網上校管系統終於出事

校管連翻升級，出事早已發生

前日新聞終於爆出香港學校網上校管系統被黑客入侵的新聞（HK01），內情還沒有詳細的公佈，筆者估計教育局早已經知道系統有問題，10月至11月做了2次系統更新，相隔只是13天，（更新記錄），昨天也閱讀多份新聞，發現出事的學校有一些共同特征：他們都是名校，都是開放給家長及學生使用，部分更讓學生參與更新資料。校管系統出事，可以說這是一個個人資料災難，裡面的個人資料應該是最齊全的。

校管系統的目的

學校網上校管系統發展了多個版本，教育局一直利用校管系統收集學校學生資料，包括學生及監護人等資料，而今年也不斷更新，不少政府與學校資料都通過系統更新。若此系統是教育局與學校溝通的系統，那麼這個系統是否應該開放給學生以及家長？甚至對校外開放？筆者於2015年文章已經提過，校管系統是迷失了方向，某些功能根本不應該出現於系統上，譬如學生選科，課外活動等，這些需要大量數據輸入及更新的模組，不應該於校管系統結合，校管系統需要的是最後的結果，過程根本無需要理會，因為大部分學校都使用這個系統來出成績表及報告，這個過程對系統一點用途也沒有，需要的是最後的結果數據，能簡易的匯入系統，出報告，學校應該已經滿足。

學校必須守護系統

新聞事發與校管系統更新相隔了數星期，相信政府得知後也沒有立即通知學校停用系統。其實校管系統是可以自行決定是否開放給校外登入，當出事後政府也沒有通知叫學校暫停開放，因此學校需要靠自己去停止。建議就是無論任何時候，都不要開放系統給校外登入。而且於firewall中設定ip 地址只給某個ip段訪問websams https server。你要老師定期更換密碼是不可能的，另外政府新增的{統一登入系統}也建議不要開啟，一個擁有超級權限的人能登入所有系統，而且這個人還是校長，但這個人對資訊科技保安意識有多強又不清楚，系統也沒有多重驗證，出了事當然是找IT人出氣，作為IT同工，切記不要讓此系統於學校登入，除非你想出事。而校管系統的登入記錄也相當惡劣，每次都是csv，建議自己寫個app自定轉存自己觀看。並且審視目前所有員工的權限，可以建立測試戶口去測試每個用戶群組可以接觸個人資料的範疇有多少。

何時才能有新系統

2015年到現在，雖然樂見不少軟件公司加入開放學校系統，不過仍然沒有能替代eclass，希望各學校系統開發商能積極去推出更多平台，與政府校管系統結合，令校管系統只屬一個內聯網，不再開放。而政府也可以牽頭使用API模式給外來系統接入更新資料，加快對校管系統的優化，目前的進度實在太慢。