首页 通知公告 正文

关于全校开展网络安全综合治理行动的通知

发布时间:2021-06-21    作者:    来源:     点击率:

关于全校开展网络安全综合治理行动的通知

全校各单位:

为贯彻落实《中华人民共和国网络安全法》和《中华人民共和国数据安全法》,增强我校信息系统(网站)防护能力,有效防范和抵御安全风险隐患,切实保障信息系统(网站)稳定运行和数据安全,经研究决定,在全校开展以“堵塞安全漏洞、规范安全管理”为目标的网络安全综合治理行动,全面查找发现各类安全漏洞和突出问题,具体工作安排如下:

一、 落实校内网络安全责任制,完善制度及人员配备

根据《中北大学网络与信息安全管理办法(试行)》的规定,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,由校内各单位分别负责本单位主管、运维、使用的各信息系统及内部网络的安全工作。

校内各单位主要负责人为本单位网络安全的第一责任人,负责规划、监督本单位的网络安全工作;单位网信管理员负责组织、协调本单位的网络安全工作。请各单位检查本单位相关人员配备,并将本单位信息化负责人、网信管理员联系信息登记到附件1的自查表中。

请各单位对照相关法律法规及校内规定,切实落实网络安全责任,明确单位内部网络安全管理制度,制度应包括单位主管的信息化资产清单、人员分工及责任划分、应急预案与值守方案、数据安全管理与个人信息保护等必要部分。

二、建立信息系统运维机制

根据学校信息化项目管理要求,校内各单位应尽快建立本单位主管信息化项目的运维机制,明确运维人员、制定运维方案、建立运维记录文档等。

运维人员可以是主管单位系统管理员,也可以是由承建方人员或者第三方人员负责运维,但运维人员要相对固定,并与主管单位签署保密协议,且主管单位的系统管理员应进行有效的监督和管理,切实保证运维方案的落实。运维方案应包括系统运行监控方法、巡检周期及巡检内容、系统异常情况处置流程、系统升级方案、日志留存方案、数据备份与恢复、运维操作手册、运维考核方案等。各单位可根据主管信息系统的重要程度、使用范围、用户规模等因素明确上述各部分内容。运维方案各部分应建立相关文档,记录各项运维操作相关情况,用于未来的故障排查及网络安全审计。

三、落实个人信息保护工作

《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过,自2021年9月1日起施行,请各单位认真核查各信息系统建设、使用中是否存在破坏个人信息安全的情况。另外,提醒各单位在非信息化建设场景中,同样要重视个人信息保护,对于广大师生个人信息的采集、使用、存储、共享、删除要严格按照国家法律法规进行,对在互联网中传播、存储的个人信息要展开清查,禁止在各类网盘、社交软件、网站中公开共享学校师生的个人信息。

四、开展校内网络安全自查工作

从即日起至6月28日,请各单位开展网络安全自查,并填写附件1的网络安全自查表,在6月28日下班前将电子版和纸质版送交信息化建设与管理处。纸质版由单位信息化负责人签字并加盖公章。自查内容除附件1要求的内容外,还包括:

1.清理“僵尸”信息系统

符合以下条件之一的信息系统(包括网站、移动APP)即为"僵尸"信息系统,"僵尸"信息系统基本已无存在意义且存在管理漏洞和安全隐患,因此要求校内各单位尽快注销:

a) 使用频率低(年访问量1000人次以下);

b) 页面内容或者数据长期未更新(180天以上未更新);

c) 专题网站已完成工作使命;

d) 无专人运维或运维缺乏基本保障,安全隐患长期不能修复。

2.“双非”信息系统的治理

双非”信息系统指未经立项、未经学校同意使用学校标志标识,且使用了非学校域名、非学校IP地址建设的信息系统(包括网站、移动APP)。按照学校信息化和网络安全建设管理相关规定,“双非”信息系统不属于学校官方行为,一切网络安全责任由相关单位(包括建设使用单位、资金提供单位、宣传推广单位等)及所有参与建设人员个人承担。对于必须使用校外应用云服务的特殊信息化项目,需按照学校信息化和网络安全相关规定相关流程建设,并在采购文件和合同中明确要求由云服务提供商负责全部的网络安全责任,未按学校相关规定、流程建设的此类项目同样属于“双非”信息系统。

请各单位开展“双非”信息系统排查,对于排查出的此类系统,如不再使用应尽快注销和关闭,如仍需使用,请按照学校信息化建设管理规定进行建设。

3.加强校内各类办公密码的安全保护

各类办公密码包括本单位主管的信息系统管理后台、数据库、办公计算机、网络打印机、LED大屏、网络摄像头、网络设备、微信公众号、微博等软硬件设备和自媒体平台的密码。弱密码包括简单密码、默认密码、通用密码等,弱密码问题一直都是校内网络安全主要问题之一,也是最容易被利用和攻击的一类漏洞,且可以造成非常严重的后果。请各单位高度重视此问题,对于弱密码问题进行彻底清理。

建立密码管理机制、避免密码泄露,明确各类管理密码的管理人员名单,且管理人员应为校内在职教工;确定密码授权范围,不得超范围授权密码使用;确定密码更新方案;制定密码保管办法,不得造成密码泄露,不得私自授权他人使用密码。

特别注意将密码存放在互联网云存储平台,如各种网盘,或者随代码托管到代码共享平台等都存在安全隐患。请各单位提醒师生不要将办公密码、个人密码通过互联网云存储平台、代码托管平台及其他社交软件共享。

4.检查各服务器的安全状况

服务器的配置是服务器安全的基础,配置不当就会产生各类安全隐患,甚至直接出现违法风险。服务器应本着专用、最小化、合法合规等基本原则进行安全配置,主动将风险尽量降低。请各单位对主管的服务器安全状况进行彻查,包括:

a) 服务器中是否安装了与应用服务无关的软件;

b) 服务器中是否安装了远程控制软件如Teamviewer、向日葵等;

c) 服务器中是否有非必要的服务、端口开启;

d) 应用服务所用软件是否为安全版本;

e) 服务器访问控制范围是否为最小;

f) 服务器中是否有备份文件在本地存储;

g) 应用系统访问日志是否保留至少180天;

h) 服务器是否及时进行了补丁更新。

5.加强LED大屏、网络摄像头的管理

各单位应加强本单位主管的LED大屏、网络摄像头的管理,明确专人负责相关设备管理及信息发布,保障设备安全,避免出现不良信息发布或敏感信息泄露。原则上不建议LED大屏联网管理,如一定联网必须接入专网,不得接入校园网、互联网。

6.加强自建局域网接入安全管理

校内各单位应加强本单位自建的有线、无线局域网,明确专人负责单位局域网的管理,对于局域网使用者进行实名登记,确保局域网接入的可控。清查无线网络环境,对于自建的无密码、弱密码、无人管理、管理失控的无线局域网,应尽快整改或关闭。各有线、无线局域网所使用校园网IP的登记用户为该局域网的网络安全直接责任人,对所出现的网络安全问题承担直接责任。

7.开展信息系统(网站)安全等级保护定级备案工作

校内各单位梳理本单位建设使用的信息系统,对于还需继续使用的信息系统,无论是面向校内开放还是校外开放,均需开展信息系统安全等级定级备案工作。对于未开展该项工作的的信息系统,后续将进行关停处理。具体要求参见信息化建设与管理处网站“安全服务”栏目。

五、有独立机房单位的自查要求

有独立机房的单位,须严格按照网络安全法和学校规定开展网络安全工作,落实网络安全责任制,落实人员配备,制定网络安全管理制度、应急预案、值守方案、运维方案、个人信息保护要求等,并按照法律法规完成日志留存、网络安全等级保护等相关工作。

六、工作要求

请校内各单位高度重视网络安全自查工作,按时完成各项自查任务并反馈相关材料。对于本次各单位自查反馈问题不准确或有遗漏的问题,如被上级部门查出或通报,学校将按照相关规定对相应单位进行通报,对相应责任人进行处理。

联系人:胡老师

联系电话:3922912

材料报送地点:9号楼4层信息与安全科

信息化建设与管理处

2021年6月18日