近期，学校信息化办公室组织开展了全校钓鱼邮件实战演练。作为校园网络安全常态化建设的重要环节，以“无预警、实战化、强对抗”的方式，对全校师生的防范意识与邮件系统防护体系进行深度“压力测试”。

与往年“提前预警”的演练模式不同，本次演练严格遵循“无预警”原则，在攻击场景设计、数据评估颗粒度及风险洞察深度上实现了全面升级。演练覆盖全校26296个目标邮箱，其中学生组邮箱21199个、教师组邮箱5097个，模拟了三类递进式攻击场景：一是模拟攻击者盗用校内邮箱，向全校师生发送《中国农业大学2025年网络安全意识问卷调研》钓鱼邮件，测试师生对内部发件人的信任底线；二是模拟外部高仿钓鱼攻击，向全校教工发送《关于2025年教职工消费品以旧换新补贴申领的公告》钓鱼邮件，测试教职工深度辨识力；三是对邮件网关安全防护策略进行有效性专项技术测试。通过构建从内部到外部、从用户到系统的完整攻击链，不仅检验师生反应，更力求揭示深层次、结构性的防御短板，为治理模式从“普遍宣教”向“精准制导”转型提供坚实的数据支撑。

演练结果表明，我校邮件系统综合防护能力较为安全可靠，但面对不断演进的高仿真、社交工程学攻击，师生深度辨识能力仍面临突出风险。在面向全体师生发送的“问卷调研”测试中，1812名师生点击链接，其中603人提交了学号、身份证、手机号等敏感信息。在针对教职工的“补贴申领”测试中，攻击邮件经过上级教育网（CERNET）及我校邮件网关的层层过滤，仅有40余封触及用户，但点击者中信息提交率达到52.9%，这一“低到达、高转化”的演练结果，凸显了高级钓鱼攻击一旦突破技术屏障所带来的极端危害。

演练活动后，信息化办公室向所有点击了问卷链接的师生以及提交了账号密码的教职工定向发送了安全提示，进行一对一的风险告知与基础防范指导。值得一提的是，在本次演练中，90%以上的师生展现了极高的安全意识。他们在收到可疑邮件后没有轻易点击或回复，部分师生第一时间通过工作群或电话向信息化办公室或相关部门进行核实。这种“遇疑即问、先核实后操作”的谨慎做法，正是“网络安全，人人有责”这一理念的生动体现，也是网络安全倡导的最核心、最有效的个人防御动作。

信息化办公室负责人表示，此次演练活动不会给邮件用户带来风险和信息泄露隐患，团队仅记录相关钓鱼邮件“中招”的统计信息，活动结束后模拟环境立即清除，不留痕迹。但真实的钓鱼邮件一旦点击链接，就会自动加载执行程序，感染木马病毒，轻则被盗取身份证号、账号等敏感信息，重则造成严重的经济损失。请全校师生提高警惕，筑牢安全防线。演练的详细分析与面向全员的防御指南已通过学校公告《重要安全警示：关于钓鱼邮件演练与全员防范的紧急提醒》同步发布，相关数据清晰地描绘出“基础有效、深度不足、分布不均”的安全态势。特别提醒大家的是：学校不会通过邮件索要您的密码、短信验证码、完整身份证或银行卡信息，建议师生为关键邮箱账号启用“双因素认证”，牢记践行“四看一问”防御口诀，并将其固化为师生的日常安全习惯。

据悉，信息化办公室将启动新一轮专项治理，将工作重心聚焦于“精准制导”与“重点攻坚”。下一阶段，信息化办公室将持续以各类常态化监测运维和实战演练推动我校网络安全工作从基础防护向主动治理和韧性建设的新阶段迈进，与全校师生共同构筑群防共治的坚强防线。

附：防御钓鱼邮件“四看一问”口诀

1．看发件人：仔细核对邮箱地址全称，警惕任何冒充cau.edu.cn的相似地址（如cau.edu.com）。

2．看链接：切勿直接点击！鼠标悬停在链接上，查看实际指向的陌生网址。

3．看话术：对任何制造“紧急、限时、福利、处罚”等紧张或诱惑气氛的邮件，保持怀疑。

4．看界面：登录前，务必确认是学校官方登录页面（网址包含*.cau.edu.cn）。

5．遇疑必问：对任何索要个人信息、密码或让你感到不确定的邮件，立即通过电话、企业微信等渠道向发件单位或信息化办公室核实。