各院（部）、部门：

为深入贯彻上级部门关于网络安全的工作要求，有效应对日益复杂的网络安全威胁，全面做好网络安全保障工作，根据《金陵科技学院2024年网络安全工作要点》部署安排，决定在校内开展2024年度网络安全专项检查工作，相关工作安排通知如下：

一、落实网络安全责任制

请各单位对照相关法律法规及校内规定，切实落实网络安全责任，规范网络安全管理，内容应包括本单位主管的信息化资产清单、人员分工及责任划分、应急预案与值守方案、数据安全管理与个人信息保护等必要部分。

二、健全信息系统运维机制

请各单位全面排查所建设的信息系统（包括部署于校内或校外的网站、移动APP、微信及钉钉等应用），务必要做到无一遗漏，如果已经不再使用，须立即下线。

根据学校信息化项目管理要求，各单位应建立本单位主管信息化系统的运维机制，明确运维人员、制定运维方案、建立运维记录文档等。运维人员可以是主管单位系统管理员，也可以是由承建方人员或者第三方人员负责运维，但运维人员要相对固定，且主管单位的系统管理员应进行有效的监督和管理，切实保证运维方案的落实。运维方案应包括系统运行监控方法、巡检周期及巡检内容、系统异常情况处置流程、系统升级方案、日志留存方案、数据备份与恢复、运维操作手册、运维考核方案等。各单位可根据主管信息系统的重要程度、使用范围、用户规模等因素明确上述各部分内容。

三、落实个人信息保护工作

《中华人民共和国个人信息保护法》已经于2021年11月1日起施行，国家近年也出台了详细的有关个人信息保护相关的司法解释，明确了涉及个人信息安全的入刑标准，因此严格落实校内个人信息保护工作，成为衔接法律、满足合规合法要求的基础保障。请各单位认真核查各信息系统建设、使用中是否存在破坏个人信息安全的情况。另外，各单位在非信息化建设场景中，同样要重视个人信息保护，对于广大师生个人信息的采集、使用、存储、共享、删除要严格按照国家法律法规进行，对在互联网中传播、存储的个人信息要展开清查，禁止在各类网盘、社交软件、网站中公开共享师生的个人信息。

四、持续开展网络安全自查工作

自查工作内容主要包括：

（一）清理“僵尸”信息系统

符合以下条件之一的信息系统（包括网站、移动APP）即为“僵尸”信息系统：

1. 使用频率低（年访问量1000人次以下）；

2.页面内容或者数据长期未更新（180天以上未更新）；

3. 专题网站已完成工作使命；

4.无专人运维或运维缺乏基本保障，安全隐患长期不能修复。

“僵尸”信息系统基本已无存在意义且存在管理漏洞和安全隐患，因此要求建设各单位应尽快予以销毁。

（二） 治理“双非”信息系统

“双非”信息系统指未经立项审批、未经学校同意而使用了学校标志标识，且使用了非学校域名、非学校IP地址建设的信息系统（包括网站、移动APP）。

校名、校徽等学校标识标志为学校无形资产，未经授权任何单位或个人不得随意在非官方信息系统中使用。对于在校外搭建的各类测试、演示系统，更不得随意使用学校标识。

对于必须使用校外应用云服务的特殊信息化项目，需按照学校信息化和网络安全相关规定相关流程建设，并在采购文件和合同中明确要求由云服务提供商负责全部的网络安全责任，未按学校相关规定、流程建设的此类项目同样属于“双非”信息系统。

请各单位开展“双非”信息系统排查，对于排查出的此类系统，如不再使用，应尽快注销和关闭，如仍需使用，请按照学校信息化建设管理规定，即时向学校报备。

（三）加强校内各类办公密码的安全保护

各类办公密码包括本单位主管的信息系统管理后台、数据库、办公计算机、网络打印机、LED大屏、网络摄像头、网络设备、微信公众号、微博等软硬件设备和自媒体平台的密码。对于在各信息系统中有管理权限的教工，其个人统一身份认证密码应纳入办公密码管理中。办公密码保护包括清理弱密码、建立密码管理机制、避免密码泄露等。

弱密码包括简单密码、默认密码、通用密码等，弱口令问题一直都是校内网络安全主要问题之一，也是最容易被利用和攻击的一类漏洞，且可以造成非常严重的后果。请各单位高度重视此问题，对于弱密码问题进行彻底清理。

建立密码管理机制、避免密码泄露，明确各类管理密码的管理人员名单，且管理人员应为我校在职在岗教工；确定密码授权范围，不得超范围授权密码使用；确定密码更新方案；制定密码保管办法，不得造成密码泄露；严禁将所持有的任何业务的账号私自授予他人使用。

特别注意将密码存放在互联网云存储平台如各种网盘，或者随代码托管到代码共享平台等都存在安全隐患，请各单位提醒师生不要将办公密码、个人密码通过互联网云存储平台、代码托管平台及其他社交软件共享。

（四）检查各服务器的安全状况

服务器的配置是服务器安全的基础，配置不当就会产生各类安全隐患，甚至直接出现违法风险。服务器应本着专用、最小化、合法合规等基本原则进行安全配置，主动将风险尽量降低。请各有自管理服务器的单位对主管的服务器安全状况进行彻查，包括：

1.服务器中是否安装了与应用服务无关的软件；

2. 服务器中是否安装了远程控制软件如TeamViewer、向日葵等；

3. 服务器中是否有非必要的服务、端口开启；

4. 应用服务所用软件是否为安全版本；

5. 服务器访问控制范围是否为最小；

6. 服务器中是否有备份文件在本地存储；

7. WEB应用系统访问日志是否保留至少180天。

（五）加强LED大屏、网络摄像头的管理

各单位应加强本单位主管的LED大屏、网络摄像头的管理，明确专人负责相关设备管理及信息发布，保障设备安全，避免出现不良信息发布或敏感信息泄露。原则上不建议LED大屏联网管理，如一定联网必须接入专网，不得接入校园网、互联网。

（六）严格独立机房管理

有独立机房的单位，须严格按照网络安全法、教育部文件和学校规定开展网络安全工作，落实网络安全责任制，落实人员配备，制定网络安全管理制度、应急预案、运维方案，并按照法律法规完成日志留存、网络安全等级保护等相关工作。对机房管理人员要按年度开展常规安全培训。

五、组织开展校园网络安全专项检查

9月1日至9月20日分步骤组织实施。

（一）信息化资产核查。9月1日至4日，各单位核查本单位信息化资产，包括门户网站、信息系统、移动应用程序（含各类腾讯、阿里小程序）等，以及部署在各类公、私有云或以购买服务形式托管在第三方公司的平台系统筹，做到应查尽查，新增资产请及时备案。

（二）远程技术检查。9月5日至9日共5天时间，通过网安学院技术团队对全校各单位全量互联网资产（网站、信息系统和设备）实施远程技术检测，发现存在网络安全漏洞、缺陷和弱配置等隐患情况。

（三）专项检测渗透。9月11日至15日共5天时间。开展校园网络安全专项检查、检测。网安学院技术团队将在相关技术平台支撑下对关系全校师生应用的重要信息系统目标进行漏洞利用、横向渗透和关键突破，获取高价值控制权限和核心数据访问权限。

（四）结果梳理分析。9月18日至20日，梳理分析本次专项检查结果，整理形成问题清单、存在问题单位受攻击线索情况清单和网络安全防御情况报告清单，并要求相关单位限期整改。

六、工作要求

校内各单位应高度重视网络安全专项检查工作，按时完成各项自查任务，信息中心与网安学院将提供相关技术支持。对于本次各单位自查问题不准确或有遗漏的问题，如被相关部门查出或通报，学校将按照有关规定进行处理。同时，本次专项检查工作情况也将作为本年度校内网络安全工作、信息化建设工作主要考核依据之一。

七、其他未尽事项请与信息中心联系。

  信息中心

2024年8月31日