關於學務系統漏洞,大家如何因應

這裡是臺中市資網中心的討論區
主要目的是讓大家對於本市的資訊系統與資訊教育相關內容有一個討論的空間
若您有相關建議請在此法表!
南屯區東興國小楊詠翔(tea9701)
文章: 26
註冊時間: 2016年 1月 5日, 08:09

關於學務系統漏洞,大家如何因應

文章南屯區東興國小楊詠翔(tea9701) » 2016年 1月 7日, 14:15

關於最近沈主任發的文,關於學務系統的漏洞問題,想請教一下大家的意見,
本來收到公文我是把學務系統封鎖在校內,但現在慢慢期末要打成績,老師
開始反應這樣無法在家裡打成績很不方便,所以要我開放。

我是有想到使用VPN,但想到VPN的密碼如果被駭客知道,那這樣駭客不就通
過防火牆的封鎖,入侵的電腦變成"校內電腦",危害不就更大,頻繁更換密碼
也很麻煩。

安全與便利真是兩難,不知道大家都是怎麼做,想參考一下,又如果封鎖在校
內或者使用VPN,大家有沒有甚麼說法來說服老師?又公文看起來好像沒有強制
性,如果真的要求一定要封鎖在校內,有更強硬的公文嗎?比如要懲處之類的。


PS:不知道市府願不願意花錢把漏洞補一補。

烏日區光德國中林家輝(godfrey)
文章: 12
註冊時間: 2015年 12月 4日, 12:08

Re: 關於學務系統漏洞,大家如何因應

文章烏日區光德國中林家輝(godfrey) » 2016年 1月 7日, 14:38

南屯區東興國小楊詠翔(tea9701) 寫:關於最近沈主任發的文,關於學務系統的漏洞問題,想請教一下大家的意見,
本來收到公文我是把學務系統封鎖在校內,但現在慢慢期末要打成績,老師
開始反應這樣無法在家裡打成績很不方便,所以要我開放。

我是有想到使用VPN,但想到VPN的密碼如果被駭客知道,那這樣駭客不就通
過防火牆的封鎖,入侵的電腦變成"校內電腦",危害不就更大,頻繁更換密碼
也很麻煩。

安全與便利真是兩難,不知道大家都是怎麼做,想參考一下,又如果封鎖在校
內或者使用VPN,大家有沒有甚麼說法來說服老師?又公文看起來好像沒有強制
性,如果真的要求一定要封鎖在校內,有更強硬的公文嗎?比如要懲處之類的。

PS:不知道市府願不願意花錢把漏洞補一補。


1.技術層面的用技術解決,市府補漏洞+1,學校:VPN+1,帳密跟學務系統一樣?唔…要好好思考一下 :lol:

2.行政層面的請校長(記得跟他說校長是代表人,出事了很嚴重)、主任解決。

另外個人覺得該公文其實已經說的蠻嚴重的了…切記學務系統是架在學校的,基於個資法「舉證倒置」,資訊組/註冊組/教師有義務好好保護資料

另請參閱aboutsfs

SFS 學務管理系統,是由多人共同合作建置,彼此分享開放性原始程式碼所架構的系統。

提供這個程式是希望它有用,但沒有附帶任何擔保,使用前您應先進行風險評估,若有任何損害且/或意外,SFS 開發人員不負任何責任。

本系統所有的程式碼根據 GNU/GPL 版權授權執照,只要遵循此 GNU/GPL 版權授權執照的規定,您便可以免費地使用、修改及傳播。當您傳播或修改本系統時,請保留程式作者所有版權宣告的文字。

本系統持續發展中,最新版本訊息請至 校園自由軟體交流網 查看。

感謝所有熱心參與本系統的伙伴,也歡迎您加入校園自由軟體發展的行列,共同充實校務軟體,為行政電腦化貢獻一份力量。


再有空請參閱:
授權條款中免責聲明的法律意義
http://www.openfoundry.org/tw/legal-column-list/518-2010-07-15-10-50-58

東區成功國小李宗鑫(loren)
文章: 35
註冊時間: 2015年 11月 23日, 00:39

Re: 關於學務系統漏洞,大家如何因應

文章東區成功國小李宗鑫(loren) » 2016年 1月 8日, 08:13

以前紙本時代我們就有規定敏感性資料(學籍跟輔導)就不能帶出校園,所以轉成電子化之後,
這部份一樣只允許校內使用。

現在是一些好用的支援性的功能,例如維修通報、榮譽榜、學生報名填報....
這些無關敏感性資料的程式,如果鎖在校內會很不好用,以後如果要重建新學務系統,
一定要把這些功能獨立成單獨的系統跟資料庫。每天從主學務系統同步所需的資料就好。

資網中心沈俊達(sct)
文章: 49
註冊時間: 2015年 12月 10日, 16:02

Re: 關於學務系統漏洞,大家如何因應

文章資網中心沈俊達(sct) » 2016年 1月 8日, 13:34

感謝您正視問題:

南屯區東興國小楊詠翔(tea9701) 寫:關於最近沈主任發的文,關於學務系統的漏洞問題,想請教一下大家的意見,
本來收到公文我是把學務系統封鎖在校內,但現在慢慢期末要打成績,老師
開始反應這樣無法在家裡打成績很不方便,所以要我開放。


中心有考慮到期末成績處理高峰所以公文上寫是:2月1日起
請再確認一下
南屯區東興國小楊詠翔(tea9701) 寫:我是有想到使用VPN,但想到VPN的密碼如果被駭客知道,那這樣駭客不就通
過防火牆的封鎖,入侵的電腦變成"校內電腦",危害不就更大,頻繁更換密碼
也很麻煩。



任何系統,絕對不可以多人共用一組或多組帳密,否則一定會洩露出去的,
就會發生您的疑慮
所以建置VPN時,也是要一人一個專屬帳密,因此要搭配RADIUS或LDAP Server

南屯區東興國小楊詠翔(tea9701) 寫:安全與便利真是兩難,不知道大家都是怎麼做,想參考一下,又如果封鎖在校
內或者使用VPN,大家有沒有甚麼說法來說服老師?又公文看起來好像沒有強制
性,如果真的要求一定要封鎖在校內,有更強硬的公文嗎?比如要懲處之類的。


系統在校,防火牆在各校,教網沒有管理權,
公文的目的是告知,從行政上正式通知您,應該要這樣做比較安全
至於學校要不要鎖在校內,我們還是無法可管!

但是萬一將來貴校學生資料被侵入,撈出來公布在網路上,
那結果就只能由..........承擔,因為行政倫理與流程上,已經告知貴校了!

舉例:某校安裝phpmyadm套件,如果因舊版有漏洞,而沒有更新,導致貴校主機被駭,
洩漏個資,家長向貴校求償,您能苛責於phpmyadmin開發團隊嗎?您能向他們求償嗎?

1.它本來就是自由軟體,不負任何安全保證
2.沒人規定你要安裝它

SFS3也是,教育局從來沒下過公文要求各校一定要安裝使用SFS3
市內還是有某些學校是花錢買其他系統的!
教育局並未有任何意見。







南屯區東興國小楊詠翔(tea9701) 寫:

PS:不知道市府願不願意花錢把漏洞補一補。


不用花錢啊!
系統組正一一檢視各模組程式碼,並修正之。(據1月份工作會議,已完成快一半了)
只是怕需要一段時間,但一般漏洞回報機制都是給對方三個月時間處理,否則就公布於網路上,給大家練功(練攻)。
所以怕來不及,或有些未爆彈還沒被發佈。

資網中心沈俊達(sct)
文章: 49
註冊時間: 2015年 12月 10日, 16:02

Re: 關於學務系統漏洞,大家如何因應

文章資網中心沈俊達(sct) » 2016年 1月 8日, 13:38

東區成功國小李宗鑫(loren) 寫:現在是一些好用的支援性的功能,例如維修通報、榮譽榜、學生報名填報....
這些無關敏感性資料的程式,如果鎖在校內會很不好用,以後如果要重建新學務系統,
一定要把這些功能獨立成單獨的系統跟資料庫。每天從主學務系統同步所需的資料就好。


調查表已統計出各校迫切需要嵌入學校網站的模組
系統組正在改寫獨立程式給各校用,屆時安裝在各校網站主機,有那台主機去連學務系統要資料,再轉給校外來源位址的瀏覽者!

后里區后里國小余鴻斌(bbleader)
文章: 13
註冊時間: 2015年 11月 24日, 09:44

Re: 關於學務系統漏洞,大家如何因應

文章后里區后里國小余鴻斌(bbleader) » 2016年 1月 12日, 09:34

請教英明神武的沈主任,寒假有相關的研習嗎?無奈功力頗遜的我,每次都要麻煩高手啦! :D ,感恩&辛苦了!

南屯區東興國小楊詠翔(tea9701)
文章: 26
註冊時間: 2016年 1月 5日, 08:09

Re: 關於學務系統漏洞,大家如何因應

文章南屯區東興國小楊詠翔(tea9701) » 2016年 1月 12日, 14:56

感謝沈主任的回答,教育局不能強制學務系統封鎖在校內嗎?

因為我查到資料,彰化縣103學年度有學校被外洩學務系統資料
http://www.appledaily.com.tw/appledaily ... /36100617/

所以彰化縣教育局就下令封鎖學務系統只能在校內使用
http://163.23.68.130/htdocs/modules/new ... oryid=4641

不知道現在彰化縣解禁了沒?

資網中心蕭聖哲(front713)
文章: 17
註冊時間: 2015年 11月 17日, 14:00

Re: 關於學務系統漏洞,大家如何因應

文章資網中心蕭聖哲(front713) » 2016年 1月 14日, 20:35

彰化縣目前仍在戒嚴♡

資網中心蕭聖哲(front713)
文章: 17
註冊時間: 2015年 11月 17日, 14:00

Re: 關於學務系統漏洞,大家如何因應

文章資網中心蕭聖哲(front713) » 2016年 1月 14日, 20:38

還有,目前針對可內嵌在學校首頁的程式,大概完成了,正在積極測試。屆時公佈時,包準讓大家笑到彎腰,因為解法真的太犯規囉~


回到「意見交流」

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 2 位訪客