近期,河南省教育厅、郑州市公安局和开封市公安局先后对学校进行了网络安全攻防演练和渗透测试,并向学校反馈了存在的安全问题。为落实整改要求,根据学校有关会议精神,在学校安全工作委员会和网络安全与信息化工作领导小组的统一领导下,进一步落实网络安全责任制,构筑校园网络安全防线,现将相关事宜通知如下:
习多次强调“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”,网络安全是总体国家安全观的重要内容,各单位要站在讲政治的高度,充分认识到网络安全的重要性。要坚持“网络安全为人民,网络安全靠人民”,要充分认识到维护网络安全是学校全体师生医护员工的共同责任,需要各部门、所有人共同参与,共筑网络安全防线。要遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,落实好主体责任,不折不扣地做好各项网络安全保障工作,切实提高网络安全防范和化解网络安全重大风险的能力。
上述部门反馈结果为,学校网络安全形势严峻,信息系统(平台)安全漏洞复杂、多样,重要敏感数据泄露面临较大风险。各单位要主动学习《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人隐私信息保护法》《中华人民共和国反电信网络诈骗法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》《网络暴力信息治理规定》《数据出境安全评估办法》等法律和法规和规章制度,并在广大师生医护员工中间开展有关规定法律法规普及教育工作,坚持依法上网、依法用网,守牢网络安全底线。
各单位要强化本单位所开设网站、微博、微信公众号等具有内容发布功能媒介的管理,规范内容表述,定期开展网络专项巡查。要全面摸排、清理媒体所挂接的外部链接和附件信息,及时清洗整理过期和失效外站链接和内容,及时清除有个人敏感信息的内容。门户网站、电子邮件系统等重要对外服务网站应在做好重点防护的基础上,保障访问畅通。严格落实内容发布“三审三校”制度,严格管理内容发布账号权限和口令。各单位对于长期疏于管理的网络、新媒体账号等须及时注销。各单位新设、变更或终止网站、新媒体等平台,须及时向党委宣传部申请登记备案。
各单位要做好自查工作,全面排查正在运行的网站、系统(平台)、小程序、微应用等各类接入互联网的数据资产,重点排查本单位双非(非学校域名和IP)系统(网站)和使用频率低、长期未更新、无专人运维的“僵尸”系统(网站)、虚拟货币挖矿行为等,充分认识到弱口令、默认口令、通用口令、长期不变口令、API接口越权、代码注入等带来的严重安全风险隐患。根据排查情况,及时修复高危漏洞,关闭非必要端口的服务,定期更新或升级陈旧版本基础软件和通用软件,关停僵尸主机、系统,坚持做好系统数据备份和备份数据验证,对重要敏感数据进行加密、脱敏,及时补齐网络安全和数据安全短板,避免“一点突破、全网皆失”。对于排查出的双非信息系统(网站)、僵尸系统(网站),须及时向信息化建设与管理办公室报备、关停。
各单位应加强本单位数据资产梳理及更新工作,采取比较有效措施保障本单位各类网络系统(平台)的安全运行,确保本单位主管的网络系统(平台)安全风险隐患清零,严禁存有安全风险隐患的系统(平台)在线运行。对采购或委托开发的各类网络系统(平台)和购买的网络信息服务,应加强供应链安全风险监测,充分的利用法律手段,确保网络信息(数据)安全,要重点加强对通用产品和重要信息系统网络安全与数据安全的保护措施,严防“连片式”安全事件。对无业务加载、无专人运维的信息系统(网站)应采取访问控制的措施。
各单位要格外的重视网络安全预警监测和整改工作,网络信息安全员对反馈的涉及本单位的网络安全预警信息,要及时向本单位主管领导和主要领导汇报,要强化重要时期网络安全保障工作,做到早发现、早预防、早处置,发现或反馈的安全漏洞务必在规定时间内整改到位。如发生网络安全事件,应严格按照《河南大学网络与信息安全事件应急预案》(校发﹝2022﹞93号)文件要求,果断采取一定的措施,将负面影响降到最低,尽可能降低损失,并迅速报告学校相关部门。
网络安全事关全校师生医护员工切身利益,各单位务必格外的重视,相关职能部门要加大工作指导、抽查和检查力度,主动作为,坚持重点抽查和日常检查相结合,严防个人敏感数据和学校重要数据泄露,保障学校不发生重特大网络安全事件。