校内各单位:
为严格贯彻落实上级关于网络安全工作的指示精神,切实做好三明学院网络安全工作,按照学校党委关于网络安全工作的总体要求,进一步落实网络安全责任制,提升全校各单位网络信息系统防入侵、防窃密、防篡改、防病毒、不良舆情信息的综合安全防护能力,加强个人隐私数据保护,全面提升网络安全技术防护能力和管理水平,杜绝重大网络安全事件(事故)的发生,构筑校园网络安全良性生态,现将相关事宜通知如下。
一、严格落实网络安全责任制
1.加强领导,落实责任。校内各单位要充分认识网络安全保障工作的重要性、严峻性和紧迫性,加强组织领导、统筹规划,建立“党委/部门第一责任人亲自抓,分管负责人具体抓”的领导责任制,严格落实网络安全主体责任,进一步完善本部门网络安全责任制度,不折不扣地落实好网络安全保障工作任务。
2.认真梳理、摸清底数。校内各单位按照“谁主管谁负责、谁运营谁负责、谁建设谁负责、谁使用谁负责”的原则,全面摸查本部门职责范围内的网站、信息系统等信息资产,部门责任人做到对本部门的信息资产运行状况底数清、情况明。
3.健全机制、全面查改。校内各单位建立和完善本部门网络安全事件应急预案,健全网络信息安全巡查机制,明确网络安全应急处置联络人员,全面落实落细工作职责。认真检查本部门建设、管理、运维的网络、网站和信息系统的运行状态,全面排查存在的风险隐患并及时整改。
二、主要措施
1.全面加强网站及信息系统技术防护和运行监测。网络中心(信息化建设办公室)将加强对全校范围内网络、信息系统(网站)的安全监测扫描,提升防护策略,增强关键网络基础设施和重要信息系统服务的技术防护能力,凡发现存在高风险运行的信息系统及信息资产,一律采取先关停再整改的处置措施。
2.全面加强访问管控。暑假期间和网络安全重保期内,校内各单位关闭非必要访问的校内业务系统及第三方远程软件的外网访问权限或关闭无人值守的服务器,必须对外提供服务的信息资产开启最小化访问原则。有特殊需求的部门或师生,可与网络中心联系。
3.进一步加强安全隐患排查。校内各单位认真核查、检查本部门信息资产,对所属运行的信息资产进行全面安全隐患排查,进一步完善系统安全措施和内部管理制度。对于被学校主动检测扫描发现问题的信息系统和信息资产,采取无条件先关停、后整改处置措施。
4.严格规范办公邮箱使用管理。持续加强对校园业务系统及办公邮箱等系统的规范管理,严禁使用互联网聊天工具、邮箱存储涉密信息、学校重要数据和敏感信息及涉及师生的个人隐私信息,办公邮箱严格履行专人专用和安全备案制度,严禁多人共用,定期清理长期不使用的业务系统账号,确保不发生联网聊天工具、公共邮箱安全泄密事件。
5.加强虚拟货币挖矿和交易行为专项整治。加强常态化监测虚拟货币挖矿和交易行为,严禁利用学校资源从事虚拟货币非法挖矿行为,对发现利用信息系统算力进行非法挖矿的行为,上级主管部门将严肃追究责任,进行非法交易的,严格依法论处。
6.加强网站及信息系统内容治理。开展涉及敏感信息和个人信息保护专项治理,全面扫描排查涉及内容不合规的网站信息,排查清理网站及信息系统涉及敏感数据、存在个人隐私信息的内容。
7.加强网络安全宣传教育。进一步加强师生网络安全宣传教育,积极开展网络安全宣传教育活动,提升师生网络安全意识,树立正确的网络安全观。
8.加强应急演练。根据整体工作安排,不定期开展全校或局部网络安全应急演练。
三、具体要求
1.校内各单位全面梳理本部门管辖范围内建设、管理、运行(包括本部门师生利用学校资源建设运行)的服务器和信息系统(网站)。未经备案审批的服务器、信息系统(网站)、App等互联网服务严禁发布运行。严禁师生利用校园网资源私自架设和提供信息系统和Web等服务。未经审批校内各单位原则上不允许在校外开设信息服务和存放学校敏感、重要数据。
2.校内各单位对存在网络信息安全隐患、无业务加载、无人运维、无安防措施的服务,一律予以自行关停,若必须运行,要及时采取提升防护策略、限制访问等必要措施,并尽快与信息技术中心沟通确认。对不使用的各类联网终端设备,及时断网断电,杜绝安全事件的发生。
3.校内各单位重点排查双非(非本部门IP地址、非本部门域名)信息系统(网站)和使用频率低、长期未更新、无专人运维的“僵尸”信息系统(网站)。全面排查高危漏洞不修复、非必要端口及服务长期开启、陈旧版本基础软件和通用软件不更新、僵尸主机和系统不整改等问题,及时补齐网络安全短板,避免“一点突破、全网皆失”。
4.校内各单位全面梳理本部门管辖范围内建设、管理、运行的网站、微信公众号、微博、App、LED显示屏,严格执行“先审后发”信息发布审核制度,对已发布的历史内容进行全面检查,严禁不良信息向互联网传播。各部门对公共区域LED显示屏进行梳理,确保其保持离线运行状态,明确责任人,妥善保管控制终端的用户及密码。
5.校内各单位务必规范各类信息数据的收集、存储、使用和管理工作,加强个人信息保护,严防师生隐私数据泄露,做好重要数据的备份,将数据安全保护工作意识与责任意识、保密意识结合起来,全面提高数据安全保护意识。
6.全面排查校内各单位网站及信息系统对外发布的内容,及时删除包含公民个人身份敏感信息的内容,或对相关信息进行脱敏处理,并加强相关工作人员的安全意识培训。
7.校内各单位对自建自管、托管于网络中心的服务器及相关服务进行全面检查,及时更新系统漏洞补丁,做好安全防护策略,及时整改存在的安全隐患。
8.校内各单位加强本部门网站、信息系统和办公邮箱的用户名和口令管理,清理所有弱口令,系统初始化时采用足够强度的口令初始化策略,杜绝默认口令、弱口令、通用口令等安全隐患,及时更新口令,加强对暴力破解的防范。
9.加强信息系统后台管理,将管理员登录界面限制到校内访问(尽可能限制管理员登录界面只能由管理员IP地址登录),严禁非管理员账号及校外IP地址访问管理员登录界面。
10.校内各单位要完善规范所属业务系统的密码修改流程,用户申请修改密码时,务必核实本人身份,严禁他人代替本人修改密码。
11.校内各单位加强本部门重要系统、数据的安全管理和防护,严格限制访问授权,加强检查,及时发现和处置非授权访问等异常情况,加强本部门重要系统、数据的保护和备份。
12.以校内各单位名义发送、收取、存储、处理、转发邮件的邮箱,一律使用的校内办公平台,平台内的邮件要定期(每月)进行备份清理,不得存储大量公务信息。原则上严禁使用互联网邮箱以三明学院校内各单位名义发送、收取、存储、处理、转发邮件(因特殊情况确实需要使用互联网邮箱的,责任部门需提交情况说明进行审批备案)。校内各单位已在使用的互联网办公邮箱,一律禁止用于办公,并全部清除邮箱内存储的办公文件。
13.校内各单位督促本部门师生提升对知识产权保护和计算机系统安全的认识,普及使用正版操作系统和办公软件。鉴于微软已停止提供windows7安全补丁更新,请校内各单位排查自有办公电脑操作系统,尽快完成windows7替换或升级工作,并开启win10自带防火墙。
14.全面排查校内各单位信息系统或个人是否存在参与虚拟货币挖矿行为,网络中心将开展常态化网络安全监测,一旦发现利用校内信息系统算力进行非法挖矿的行为,立即停止互联网接入,并依法按规定流程处置。如本部门存在从事相关研究的,必须与学科建设相匹配,并在满足科研、教学条件下尽量缩减规模,并报网络中心备案,未经备案,严禁开展相关活动。
15.校内各单位要定期开展网络安全学习,积极响应落实上级及学校网络安全宣传教育工作,联动开展网络安全宣传教育活动。
四、应急响应
1.校内各单位网络安全负责人和应急联系人,务必保持7*24小时通讯畅通。
2.重要时间节点,校内各单位务必加强对其所属运行的网站、应用系统的网络安全应急值守工作,相关责任人和管理员要保持7*24小时通讯畅通,并可随时到场。
3.对网上重大敏感负面舆情事件,校内各单位应坚持以正面导向为主,把握主动权,增强事件处理透明度,以疏代堵,第一时间向党委宣传部及上级部门通报相关情况。发生重大突发事件时,应启动7*24小时网上舆情值班制度,为学校的发展营造良好的舆论环境。
4.一旦发生网络安全事件事件,按照《三明学院网络安全突发事件应急预案》的要求,第一时间中断服务(拔掉相关服务器和网络设备网线),保留现场,同时报学校网络中心。
党委宣传部
网络中心(信息化建设办公室)
2022年6月30日