>各院、部、处,校内各单位:
近期多次接省教育厅网络安全主管部门通报,我校部分二级网站存在暗链、外链、个人敏感信息泄露等漏洞。为加强网络与信息安全管理,落实国家互联网信息办公室第5号令《网络信息内容生态治理规定》等文件要求,营造清朗的网络空间,建设良好的校园网络生态,现开展网站暗链、外链、个人敏感信息泄露风险自查整改工作。具体工作事项通知如下:
一、自查内容
1.暗链、外链
暗链(看不见的链接)、外链(链接到校外网址的链接),是指网站内容或附件文档中存在着链接,这些链接指向的网站在一段时间变成了赌博、色情、暴力、诈骗、反动信息等非法网站。今年以来我校被通报的事件,几乎都是由信息发布时还正常的校外域名,后来过期失效,又被他人注册用于发布非法内容所导致的。相关案例如:某学院发布招聘信息内的原企业官网链接;某二级网站友情链接中的某校友网站链接;某教学成果网页中的word文档附件内列举的原某教学资源网站网址等。
2.个人敏感信息泄露
个人敏感信息泄露,一方面可能会被用于诈骗,另一方面可能会被利用进行恶意攻击等非法用途。《中华人民共和国个人信息保护法》已于2021年11月1日起施行,个人敏感信息受国家法律保护。相关案例如:奖学金候选人、获奖者名单等公示中,披露了师生的姓名、身份证件号码、手机号码、QQ号码、家庭住址、银行卡号、个人生物识别信息、详细的个人经历等个人敏感信息。
二、自查范围
各单位(部门)在本单位(部门)网站及其他宣传媒体和业务系统内所有已发布内容,包括附件里的内容。
三、自查方式
1.暗链、外链自查
(1)对已发布的携带网址的新闻和附件,以及携带超链接的文字和图片等,检查相关链接网址,如发现有问题,请及时修改或删除。
(2)加强发布内容的审核,在添加文章时尽量避免包含有第三方网站的链接,对于设置非gov.cn(政府类)、非edu.cn(教育类)以外域名的网站链接,尤其需要谨慎。
文章中确因工作需要发布外链,对于具有时效性的信息可在文章编辑时设置文章“发布时间”和“过期时间”,以降低“外链”风险。在发布后,要常态化定期检查相关网址,发现问题及时修改或删除。
(3)从互联网复制的文字可能会包含大量超级链接,发布前应先将复制文字粘贴到记事本中去掉格式后再发布。
(4)有时效性的新闻和附件,过期后应及时删除。
2.个人敏感信息泄露自查
对需要公布的个人敏感信息进行脱敏、打码处理,仅在工作范围或责任范围内公开。建议电话联系方式以座机号码为主。已过公示期的信息应予以删除。
四、工作要求
各单位(部门)要高度重视本次专项自查整改工作,网络安全和信息化工作负责人亲自抓,具体工作落实到人。自查整改情况请填写《暗链、外链、个人敏感信息泄露风险自查整改表》(线上提交扫描版纸质稿和电子版)。
各单位(部门)要以此次自查整改为契机,进一步压实责任,总结经验,举一反三,清除风险。要对网站发布的内容严格审核,要定期(每月不少于两次)检查外链网站是否有效合法。发现问题立即处理,并向网络安全和信息化办公室及时报备。
各单位(部门)关于本次暗链、外链、个人敏感信息泄露风险自查整改工作情况将纳入本年度学校网络安全责任制落实考核评价中。
自查整改工作中如有问题,请联系网络安全和信息化办公室网络安全科,联系人:端木怡婷,联系电话:85427673。
附件:
风险自查整改表.docx
南京林业大学
2024年3月27日
