按照教育部科学技术与信息化司的统筹安排，一年一度的教育系统网络安全攻防演练，于2022年5月9日至5月22日举行（周末无休），我校此次被教育部选中作为防守方参与演练。

这是我校首次参加教育部组织的教育系统网络攻防演练，接到通知后，何秀超书记和王瑶琪校长都高度重视，分别就此次攻防演练做了重要批示，责成智慧校园建设中心迅速组建演练队伍、制订防守方案，全力做好此次教育系统网络安全攻防演练。校长助理李涛亲自赴智慧校园建设中心主持会议，确定了防守方针和人员安排。智慧校园建设中心叶新恩主任全面统筹、规划整体防守方案，周涛副主任牵头组建队伍、规划设计整体防守方案。

在演练过程中，以智慧校园建设中心信息安全科为基础，会同网络科、数据中心科、数字化校园建设办公室等相关技术人员20余人，组成了坚实的防守队伍。为克服网络安全经费常年不足所导致的专业安全设备、系统短缺，临时协调商借设备，加班加点提前部署到位，完成感知、诱捕系统的部署测试。攻防演练为期两周（周末无休），教育部规定的攻防演练时间为每天的早9点至晚7点。但是在实际演练期间，经常会有攻击方超时攻击，多次发生过凌晨一两点还有攻击的现象。智慧校园相关技术人员日以继夜，迅速响应，以《中央财经大学网络安全应急预案》为指导，对大部分攻击行为及时进行化解、拦截，保障了校园网络整体安全。

此次安全演练，在校领导的领导下，智慧校园建设中心领导统筹规划，相关技术人员加班加点、防守到位。我校作为防守方，虽有个别系统遭受攻击失陷，但是作为此次攻防演练确定的三大目标系统未出现重大失陷事故，较好的完成了整体防守任务，受到教育部科学技术与信息化司相关领导和技术人员的肯定。

同时，在攻防演练期间，通过分析个别系统失陷的方式、攻击方的攻击路径和方法，发现我校网络信息安全存在如下几个方面的问题：

1、 系统弱口令问题突出，多个不同的业务系统，均存在管理员、用户弱口令问题，导致被攻击方突破；

2、 个别业务系统存在逻辑漏洞，导致攻击方轻易重置密码、获取用户身份；

3、 部分师生数据安全意识淡薄，如在互联网公开发布的材料中含有身份证号码、学号、工号等敏感数据、将校园门户身份借予他人使用、在互联网上公开发布的资料中含有校园门户用户名和密码，导致攻击方轻易拿到用户身份，进入内网，造成进一步的损失。

习近平总书记在网络安全相关讲话精神中，曾指出：“没有网络安全，就没有国家安全”。对于我们的校园来说，同样是“没有网络安全，就没有校园安全”。在今后的网络信息安全工作中，智慧校园建设中心将一如既往的做好网络信息安全防护工作，守正创新、主动作为，打造精准可靠、立体全面的网络信息安全体系，加强校园网络安全、数据安全普及力度，提高广大师生网络安全与数据安全意识。

通过本次攻防演练，在真实网络环境中锻炼了网络安全队伍隐患发现、监测分析、信息溯源和应急处置的能力。今后将针对演练中发现的问题，在管理和技术层面分析得失总结经验，不断提升应对信息安全威胁的能力，长期开展安全隐患排查治理工作，筑牢校园信息安全防线，保障校园网与信息系统安全稳定运行。

智慧校园建设中心

2022.06.29