在资产暴露风险上，高校的教学科研管理类应用复杂，且大都会向教育网公网申请IP，增加了教育网公网IP暴漏的风险；由于对资产详情掌握很少，从基本信息到应用组件的梳理不清晰；端口服务登记不完整，访问关系不清晰；很多资产情况不清楚情况下，分类管控很难落地，为保障应用正常运营，只能将访问权限设置的比较宽泛，最终导致互联网暴露面过大；学校应用系统很多，很多单位参与建设，存在较多远程访问端口、远程桌面、VPN入口、后台入口，这些都增加了资产暴漏的风险。

在漏洞风险上，学校开发和应用了很多系统，这些系统能否得到充分维护，是导致漏洞风险的重要因素。具体表现有：学校的操作系统、数据库、中间件、应用版本多，特别是存在应用部门仍在使用已经停止更新的低版本操作系统，这些系统的安全漏洞修补难度大或很难补上；有的业务上线后，系统补丁更新并不及时；中间件、数据库升级难度大，升级后的漏洞难以解决；应用软件提供商安全服务响应不及时。这些问题最终会导致校园网络漏洞积累的越来越多，风险越来越大。

在登录风险上，WEB、远程登录、文件共享、数据库、邮件、弱口令爆破等登录风险仍然较为突出。特别是弱口令爆破，尽管人们的网络安全意识在不断提高，但仍然很难让师生都将口令设置成学校网络安全防护所要求的强度，难以完全杜绝弱口令问题所带来的风险。

在数据泄露风险上 ，主要是文件下载风险和明文敏感信息风险。学校网站主页公示的个人信息任意下载，数据明文的传输或在传输过程中不做任何处理，别人就会很容易通过文件下载或网络报文监听的方式，获取到学校系统中的个人隐私和敏感信息。

首先，要摸清学校信息资产家底。通过网络安全检查方式，对已不再使用的IP地址、虚拟机进行处理，加强IP地址和虚拟机的全生命周期管理；通过专用设备主动探测学校服务器、终端接入、服务内容和登录入口入量等资产情况，发现一些存在的风险；通过与应用部门等沟通，梳理应用主机的开放端口和关联关系，结合掌握的实际情况来精准制定网络安全防护策略。

其次，缩小信息资产暴露面。信息资产暴露面越小，网络安全风险越小。安徽大学在缩小信息资产暴露面上，主要利用WEBVPN降低WEB页面的暴露面，限制了SSL-VPN的内网访问权限，通过建立防火墙方式来限制端口、URL访问。同时，还利用堡垒机缩小管理端口的暴露数量，并做好操作审计，用于安全防护参考。

再次，“治标、治本”双管齐下。“治标”是利用IPS做虚拟补丁防护，利用WAF做常用的外部注入攻击防护，利用防火墙控制东西向、南北向流量，通过安全设备在外围构筑安全屏障。“治本”是对操作系统安全基线设置，对数据中心等作补丁管理，对各类应用代码修复，通过及时完成中高危漏洞修复，提升网络安全防护能力。

第一，进一步加固安全防范体系。一是设备联动与智能封堵，探索并实现防护的智能化、常态化；二是异常登录分析，更深层次的挖掘用户登录日志价值，降低登陆风险；三是进行数据脱敏，即便数据库被攻破，攻击者拿到的数据也是经过特殊加密处理的数据，无法获取数据中的信息。