各部门、二级学院：

为切实做好学校网络与信息安全工作，推进网络与信息安全体系的建设，现将2022年第3期网络与信息安全工作通报如下：

一、网络与信息安全总体保障情况

2022年3月，我校网络与信息安全工作总体可控，学校信息安全防护体系共主动防御网络攻击21，985次。对数据治理项目、人力资源信息管理系统等12个服务器和2个web站点的网络与信息安全情况进行了评估扫描，发现业务系统主机存在紧急和高危漏洞2个、中低危漏洞20个；网站扫描结果显示存在6个漏洞。

通过对访问日志的分析，可以看到主页网站在三月的大致浏览量为97,386,492次，其中在3月26日和27日有比较明显的峰值。具体的趋势如图1所示。

图1 主页访问趋势

通过对日志访问的分析，除主页外在三月份被访问最多的是xgxt.sbs.edu.cn，累计访问次数1,557,749次，其他网站访问具体统计如图2所示。

图2 被访问网站 TOP10

二、网络与信息安全事件通报

上海商学院基于GIS的商业服务业选址虚拟仿真实验平台存在越权方面的逻辑漏洞，经上级部门通报，已责成相关部门系统责任人组织技术人员检测系统漏洞并添加对应权限限制。在可能引发安全隐患的地方一并进行了排查，针对所有非管理员用户的权限进行验证，阻断可能引发严重后果的高危权限。

三、网络与信息安全工作提示

近日，国家有关部门通报、第三方厂商安全报告和日常安全巡检结果均发布了关于勒索病毒、诈骗邮件的提示。请广大师生提高警惕，避免遭受损失。有不法分子将邮件发件人姓名伪装为学校的机关部处，向受骗人发送病毒文件；还有不法分子将邮件发信人的姓名伪装为我校教职工发出信息，声称自己是领导要求加好友方便后续联系,成功添加联系方式后将进行各种诈骗行为。

收到手机短信或者邮件时，请注意查看发件人真实邮件地址（不法分子多使用与声称身份完全没有关系的邮箱地址，如@163.com、@qq.com或者@gmail.com等，而非我校官网邮箱地址），最好通过常用的联系方式向本人核实。勿轻信此类信息而进行下一步操作，如打开邮件附件、不明链接以及添加邮件或短信中所提供的联系方式等，对一切提供账号、密码等要求应保持警惕。若已误填密码，请立即修改邮箱密码且确保为高强度密码；如误点附件，请立即断网、查杀病毒。如果已经和冒充领导的不法分子有所交流，请警惕切勿向其提供任何个人财务信息，拒绝其任何代办、转账或汇款要求。

信息与网络中心虽然针对已发现的诈骗邮件进行了规则拦截，但不法分子仍会更换发信IP、邮件地址、诈骗微信和QQ号、邮件内容等，继续发送诈骗邮件，请务必提高安全意识。若以后收到类似邮件或存在疑问，也可联系信息与网络中心寻求帮助。

四、2022年4月信息与网络安全工作重点

信息与网络中心将持续对学校正在使用的各类校外系统进行漏洞扫描检查，消除信息与网络安全隐患，严格遵循网络安全法，坚决贯彻执行，确保网络、信息、数据安全。该项工作已单独布置。

信息与网络中心

2022年04月15日