文/本刊記者 高明

當(dāng)前，高校釣魚郵件事件頻發(fā)，并且呈現(xiàn)出針對性強(qiáng)、威脅程度高、影響面廣的特點(diǎn)，持續(xù)威脅著師生財(cái)產(chǎn)安全與學(xué)校網(wǎng)絡(luò)安全。

為全面提升師生員工對于釣魚郵件的防范意識，2021年許多高校紛紛開展了釣魚郵件演練，并取得了不錯的教育和警示效果，也在廣大師生員工中掀起了一輪識別和防范釣魚郵件的科普熱潮。

一次演練，多重收獲

2021年5月18日，北大師生的電子郵箱里，一封來自“北京大學(xué)后勤管理處”的郵件不期而至，以“新冠疫苗注射統(tǒng)計(jì)”為主題的釣魚郵件攻防演練拉開帷幕。

雖然演練虛構(gòu)了一個(gè)根本不存在的部門，但還是有很多師生中招，也有很多師生嘗試與其認(rèn)為可能相關(guān)的部門進(jìn)行聯(lián)系和咨詢。據(jù)統(tǒng)計(jì)，在北京大學(xué)5月的釣魚郵件演練中，共有4萬余名師生收到這封模擬釣魚郵件。其中，54%的師生閱讀了該郵件，約5000名師生點(diǎn)擊了可疑鏈接，約2000名師生在后續(xù)登錄頁面輸入了用戶名和密碼。

與此同時(shí)，也有很多師生表現(xiàn)出了極高的警惕性，并積極地在BBS、群聊和朋友圈里提醒大家進(jìn)行防范，還幫不明就里的老師和同學(xué)指出如何去識別釣魚郵件，讓很多人對釣魚郵件都有了警惕意識。

通過模擬釣魚郵件攻擊的方式，以及高仿真、沉浸式的真實(shí)場景，這場釣魚郵件演練讓廣大師生切實(shí)體會到釣魚郵件的迷惑性和隱蔽性，取得了良好的警示效果，師生的安全防范能力也得到了顯著提升，部分學(xué)院甚至還請求專門組織一次針對本學(xué)院的攻防演練。

不僅如此，學(xué)校相關(guān)部門的應(yīng)急處置能力也在演練中得到了鍛煉。為了使釣魚演練更接近真實(shí)，許多部門并未得到事前通知。在這種情況下，相關(guān)部門不僅迅速采取行動，也快速啟動了應(yīng)急機(jī)制，表現(xiàn)出職能部門和院系高度的敏感性和專業(yè)的應(yīng)急響應(yīng)能力。

從宣傳效果來看，釣魚郵件演練也在校內(nèi)外掀起一輪識別釣魚郵件的熱潮，讓更多的師生以更積極主動的方式參與到網(wǎng)絡(luò)安全教育中，成為了一次成功的網(wǎng)絡(luò)安全宣教科普活動。

北京大學(xué)2021年5月的釣魚郵件演練中，共有4萬余名師生收到這封模擬釣魚郵件。其中，54%的師生閱讀了該郵件，約5000名師生點(diǎn)擊了可疑鏈接，約2000名師生在后續(xù)登錄頁面輸入了用戶名和密碼。

演練應(yīng)做準(zhǔn)備

在廈門大學(xué)信息與網(wǎng)絡(luò)中心副主任鄭海山看來，開展釣魚演練需要在管理和技術(shù)兩個(gè)層面做好準(zhǔn)備。其中，管理層面的準(zhǔn)備工作尤為重要。

管理層面，進(jìn)行演練前應(yīng)當(dāng)報(bào)告主管部門批準(zhǔn)，并協(xié)調(diào)其他部門進(jìn)行配合。以清華大學(xué)為例，在2021年12月開展的釣魚郵件演練中，由信息化技術(shù)中心黨委書記和信息辦主任共同擔(dān)任演練總指揮；信息辦負(fù)責(zé)整體協(xié)調(diào)；中心負(fù)責(zé)制定技術(shù)方案、監(jiān)督實(shí)施、數(shù)據(jù)分析；財(cái)務(wù)處、團(tuán)委負(fù)責(zé)擬定釣魚郵件文本；公司負(fù)責(zé)提供演練平臺、實(shí)施演練。

由于用戶網(wǎng)絡(luò)安全意識水平不一，在開展反釣魚演練前，最好對師生員工進(jìn)行釣魚郵件相關(guān)培訓(xùn)，以免造成草木皆兵，影響正常工作發(fā)送通知郵件的便利性。

若要以某部門名義發(fā)送，則應(yīng)當(dāng)通知該部門，并協(xié)助該部門做好用戶電話咨詢等應(yīng)對措施，以免對其工作造成干擾。此外，也應(yīng)當(dāng)告知相關(guān)的安全部門，避免對一些安全設(shè)備的告警或者態(tài)勢感知設(shè)備的分析造成污染。

技術(shù)層面，需要確認(rèn)郵件服務(wù)器自身的安全性，盡量使用市面上占有率高的安全的郵件服務(wù)器軟件，郵件服務(wù)器應(yīng)當(dāng)做好加固，使用郵件安全網(wǎng)關(guān)對垃圾郵件和釣魚郵件進(jìn)行過濾，對用戶普及校內(nèi)郵件地址后級，防止子域名沒有設(shè)置 SPF 被惡意利用。同時(shí)，在演練中要防止演練導(dǎo)致敏感信息被提交，對用戶提交的密碼不記錄也不驗(yàn)證。

可以結(jié)合學(xué)校實(shí)際，選擇是自行開展或者采購?fù)獍?wù)。外包服務(wù)通常較為專業(yè)和全面，但是也存在著如無法覆蓋全部工作量、數(shù)據(jù)安全性、常態(tài)化反釣魚演練成本較高等問題。

未來工作方向

現(xiàn)在，開展釣魚郵件演練已經(jīng)引起越來越多高校的重視，并被納入到學(xué)校網(wǎng)絡(luò)安全工作計(jì)劃中。雖然開展釣魚演練收效顯著，但仍有許多工作需要進(jìn)一步細(xì)化，如對演練人群進(jìn)行細(xì)分、根據(jù)演練對象設(shè)計(jì)定制化內(nèi)容和仿真程度、針對中招人員實(shí)行特定培訓(xùn)等，越是進(jìn)行細(xì)分和定制，師生員工的中招率就越高，教育效果也就越好。

鄭海山表示，未來釣魚郵件演練應(yīng)當(dāng)往更深、更廣的常態(tài)化方向發(fā)展，一旦普通難度的釣魚郵件演練達(dá)到預(yù)期效果，就可以提高釣魚郵件演練的難度。

深度方面，通過梳理校內(nèi)所有發(fā)送郵件通知的業(yè)務(wù)系統(tǒng)，如監(jiān)控系統(tǒng)、圖書館催還書、統(tǒng)一通訊中心發(fā)送的通知，以及各類教務(wù)、學(xué)工、科研系統(tǒng)的郵件模板，并有針對性地基于這些模板，對特定用戶發(fā)起異常精準(zhǔn)的釣魚郵件攻擊。

廣度方面，做到泛通知，對郵件、短信、工作群（QQ、微信、企業(yè)微信、釘釘、飛書等）、網(wǎng)站內(nèi)建消息通知渠道、上網(wǎng)客戶端通知等均納入釣魚演練的范圍?？梢阅M管理員被黑、網(wǎng)站被黑等發(fā)出釣魚郵件，比如OA系統(tǒng)，讓用戶在登錄后就收到假的Flash更新，并統(tǒng)計(jì)選擇更新的人數(shù)。

最后，通過推動群測群防工作持續(xù)深化，發(fā)動師生員工一起參與監(jiān)測與預(yù)防，并形成在收到釣魚郵件后向?qū)W校特定部門報(bào)告的安全意識，以更好實(shí)現(xiàn)釣魚郵件演練“授人以漁”的教育內(nèi)涵。