各单位、各部门：

近年来，国内部分科研机构、高校网络系统被攻击入侵，大量科研人员和高校师生信息被窃取，涉及学工、人事、科研、教务、图书馆等信息系统，具体问题包括：系统存在弱口令或缺少强认证措施，重要内部业务系统直接暴露于互联网并存在安全漏洞未修复，个人敏感信息随意发布等现象。

为防范风险，消除隐患，按照上级通知精神，结合工作实际，拟在全校范围开展专项治理，进一步加强学校网络安全和个人信息保护，请各单位（部门）高度重视，立即组织本单位（部门）开展相关风险隐患排查与整改工作，具体要求如下：

一、高度重视网络安全

请各单位（部门）网络安全第一责任人或直接责任人立即组织部署隐患排查与整改工作。

二、加强身份认证工作

（一）梳理本单位（部门）主管的信息系统，确保所有系统用户入口都接入学校统一身份认证系统，不得单独设置入口，避免存在弱口令登录或缺少强认证措施等现象。

（二）梳理本单位（部门）主管的信息系统，清除所有系统测试管理员账户、僵尸账户，后台管理员账户一定使用高强度密码（包含大小写字母、数字、特殊字符，至少8位）。

三、全面排查安全漏洞

梳理本单位（部门）主管的信息系统，协调信息系统的运维单位，重点排查越权访问、任意文件上传、SQL注入等安全漏洞，特别是近期出现的Weblogic、Spring等重大漏洞，及时升级打补丁，对系统采用https域名访问等方式进行加密传输。

对未采用https域名方式访问的信息系统、网站，网信中心将于2022年5月17日起对其限制访问。

四、收敛互联网暴露面

梳理本单位（部门）主管的信息系统，按照“非必要不对外”原则，减少外网访问服务，禁止无安全措施的远程访问，设置最小化访问权限。协调信息系统的运维单位，设置高强度主机安全防护措施。对外开放域名访问的信息系统需按国家相关法律法规在网安系统进行备案。

对网信中心通知要求备案的系统，未积极协调进行备案的，网信中心将关闭其外网访问权限。

五、加强个人信息保护

梳理本单位（部门）发布的通知信息，重点排查网站上批量暴露的师生工（学）号、身份证号、手机号等敏感信息，发现后立即删除，或做脱敏处置。

相关重点排查注意事项如下：

（一）严格控制身份证号、电话号码、家庭住址等个人敏感信息收集，原则上不得采集未成年人的人脸、指纹等生物识别信息。

（二）禁止通过公共邮箱和微信、QQ等公共即时通讯工具传递非涉密重要数据。地市级及以上范围的重要数据，或涉及10万人以上的个人信息，不得通过公共互联网传递。

（三）各单位各学校收集产生的重要数据和个人信息，不得用于商业用途，未经收集数据的批准部门同意，不能与第三方共享。

（四）因阶段性工作收集产生的重要数据和个人信息，在相应工作结束后（如因疫情防控收集的相关数据，在疫情防控工作结束后），相关数据原则上不能保留，按有关规定进行处理。

（五）禁止发布（上传）包含个人数据和敏感信息的内容。

六、提升师生网络安全意识

采用多种渠道和形式，开展网络安全宣传培训。加强个人办公电脑、手机、移动存储介质、学术资料等安全保护措施，严防失泄密情况。严禁将个人账号、密码和验证码等给他人使用。

七、落实网络安全责任

梳理本单位（部门）主管的信息系统、网站（未部署在站群上），与系统运维单位签订安全保密协议或网络安全责任承诺书，明确网络安全工作分工。

八、相关知识宣传视频

网络安全法：

/xjzx/info/1005/1869.htm

网络安全等级保护制度解读：

/xjzx/info/1005/1870.htm

关键信息基础设施保护条例：

/xjzx/info/1005/1872.htm

个人信息保护法：

/xjzx/info/1005/1873.htm

网络与信息技术中心

2022年4月15日