Aggregator

10月22-25日

2024中国国际社会公共安全产品博览会

于北京中国国际展览中心（顺义馆）/新国展

隆重开幕

CACTER于E2馆C51展位诚邀各位莅临

关于安博会

中国国际社会公共安全产品博览会（简称“安博会”，英文“Security China”）由中华人民共和国商务部批准，中国安全防范产品行业协会主办并承办，安博会在增进国际交流与合作，促进行业改革与创新，推动行业进步与发展，扩大我国安防行业国际影响力等方面起到举足轻重的作用，被誉为全国乃至国际安防行业发展的晴雨表和风向标。CACTER在数字安全主题馆E2，C51号展位恭候各位莅临。

邮箱被盗号并向外发送垃圾钓鱼邮件情况频发，不仅会导致收件人上当受骗，更会影响发信IP的可用度和发信域的声誉，影响域内用户的正常外发。

除了加强对账号异常登录、收发的行为的监控，以及加强对入信中钓鱼邮件的识别，有两个方向的努力也非常重要，一是提高用户的网络安全意识，二是降低账号被盗的概率。
在降低账号密码被盗的影响方面，开启二次验证登录是有效的办法。

一、高校邮件系统概述

1.高校邮箱的主要用途

高校的电子邮件系统，用户主要为教师和学生，用户量大，日常收发量大。对于教职工而言，除日常工作交流外，最重要的用途便是海内外学术交流和校务、课务通知等。对于学生而言，主要包括接收通知、提交作业、学术交流、找工作等。

2.高校邮箱用户的现状

用户类型：根据相关要求，高校需加强邮箱账号管理，建立和完善电子邮件账号注销机制，但在一定时间段内，邮件系统中可能同时存在离校学生/员工、在校学生、在校教职工的个人邮箱和院系部处工作邮箱。各高校均不同程度存在长期无人使用或管理的“僵尸账号”。存在被他人利用的网络安全风险。

使用方式：在使用方式上，日常以各种第三方邮箱客户端为主的用户不在少数。还存在使用自动转发、日常很少或几乎不登录的用户。 

安全意识：师生用户网络安全意识参差不齐、警惕性不足，不少用户喜欢使用常见的密码组合或与身份证号、生日、姓名拼音等个人信息相关的字符串。面对各类钓鱼邮件，也时有师生用户“中招”。

二、实施登录二次验证的流程

1.实施前准备工作

（1）系统对接与测试 

以Coremail XT6邮件系统为例，其二次验证目前支持Coremail论客App、第三方OTP、手机短信、备用邮箱、微信小程序等多种方式，需根据自身系统情况，对短信平台等进行对接测试，确保相关验证方式能正常运行。

（2）二次验证流程与信任逻辑的理解

邮件系统管理员和信息化部门（IT部门）工作人员需要熟悉二次验证绑定设置、使用、解绑全部流程，并进行试用，了解常见问题。
二次验证基本流程：用户登录——校验密码——二次验证请求下发——用户反馈或确认——校验通过——登录到邮箱界面。 建议邮件系统服务商与学校邮件系统管理员进行深入沟通，理清二次验证机制及各种验证方式的信任逻辑，对二次验证中可能存在的风险点或问题点形成更清晰的认识，也有助于出现问题后的排查研判。

例如：

①【豁免时间】

当用户已经绑定/解绑/修改绑定一次后，系统默认会提供15分钟豁免时间。在15分钟内用户再次绑定/解绑/修改绑定前，都不需要先二次验证。
②【Coremail论客App】

当更换设备时，新设备上的App会要求二次验证，这是由于绑定方式与设备相关，原信任设备不可用时，只能通过后台解绑，再绑定新设备。
③【忘记密码】

短息找回密码方式，如果仅在“个人信息”中维护过手机号，此方式不可用，需要在“二次验证”中绑定过手机号，或者在“高级功能”中设置过“绑定手机”；备用邮箱找回密码方式，则在“个人信息”中维护过备用邮箱即可用。
④【客户端专用密码】

如果对组织仅强制启用二次验证，组织内的账号仅在通过web页面登录时会强制跳转到配置二次验证页面。如果不绑定二次验证，用户依然可以使用原账号密码登录客户端协议，通过SMTP发送邮件（已经被盗的账号，依然可以通过客户端协议发送邮件）。因此，组织启用二次验证后，建议在密码策略-高级设置中，同时勾选强制使用客户端专用密码的设置项。

（3）用户手册的编制

 面向用户，编写详细的步骤指南，包括绑定设置、使用、换绑或解绑等全流程。并参考服务商和其他兄弟院校的经验，提供常见问题的解答。尤其是，启用二次验证后，客户端软件需要修改客户端专用密码。
基于该用户手册，对服务人员做好培训，以应对可能发生服务量增长。如有知识库或智能问答机器人，可将相关内容导入。

2.根据实际情况分阶段启用

分析用户构成情况，制定好通知和启用的计划。

(1）用户群体的识别与分析

对用户群体做好分析，例如教师、学生、部门邮箱，离校学生、在校学生，离校职工、在校职工，长期不登录的不活跃账号、6个月内有登录记录的活跃账号等。分析用户结构，为后续分批启用提供参考。

（2）针对不同用户群体制定启用计划

针对不同用户群体，分批发送通知，告知二次验证启用事宜，在通知的截止日期操作开启（仅举例供参考，请根据实际情况制定计划）。
例如： 

·长期不活跃账号：保护性锁定、强制开启二次验证

·学生账号：区分在校、非在校状态，先对非在校学生账号强制开启，再对在校学生账号强制开启

·教师账号：多次通知，建议开启，后根据启用情况，逐步全面覆盖；离校职工的账号应及时注销或锁定

·有被盗记录或大量被攻击的账号：强制开启

·部门邮箱：根据实际业务需求启用或设置例外

·新开通邮箱：强制开启

10月18日，以“合规赋能 数智未来”为主题的2024第三届SCIC网络安全合规创新大会在北京成功举办。大会由中国信息协会信息安全专业委员会主办，长春嘉诚信息技术股份有限公司承办，华易数安科技（吉林省）有限公司、北京赛博英杰科技有限公司、北京数字世界咨询有限公司支持，邀请政府部门、科研机构和行业领军企业的领导与专家近200人出席大会，共话安全合规创新，赋能数智未来！

会议现场

会上，公安部网络安全等级保护评估中心副主任沙淼淼，国家信息中心信息与网络安全部处长刘蓓，中国信息协会信息安全专业委员会常务副主任陈晓桦发表致辞。大会由中国信息协会信息安全专业委员会副主任郭森主持。

公安部网络安全等级保护评估中心副主任 沙淼淼

国家信息中心信息与网络安全部处长 刘蓓

中国信息协会信息安全专业委员会常务副主任 陈晓桦

中国信息协会信息安全专业委员会副主任 郭森

本届大会深入解读了 2024 年网络安全领域重大政策法规；围绕数据合规数据赋能、供应链安全、商用密码应用安全、大模型网络安全等领域的最新合规要求，结合数字经济和人工智能的发展趋势，从政策法规、标准技术、应用方案等多方面展开深度交流与探讨。

北京邮电大学人工智能法律研究中心主任崔聪聪，公安部第三研究所网络安全法律研究中心副研究员、副主任何治乐，国家信息中心信息与网络安全部数据安全处处长魏连，公安部网络安全等级保护评估中心业务实施部主任曲洁，长春嘉诚信息技术股份有限公司副总裁李忆平，中国电信天翼安全公司事业部副总经理路雪涛，北京赛博英杰科技有限公司高级分析师宋圣，火山引擎大模型安全产品与解决方案负责人林泽韬等领导和专家在会上发表了精彩的主题演讲。

北京邮电大学人工智能法律研究中心主任 崔聪聪

公安部第三研究所网络安全法律研究中心副研究员、副主任 何治乐

国家信息中心信息与网络安全部数据安全处处长 魏连

公安部网络安全等级保护评估中心业务实施部主任 曲洁

长春嘉诚信息技术股份有限公司副总裁 李忆平

中国电信天翼安全公司事业部副总经理 路雪涛

北京赛博英杰科技有限公司高级分析师 宋圣

火山引擎大模型安全产品与解决方案负责人 林泽韬

作为推动网络安全合规建设融合创新的重要活动，SCIC网络安全合规创新大会如今已连续举办三届，其旨在建立一个开放性、发展性、前瞻性的安全合规创新交流平台，持续跟进网络安全最新法律法规、标准要求，关注新趋势、新技术、新场景对网络安全合规工作的新要求、新演进；分享网络安全合规体系建设经验。希望在未来的工作中，更多安全从业者将以本次大会为契机，进一步加强合作与交流，共同推动网络安全合规建设的持续发展和创新。