校内各单位:
为进一步做好网站管理和平台建设,维护校园网络安全和校园稳定,避免信息安全事故的发生,确保重大活动、节假日期间的信息安全。根据陕西省教育厅办公室《关于做好十九大期间网络安全工作的通知》要求,决定在校内开展网络信息安全工作自查整顿。现将有关要求通知如下:
一、各单位要充分认识信息安全的重要性,实行主管领导负责制,加强对网站安全运行及信息安全保护工作的管理。
二、各单位网站责任人和应用系统管理员要认真履行职责,明确责任,提高安全防护意识,开展本单位信息系统(网站)的安全漏洞和隐患应全面排查及时整改,对15日内未修复安全威胁的校内各单位,以限制系统互联网访问作为处理方式。
三、网站责任人和管理员需加强对所管理网站和应用系统的监控,要实现全天侯定时监看,一旦发现系统有被篡改内容、注入木马、修改链接等情况,应立即采取紧急措施:关闭系统以消除不良影响;保存被修改内容及系统日志;及时向网络与信息技术管理处报告;认真查找系统安全漏洞,增加安全措施,恢复正常内容后系统才能重新上线。
四、严禁在网站上发布违反国家信息管理条例规定的有害信息,对于设有电子公告栏、留言板等交互式信息栏目的网站,应加强内容审核,及时发现和删除各类有害信息,确保网站信息安全。
五、各单位在信息系统安全自查的基础上,对本单位的“僵尸”信息系统进行排查和清理。符合下列条件之一,则可视为“僵尸”信息系统予以清理:网站年访问量在1000人次以下;网站长期180天以上未更新;系统每年录入的信息在100条以下;专题网站已完成工作使命;网站系统无人运维或运维缺乏基本保障;安全威胁长期不能修复的信息系统。
六、加强网络安全防护措施及制定应急处理机制。
(1)各单位对所管辖地点的网络信息端口进行普查,确保网络信息端口安全,坚决杜绝非授权设备接入所管辖的信息端口,同时检查正常接入网络端口设备安全运行状况,杜绝有毒有害设备接入信息端口,保障单位内部网络及信息安全。
(2)各单位检查并关闭所管理区域内没有身份认证或能够通过共享软件破解密码的无线网络,保证接入校园网用户信息真实可信,减少匿名用户、非法用户接入,避免本单位承担不必要的网络信息安全责任。
(3)各单位全面普查本单位网站及信息系统,关闭可能存在的安全风险的网站和信息系统,对重点网站、信息系统原则上只能在校园网内部使用,必须开放互联网服务的需提交申请,并提供有安全评估资质的评估机构出具的安全评估报告;未关闭的网站和信息系统必须建立零报告制度,每天向网络与信息技术管理处报告信息系统情况。
(4)对于校内重要信息系统(办公、财务、教务等)重点检查,确保系统安全。对于外链网站和未使用bjwlxy.edu.cn或bjwlxy.cn域名的网站予以关停。
(5)各单位确保本单位信息系统的操作系统、应用软件的系统安全,其中包括系统补丁、病毒库等更新,各系统的密码必须符合密码安全性规则,并每月必须修改,禁止多系统使用同一密码,并对密码尝试次数进行限制;保障信息系统信息安全,做好系统数据安全,做好数据安全转移、异地离线备份工作。
(6)各单位应积极配合网络与信息技术管理处对该部门的网站及信息系统进行安全技术加固,关闭未使用的网络接口和端口,及时上报网站、信息系统存在的安全隐患。
网络与信息技术管理处
2017年9月15日