钓鱼邮件演练：授人以鱼亦授人以渔

　　当前，高校钓鱼邮件事件频发，并且呈现出针对性强、威胁程度高、影响面广的特点，持续威胁着师生财产安全与学校网络安全。

　　为全面提升师生员工对于钓鱼邮件的防范意识，2021年许多高校纷纷开展了钓鱼邮件演练，并取得了不错的教育和警示效果，也在广大师生员工中掀起了一轮识别和防范钓鱼邮件的科普热潮。

　　一次演练 多重收获 

　　2021年5月18日，北大师生的电子邮箱里，一封来自“北京大学后勤管理处”的邮件不期而至，以“新冠疫苗注射统计”为主题的钓鱼邮件攻防演练拉开帷幕。

　　虽然演练虚构了一个根本不存在的部门，但还是有很多师生中招，也有很多师生尝试与其认为可能相关的部门进行联系和咨询。

　　据统计，在北京大学5月的钓鱼邮件演练中，共有4万余名师生收到这封模拟钓鱼邮件。其中，54%的师生阅读了该邮件，约5000名师生点击了可疑链接，约2000名师生在后续登录页面输入了用户名和密码。

　　与此同时，也有很多师生表现出了极高的警惕性，并积极地在BBS、群聊和朋友圈里提醒大家进行防范，还帮不明就里的老师和同学指出如何去识别钓鱼邮件，让很多人对钓鱼邮件都有了警惕意识。

　　通过模拟钓鱼邮件攻击的方式，以及高仿真、沉浸式的真实场景，这场钓鱼邮件演练让广大师生切实体会到钓鱼邮件的迷惑性和隐蔽性，取得了良好的警示效果，师生的安全防范能力也得到了显著提升，部分学院甚至还请求专门组织一次针对本学院的攻防演练。

　　不仅如此，学校相关部门的应急处置能力也在演练中得到了锻炼。为了使钓鱼演练更接近真实，许多部门并未得到事前通知。在这种情况下，相关部门不仅迅速采取行动，也快速启动了应急机制，表现出职能部门和院系高度的敏感性和专业的应急响应能力。

　　从宣传效果来看，钓鱼邮件演练也在校内外掀起一轮识别钓鱼邮件的热潮，让更多的师生以更积极主动的方式参与到网络安全教育中，成为了一次成功的网络安全宣教科普活动。

　　演练应做准备 

　　在厦门大学信息与网络中心副主任郑海山看来，开展钓鱼演练需要在管理和技术两个层面做好准备。其中，管理层面的准备工作尤为重要。

　　管理层面，进行演练前应当报告主管部门批准，并协调其他部门进行配合。以清华大学为例，在2021年12月开展的钓鱼邮件演练中，由信息化技术中心党委书记和信息办主任共同担任演练总指挥；信息办负责整体协调；中心负责制定技术方案、监督实施、数据分析；财务处、团委负责拟定钓鱼邮件文本；公司负责提供演练平台、实施演练。

　　由于用户网络安全意识水平不一，在开展反钓鱼演练前，最好对师生员工进行钓鱼邮件相关培训，以免造成草木皆兵，影响正常工作发送通知邮件的便利性。

　　若要以某部门名义发送，则应当通知该部门，并协助该部门做好用户电话咨询等应对措施，以免对其工作造成干扰。此外，也应当告知相关的安全部门，避免对一些安全设备的告警或者态势感知设备的分析造成污染。

　　技术层面，需要确认邮件服务器自身的安全性，尽量使用市面上占有率高的安全的邮件服务器软件，邮件服务器应当做好加固，使用邮件安全网关对垃圾邮件和钓鱼邮件进行过滤，对用户普及校内邮件地址后级，防止子域名没有设置SPF被恶意利用。同时，在演练中要防止演练导致敏感信息被提交，对用户提交的密码不记录也不验证。

　　可以结合学校实际，选择是自行开展或者采购外包服务。外包服务通常较为专业和全面，但是也存在着如无法覆盖全部工作量、数据安全性、常态化反钓鱼演练成本较高等问题。

　　未来工作方向 

　　现在，开展钓鱼邮件演练已经引起越来越多高校的重视，并被纳入到学校网络安全工作计划中。虽然开展钓鱼演练收效显著，但仍有许多工作需要进一步细化，如对演练人群进行细分、根据演练对象设计定制化内容和仿真程度、针对中招人员实行特定培训等，越是进行细分和定制，师生员工的中招率就越高，教育效果也就越好。

　　郑海山表示，未来钓鱼邮件演练应当往更深、更广的常态化方向发展，一旦普通难度的钓鱼邮件演练达到预期效果，就可以提高钓鱼邮件演练的难度。

　　深度方面，通过梳理校内所有发送邮件通知的业务系统，如监控系统、图书馆催还书、统一通讯中心发送的通知，以及各类教务、学工、科研系统的邮件模板，并有针对性地基于这些模板，对特定用户发起异常精准的钓鱼邮件攻击。

　　广度方面，做到泛通知，对邮件、短信、工作群（QQ、微信、企业微信、钉钉、飞书等）、网站内建消息通知渠道、上网客户端通知等均纳入钓鱼演练的范围。可以模拟管理员被黑、网站被黑等发出钓鱼邮件，比如OA系统，让用户在登录后就收到假的Flash更新，并统计选择更新的人数。

　　最后，通过推动群测群防工作持续深化，发动师生员工一起参与监测与预防，并形成在收到钓鱼邮件后向学校特定部门报告的安全意识，以更好实现钓鱼邮件演练“授人以渔”的教育内涵。

　　作者：高明