2023年11月6日至11月11日厅网信办开展了省交通运输行业网络安全渗透测试活动，经过技术检查，发现学院信息系统及网络安全等方面存在弱密码等问题。在检查完成后，图书馆（信息中心）立即组织相关部门实施整改，现根据《2023贵州省交通运输行业攻防演练贵州交通职业技术学院攻击成果报告》，学院图书馆信息中心针对每一项问题整改情况汇报如下：

一、整改情况

1.获取安防平台权限

在渗透测试中，交职院智慧校园安防立体防控平台系统检查出存在未授权漏洞获取web服务管理员权限问题，根据检查组反馈的问题，图书馆（信息中心）对接保卫处，经协商同意，暂时将该系统作关停处理。现该系统已无法访问，如图所示：

2.科研管理系统弱口令问题

在渗透测试中，科研管理系统检查出部分用户存在弱口令问题，根据检查组反馈的问题，图书馆（信息中心）对接相关部门，完成了如下整改：

（1）将现有所有弱密码账号强制改成强密码；

（2）将系统用户密码规则及默认密码修改为强密码。

3.教务管理系统弱口令问题

在渗透测试中，教务管理系统检查出存在管理员权限用户存在弱口令问题，根据检查组反馈的问题，图书馆（信息中心）对接相关部门，完成了如下整改：

经过与教务处排查，学院教务系统密码是按照强密码规则制定，被查出的002账号为教务系统在安装调试过程中，系统建设方建立的测试账号，测试期间没有设置强密码规则，该账号一直为弱密码，同时在系统完成建设后该账号就已不再使用，建设方也未将该账号移交告知教务处，造成该账号成为僵尸账号，形成安全隐患，现已对教务管理系统类似账号进行排查并将所有僵尸账号作关停或删除处理。

4.统一身份认证系统密码构造泄露问题

在渗透测试中，统一身份认证系统检查出存在通过教务管理系统查询教师信息，构造账号密码进行登录，密码为Gzjzy+身份证后六位的问题，根据检查组反馈的问题，图书馆（信息中心）对接相关部门，完成了如下整改：

（1）密码规则修改，教职工：字母+工号+特殊符号，学生：字母+身份证后六位+特殊符号 ；

（2）删除统一身份认证平台界面登录提示，删除后对比如下：

5.校园统一缴费平台可直接用身份证加姓名登录问题

在渗透测试中，校园统一缴费平台在通过教务系统获取学生身份证信息后可直接登录查看学生个人缴费信息问题，根据检查组反馈的问题，图书馆（信息中心）对接相关部门，完成了如下整改：

（1）将现有的两种登录方式只保留一种，将证件号登录方式停用，并从登录界面删除，前后对比图如下所示：

二、检查发现的主要问题和面临的威胁分析

本次网络安全检查工作发现的问题主要包含服务器系统存在未授权登录漏洞及弱密码问题。综合评判，学院网络安全的主要问题和面临的威胁分析如下：

1.学院信息系统网络安全管理不到位；

2.部分老信息系统在早期建设过程中安全要求不明确，同时由于使用时间过长，存在部分僵尸账号同时该部分账号多数存在弱口令问题，存在较大风险；

3.学院系统使用部门及管理员安全防范意识比较薄弱。

三、下一步工作打算

（一）全面排查梳理问题，加强内控管理

完成网络安全渗透测试检查问题整改工作，对学院信息资产进行认真全面梳理，明确系统负责管理人员相关职责，认真落实上级部门各项网络安全检查相关要求。

（二）加强弱密码整治和业务系统安全防护

加强学院信息系统管理，明确每个网络、系统和关键设备的网络安全责任部门和责任人。强化各部门系统密码管理责任意识，加强网络软硬件管理和漏洞管理，强化漏洞信息的跟踪、验证和风险研判及通报，及时采取有效补救措施。保障学院校园网出口、网络基础设施、数据中心、智慧校园平台及软件系统正常运行，保障校园信息网络安全运行。

（三）加强网络安全人才队伍建设

加强网络安全横向交流，加强网络安全培训，把网络安全工作人员相关培训纳入年度工作计划，提高网络安全工作人员能力素质。