兰州某高校这次栽了。网警在日常检查中，发现该校服务器日志有异常，顺藤摸瓜一查，好家伙——服务器早就被黑客远程植入了挖矿木马，而且因为内部网络没做横向隔离，这个木马像病毒一样扩散到了其他办公设备。

高校的网络安全防线竟然脆成这样，说出来你敢信？这不是什么野鸡机构，是正儿八经的高等学府，服务器里跑着教务系统、科研数据、师生个人信息，结果连最基本的横向隔离都没做。黑客逛进来就跟逛自家后花园似的。

2017年5月12日，WannaCry勒索病毒席卷全球，利用美国国家安全局泄露的"永恒之蓝"漏洞，几小时内感染了150多个国家超过20万台计算机，中国超过3万个机构受到波及，高校和政府单位是重灾区。

WannaCry风头刚过，安全研究人员发现，同一套漏洞利用工具已被转用于Adylkuzz挖矿木马传播，而且这个木马比WannaCry更早就已经在跑，因为不造成直接破坏，大量受害者毫无察觉。

先"种矿"再"植后门"的打法，在网络安全领域叫做多阶段攻击，有详尽的历史案例记录在案。

国家互联网应急中心每年发布的安全态势报告里，都有一个不好看的数字：高校网络从被入侵到被发现，平均周期比金融、政府等行业长得多。

教育网算力足、带宽宽、防护弱，是挖矿攻击的天然温床。这种状况早有政策在管。

2019年，教育部和中央网信办联合印发《关于加强教育行业网络与信息安全工作的指导意见》，点名批评"等保测评走过场""防护设施形同虚设"，明确要求建立"一把手"负总责的安全责任制，禁止弱口令上线。结果依然有大量学校当作耳旁风。

《网络安全法》自2017年6月1日施行，第二十一条白纸黑字规定，网络运营者必须采取技术措施防范病毒和网络攻击，并按要求保存不少于六个月的网络日志。

第五十九条讲清楚了处罚依据，不履行安全保护义务的，由主管部门责令改正，情节严重的处以罚款。兰州网警这次依法开出行政处罚并责令整改，是法律条文的正常执行。

防火墙策略多年不更新，管理员密码简单到不能看，等保测评走完流程就算完事，平时没人盯日志，这些问题叠在一起，就是等着人进来的状态。

目前，兰州网警的溯源调查仍在进行，是境内黑产团伙还是境外APT组织参与，尚未对外公布。