为做好党的十九大召开期间我院网络安全工作,提高我院网络和信息系统的安全性,根据教育部办公厅《教育部办公厅关于做好服务保障党的十九大网络安全工作的通知》(教技厅[2017]4号)要求,现就有关事项通知如下:
一、梳理整合信息系统
(一)开展服务器、信息系统、网站普查(9月27日前完成)
各部门对各自使用的服务器、信息系统、网站进行清查梳理,填写《西铁院服务器托管备案表》(附件1)和《西铁院信息系统备案表》(附件2)并上报现代教育技术中心纸质版一份。对于各部门使用的网站需要明确一名网站管理员,并将网站管理员联系信息上报现代教育技术中心(附件3)。对于个别部门网站没有纳入我院统一网站群管理平台的应在9月底前完成迁移工作,逾期将做下线处理。10月份期间,除门户网站以外其他系统一律采取限制互联网访问的措施。
(二)清理“僵尸”信息系统(10月17日前完成)
1.现代教育技术中心在信息系统普查的基础上,组织各部门对“僵尸”信息系统进行排查、清理。
2.符合如下条件之一,则可视为“僵尸”信息系统:网站年访问量在1000人次以下;网站180天以上未更新;系统每年录入的信息在100条以下;专题网站已完成工作使命;网站系统无人运维或运维缺乏基本保障。
3.内部信息系统(办公、财务、人事等),应在局域网上运行,如确有需求,可通过VPN的方式进行局域网外访问。
二、加强网络安全防护
(一)加强基础网络的防护措施
1.各部门应立即对部门内部私自安装、使用的无线热点进行排查、关停。禁止未经现代教育技术中心批准擅自安装、使用无授权无线热点;合法无线用户应加强无线密码安全措施,禁止无线密码使用弱口令。无线密码不能共享到互联网和APP。
2.现代教育技术中心应以本次无线热点集中排查为契机,着力解决用户上网身份认证、访问控制、行为审计等问题,根据我院实际情况制定方案,逐步完善全院有线网络、无线网络的身份认证、访问控制、行为审计等系统。
(二)加强重点网站的防护措施
1.重点网站主要指的是我院的门户网站,同时包括主要的对外服务网站。
2.重点网站需具备抗分布式拒绝服务攻击能力,可购买流量清洗服务或部署抗分布式拒绝服务攻击设备的方式进行防御。
3.重点网站的使用部门需组织应用系统开发商,对重点网站的系统架构进行梳理与调优,网站系统的前台、后台需要分离部署。
(三)加强重要信息系统、网站的防护措施
1.重要信息系统标准如下:系统有100万以上个人数据,或涉及核心业务(教务管理、财务管理、办公系统、招生、考试、学籍资助、教学平台)。以上条件满足一个条件即属于重要信息系统。
2.重要信息系统(网站)使用部门的管理员应对系统帐户进行排查,删除、禁用与业务无关的帐户,并将口令设置为不小于12位、至少三种字符组合的口令,禁止多个帐户使用同一口令,需对口令登录尝试次数进行限制。
3.重要信息系统(网站)使用部门的管理员应根据业务需求制定数据备份与离线保存策略,并做好数据备份与离线保存及数据转移工作。
三、提高监测与应急处置水平
1.现代教育技术中心对各部门托管的服务器开展后门木马专项检测工作,各信息系统(网站)使用部门的管理员应做好配合。(10月18日前完成)
2.建立健全网络安全值守制度。零报告制度拟于10月1日至10月31日期间执行。请各部门每日下午4点30分前,将本部门所使用信息系统(网站)的运行情况,填写信息系统(网站)运行情况表(附件4),通过电子邮件报送现代教育技术中心(xtmet@xatzy.edu.cn)。
四、其他说明
1.各部门要高度重视网络及信息系统安全,按照通知要求做好网站及信息系统防护措施,杜绝漏洞及安全隐患。加强日常监测发现问题及时处理并上报。
2.如部门发现无法处理的问题时,及时联系现教中心协助解决。联系人:邹易奇,联系电话:82150314 15934868552