浅议重保期间的邮件防护

夏正伟 李浩

武汉大学信息中心

在重保期间,校园网络通常会面临着更严重的网络安全威胁。与利用“零日”漏洞实施攻击相比,来自外部对邮件系统的攻击具有手段多、成本低、难度小等特点,而且一旦成功可获取“高额回报”,如获取可用于登录业务系统的账号密码、加密被攻击用户电脑的数据等。最为严重的是被攻击终端被远程控制,网络防护边界突破后,黑客接下来对内网的扫描、入侵如入无人之境。加之邮件用户众多,收发邮件又不能简单限制在内网访问,邮件系统往往是攻击的首选目标和发起进一步攻击的前奏。无论是日常,还是重保期间,确保邮件系统安全都非常重要。

一、日常防护策略

1.系统层面

面临威胁:利用系统漏洞,获取邮件系统控制权或邮件内容。网络监听攻击,通过控制目标网络设备,监听、截获目标发送的邮件信息。

应对策略:高度重视邮件系统安全保护工作,落实专人负责,加强对电子邮件系统开发、运维单位管理,尽量避免远程维护,确保 “有人建、有人管”。按照相关法律法规、政策要求,落实网络安全等级保护制度和技术防护措施,组织开展邮件系统技术检测和渗透性攻击测试,查找安全漏洞,及时进行整改

2.用户层面

面临威胁:通过社会工程、暴力破解、系统撞库、木马监听等方式获取邮件用户的口令密码,窃取邮件内容或仿冒身份发送钓鱼邮件等虚假信息对目标进行欺诈,或运行可执行的攻击代码。

应对策略:从收发邮件的人上加强管理,坚决禁止使用弱口令;坚决禁止使用互联网邮箱存储、处理、传输涉密信息和工作敏感信息;坚决禁止使用境外代理邮件服务器收发邮件;坚决禁止将企业级邮箱邮件自动转发至私人邮箱或境外邮箱。同时,对陌生邮件不要轻易打开,尤其是有关附件,防止感染病毒和木马。

二、重保特别应对

1.消除隐患

及时升级服务器系统和邮件系统漏洞补丁,防范系统级漏洞,保障平台平稳运行,消除潜在隐患。

2.严控策略

采取比平时更为严格的防护策略,包括不限于:防火墙策略、内容过滤、口令爆破、垃圾或钓鱼邮件的拦截策略等。

3.善用情报

积极利用厂商与兄弟院校的威胁情报,对被入侵账号、高危IP地址进行封锁。

4.减少暴露

对长期不用的账号,可以采取临时屏蔽措施。对邮件系统的Web访问,可以临时采取VPN接入控制。

5.紧盯日志

一切黑客的入侵都是有迹可循的,而日志中蕴含了大量信息,在重保期尤其要全面排查系统日志,及时发现、封堵多处登录或高频发件的可疑账号、反复爆破密码的可疑IP地址,对相关用户和相关IP段采取临时封锁措施。

6.提醒用户

安装杀毒软件,防范一切可能的钓鱼邮件,形成良好的网络安全防护意识。