高校信息安全培训课件

高校信息安全培训课件欢迎参加高校信息安全培训课程在当今数字化时代，信息安全已成为高校管理与运营的核心环节本课程旨在提高全校师生的信息安全意识，普及安全防护知识，建立长效防护机制，共同构建安全、稳定的校园网络环境课程导入培训目标与意义当前信息安全形势背景提升全校师生信息安全意识，网络攻击日益复杂化、专业普及实用防护技能，建立长化，教育行业成为重点攻击效安全机制，为教学科研提目标，数据泄露事件频发，供安全保障国家法规政策要求日趋严格高校信息安全现状概述高校网络开放性强，设备多样化，数据资产价值高，但安全意识参差不齐，防护措施不足，存在较大安全隐患信息安全基本概念信息资产分类高校信息资产包括物理资产（服务器、网络设备）、数据资产（教学资信息安全定义料、科研数据、个人信息）、软件资产（系统、应用）以及人力资源信息安全是指保护信息系统及其中数据免受未授权的访问、使用、披保密性、完整性、可用性基础露、破坏、修改或中断，以维护信息的保密性、完整性和可用性保密性确保信息只对授权用户可见；完整性确保信息不被非授权修改；可用性确保授权用户能够及时访问所需信息和资源信息安全法规政策网络安全法解读《中华人民共和国网络安全法》于年月日正式实施，是我国第一部201761全面规范网络空间安全管理的基础性法律对高校而言，需重点关注网络运营者安全责任、个人信息保护、关键信息基础设施保护等条款数据安全法与个人信息保护法简介《数据安全法》于年月日实施，《个人信息保护法》于年202191202111月日实施两法分别强调了数据分类分级保护和个人信息处理规则，高校作1教育行业相关规范为重要的数据处理者，需严格遵守相关规定教育部颁布的《教育信息化工作管理办法》《教育行业网络与信息安全管理办法》等规定了高校在信息安全方面的具体责任与义务，包括安全制度建设、人员配备、技术防护等要求高校信息环境特点校园网组成与运维模式多区域、多层次网络架构教学科研系统安全需求开放与安全的平衡高校信息安全常见难点3管理分散、责任不明高校网络环境具有开放性强、用户群体大、设备多样化、管理分散等特点校园网通常由教学区、科研区、行政区和宿舍区组成，各区域安全需求和管理模式存在差异教学科研系统需要保持较高的开放性，同时又存储着大量敏感数据，如何平衡开放与安全是一大挑战高校信息安全形势分析信息泄露主要途径高校信息泄露主要通过账号被盗、网络钓鱼、移动设备丢失、内部人员有意或无意泄露等途径发生教职工邮箱和教务系统成为攻击者的重点目标，而学生个人信息则常因第三方应用不安全而被泄露内外部攻击威胁外部威胁包括有组织的黑客攻击、勒索软件、钓鱼网站等；内部威胁则来自权限管理不当、操作失误或内部人员蓄意破坏高校面临的攻击动机包括经济利益、获取科研数据、恶意破坏等多种可能近年来典型安全事件分析近年来，多所高校遭遇勒索软件攻击，导致系统瘫痪；部分高校学生数据在暗网被售卖；科研数据泄露事件屡见不鲜分析表明，这些事件多由基础防护不足、漏洞修复不及时、安全意识薄弱等因素造成真实案例分享校园安全事件某高校数据泄露案例异地恶意登录事件信息篡改等典型案例年，某知名高校因教务系统存在多名教师反映邮箱被异地登录，重要文件被某高校官网被黑客入侵并篡改内容，插入不2022SQL注入漏洞，导致近万名学生个人信息被黑客盗取经调查发现，这是一起有针对性的钓良信息长达小时未被发现原因是网站使12窃取并在网上公开售卖事件造成严重负面鱼攻击，攻击者通过伪造学校通知邮件，诱用的系统版本过低且存在已知漏洞，服CMS影响，学校被监管部门约谈并处罚调查显导教师点击链接并输入账号密码由于未启务器缺乏有效的入侵检测机制，管理员未定示，该漏洞已存在多时，但因安全检测不到用二次验证，攻击者轻易获取了完整账号控期检查网站内容完整性位未被及时发现制权网络攻击类型简介社会工程学攻击木马病毒勒索软件攻击钓鱼网站与诈骗邮件/社会工程学攻击利用人性弱点而非技术木马病毒伪装成正常软件，但含有恶意钓鱼网站模仿正规网站外观，诱骗用户漏洞进行攻击攻击者通过伪装身份、功能，可能窃取信息、控制设备或破坏输入账号密码或其他敏感信息诈骗邮制造紧急情况或利用信任关系，诱导受系统勒索软件则加密用户文件，要求件则通过伪造官方通知、紧急事件等方害者泄露敏感信息或执行危险操作支付赎金才能解锁式，引导受害者点击恶意链接或转账汇款常见手法包括冒充校领导发送指令邮件、高校环境中，这类攻击常通过邮件附件、假借系统维护要求提供账号密码、通过盗版软件下载或浏览恶意网站传播一在高校环境中，常见的钓鱼目标包括校电话冒充技术支持等这类攻击特别危旦感染，可能导致数据丢失、系统瘫痪园网登录页面、教务系统、邮箱登录等险，因为它绕过了技术防护措施，直接或敏感信息泄露，造成严重后果重要平台攻击者精心设计的钓鱼页面针对人员薄弱环节往往与真实系统极为相似，很容易欺骗不警觉的用户信息系统常见风险账号弱密码高风险、高发生率问题系统漏洞与补丁滞后技术维护中的常见缺陷非法外联行为违规操作导致的安全隐患账号弱密码是高校信息系统最普遍的安全隐患调查显示，超过的校园用户使用简单密码如生日、手机号后几位或连续数字，且在多个系40%统使用相同密码一旦任一系统被攻破，将导致连锁风险部分管理员账号甚至使用默认密码未修改，为系统带来严重威胁校园热点风险场景公共安全隐患Wi-Fi校园内的公共网络为师生提供便利的同时，也存在严重安全隐患未加密的Wi-Fi Wi-Fi网络使通信内容容易被窃听，而名称相似的钓鱼热点则可能窃取连接者的账号密码和敏感信息一些黑客还会在公共场所设置中间人攻击设备，拦截并分析网络流量个人终端管理漏洞学生和教职工的个人电脑、平板等终端设备管理不善，常导致安全事件主要问题包括操作系统长期不更新、杀毒软件缺失或过期、安装来源不明的软件、随意连接不可信存储设备等这些行为大大增加了恶意软件感染和数据泄露的风险移动设备丢失风险在开放的校园环境中，手机、笔记本电脑等移动设备丢失或被盗事件时有发生若设备未设密码锁定或加密保护，存储的教学资料、科研数据、个人账号等信息可能被直接获取部分用户在设备上保存密码或开启自动登录功能，更是雪上加霜权限与访问控制账号权限管理原则权限管理应遵循最小授权和职责分离原则最小授权确保用户只获得完成工作所需的最小权限，避免权限过大引发风险；职责分离则要求敏感操作需多人配合完成，防止单点失控管理员应定期审计账号权限，及时回收离职人员权限，防止权限蔓延现象学生教师访客账号分级//高校应建立账号分级管理制度，根据不同角色和需求设置差异化权限学生账号仅能访问学习所需资源；教师账号根据教学、科研、管理等不同职责划分权限层级；访客账号严格限制访问范围并设置有效期对特殊系统和敏感数据，应实施更严格的授权审批和访问控制最小授权实践实施最小授权需从技术和管理两方面入手技术上，利用访问控制列表、角色基础ACL访问控制等机制精细化权限设置；管理上，建立权限申请、审批、回收的完整流RBAC程，定期开展权限清查高校应特别重视超级管理员权限控制，避免权限过度集中于少数人手中密码安全管理强密码规则定期更换长度不少于位，包含大小写字母、数字和12重要系统密码每个月更换一次3-6特殊符号密码管理工具不共用密码使用专业工具安全存储和生成复杂密码不同系统使用不同密码，避免连锁风险强密码是防范账号被盗的第一道防线创建强密码时，避免使用个人信息如生日、姓名拼音、学工号等容易被猜测的内容，可采用首字母缩写法将一句话转换为密码，既容易记忆又难以破解例如我年月入学北京大学计算机系可变为20229W2022n9ryxBJDXjsj!多因素认证应用常见多因素认证方式多因素认证通常结合你知道的（密码）、你拥有的（手机、令牌）和你自身的（指纹、面部）三类因素中的至少两种常见形式包括短信验证码、认证应用（如）、硬件密钥、生Google Authenticator物识别等与单纯依赖密码相比，多因素认证可将账号安全性提升以上，即使密码泄露，攻击者也无法直接登90%录账号教务邮箱科研平台实践//目前，许多高校已在关键系统部署多因素认证教务系统登录可能要求输入密码后再接收短信验证；邮箱系统多采用应用程序验证码；和远程访问则可能使用硬件令牌或证书认证VPN针对不同系统的风险等级和使用场景，应选择合适的认证方式，平衡安全性与便利性如何开启二次验证开启二次验证通常在账号安全设置中进行以校园邮箱为例，登录后进入账号安全，选择两步验证，按提示完成手机绑定或认证应用设置设置成功后，系统会提供备用验证码，应妥善保存以防手机丢失时使用强烈建议为所有重要账号启用多因素认证，特别是邮箱、教务系统、科研平台等含有敏感信息的系统网络诈骗与防范冒充公检法诈骗冒充老师同学诈骗虚假奖学金助学金诈骗//诈骗分子冒充公安、检察院或法院工作人员，诈骗者通过盗取或仿冒师生社交账号，谎称需诈骗者伪造学校通知，谎称可申请特殊奖学金谎称受害者涉案，要求转账核查或缴纳保要帮忙代购或借款，要求受害者转账这类诈或助学金，诱导学生填写个人信息并缴纳手证金此类诈骗通常通过电话实施，利用受骗利用校园信任关系，且往往声称情况紧急，续费此类诈骗针对经济困难学生，利用其害者对权威的畏惧心理，制造紧张氛围促使快限制受害者核实的时间对资助的迫切需求速决策垃圾邮件与钓鱼邮件防御邮件伪装钓鱼案例如何识别危险邮件报告与处置流程/高校环境中常见的钓鱼邮件包括伪装成识别钓鱼邮件的关键线索包括仔细检查发现可疑邮件后，不要点击其中的链接或校长或领导的紧急指示邮件；假冒部门发件人地址是否使用官方域名（如附件，应立即通过以下步骤处理将邮件IT要求验证账号的系统通知；声称有奖学金）；注意邮件中的拼写或标记为垃圾邮件或钓鱼邮件；向学校信息xx@pku.edu.cn或就业机会的诱惑性邮件；以及假冒学术语法错误；警惕不明链接，尤其是与安全部门报告（如URL期刊的投稿确认等显示文本不符的情况；对异常附件保持警）；如已点击链接security@xxx.edu.cn惕，特别是可执行文件并输入信息，应立即修改相关账号密码这些邮件通常伪造发件人地址，使用与官方相似的邮件模板，并通过制造紧急感或此外，邮件内容催促立即行动、威胁账号学校信息安全部门收到报告后，将评估威利益诱惑促使收件人采取行动钓鱼链接停用、承诺意外惊喜或要求违反正常程序胁程度，必要时发布全校预警，并协助受则往往指向仿冒的登录页面，窃取用户输的，都应提高警惕当有疑问时，应通过影响用户恢复账号安全定期汇总分析钓入的账号密码官方渠道（如学校官网或直接电话）核实鱼邮件特征，优化邮件过滤规则，提高防真实性护能力社交媒体安全朋友圈信息泄露风险网络暴力与谣言传播在社交媒体分享过多个人信息可能导致高校师生作为公众人物，面临较高的网隐私泄露例如，发布学生证、工作证络暴力风险一些不实言论可能在短时照片可能泄露学工号；分享旅行计划或间内引发大规模转发评论，造成名誉损实时定位可能暴露行踪；晒出办公环境害同时，未经证实的校园事件信息在的照片可能无意中泄露屏幕上的敏感信社交媒体快速传播，容易引发恐慌或误息这些看似普通的分享行为，叠加起解理性使用社交媒体，谨慎评论和转来可能为攻击者提供大量有价值的信发信息，是维护健康网络环境的重要责息任账号被盗典型案例多起高校社交媒体账号被盗事件显示，攻击者通常利用弱密码、钓鱼链接或关联应用进行攻击一旦控制账号，不仅可能冒充身份实施诈骗，还可能获取私信内容和好友信息，造成更大范围的信息泄露某高校教师微信账号被盗后，攻击者冒充其向多名学生和同事发起借款请求，造成经济损失终端安全加固小时2490%漏洞修复时限感染源头高危漏洞应在小时内完成修补，确保系统安约的终端感染来自于用户操作不当2490%全35%安全事件超过的校园安全事件与终端设备有关35%终端安全是信息安全的重要一环操作系统与常用软件及时更新是基础防护措施，应开启自动更新功能，特别是安全补丁对于系统，确保保持开启状态；对于常用软件如Windows WindowsUpdate浏览器、办公软件、阅读器等，也应保持最新版本，修复已知安全漏洞PDF数据安全与备份数据分类保护根据敏感程度分级管理定期备份策略重要数据多渠道保存加密存储机制敏感信息全程加密数据是高校最宝贵的资产之一，需要科学分类与精细管理建议将数据按敏感程度分为公开、内部、保密和机密四级，并根据分级采取不同的保护措施例如，科研数据、个人信息等高敏感数据应实施访问控制、传输加密和操作审计等多重保护；而教学课件、公开资料等低敏感数据则可采取相对宽松的管理策略校园网络设备安全路由器安全设置网络打印机与摄像头风险网络设备的防入侵操作校园内私设路由器是常见的安全隐患为确保智能打印机和网络摄像头往往被忽视，却是重保护网络设备免受入侵，需采取多层次防护安全，应修改默认管理密码为强密码，禁用远要的安全风险点打印机可能存储敏感文档，首先应关闭不必要的服务端口，特别是Telnet程管理功能，及时更新固件修复漏洞，启用应设置访问密码，定期清理打印队列和文档缓等不安全协议；启用设备日志并定期检查异常或加密而非或开放网络存，禁用不必要的网络服务摄像头则应采用访问；设置访问控制列表，限制管理接口的可WPA2WPA3WEP还应更改默认名称，减少被定向攻击的风加密传输，更改默认密码，并考虑物理隔离措访问范围；对重要设备实施物理安全措施，SSID IP险，并启用地址过滤，限制连接设备施，防止未授权访问导致隐私泄露如放置在锁闭机柜内，防止未授权的物理接触MAC和重置个人信息保护技能保护个人信息首先要学会隐私设置调优在各类应用和网站中，应仔细检查并调整隐私选项，限制个人信息的可见范围社交媒体平台应设置为仅好友可见而非公开；浏览器应启用功能并定期清理；手机应用应只授予必要的权限，Do NotTrack cookies拒绝过度索取位置、通讯录等敏感信息软件正版化与盗版风险安全风险法律风险声誉风险功能限制盗版软件常捆绑恶意程序，可能窃取使用盗版软件违反版权法，可能面临高校使用盗版软件损害学术诚信和机盗版软件无法获得更新支持，功能受数据或控制设备法律责任构形象限且存在兼容性问题非法软件下载不仅涉及版权问题，更是重大安全隐患盗版软件通常来源不明，可能被植入后门程序、木马病毒或勒索软件这些恶意代码一旦激活，可能窃取用户数据、远程控制设备或加密文件要求赎金此外，盗版软件无法获得官方更新和补丁，安全漏洞得不到修复，进一步增加风险移动互联网安全信息发布与网络舆情高校信息发布合规要求高校信息发布必须遵循谁发布、谁负责原则各单位应明确信息发布审核流程，重要内容需经过多级审核涉及学校重大决策、敏感话题等内容，应报学校宣传部门审核后发布官方账号管理应实行专人负责制，加强密码保护，定期进行内容合规检查，确保信息准确、合法、适当舆情事件应急响应流程面对网络舆情事件，应启动发现研判处置复盘的应急流程发现阶段重在及时监---测，通过校内舆情系统和人工巡查快速识别潜在风险；研判阶段分析事件性质、影响范围和发展趋势；处置阶段根据预案采取相应措施，及时发布权威信息澄清事实；事后应全面复盘，总结经验教训，完善预防机制网络负面舆情案例分析某高校因食堂卫生问题在社交媒体引发广泛讨论，初期学校未及时回应，导致谣言扩散后经调查确认问题确实存在但被严重夸大，学校通过官方渠道发布情况说明并公布整改措施，最终平息舆情案例表明，面对舆情，回应速度和透明度至关重要，沉默往往会被解读为默认或回避远程教学与信息安全远程平台账号安全远程教学平台如雨课堂、钉钉、腾讯会议等成为教学必备工具，其账号安全直接关系到教学活动顺利进行教师应为这些平台设置强密码，开启二次验证，避免在公共设备上记住密码，定期检查登录记录，发现异常及时处理平台管理员应做好权限分配，确保敏感操作有适当的审批流程会议内容保密措施远程会议和课程内容需要适当的保密措施涉及未公开科研成果、考试内容等敏感讨论时，应使用带有端到端加密的平台，设置会议密码，启用等候室功能审核参会人员，禁止录制功能或明确录制权限对于重要会议，可采用独立链接和一次性密码，减少未授权访问的可能性屏幕共享、云录制风险屏幕共享是远程教学的常用功能，但也存在信息泄露风险共享前应关闭无关窗口和通知提醒，清理桌面敏感文件，使用专用浏览器窗口避免展示书签和历史记录云录制的内容应设置访问权限，明确观看和下载限制，敏感内容应考虑本地存储而非云端，并设置合理的保存期限科研数据安全管理课题数据防泄密要求科研数据是高校核心资产，特别是涉及前沿技术、国家安全或商业合作的敏感数据，必须严格保护实验室应建立分级数据管理制度，对重要数据实施分级分类、责任到人的管理策略敏感数据处理应在内网环境进行，必要时使用物理隔离的专用设备，避免连接互联网数据访问应遵循最小授权原则，实施严格的身份认证和操作审计论文成果数据归集存储/科研成果数据应系统归集存储，确保完整性和可追溯性建议采用项目课题成果三级结构进--行数据组织，明确元数据标准，便于管理和引用数据存储应采用冗余备份策略，重要数据至少保存三份副本，包括异地备份敏感数据应进行加密存储，并控制解密权限合理使用学校提供的科研数据管理平台，避免将核心数据托管在未经安全评估的第三方服务中合作科研数据交换规范跨单位科研合作中，数据共享和交换必须遵循规范流程首先应签署数据保密协议，明确各方责任和数据使用范围；数据交换应使用加密传输渠道，如加密或安全文件传输协议；VPN共享数据应考虑脱敏处理，仅提供合作方必需的数据字段；建立数据访问日志，定期审计使用情况，发现异常及时处理特别敏感的数据可考虑采用安全多方计算等技术，在保护原始数据的同时实现协同分析智能设备与物联网安全校园设备类型安全脆弱性实例防护措施建议IoT IoT现代校园中的智能物联网设备日益普及，主物联网设备安全问题主要体现在以下方面加强物联网设备安全防护，应从以下几方面要包括以下几类智能门禁与考勤系统，通默认密码问题，许多设备出厂密码简单且未入手建立设备资产清单，明确责任人和IoT过或生物识别技术控制校园出入；智能更改；固件更新滞后，导致已知漏洞长期存安全等级；强制修改默认密码，实施强密码RFID照明与能源管理系统，根据人流和时间自动在；通信协议不安全，数据传输缺乏加密保策略；定期更新固件，及时修复安全漏洞；调节照明与空调；智能教室设备，如自动录护；设备认证机制薄弱，易被仿冒或中间人对敏感设备进行网络隔离，设置专用；VLAN播、智能黑板等；校园安防设备，包括智能攻击；管理接口暴露，可被未授权访问启用设备访问控制和操作审计；定期开展安摄像头、烟感器等；以及实验室智能仪器设全评估和渗透测试，主动发现风险一个典型案例是某高校智能门禁系统被攻击，备，如远程监控培养箱、智能药品柜等攻击者利用默认密码获取了管理权限，导致对于高价值或高风险的智能设备，建议实施这些设备通常连接校园网络，由中央管理平敏感区域安全受到威胁另一案例是实验室物理隔离与逻辑隔离相结合的多层次防护策台统一控制，极大提升了校园管理效率，但智能温控系统因固件漏洞被远程控制，险些略，确保关键设备和系统的安全可控也带来了新的安全挑战导致贵重样品损毁学生日常防护建议社团活动信息共享注意事项学生社团活动中经常需要收集和共享成员信息，应注意保护个人隐私建立社团成员通讯录时，仅收集必要信息，避免过度采集身份证号、家庭住址等敏感数据；使用私密群组而非公开渠道共享活动信息；活动照片发布前征得相关人员同意；活动结束后及时清理不再需要的个人信息；对需长期保存的数据进行脱敏处理，减少信息泄露风险共享设备使用警示在图书馆、实验室等公共场所使用共享电脑时，应保持警惕使用前检查设备是否存在异常；避免在共享设备上访问银行、邮箱等敏感账户；必须登录时使用隐私浏览模式，并确保退出时清除所有痕迹；不要在共享设备上保存个人文件，如需临时保存应完成后彻底删除；警惕键盘记录器等物理窃密设备；使用自己的盘前后都进行病毒检测，防止交叉感染U网络文明与自律网络空间是现实社会的延伸，同样需要遵守法律法规和道德规范理性表达观点，不散布谣言和不实信息；尊重他人隐私，未经允许不转发他人私密信息；抵制网络暴力，不参与人身攻击和网络霸凌；遵守知识产权，不非法下载和传播盗版内容；积极举报有害信息，共同维护清朗网络空间；增强自我保护意识，提防网络诈骗和不良信息教职员工防护注意事项办公电脑账号独立使用学校敏感信息管理办公电脑是教职工处理日常工作的主要工具，教职工在工作中经常接触学生成绩、个人信息、其安全直接关系到工作效率和数据安全应坚科研数据等敏感信息，必须妥善管理严格遵持一人一机一账号原则，不与他人共享账号循最小授权原则，仅在工作必需时访问敏感密码；离开座位时锁定屏幕（快捷键）；数据；不在公共场合展示或讨论敏感信息；敏Win+L定期修改登录密码，不使用与个人账号相同的感文件应加密存储，传输时使用安全渠道；打密码；严格区分个人用途和工作用途，避免将印的敏感文件使用后应碎纸销毁，不直接丢弃；私人账号和数据存储在办公电脑上；安装和使电子文档删除后应清空回收站，必要时使用数用软件应遵循学校规定，不随意下载安装未经据擦除工具彻底删除；定期清理个人设备上的授权的程序敏感信息，避免长期累积工作资料安全移动现代工作方式要求教职工经常在不同场所办公，工作资料的安全移动变得尤为重要使用盘等移动存U储设备传输文件时应先进行病毒检测；重要文件应加密后再存储于移动设备；尽量使用学校提供的安全云存储服务，避免使用未经认可的商业云服务存储敏感资料；外出办公使用公共网络时，应通过VPN连接校园网；参加会议携带的演示文稿应删除不必要的敏感信息；丢失存有工作资料的设备时，应立即报告并采取补救措施行政办公信息保护行政电子邮件是高校日常工作的重要沟通工具，应遵循合规使用原则公务邮件应使用学校提供的官方邮箱，避免使用个人邮箱处理工作事务；发送敏感信息时应使用加密功能或密码保护附件；邮件群发应使用密送功能保护收件人隐私；定期清理邮箱，删除不再需要的敏感邮件；警惕钓鱼邮件，不随意点击可疑链接或附件；离职前应妥善移交邮箱中的重要信息信息化项目安全管理开发阶段需求分析遵循安全编码规范明确安全需求与合规要求测试评估全面安全测试与评估3运维阶段持续监控与安全更新部署上线安全配置与加固上线系统安全评测是信息化项目的关键环节新系统上线前必须进行全面的安全评估，包括代码审计、漏洞扫描、渗透测试和合规性检查评测应覆盖身份认证、访问控制、数据保护、日志审计等方面，并形成详细报告根据评测结果，开发团队需修复发现的安全问题，仅当安全风险降至可接受水平后，系统才能获准上线安全事件应急处理流程发现识别通过监控系统或人工报告发现异常，初步判断事件类型和影响范围遏制控制采取紧急措施限制事件扩散，如隔离受影响系统、关闭漏洞根除恢复清除威胁，修复系统，恢复正常运行总结改进分析事件原因，完善防护措施，防止类似事件再次发生发现安全异常后，应按照预设流程迅速响应首先，发现者应立即向部门安全负责人和学校信息安全部门报告，提供详细情况描述；信息安全部门接报后，根据事件严重程度启动相应级别的应急预案，组建应急响应小组；技术团队迅速分析事件性质和影响范围，采取措施控制事态发展，如隔离受感染设备、关闭漏洞、限制特定账号访问等；同时，保存相关日志和证据，为后续调查提供支持网络安全攻防演练演练准备明确目标与范围红队进攻模拟黑客攻击行为蓝队防御3识别并抵御攻击评估改进分析结果并强化防护高校实战攻防平台是培养网络安全人才的重要工具我校已建立专业的攻防演练环境，包括靶场系统、漏洞库、攻击流量模拟器等组件，可模拟各类真实网络攻击场景平台支持多种演练模式，包括竞赛、蓝队防御训练、红蓝对抗等，为不同层次的安全学习者提供实践环境平台还集成了完善的评分和反馈机制，帮助参与者了解自己的技术水平和提CTF升方向校园网虚实结合攻防实验仿真网络演练环境复现典型攻击事件我校建立了高度仿真的校园网络演练环境，在仿真环境中，我们可以安全地复现多种典复现了真实校园网的核心架构和业务系统型攻击场景应用攻击如注入、Web SQL这一环境包括仿真的教务系统、图书馆系统、、等；网络层攻击如、XSS CSRFDDoS门户网站等关键应用，以及各类网络设备和欺骗、劫持等；社会工程学攻击如ARP DNS服务器通过虚拟化技术，可快速部署多套钓鱼邮件、伪造身份等通过复现这些攻击，独立环境，支持多个团队同时开展不同场景参与者能深入理解攻击原理和危害，掌握攻的安全演练，且不影响实际业务系统运行击特征和检测方法，为实际防护工作提供经验防御策略部署实践演练不仅关注攻击技术，更注重防御能力培养参与者需要在仿真环境中实施多层次防御策略网络层部署防火墙、入侵检测系统；应用层加固应用，修补漏洞；数据层实施加密和访问控Web制；管理层制定安全策略和应急预案通过实际操作，参与者能掌握防御工具的配置和使用，提高安全加固和响应能力与漏洞通告解读CVE平台与工具推荐漏洞扫描工具推荐使用、或国产的安恒明御等工具进行网络漏洞扫描这些工具能自动发现系统中的安全漏洞，并提供详细的风险评估和修复建议学校已购买企业版授权，各部门可联系信息安OpenVAS Nessus全办公室申请使用除专业工具外，还可使用等免费工具进行基础安全检查Microsoft BaselineSecurity Analyzer流量监控与分析是优秀的开源网络流量分析工具，适合进行网络故障排查和安全分析校内已部署全流量监控系统，对异常流量进行自动告警此外，开源入侵检测系统和也被广泛用于网Wireshark SnortSuricata络安全监控，能识别多种网络攻击特征对于应用安全，是功能强大的免费漏洞扫描工具Web OWASPZAP Web安全管理平台学校统一安全管理平台整合了多种安全功能，包括资产管理、漏洞管理、补丁管理、日志分析等各部门管理员可通过该平台查看所属系统的安全状态，接收安全预警，申请安全服务平台还提供安全知识库和最佳实践指南，帮助用户提升安全技能新上线的安全自助服务门户，则允许普通师生进行安全咨询和问题报告信息安全考试与竞赛信息安全等级考试简介信息安全等级考试是评价网络安全专业能力的权威认证常见的包括（注册信息安全专业CISP人员）、（信息系统安全认证专家）、（信息系统审计师）等国际认证，以及国内CISSP CISA的信息安全工程师、网络安全管理员等职业资格考试这些认证覆盖安全管理、技术防护、风险评估、应急响应等多个领域，对提升就业竞争力具有重要意义竞赛与战队组建CTF（）是网络安全领域最具影响力的竞赛形式，考察参赛者在安全、CTF CaptureThe FlagWeb密码学、逆向工程、二进制漏洞利用等方面的综合能力我校已组建专业战队，定期参加国CTF内外重要赛事战队面向全校招新，不限专业背景，只要对网络安全有浓厚兴趣即可新队员将接受系统培训，逐步掌握各类安全技能，并有机会参与实战竞赛比赛训练资源为支持学生备考和训练，学校提供多种资源网络安全实验室配备专业设备和环境，支持各类安全实验；在线训练平台包含大量题目和漏洞环境，可随时进行自主练习；定期举办校内安全CTF沙龙和技术讲座，邀请业界专家分享经验；建立完善的学习资料库，包括教材、视频课程、技术文档等；组织模拟赛和集训营，提供实战演练机会师资与资源建设高水平师资团队领军人才引领发展系统化课程体系理论与实践相结合先进实验环境模拟真实安全场景产学研合作平台校企协同育人机制高校安全课程体系设计应覆盖理论与实践各个层面基础层包括计算机网络基础、操作系统原理、编程语言等；专业核心层涵盖密码学、网络攻防、安全协议、系统安全等；应用实践层则侧重渗透测试、安全开发、应急响应等实战技能课程设置应与行业标准和企业需求紧密结合，定期更新教学内容，跟进技术发展此外，还应纳入法律法规、职业道德等非技术模块，培养学生的安全意识和责任感安全宣传与文化建设意识唤醒通过多种渠道提高安全意识知识普及系统传授安全防护知识行为引导鼓励采取安全防护行动文化塑造形成安全文化价值观主题宣传月活动是提高校园安全意识的有效形式每年月的网络安全宣传周期间，学校组织丰富多彩的安全主题活动9设立咨询展台，提供一对一安全指导；举办专家讲座，解读热点安全事件；开展安全知识竞赛，以趣味方式普及知识；组织安全技能工作坊，教授实用防护技巧；发放宣传手册和小礼品，增强参与积极性此外，学期初和重要节假日前，还会针对特定风险进行专项宣传，如新生入学的账号安全教育，假期前的诈骗防范提醒等典型漏洞演示注入攻击实验弱密码破解实例攻击分析SQL XSS/CSRF注入是最常见的应用漏洞之一，攻击者弱密码是最常见的安全隐患之一演示环境中，跨站脚本攻击通过在页面中注入恶意SQL WebXSS Web通过在输入字段中插入恶意代码，破坏原有我们使用开源工具如、脚本，窃取用户信息或执行未授权操作跨站请SQL HydraJohn theRipper查询逻辑，获取或修改数据库信息在我们的演等，展示如何通过字典攻击、暴力破解等方式，求伪造则利用用户已登录状态，诱导其执CSRF示环境中，可以安全地体验如何通过简单的输入在短时间内破解常见的弱密码测试表明，包含行非预期操作在演示中，我们展示如何通过在如OR1=1--绕过登录验证，或使用UNION生日、手机号等个人信息的密码，以及评论区插入scriptalertXSS/scriptSELECT语句窃取数据库敏感信息

123456、password等简单密码，通常能等代码触发XSS漏洞，以及如何构造钓鱼页面实在几秒到几分钟内被破解施攻击CSRF防御注入的关键措施包括使用参数化查询SQL或预处理语句，而非直接拼接语句；对用户有效的密码防护措施包括设置复杂密码，包含防护措施包括对用户输入进行严格过滤，转义SQL输入进行严格过滤和验证；采用最小权限原则配大小写字母、数字和特殊字符；使用密码管理工特殊字符；使用内容安全策略限制脚本执CSP置数据库账号；定期进行安全扫描，发现并修复具生成和存储强密码；实施多因素认证；设置账行；实施同源策略；使用令牌验证请求来CSRF漏洞户锁定机制，防止暴力破解；定期更换密码，尤源；设置属性防止；培SameSite CookieCSRF其是重要系统的管理员密码养用户警惕性，避免点击可疑链接零信任与前沿安全理念身份验证访问控制持续严格的身份验证12最小权限精细化控制动态策略持续监控基于风险的自适应策略全程行为监测与分析零信任安全架构是一种新型安全模型，其核心理念是永不信任，始终验证与传统的边界防护不同，零信任模型假设网络中的任何人和任何设备都可能存在风险，因此对每次访问请求都进行严格验证，无论来源是内部还是外部零信任架构的关键组件包括精确的身份验证机制，确保用户身份真实可靠；细粒度的访问控制，基于最小权限原则；全面的可见性和监控，实时掌握网络状态；以及动态的策略执行，根据风险评估调整访问权限与网络安全新威胁AI生成攻击AI人工智能技术已被用于自动化和增强网络攻击可以生成高度逼真的钓鱼邮件，模仿特定人物的写作风格，提高欺骗性；自动化漏洞发现和利用，加速攻击过程；生成逼真的深度伪造内容，用于AI身份欺骗或虚假信息传播；智能规避传统安全检测机制，如通过学习安全工具的检测模式，调整攻击方式避开检测这些增强型攻击正成为安全领域的新挑战AI智能识别与防护同时，也成为网络安全防护的强大工具机器学习算法可以分析海量日志数据，识别复杂的攻击模式和异常行为；自然语言处理技术能够分析邮件和网页内容，识别潜在的钓鱼尝试；行为分析系AI统可学习用户正常操作习惯，快速发现异常活动；自动化响应系统能在检测到威胁时立即采取行动，大幅减少响应时间高校应积极探索安全技术在校园网络中的应用，构建智能防护体系AI案例钓鱼邮件演示AI在安全环境中，我们演示了如何使用等大型语言模型生成定向钓鱼邮件生成的邮件能够根据目标人物公开信息，创建高度个性化的内容，模仿熟人语气，插入相关背景细节，使邮件极具欺GPT AI骗性传统的基于规则的钓鱼检测往往难以识别这类邮件作为对比，我们展示了基于的安全工具如何通过分析语义特征、行为模式和上下文信息，有效识别这些高级钓鱼尝试，显著提高防护能AI力区块链与数据安全区块链基本原理区块链是一种分布式账本技术，通过密码学原理和共识机制，实现数据不可篡改和可追溯其核心特性包括去中心化，没有单一控制点；数据加密，保护信息安全；透明与可追溯，所有交易公开可查；不可篡改，一旦记录难以修改这些特性使区块链在数据安全领域具有独特优势，特别适合需要高度完整性保障的场景区块链在高校防伪溯源应用区块链技术在高校已有多种创新应用学位证书防伪系统，将证书信息上链，通过唯一哈希值验证真伪；学术成果溯源平台，记录研究数据和成果发表过程；知识产权保护系统，为创新成果建立时间戳证明；教育记录管理，构建安全可信的学习成就档案这些应用大大提高了数据可信度，简化了验证流程，降低了造假可能性潜在安全隐患尽管区块链本身具备安全特性，但实际应用中仍存在风险密钥管理问题，私钥丢失将导致资产或数据无法访问；智能合约漏洞，代码缺陷可能被黑客利用；攻击风险，在小型或私有链中尤为突出；51%性能与扩展性挑战，可能影响大规模应用；数据上链前的真实性问题，垃圾进垃圾出风险实施区块链项目时必须充分评估这些风险云计算环境安全云服务在高校的应用日益广泛，从基础设施云化（）到平台服务（）和软件服务（）都有广泛应用常见场景包括教学资源云平台，存IaaS PaaSSaaS储和分发课件、视频等教学资料；科研计算云，提供高性能计算资源支持复杂模拟和数据分析；办公协作云，支持远程办公和团队协作；校园管理系统云化，如招生、教务、财务等系统迁移至云端这些应用显著提升了资源利用效率和服务可及性，但也带来了新的安全挑战大数据环境下隐私安全数据采集与合规风险高校大数据应用面临的首要挑战是数据采集的合规性随着《个人信息保护法》实施，数据收集必须遵循明示同意和最小必要原则高校在收集学生、教职工数据时，应明确告知收集目的、使用方式和保存期限，获得明确授权特别是对于敏感数据如生物特征、健康信息等，需要加强保护措施和使用限制常见风险点包括超范围收集数据、默认勾选同意条款、未经授权共享数据、数据留存期过长等高校大数据治理案例某高校构建了完整的大数据治理体系，值得借鉴该校首先成立专门的数据治理委员会，制定统一的985数据分类分级标准；建立数据地图，明确各类数据的来源、流向和责任部门；实施数据生命周期管理，包括采集、存储、使用、共享和销毁全过程；建立数据质量管理机制，确保数据准确性和一致性；定期开展隐私影响评估，识别和缓解隐私风险；建设统一的数据共享平台，规范数据调用流程，记录使用日志数据脱敏与访问控制保护数据隐私的关键技术手段包括数据脱敏和精细化访问控制数据脱敏技术包括数据屏蔽，如将手机号显示为；数据替换，用虚构数据代替真实信息；数据归类，将具体值替换为范围138****1234区间；数据置换，打乱敏感字段与标识字段的对应关系访问控制则应实施最小权限和需知原则，基于角色、属性或上下文控制数据访问权限，并实施细粒度的操作审计，记录谁在何时访问了什么数据，用于何种目的网络空间安全法律责任高校单位责任解析个人法律风险校内安全问责制度高校作为网络运营者和数据处理者，承担着多重法律责高校师生个人在网络空间也面临法律风险常见的风险为加强网络安全管理，我校建立了完善的安全问责制度任根据《网络安全法》《数据安全法》和《个人信息行为包括未经授权访问他人信息系统，如破解校园网制度明确规定各部门、各岗位的安全责任，将安全责任保护法》，高校需履行网络安全等级保护义务，建立健账号、入侵管理系统等；非法获取、提供个人信息，如纳入绩效考核；建立安全事件分级响应机制，明确不同全安全管理制度，采取技术措施保障网络安全；作为重倒卖学生数据；传播有害信息，包括虚假信息、侵犯他级别事件的处置流程和责任主体；设立违规行为处理规要数据持有者，需实施数据分类分级管理，建立数据安人名誉权的言论；侵犯知识产权，如未经许可使用他人定，对违反安全管理规定的行为，根据情节轻重给予警全风险评估机制；作为个人信息处理者，需遵循合法、作品、分享盗版软件；从事网络诈骗活动等这些行为告、通报批评、绩效扣减等处分；对引发重大安全事件正当、必要原则收集使用个人信息，履行告知同意义务可能构成非法侵入计算机信息系统罪、侵犯公民个人信的，追究相关负责人和直接责任人的责任；同时，建立违反这些规定可能面临警告、罚款、责令停业整顿等行息罪、诽谤罪、侵犯著作权罪或诈骗罪等，导致行政处积极的激励机制，对及时发现和报告安全问题的个人给政处罚，造成严重后果的还可能承担刑事责任罚甚至刑事责任予表彰和奖励高校信息安全管理体系组织架构与职责分工有效的信息安全管理体系需要明确的组织架构和责任分工我校已建立三级联动的安全管理架构学校层面成立信息安全委员会，由分管校领导担任主任，信息化部门、保卫部门、学工部门等单位负责人组成，负责制定全校安全战略和重大决策；职能部门层面设立信息安全办公室，作为日常工作机构，负责安全制度建设、技术防护、监督检查等工作；院系和部门层面指定信息安全员，负责本单位的安全宣传、隐患排查和事件报告规章制度制定完善的制度体系是安全管理的基础我校已建立三层次制度框架顶层是《信息安全管理总则》，明确安全管理的基本原则和总体要求；中层包括《网络安全管理办法》《数据安全管理办法》《系统安全管理办法》等专项制度，针对不同领域提出具体要求；底层是各类操作规程和实施细则，如《密码管理规范》《安全事件应急预案》等，指导具体工作实施制度制定过程注重广泛征求意见，确保规定既符合法规要求，又切合学校实际持续改进机制信息安全管理是一个持续改进的过程我校采用循环模型（计划执行检查改进）推动安全管理PDCA---体系不断优化每年制定安全工作计划，明确目标和措施；按计划实施各项安全工作；定期开展安全检查和评估，发现存在的问题和不足；根据检查结果进行整改和优化，提升安全管理水平此外，还建立了安全指标体系，对各单位安全工作进行量化评价，推动各项措施落实到位安全意识长效机制计划制定培训实施年度安全教育计划多元化培训形式持续优化效果评估基于反馈不断改进3测试与实践检验安全教育常态化推进是培养全员安全意识的关键我校已建立分层分类的安全教育体系新生入学必修信息安全基础课程，掌握基本安全知识和技能；各院系定期开展专题安全讲座，结合专业特点讲解相关安全要求；管理人员和系统管理员参加专业安全培训，提升安全管理和技术能力；通过校园网、官方微信等渠道定期推送安全提醒，保持安全意识常在；重点时期（如网络安全宣传周）组织安全主题活动，营造浓厚氛围安全文化与行为准则倍87%3安全事件投资回报由人为因素引起的安全事件比例安全文化建设的投资回报率62%风险降低良好安全文化带来的风险降低幅度网络诚信与法治观念是安全文化的重要组成部分在网络空间，每个人都应坚守诚信原则，不造谣、不传谣，对自己的言行负责；尊重他人权利，不侵犯他人隐私，不进行网络攻击和欺凌；遵守知识产权规定，尊重原创，抵制盗版；遵守相关法律法规，了解网络行为的法律边界高校应将网络伦理和法治教育纳入思政课程体系，培养学生的网络道德意识和法律素养总结与升华1认知安全风险了解高校面临的主要安全威胁掌握防护方法学习实用的安全防护技能3培养安全习惯形成日常安全行为模式共建安全环境参与校园安全文化建设本次培训涵盖了高校信息安全的核心知识点，包括安全基础概念、法规政策、高校特有风险、账号安全、数据保护、网络防护等内容重点强调了几个关键信息信息安全是技术、管理和人员的综合体系，需要多方协同；安全威胁日益复杂化、专业化，必须保持警惕和持续学习；个人行为直接影响整体安全，每位师生都是安全防线的重要一环；掌握基本安全技能如强密码设置、多因素认证、钓鱼识别等，能有效预防大部分安全风险互动答疑与反馈开放问答环节收集学员安全需求欢迎各位提出在信息安全方面的疑问和困惑无为更好地满足大家的安全需求，请通过会议提供论是技术问题如如何设置强密码、发现可疑邮的问卷或在线表单，反馈您对信息安全培训的意件怎么处理，还是管理问题如部门如何开展安见和建议我们特别关注您最关心的安全问题全自查、如何平衡安全与便利性，专家团队都是什么？哪些安全知识和技能是您最希望掌握将一一解答您也可以分享在实践中遇到的安全的？您所在部门或岗位面临的主要安全挑战是什挑战或成功经验，促进相互学习和交流对于较么？您希望学校提供哪些安全服务或支持？这些为复杂或个性化的问题，可在会后与相关专家进反馈将帮助我们优化未来的培训内容和安全服行深入讨论务，更有针对性地解决实际问题课后学习资料获取方式本次培训的所有资料将通过多种渠道提供给大家培训课件将上传至学校信息安全网站的资料下载区；实用安全指南和操作手册可在校园网信息安全专区获取；安全工具和软件下载链接已整理在资料包中；推荐的安全学习资源清单包括书籍、网站和在线课程；定期发布的安全通讯可通过邮件订阅获得此外，学校信息安全办公室提供全天候安全咨询服务，遇到安全问题可随时联系感谢各位参加本次信息安全培训安全不是一次性的活动，而是需要持续关注和实践的过程希望通过今天的学习，大家能提高安全意识，掌握基本防护技能，在日常工作和生活中自觉践行安全行为学校将定期组织类似培训和实践活动，欢迎大家积极参与，共同构建安全、健康、和谐的校园网络环境。