在全国招生安全服务平台和CERNET网络中心出具的关于湖北职业技术学院招生信息网站检测评估报告中出现2次风险等级为“高风险”的主机漏洞以及相关中低风险web漏洞。经上报我校网络安全与信息化工作领导小组协商，并于日前完成安全隐患的整改工作，现将相关漏洞详情及整改措施告知如下：

一、 SSL/TLS协议算法RC4漏洞

SSL/TLS协议加密算法 RC4 存在漏洞 (CVE-2015-2808)

TLS/SSL协议 RC4 算法安全漏洞 (CVE-2013-2566)

RC4算法漏洞可能导致加密信息的明文恢复，致使账户、密码、信用卡等重要敏感信息泄露及会话劫持。

整改措施：根据供应商提供的安全公告或修复建议完成了服务器相关补丁的升级处理。

二、 SSL证书签名及密码套件

X.509证书未认证签名，密码长度问题等。攻击者可能针对远程主机建立中间人攻击。

整改措施：购买云服务商提供的SSL证书服务，将协议应用到招生网站平台，保障客户端与网站服务器之间数据的加密传输。

三、 中低风险web漏洞整改措施

在接到我校招生网站检测安全评估报告后，针对常规的web漏洞存在的可能性，学校信息化中心迅即安排相应技术岗位人员进行确认处置，对招生网站后台程序、脚本代码、信息源是否存在非法链接、恶意暗链、隐私泄露等逐一排查、安全完善，进一步保障招生网站平台的稳健运行。

四、 学校下一步的工作

本次招生网站及网络服务环境涉及的安全隐患，我们在第一时间内给予了及时处理，阻止了该类安全漏洞可能导致的相关风险。我单位会进一步加强网络安全力量投入，对不符合安全技术规范的网站或应用系统要求限期整改，对后期接入访问的系统制定严格的审核复批机制，保障安全、稳定、高效的网络服务环境。

湖北职业技术学院招生办公室 信息化中心

二0一九年六月十五日