提高重視程度，靠公民提高安全意識，根本沒用。”

　　（原標題：臨沂女孩被騙離世背后：大中小學數據倒賣現象嚴重）

　　相關：徐玉玉被騙死亡事件社論：誰害死了徐玉玉