各院(部)、部门:
近期,根据江苏省教育网络和信息安全通报平台信息,我校多个二级单位网站存在安全漏洞与隐私泄露等隐患。按照省教育厅、公安厅等上级主管部门的要求,为进一步加强我校网络及信息安全监管,创建良好的校园网络环境,防止各类网络安全事件的发生,结合学校的实际情况,现决定对学校各单位的网站、域名、各类账号等开展网络安全检查及信息资产梳理工作。现将有关事项通知如下:
一、工作内容
1、各二级单位网站、所属科研网站、管理信息系统等WEB应用、域名、网站空间或虚拟机、固定IP和服务器IP、单位邮件账号、临时人员上网(含无线网)账号等的清理工作;
2、网站、微信、微博、QQ群、论坛等媒体的信息审核发布与安全检查;
3、个人上网的安全防范工作。
二、有关要求
1、高度重视
根据各单位签订的《金陵科技学院网络与信息安全承诺书》内容要求,按照“业务谁主管,系统谁建设,管理谁负责”、“谁审批谁负责”的原则,各单位应进一步明确网络安全第一责任人和信息员。网络安全第一责任人应统筹本单位的网络信息安全工作,信息安全员应强化对本单位网站、信息系统和各类账号等的的安全管理,并负责与信息中心进行业务对接,确保安全责任落到实处。
2、狠抓落实
信息中心将对全校网站、科研网站、管理信息系统等WEB应用、域名、网站空间或虚拟机、固定IP和服务器IP等的使用情况进行常态化安全检查,检查结果将定期予以通报,对于安全检查不合格的,将暂停其外网访问功能,同时通知相关单位进行整改;整改完成并经复查无安全隐患后,方可恢复其对外访问。
各单位要全面梳理辖管网站、科研网站、管理信息系统等WEB应用、域名、网站空间或虚拟机、固定IP和服务器IP、单位邮件账号、临时人员上网账号等的使用情况,逐一清理和核实;明确每一个应用、每一个系统、每一个域名、每一个账号的责任人和管理人,不要遗漏,同时严格落实网络安全自查和日常检查。各单位的信息员应实时将以上信息化内容运维情况的安全状况向本单位网络安全第一责任人汇报并备案。
3、严格信息审核发布
各单位要加强对网站的管理,加强对网站目录内容进行分类管理,对信息发布内容和上传文件进行严格审查,对于所发布的链接,文档中所包含的链接都要逐一检查,杜绝非法网站、网页的链接、暗链接和空链接,防止有害信息的传播。同时,对具有信息发布权限的帐号进行严格管控,进行必要的审核限制。
4、落实清理和备案
根据上级部门要求,学校将对长期不使用、长期不维护、长期不更新、存在安全威胁隐患长期不修复、非学校二级单位官网站点、占用资源长期处于空闲状态、已完成工作使命且无继续使用必要、系统使用与实际业务流程长期脱节的“僵尸”信息系统(网站)、固定IP和服务器进行清理,采取限制互联网访问或关停等措施;对非单位IP地址和非本校域名的“双非”信息系统(网站)进行清理,采取限制访问、停止服务等措施。对确有需要独立运行的,应明确安全责任,提供工信部与公安部备案证书。
资料不全、责任人和管理人发生调整等的网站、信息系统、域名、账号等,应重新进行备案登记。
5、做好个人上网的安全管理
广大教职工定期登录校园网“自服务系统”及时修改自己的上网密码,妥善保管好自己的上网密码,同时安全设置并谨慎使用路由器。
在不属于自己独立使用的计算机上登录上网时,请不要使用浏览器的密码记忆功能,并及时注销自己的校园网上网账号。如果不便消除已经记忆的密码,请及时登录校园网“网上服务大厅”重新修改密码。
6、加强应急处置和信息报送
各单位应加强日常检查特别是在重要的时间节点的安全检查,安排专人对所属单位的网站(主页、管理信息系统、科研网站等)、微信群、微博、QQ群、论坛等等进行严密监控,发现问题第一时间向信息中心报告。有独立服务器的单位还应该安排技术人员对服务器的用户信息、访问日志等进行日常检查,发现问题第一时间关停该系统和服务器并向信息中心报告。
信息中心将密切关注校园网出口、核心骨干网络、服务器区、专网区域等的网络运行状况,充分利用防火墙、审计系统、漏洞扫描系统待设备不间断地对校园网络和服务器进行扫描和检查,及时将安全状况反馈给相关单位或个人;针对攻击高风险区域网站进行针对性地提醒和建议,并可根据上级主管部门要求直接进行干预。
信息中心提供网络信息安全咨询解答和技术指导,配合协助各单位和个人用户做好网络信息安全防范工作。同时,信息中心也将进一步通过技术手段升级应用,通过采取建立网站群等切实有效的措施进一步加大安全防范力度,提升信息安全防护能力。请各单位的网络信息安全责任人和信息员及时对本单位的网络信息安全工作进行督促检查,如有任何疑问,请向信息中心进行技术咨询。
电话:025-86188000(内线8000)
信息中心
2018年6月26日