学校各部门、直属单位、二级学院:
为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等法律法规,维护学校网络安全,做好重要时期网络安全保障工作,严防发生重大网络安全事件,根据广东省教育厅有关通知精神,经研究,学校决定开展2023年上半年网络安全自查工作,现将有关事项通知如下:
一、开展信息系统(网站)基本信息自查工作
1.加强网络信息数据安全与个人信息安全重点防护。请各二级单位全面开展网络安全隐患排查,严格控制身份证号、电话号码、家庭住址等个人敏感信息收集,原则上不得采集未成年人的人脸、指纹等生物识别信息。加强发布重要数据和个人信息内容审核,禁止发布包含个人数据和敏感信息的内容,如确需发布的,应将数据信息做脱敏处理。
2.加强信息系统(网站)帐号的安全排查。
(1)排查所管理的信息系统(网站)的帐号密码是否长时间未修改以及使用弱口令(例如123456、111111、身份证后六位或帐号密码相同、相似)等情况。存在弱口令的,请第一时间修改为强口令密码(即:密码长度8位以上,大写字母、小写字母、数字和特殊符号的三种组合以上)。
(2)排查所管理的信息系统(网站),半年以上未使用的帐号或测试帐号,须禁用或删除,录入统一身份认证平台的测试帐号,请立即通报给数据与信息管理中心,并及时删除离职人员的帐号(确需保留的应及时暂停账号的使用)。
(3)回收所有提供给公司维护系统使用的帐号,更改密码为高复杂度密码,只有需要公司协助时再提供,用完后立即回收并重置密码。
(4)排查所管理的信息系统(网站)中具有管理功能的帐号,清理非必要的管理帐号,密码必须设置为高复杂度密码,按照上级相关要求,三个月更改一次。
3.重点排查双非(非学校IP地址、非学校域名)信息系统(网站)和使用频率低、长期未更新、无专人运维的“僵尸”信息系统(网站)、新媒体和教育APP,关停长期不使用的信息系统(网站)和服务器。所有信息系统(网站)需安排专人管理,如发现异常问题,要及时通报给数据与信息管理中心。
4.做好信息系统的登记备案。请各二级单位对比2022年8月收集的统计信息,自查本单位的信息系统(网站),主要包括:在学校网络机房、本单位机房和实验室运行的所有信息系统(网站)、本单位或教工个人在外租用空间运行且使用韶关学院或下属单位名称、校徽的信息系统(网站),若有变化,请于2月24日前由各单位综合科科长或办公室主任登录学校主页→统一身份认证平台→MIS系统→信息系统备案信息管理,进行补充、修改或删除。
5. 加强与网络服务商、运维厂商、安全服务厂商和供应链厂商的协调配合,确保一旦发生网络安全事件,能够迅速开展应急处置工作,重点加强对各类教学平台、图书馆系统和科研系统等通用产品安全隐患排查,严防“连片式”安全事件。
6.全面加强日常管理。防范网站篡改、数据泄露、钓鱼攻击、DDOS攻击,严格控制使用系统远程维护或远程登录,禁止非必要端口及服务长期开启。
二、做好网络安全防范措施
1.开展互联网电子邮箱网络安全自查工作。
各二级单位组织开展互联网电子邮箱网络安全自查,梳理本单位互联网工作邮箱名录,重点自查:
(1)是否落实工作电子邮箱安全责任人,安全责任人和管理员是否有变动,邮箱密码长时间未修改以及弱口令等情况,不得简单设置为电话号码、邮箱名称、单位简称等,确保密码按强密码策略设置,符合安全防范要求(密码长度8位以上,包括大写字母、小写字母、数字和特殊符号等的三种及以上组合)并定期更新。
(2)学校电子邮件系统已经启用双因子认证功能,请用户尽快完成电子邮箱账号与电话号码的绑定,具体方法请参考http://www.sgu.edu.cn/d109353.html。
(3)工作中统一使用校内电子邮箱、粤政易、学校OA系统或者上级管理部门规定的方式传输工作信息,及时清理、删除存储在互联网电子邮箱上的工作信息,禁止使用互联网电子邮箱存储、处理、传输国家秘密,禁止使用个人商业邮箱存储、处理、传输工作信息。
(4)不点击、不打开可疑邮件,防止邮箱账号密码泄露,发现收到钓鱼邮件的,要留存邮件证据,及时通报给数据与信息管理中心,并协助开展调查。
(5)定期查看邮箱状态,对废弃或停用的校内电子邮箱,要及时向数据与信息管理中心报备。
(6)各二级单位报备的工作电子邮箱,如果有变动信息(如管理人和安全责任人变动、增减办公邮箱等)请填写附件1《工作电子邮箱报备表》,并及时将附件1电子版及盖部门章的纸质版扫描件(文件名保存为:单位名称+邮箱报备表)一起发送到电子邮箱sxzx@sgu.edu.cn。
2.加强LED屏的管理。加强对公共区域的LED屏特别是室外的LED屏的管理,要明确责任单位、专人负责,严禁LED屏连接互联网,防范LED屏内容被篡改。如果有新增或者信息变更请及时向学校党委宣传部报备。
3.加强硬盘、光盘、U盘等各类介质的安全管理。建立介质清单并定期盘点,对介质的使用进行登记记录。严禁非工作需要使用移动存储介质接入重要的计算机终端和服务器,严格执行移动存储介质接入服务器登记制度及移动存储介质使用前杀毒措施,采取技术措施加强移动存储介质接入网络行为的监控,防止因移动存储介质使用导致的病毒木马传播、介质遗失或废弃导致数据泄密等情况发生。
4.规范用户操作行为。严禁个人移动设备连接专网计算机,严禁安装与工作无关的软件,严禁私自搭建无线局域网,严格管控刻录、拷贝、打印、扫描等行为。
5.要求师生员工做好工作电脑和个人电脑的防病毒、防木马工作,安装并及时更新杀毒软件,及时更新系统补丁。重点防范勒索病毒和APT攻击,谨慎下载运行可疑程序和文件,安全使用U盘等移动存储设备。
6.教育APP自查及报备。请学校各二级单位认真排查本单位及个人选用(使用)教育APP的情况,不得选用未通过教育部备案的教育APP。若各单位有新增或变更选用的教育APP,请填写教育APP信息采集表,并按要求发送到指定邮箱。教育APP备案查询方式见附件2,选用(使用)的教育APP信息采集表见附件3。选用(使用)教育APP的要求请参考http://www.sgu.edu.cn/d108396.html。
三、相关要求
请各二级单位高度重视网络安全工作,按照“谁主管谁负责”的原则,于2月24日前完成以上网络安全工作,及时整改发现的问题,在3月3日下班前确保安全隐患清零,并反馈整改结果。严格落实突发事件报告制度,一旦发生重大网络安全事件的,24小时内及时向数据与信息管理中心报告。对本单位出现网络安全事件隐瞒不报、谎报或拖延不报的,将按照学校有关规定,给予责任人行政处理;出现重大信息安全事件,造成重大损失和影响的,将按有关法律法规追究有关单位和人员的责任。
学校将不定时检查或抽查各二级单位开展网络安全工作的情况,检查结果将纳入学校二级单位网络安全年度考核。未尽事宜请咨询数据与信息管理中心,联系电话:8120197。
附件1 工作电子邮箱报备表.doc
附件2 教育APP备案查询方式.doc
附件3 选用(使用)的教育APP信息采集表.xls
学校网络安全和信息化建设领导小组办公室
2023年2月10日
位置: