武汉大学：浅议重保期间的邮件防护

浅议重保期间的邮件防护

夏正伟 李浩

武汉大学信息中心

在重保期间，校园网络通常会面临着更严重的网络安全威胁。与利用“零日”漏洞实施攻击相比，来自外部对邮件系统的攻击具有手段多、成本低、难度小等特点，而且一旦成功可获取“高额回报”，如获取可用于登录业务系统的账号密码、加密被攻击用户电脑的数据等。最为严重的是被攻击终端被远程控制，网络防护边界突破后，黑客接下来对内网的扫描、入侵如入无人之境。加之邮件用户众多，收发邮件又不能简单限制在内网访问，邮件系统往往是攻击的首选目标和发起进一步攻击的前奏。无论是日常，还是重保期间，确保邮件系统安全都非常重要。

一、日常防护策略

1.系统层面

面临威胁：利用系统漏洞，获取邮件系统控制权或邮件内容。网络监听攻击，通过控制目标网络设备，监听、截获目标发送的邮件信息。

应对策略：高度重视邮件系统安全保护工作，落实专人负责，加强对电子邮件系统开发、运维单位管理，尽量避免远程维护，确保 “有人建、有人管”。按照相关法律法规、政策要求，落实网络安全等级保护制度和技术防护措施，组织开展邮件系统技术检测和渗透性攻击测试，查找安全漏洞，及时进行整改

2.用户层面

面临威胁：通过社会工程、暴力破解、系统撞库、木马监听等方式获取邮件用户的口令密码，窃取邮件内容或仿冒身份发送钓鱼邮件等虚假信息对目标进行欺诈，或运行可执行的攻击代码。

应对策略：从收发邮件的人上加强管理，坚决禁止使用弱口令；坚决禁止使用互联网邮箱存储、处理、传输涉密信息和工作敏感信息；坚决禁止使用境外代理邮件服务器收发邮件；坚决禁止将企业级邮箱邮件自动转发至私人邮箱或境外邮箱。同时，对陌生邮件不要轻易打开，尤其是有关附件，防止感染病毒和木马。

二、重保特别应对

1.消除隐患

及时升级服务器系统和邮件系统漏洞补丁，防范系统级漏洞，保障平台平稳运行，消除潜在隐患。

2.严控策略

采取比平时更为严格的防护策略，包括不限于：防火墙策略、内容过滤、口令爆破、垃圾或钓鱼邮件的拦截策略等。

3.善用情报

积极利用厂商与兄弟院校的威胁情报，对被入侵账号、高危IP地址进行封锁。

4.减少暴露

对长期不用的账号，可以采取临时屏蔽措施。对邮件系统的Web访问，可以临时采取VPN接入控制。

5.紧盯日志

一切黑客的入侵都是有迹可循的，而日志中蕴含了大量信息，在重保期尤其要全面排查系统日志，及时发现、封堵多处登录或高频发件的可疑账号、反复爆破密码的可疑IP地址，对相关用户和相关IP段采取临时封锁措施。

6.提醒用户

安装杀毒软件，防范一切可能的钓鱼邮件，形成良好的网络安全防护意识。

版权声明：本文为Coremail管理员社区大咖嘉宾——武汉大学夏正伟、李浩老师的原创文章，文章首发于Coremail云服务中心管理员社区。