>各院、部、处,校内各单位:
为深入贯彻《中华人民共和国网络安全法》,加强全校信息系统、网站(以下简称“信息系统”)安全防护,提高现有信息资源利用率,计划在全校范围内开展信息系统清查和安全检查工作。现将有关事项通知如下:
一、工作范围
各单位(部门)建设、运行、维护或管理,用于支撑学校教学、科研和管理等各项业务,可在校园网或者互联网上访问的信息系统(仅在内部使用,不对校园网以及互联网开放的系统,不在此次清查范围内)。
二、工作内容
(一)全面梳理、摸清底数
坚持“谁主管谁负责、谁使用谁负责”原则,各单位(部门)应加强信息系统安全责任意识,所属信息系统需做到专人负责、专人管理,对本单位(部门)所属信息系统进行全面摸排核对,如有变化请及时更新。对不再使用的信息系统应通过在线流程申请关停。在梳理自查的基础上,填写《信息系统统计表》(见附件)。
(二)全面排查、整治安全隐患
1. 账号密码安全排查。账号密码是否泄露给非相关或非必要人员,如有隐患应及时更改密码。排查密码是否存在弱密码、默认密码、公用密码、长期不变密码等问题,如有则须及时更改密码。
八位以下简单的数字或字符组合为弱密码;密码与用户名相同或未经修改的系统初始密码为默认密码;多个用户使用同一密码为公用密码;半年以上未更新的密码为长期不变密码。
2.“双非”“僵尸”排查。根据上级相关文件规定,原则上不允许存在“双非”系统。“双非”系统指信息系统使用了非学校IP地址、非学校域名但页面上有南京林业大学标识信息的系统,如确有此类情况需检查是否与南京林业大学网络安全和信息化领导小组签订了《双非信息系统(网站)网络安全承诺书》。排查清理“僵尸”信息系统,包括长期(90天)无法正常运行的系统、已完成工作使命的专题网站、安全威胁长期不修复(60天)的系统、无人运维或缺乏基本保障的系统等。
3. 等级保护定级备案情况核查。对所属信息系统的安全等级保护定级备案情况进行调查摸底,为后期开展定级工作做好准备。
(三)加强防范意识
1.操作系统安全。严控操作权限,按“最小化”“一人一号”原则设置管理员账号和高权限账号。加强运维管理,管理人员要定期对信息系统进行检查,督促承建单位及时更新服务器操作系统、安装漏洞补丁、防止系统遭攻击篡改。
2.教职员工安全宣教。各单位(部门)应做好本单位(部门)信息系统操作人员和使用人员安全宣教工作。不轻易点开陌生邮件中的链接,不轻易下载陌生邮件中的附件,不使用非法系统。安装火绒等安全软件,增强个人电脑安全性,防止勒索病毒入侵或电脑数据遭窃取。
三、工作安排
1.各单位(部门)根据本通知开展自查工作、全面核查梳理信息系统。于4月30日前,提交《信息系统统计表》(线上提交扫描后纸质版和电子版)。
2.网信办将于5月份开展全校信息系统检测和安全评估。评估不合格的信息系统将进行关停处理,信息系统出现以下情况之一的将被视为安全评估不合格:因系统自身故障而导致的页面无法访问;近90天内服务器无任何访问记录;无法找到管理权属责任部门或未落实管理员。
各单位(部门)关于本次信息系统清查和安全检查工作的开展情况将纳入本年度学校网络安全责任制落实考核评价中。
在信息系统清查、检查和日常运行使用过程中,如有任何问题、疑难,需要技术支持的,请及时与网信办联系。
联系人:端木怡婷、李远洋,联系电话:85427673。
南京林业大学
2024年3月27日
