學校各部門、直屬單位,、二級學院:
為貫徹落實《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《關鍵信息基礎設施安全保護條例》等法律法規(guī),,維護學校網(wǎng)絡安全,做好重要時期網(wǎng)絡安全保障工作,,嚴防發(fā)生重大網(wǎng)絡安全事件,,根據(jù)廣東省教育廳有關通知精神,經(jīng)研究,,學校決定開展2023年上半年網(wǎng)絡安全自查工作,,現(xiàn)將有關事項通知如下:
一、開展信息系統(tǒng)(網(wǎng)站)基本信息自查工作
1.加強網(wǎng)絡信息數(shù)據(jù)安全與個人信息安全重點防護,。請各二級單位全面開展網(wǎng)絡安全隱患排查,,嚴格控制身份證號、電話號碼,、家庭住址等個人敏感信息收集,,原則上不得采集未成年人的人臉、指紋等生物識別信息,。加強發(fā)布重要數(shù)據(jù)和個人信息內(nèi)容審核,,禁止發(fā)布包含個人數(shù)據(jù)和敏感信息的內(nèi)容,如確需發(fā)布的,,應將數(shù)據(jù)信息做脫敏處理,。
2.加強信息系統(tǒng)(網(wǎng)站)帳號的安全排查。
(1)排查所管理的信息系統(tǒng)(網(wǎng)站)的帳號密碼是否長時間未修改以及使用弱口令(例如123456,、111111,、身份證后六位或帳號密碼相同、相似)等情況,。存在弱口令的,,請第一時間修改為強口令密碼(即:密碼長度8位以上,大寫字母,、小寫字母,、數(shù)字和特殊符號的三種組合以上)。
(2)排查所管理的信息系統(tǒng)(網(wǎng)站),,半年以上未使用的帳號或測試帳號,,須禁用或刪除,錄入統(tǒng)一身份認證平臺的測試帳號,,請立即通報給數(shù)據(jù)與信息管理中心,,并及時刪除離職人員的帳號(確需保留的應及時暫停賬號的使用),。
(3)回收所有提供給公司維護系統(tǒng)使用的帳號,更改密碼為高復雜度密碼,,只有需要公司協(xié)助時再提供,,用完后立即回收并重置密碼。
(4)排查所管理的信息系統(tǒng)(網(wǎng)站)中具有管理功能的帳號,,清理非必要的管理帳號,,密碼必須設置為高復雜度密碼,按照上級相關要求,,三個月更改一次,。
3.重點排查雙非(非學校IP地址、非學校域名)信息系統(tǒng)(網(wǎng)站)和使用頻率低,、長期未更新,、無專人運維的“僵尸”信息系統(tǒng)(網(wǎng)站)、新媒體和教育APP,,關停長期不使用的信息系統(tǒng)(網(wǎng)站)和服務器,。所有信息系統(tǒng)(網(wǎng)站)需安排專人管理,如發(fā)現(xiàn)異常問題,,要及時通報給數(shù)據(jù)與信息管理中心,。
4.做好信息系統(tǒng)的登記備案。請各二級單位對比2022年8月收集的統(tǒng)計信息,,自查本單位的信息系統(tǒng)(網(wǎng)站),,主要包括:在學校網(wǎng)絡機房、本單位機房和實驗室運行的所有信息系統(tǒng)(網(wǎng)站),、本單位或教工個人在外租用空間運行且使用韶關學院或下屬單位名稱,、校徽的信息系統(tǒng)(網(wǎng)站),,若有變化,,請于2月24日前由各單位綜合科科長或辦公室主任登錄學校主頁→統(tǒng)一身份認證平臺→MIS系統(tǒng)→信息系統(tǒng)備案信息管理,進行補充,、修改或刪除,。
5. 加強與網(wǎng)絡服務商、運維廠商,、安全服務廠商和供應鏈廠商的協(xié)調(diào)配合,,確保一旦發(fā)生網(wǎng)絡安全事件,能夠迅速開展應急處置工作,,重點加強對各類教學平臺,、圖書館系統(tǒng)和科研系統(tǒng)等通用產(chǎn)品安全隱患排查,嚴防“連片式”安全事件,。
6.全面加強日常管理,。防范網(wǎng)站篡改、數(shù)據(jù)泄露,、釣魚攻擊,、DDOS攻擊,嚴格控制使用系統(tǒng)遠程維護或遠程登錄,,禁止非必要端口及服務長期開啟,。
二、做好網(wǎng)絡安全防范措施
1.開展互聯(lián)網(wǎng)電子郵箱網(wǎng)絡安全自查工作,。
各二級單位組織開展互聯(lián)網(wǎng)電子郵箱網(wǎng)絡安全自查,,梳理本單位互聯(lián)網(wǎng)工作郵箱名錄,重點自查:
(1)是否落實工作電子郵箱安全責任人,,安全責任人和管理員是否有變動,,郵箱密碼長時間未修改以及弱口令等情況,不得簡單設置為電話號碼,、郵箱名稱,、單位簡稱等,確保密碼按強密碼策略設置,,符合安全防范要求(密碼長度8位以上,,包括大寫字母、小寫字母,、數(shù)字和特殊符號等的三種及以上組合)并定期更新,。
(2)學校電子郵件系統(tǒng)已經(jīng)啟用雙因子認證功能,請用戶盡快完成電子郵箱賬號與電話號碼的綁定,,具體方法請參考http://bjra.cn/d109353.html,。
(3)工作中統(tǒng)一使用校內(nèi)電子郵箱、粵政易,、學校OA系統(tǒng)或者上級管理部門規(guī)定的方式傳輸工作信息,,及時清理、刪除存儲在互聯(lián)網(wǎng)電子郵箱上的工作信息,,禁止使用互聯(lián)網(wǎng)電子郵箱存儲,、處理、傳輸國家秘密,,禁止使用個人商業(yè)郵箱存儲,、處理、傳輸工作信息,。
(4)不點擊,、不打開可疑郵件,防止郵箱賬號密碼泄露,,發(fā)現(xiàn)收到釣魚郵件的,,要留存郵件證據(jù),,及時通報給數(shù)據(jù)與信息管理中心,并協(xié)助開展調(diào)查,。
(5)定期查看郵箱狀態(tài),,對廢棄或停用的校內(nèi)電子郵箱,要及時向數(shù)據(jù)與信息管理中心報備,。
(6)各二級單位報備的工作電子郵箱,,如果有變動信息(如管理人和安全責任人變動、增減辦公郵箱等)請?zhí)顚懜郊?span>1《工作電子郵箱報備表》,,并及時將附件1電子版及蓋部門章的紙質(zhì)版掃描件(文件名保存為:單位名稱+郵箱報備表)一起發(fā)送到電子郵箱[email protected],。
2.加強LED屏的管理。加強對公共區(qū)域的LED屏特別是室外的LED屏的管理,,要明確責任單位,、專人負責,嚴禁LED屏連接互聯(lián)網(wǎng),,防范LED屏內(nèi)容被篡改,。如果有新增或者信息變更請及時向?qū)W校黨委宣傳部報備。
3.加強硬盤,、光盤,、U盤等各類介質(zhì)的安全管理。建立介質(zhì)清單并定期盤點,,對介質(zhì)的使用進行登記記錄,。嚴禁非工作需要使用移動存儲介質(zhì)接入重要的計算機終端和服務器,嚴格執(zhí)行移動存儲介質(zhì)接入服務器登記制度及移動存儲介質(zhì)使用前殺毒措施,,采取技術措施加強移動存儲介質(zhì)接入網(wǎng)絡行為的監(jiān)控,,防止因移動存儲介質(zhì)使用導致的病毒木馬傳播、介質(zhì)遺失或廢棄導致數(shù)據(jù)泄密等情況發(fā)生,。
4.規(guī)范用戶操作行為,。嚴禁個人移動設備連接專網(wǎng)計算機,嚴禁安裝與工作無關的軟件,,嚴禁私自搭建無線局域網(wǎng),,嚴格管控刻錄、拷貝,、打印,、掃描等行為。
5.要求師生員工做好工作電腦和個人電腦的防病毒,、防木馬工作,,安裝并及時更新殺毒軟件,及時更新系統(tǒng)補丁,。重點防范勒索病毒和APT攻擊,,謹慎下載運行可疑程序和文件,,安全使用U盤等移動存儲設備。
6.教育APP自查及報備,。請學校各二級單位認真排查本單位及個人選用(使用)教育APP的情況,,不得選用未通過教育部備案的教育APP。若各單位有新增或變更選用的教育APP,,請?zhí)顚懡逃?span>APP信息采集表,,并按要求發(fā)送到指定郵箱,。教育APP備案查詢方式見附件2,,選用(使用)的教育APP信息采集表見附件3。選用(使用)教育APP的要求請參考http://bjra.cn/d108396.html,。
三,、相關要求
請各二級單位高度重視網(wǎng)絡安全工作,按照“誰主管誰負責”的原則,,于2月24日前完成以上網(wǎng)絡安全工作,,及時整改發(fā)現(xiàn)的問題,在3月3日下班前確保安全隱患清零,,并反饋整改結(jié)果,。嚴格落實突發(fā)事件報告制度,一旦發(fā)生重大網(wǎng)絡安全事件的,,24小時內(nèi)及時向數(shù)據(jù)與信息管理中心報告,。對本單位出現(xiàn)網(wǎng)絡安全事件隱瞞不報、謊報或拖延不報的,,將按照學校有關規(guī)定,,給予責任人行政處理;出現(xiàn)重大信息安全事件,,造成重大損失和影響的,,將按有關法律法規(guī)追究有關單位和人員的責任。
學校將不定時檢查或抽查各二級單位開展網(wǎng)絡安全工作的情況,,檢查結(jié)果將納入學校二級單位網(wǎng)絡安全年度考核,。未盡事宜請咨詢數(shù)據(jù)與信息管理中心,聯(lián)系電話:8120197,。
附件1 工作電子郵箱報備表.doc
附件2 教育APP備案查詢方式.doc
附件3 選用(使用)的教育APP信息采集表.xls
學校網(wǎng)絡安全和信息化建設領導小組辦公室
2023年2月10日
位置: