学校各部门、直属单位、二级学院:
为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等法律法规要求,维护学校网络安全,做好重要时期网络安全保障工作,严防发生重大网络安全事件,根据韶关市有关通知精神,学校决定开展网络安全自查工作,现将有关事项通知如下:
一、开展信息系统(网站)基本信息自查工作。
1.加强网络信息数据安全与个人信息安全重点防护。请各二级单位开展全面的网络安全隐患排查,严格控制身份证号、电话号码、家庭住址等个人敏感信息收集,原则上不得采集未成年人的人脸、指纹等生物识别信息。加强发布重要数据和个人信息内容的审核,禁止发布包含个人数据和敏感信息的内容,如确需发布的,应将数据信息做脱敏处理。
2.加强信息系统帐号的安全排查。
(1)排查各单位所管理的信息系统的帐号密码是否长时间未修改以及使用弱口令(例如123456、111111或帐号密码相同、相似)等情况。存在弱口令的,请第一时间修改为强口令密码(密码长度8位以上,大写字母、小写字母、数字和特殊符号的三种组合以上)。
(2)排查各单位所管理的信息系统,半年以上未使用的帐号或测试帐号,请禁用或删除,录入统一身份认证平台的测试账号,请立即通报给数据与信息管理中心,并请及时删除离职人员的账号。
(3)回收所有提供给公司维护系统使用的帐号,更改密码为高复杂度密码,只有需要公司协助时再提供,用完后立即回收并重置密码。
(4)排查各单位所管理的信息系统中具有管理功能的帐号,清理非必要的管理账号,密码必须设置为高复杂度密码,按照上级相关要求,三个月更改一次。
此项工作已于8月5日提前进行,请相关单位8月10前完成。
3.梳理排查学校数据系统情况。此项工作已于8月5日提前进行,请相关单位8月10日前完成并报送数据与信息管理中心。
4.临时关停暑假期间不使用的信息系统(网站)和服务器。排查使用频率低、长期未更新、无专人运维的“僵尸”信息系统、新媒体(网站)。
5.全面加强日常管理。防范网站篡改、数据泄露、钓鱼攻击、DDOS攻击,严格控制使用系统远程维护或远程登录,禁止非必要端口及服务长期开启。
6.做好信息系统的统计。请各二级单位对比2022年1月收集的统计信息,自查本单位的信息系统(网站),主要包括:在学校网络机房、本单位机房和实验室运行的所有信息系统(网站)、本单位或教工个人在外租用空间运行且使用韶关学院或下属单位名称、校徽的信息系统(网站),若有变化,请于8月20日前由各单位综合科科长或办公室主任登录学校主页→统一身份认证平台→MIS系统→信息系统备案信息管理, 进行补充、修改或删除。
二、做好网络安全防范措施
1.关闭假期无人管理的网络设备和计算机终端设备。请各二级单位认真自查,关闭本单位所属的假期无人管理的计算机、无线路由器、联网打印机、实验室交换机等校园范围内的网络设备和计算机终端设备。
2.开展互联网电子邮箱网络安全自查工作。
各二级单位组织开展互联网电子邮箱网络安全自查,梳理本单位互联网工作邮箱名录,重点自查:
(1)是否落实工作电子邮箱安全责任人,安全责任人和管理员是否有变动,邮箱密码长时间未修改以及弱口令等情况,不得简单设置为电话号码、邮箱名称、单位简称等,确保密码设置符合安全防范要求(密码长度8位以上,包括大写字母、小写字母、数字和特殊符号等的三种及以上组合)并定期更新。
(2)工作中统一使用校内电子邮箱、粤政易、学校OA系统或者上级管理部门规定的方式传输工作信息,及时清理、删除存储在互联网电子邮箱上的工作信息,禁止使用互联网电子邮箱存储、处理、传输国家秘密,禁止使用个人商业邮箱存储、处理、传输工作信息。
(3)不点击、不打开可疑邮件,防止邮箱账号密码泄露,发现收到钓鱼邮件的,要留存邮件证据,及时向数据与信息管理中心报告,并协助开展调查。
(4)定期查看邮箱状态,对废弃或停用的校内电子邮箱,要及时向数据与信息管理中心报备。
3.加强LED屏的管理。加强对公共区域的LED屏特别是室外的LED屏的管理,要明确责任单位、专人负责,严禁LED屏连接互联网,防范LED屏内容被篡改,暑假期间关闭非必要开启的LED屏。请各二级单位对照6月份学校开展的对公共区域的LED屏的排查结果,如果有新增或者信息变更请向学校党委宣传部报备。
4.加强硬盘、光盘、U盘等各类介质的安全管理。建立介质清单并定期盘点,对介质的使用进行登记记录。严禁非工作需要使用移动存储介质接入重要的计算机终端和服务器,严格执行移动存储介质接入服务器登记制度及移动存储介质使用前杀毒措施,采取技术措施加强移动存储介质接入网络行为的监控,防止因移动存储介质使用导致的病毒木马传播、介质遗失或废弃导致数据泄密等情况发生。
5.规范用户操作行为。严禁个人移动设备连接专网计算机,严禁安装与工作无关的软件,严禁私自搭建无线局域网,严格管控刻录、拷贝、打印、扫描等行为。
6.要求教职工做好工作电脑和个人电脑的防病毒、防木马工作,安装并及时更新杀毒软件,及时更新系统补丁。重点防范勒索病毒和APT攻击,谨慎下载运行可疑程序和文件,安全使用U盘等移动存储设备。
三、相关要求
请各二级单位高度重视网络安全工作,按照“谁主管谁负责”的原则积极做好以上工作,及时整改发现的问题,严格落实突发事件报告制度,一旦发生重大网络安全事件的,24小时内及时向数据与信息管理中心报告。对本单位出现信息安全事件隐瞒不报、谎报或拖延不报的,将按照学校有关规定,给予责任人行政处理;出现重大信息安全事件,造成重大损失和影响的,将按有关法律法规追究有关单位和人员的责任。
请各二级单位于8月12日前(有其他具体时间要求的除外)完成以上网络安全工作,未尽事宜请咨询数据与信息管理中心,联系电话:8120197。
学校网络安全和信息化建设领导小组办公室
2022年8月10日
