網絡安全是標準的提高，是成本的對抗。在可控的成本下，首先做好安全防護，提高攻擊成本。

　　黨委（黨組）網絡安全工作責任制

　　2021年8月4日，《人民日報》頭版發布《中國共產黨黨內法規體系》一文。

　　同時，《中國共產黨黨內法規匯編》公開發行，收錄了《黨委（黨組）網絡安全工作責任制實施辦法》（以下簡稱《實施辦法》）。

　　《實施辦法》的公開發布對厘清網絡安全責任、落實保障措施、推動網信事業發展產生巨大影響。

　　《實施辦法》提到，各級黨委（黨組）對本地區本部門網絡安全工作負主體責任，領導班子主要負責人是第一責任人，主管網絡安全的領導班子成員是直接責任人。

　　《實施辦法》還要求把網絡安全工作納入重要議事日程，明確工作機構，加大人力、財力、物力的支持和保障力度。

　　高校應當落實黨委（黨組）網絡安全工作責任制，成立網絡安全和信息化領導小組，加強對學校網絡安全與信息化建設的統籌領導。

　　應當定期舉行以領導小組組長和主要成員參與的會議，可按季度召開會議，應每年召開網絡安全專題會議。

　　年初應當制定和發布網絡安全年度工作要點，年中可配合屬地監管部門完成網絡安全自查和整改，年末形成網絡安全年度工作總結。

　　應當開展監測、預警和通報工作，制定網絡安全事件應急預案，開展網絡安全事件應急演練，落實網絡安全等級保護工作，開展關鍵基礎設施認定工作。

　　監測工作主要是要利用網絡安全設備比如防火墻、WAF、態勢感知等安全設備、滲透測試等安全服務、上級主管部門通報的漏洞等發現網站或者信息系統存在的安全隱患，形成通報材料要求二級單位進行整改。

　　預警工作一般是有重大網絡安全隱患或者重要時期保障的時候應當向二級單位發送預警，要求對安全隱患進行自查并整改或者啟動重要時期保障值班值守機制。

　　通報工作一般要求在監測或者預警發現問題后，通過一定的通報手段，及時有效地將信息下發給二級單位，在二級單位未能及時整改時采用技術手段做好保護或者緩解措施。

　　應急響應工作主要是在網絡安全事件出現后，最大限度減少事件對學校業務的損害，保障學校業務正常運行，規范信息系統應急處理流程。

　　學校應當根據國家、教育行業、屬地等相關標準和文件，結合學校實際，制定本校的網絡安全應急預案，并定期執行演練，以便相關人員熟練掌握，規范處置措施與操作流程，確保預案切實有效，實現網絡信息安全事件處置的科學化、規范化。也應督促要求二級單位根據學校的應急響應文件，制定本單位的應急響應機制并上報給學校。

　　攻防演練

　　公安部網絡安全保衛局一級巡視員、副局長兼總工程師郭啟全提出，網絡安全防控體系是“打”出來的經驗，并且還提出構建國家網絡安全綜合防控體系的新目標與“三化六防”的新理念。

　　其中，“三化”包括實戰化、體系化和常態化，“六防”包括動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控，目的是將國家網絡安全綜合防御能力和水平上升一個新高度。

　　在2019年8月份網絡安全大會上，郭啟全指出了國內網絡安全普遍存在的突出問題，包括重邊界防護，輕內部防護，缺乏分區分域和域內防護，一點突破，全網即被突破；部分基層單位對網絡安全重視不夠，防護措施不到位，成為了網絡攻擊的突破口等等，這些問題在高校內部也是普遍存在的。

　　高校應當有針對性地對以上安全問題進行分析并形成應對措施，在事件發生前事先做好準備，常規的安全措施一定要做。在安全事件發生后應當做好應急響應，進行止損，目的在于把事件造成的損失降到最小。

　　高?；旧隙加虚_展網絡安全等級保護制度，等保通過一些規定動作，對策略、制度、規程、臺賬、基線和設備進行補齊，完成了合規要求。

　　但是等保相對于攻防演練，會更偏向靜態。比如一個信息系統即使代碼做過審計，所有組件升級到最新，無已知高危漏洞，但是一旦出現一個0day，整個防護可能就會全線崩潰。

　　當然學校也會有一些縱深防御措施，讓0day利用起來比較困難，但是從體系上，我們還是需要通過攻防演練來實際驗證一下整體的防御體系。

　　我們在應對攻防演練的時候，應當有一個底線思維。堅持底線思維要求我們凡事從壞處準備，努力爭取最好的結果?！凹俣ㄐ孤丁笔橇阈湃蔚囊粋€理念，跟底線思維理念實際上是相通的，我們一定要假定，在攻防演練中，紅隊一定會突破邊界，進入學校校園網甚至業務內網。

　　因為從多次攻防演練來看，隨著防守方的防護水平提高，正面突破會比較難，紅隊已經開始大量使用社工手段，比如使用一些方法拿到師生VPN賬戶、通過抵近攻擊在校園內接入WiFi、發送釣魚郵件、進入學生交流群私聊甚至直接在大群扔木馬、在多個校內系統進行水坑攻擊等。

　　由于高校一般師生和信息系統眾多，總有一些師生網絡安全素養不高、信息系統保護較弱的情況出現，形成了網絡攻擊的突破口，這些都要求我們的防護一定要以“紅隊一定會突破邊界”為前提來實施，具體的安全防護思路如圖1所示。

圖1 安全防護思路

　　反釣魚郵件演練

　　高校應當定期舉行反釣魚郵件的演練，可以根據學校實際，通過采購外包或者自行搭建系統完成常態化、全覆蓋的反釣魚郵件演練。如果是自行完成，則需要準備以下步驟：

　　1.前期準備：撰寫培訓材料、編撰自測題、先禮后兵舉行演練通告、跟演練發件人業務部門溝通、報告監管部門等。

　　2.搭建釣魚郵件平臺：搭建開源釣魚郵件平臺、搭建發件服務器、測試郵件服務器白名單和安全規則繞過配置、拷貝釣魚頁面、設計中招頁面、導入郵件列表、開始演練。

　　3.最后總結：群發通報舉行鞏固和形成閉環、通知可能會繼續常態化釣魚。

　　常用的開源釣魚郵件平臺Gophish雖然功能齊全，但是也存在一些小問題，比如無法發送帶個性化信息的更高級的釣魚郵件，郵件模板可替換變量較少，無法發送帶跟蹤鏈接的Word附件，無法對發送的二維碼進行自定義。

　　帶個性化信息的釣魚郵件是指，如果我們可以設計一個沉浸式非常高的場景，比如給一位老師發送他在科研系統內的課題結項要求，列出他的所有課題列表，引導他去點擊一個惡意鏈接，這個釣魚郵件的隱蔽性非常高，而且是可能發生的。

　　網站內容錯敏詞檢查

　　國家對網站內容有一些政策法規要求，比如2019年10月31日的《中共中央關于堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現代化若干重大問題的決定》，2019年12月15日的《網絡信息內容生態治理規定》，2021年9月15日的《關于進一步壓實網站平臺信息內容主體責任的意見》等等。新華社也會定期發布《新華社新聞信息報道中的禁用詞和慎用詞（最新修訂）》，公布一些禁用詞、規范用語。

　　以上法規都對高校網站內容提出了要求，高校應當采取措施對網站內容的表述錯誤、暗鏈、黑鏈、個人信息泄露、失效鏈接等內容進行相應的整治，加強網站的傳播力、影響力和公信力。

　　我們認為高校網站內容問題的產生，既存在一些客觀因素，也有一些主觀原因。

　　比如，錯別字一般是因為輸入法或者編輯文字功底不扎實造成的；不規范用語主要是由于編輯人員責任意識不強、學習不到位等；個人信息泄露等問題主要是一些人員安全意識不足；暗鏈和黑鏈的出現，有一部分是由于原先網站被黑，即使遷移到安全性更高的網站群，原先被黑的內容也原樣遷移到網站群，這主要是遷移后檢查不全面的問題，還有一部分是客觀原因，比如原先一個站點的新聞，在當時發布的時候，可能會鏈接到一個正常的網站，但是隨著時間的推移，這個正常的網站可能在過期后網站域名被黑產接管，導致學校網站鏈接到一個不正常的網站 ；失效鏈接的主要原因是，原鏈接網站關閉，或網站改版導致鏈接失效，源站反爬機制導致監測誤判等。

　　高校應當采取技術措施，聯合宣傳部等職能部門對網站內容進行監測整改，并應當把監測左移，做好前置培訓和檢查，爭取在源頭上解決網站內容錯誤問題，并通過定期的后期技術手段監測，形成完善的網站內容安全機制。

　　對于監測的技術手段，比如爬蟲和中文分詞，技術上較為成熟，也比較簡單，對于錯別字的檢查，Python有類庫PyCorrector可以實現音似、形似、筆畫五筆編輯距離特征、語言模型困惑度特征等進行錯別字檢查，但是誤判比較多。而對于規范用語、敏感內容、暗鏈黑鏈來說，則需要有情報庫。

　　對于失效鏈接的檢查也較為簡單，有成熟免費的軟件可以做檢查。最后，所有的這些都應當由人工進行復核，減少整改人員。整體評估以后建議高校應當采取采購云檢測平臺的服務加上自行修改云平臺不足的模式，完成全校的網站內容整改。

　　作者：鄭海山（廈門大學信息與網絡中心）

　　責編：高明