各处级单位、电子邮箱用户：

为进一步加强学校网络安全管理，提高师生网络安全意识和对钓鱼邮件的识别能力，学校组织开展了钓鱼邮件网络安全专项演练。

一、钓鱼邮件演练设计

为求接近真实情况，本次演练模拟钓鱼邮件攻击的方式，以“【重要通知】统一身份认证账号异常”为钓鱼邮件主题，通过“不提前告知”和“不定期发送”的方式执行，并设计了几个常见的钓鱼漏洞，可通过以下方法识别：

1.鉴别“发件人”名称的真实性。钓鱼邮件是一种常见的网络攻击手段，邮件“发件人”常伪装成同事、朋友、家人、管理部门、合作单位等用户信任的人或机构名称，需仔细鉴别。

2.鉴别“发件人邮箱地址”真实性。邮件“发件人邮箱地址”错误，学校官方邮箱地址为@hrbeu.edu.cn。钓鱼邮件可能使用虚假的或者不完整的地址，或伪装邮件发件地址而实际由其他邮箱发送，欺骗性更强。

3.鉴别“邮件内容”真实性。邮件内容有错误的部门名称“信息中心”。

4.鉴别“链接地址”真实性。钓鱼邮件链接的页面可以伪造得非常相似，但是链接地址错误。

二、钓鱼邮件演练结果

本次钓鱼邮件演练期间，许多用户都具有很强的网络安全意识，没有进一步点击钓鱼邮件链接或提交个人信息，而是积极地向信息化处核实邮件内容。但同时，也有部分用户网络安全意识不强，点击了邮件中的钓鱼链接，有少数用户访问钓鱼链接并提交了账号密码信息。

学校模拟钓鱼攻击的系统并未真实收集用户信息，参与演练的邮箱用户向钓鱼邮件链接提交信息后，系统会自动跳转到《“钓鱼邮件”专项演练警示信息》界面，提示师生进行安全学习。

三、钓鱼邮件安全防范

本次钓鱼邮件演练已全部完成，但来自互联网的钓鱼邮件攻击还普遍存在，请各位师生用户认识到网络安全形势的严峻性、复杂性和长期性，提升自身网络安全意识，注意防范钓鱼邮件，可遵循以下几点：

1.钓鱼邮件会使用极具迷惑性的发件人名称和地址来伪造发件人身份。请谨慎核对邮件的发件人和发件地址，不要被发件人名称误导。

2.钓鱼邮件会精心设计伪造的邮件主题和内容来诱骗受害者，使邮件主题和内容极具迷惑性。请不要轻信各种以管理员身份发送的学校通知、中奖信息、系统升级等通知，如需填写个人信息，一定要再三核对网站的真实性。

3.钓鱼邮件附件名会设置为极具迷惑性的名称，利用文件扩展名隐藏和常见文档图标伪造，诱使用户点击。请不要随意打开不明来源的邮件附件和点击邮件中的可疑网址链接。

4.设置复杂的邮箱密码，推荐设置英文（大小写）、数字、符号混合密码，建议定期更换密码。

5.安装杀毒软件，定期更新病毒库并进行全盘扫描，对于下载的邮件附件需进行扫描，确认没有病毒后方可打开。

6.经甄别或核实系钓鱼邮件后，可以直接删除，不予理会，更加不要回复。

7.钓鱼邮件中的附件或链接可能包含病毒、木马、蠕虫等恶意程序，如果点击了钓鱼邮件中的附件或链接，应立即对全盘进行病毒查杀，如有必要需要进行系统重装。如果向钓鱼网站输入了账号密码等信息，应第一时间对账号密码进行修改。

各单位演练结果将反馈至相关单位，请各单位进一步加强对本单位师生用户的网络安全宣传教育，提升师生的网络安全意识和防范能力，有效应对钓鱼邮件等常见网络安全威胁。

感谢各位师生用户对本次钓鱼邮件演练的理解与支持，今后学校将会不定期开展钓鱼邮件演练，持续提升全校师生网络安全意识，让我们共同努力，筑牢学校网络信息安全屏障！

信息化处

2025年12月31日