学校“关于开展网络安全综合治理工作的紧急通知”

来源:信息科学与技术学院  作者:沈四春  日期:2017-09-29  点击数:248

校内各单位:

按照近期教育部和四川省教育厅的统一部署和要求,为更好贯彻网络安全法,做好重要时期网络安全保障工作,学校现全面开展网络安全综合治理工作,请各单位务必将此项工作视为当前阶段的重要政治任务,积极配合,确保工作顺利完成。

一、    高度重视,落实责任

根据《西南交通大学网络与信息安全管理办法》(西交校【2017】11号)文件规定,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,学校各单位对本单位网络安全与信息化工作负主体责任,各单位主要负责人是本单位网络与信息安全的第一责任人。凡具有信息系统、网站和学校固定IP的单位,请在线填报《西南交通大学网络信息服务年审备案表》并网上打印,由单位负责人签字盖章;同时,签署《西南交通大学校园网信息安全责任承诺书》,报学校党委宣传部(犀浦校区综合楼515办公室),联系电话:66367039,填报网址:http://icp.swjtu.edu.cn/。未按要求完成填报的将予以关闭网络服务。920日前完成


二、信息系统和网站清理

1. 清理僵尸信息系统网站)( 928日前完成

根据相关要求,符合如下条件之一,可视为“僵尸”信息系统(网站):年访问量在1000人次以下;长期180天以上未更新;每年录入的信息在100条以下;专题网站已完成工作使命;安全威胁长期不修复;系统无人运维或运维缺乏基本保障。

请各单位对照以上标准,对所属“僵尸”信息系统(网站)进行排查和清理,关停僵尸信息系统(网站),消除安全隐患。

自9月29日起,信息化与网络管理处将组织技术力量对校园网内的信息系统和网站进行扫描,对存在安全威胁的信息系统和网站,以限制系统互联网访问作为处置方式,并予以通报。关停整改的信息系统须通过安全评估和网络安全测评后方可重新上线,评估报告和测评报告报学校网络安全与信息化领导小组。

2. 清理双非信息系统 网站)( 928日前完成

校内各单位须以IP地址和域名为依据全面排查。“双非”是指:学校所属的信息系统和网站使用非学校IP地址和域名,或者非学校所属的信息系统和网站使用学校IP地址和域名,西南交通大学域名为*.swjtu.edu.cn。请有“双非”信息系统和网站的单位认真填写《**单位“双非”信息系统(网站)统计表》(附件),于2017920日前报送到信息化与网络管理处,邮箱:security@swjtu.edu.cn。

1)使用非学校IP地址和域名的网站和信息系统,需要于9月28日之前完成迁移到校园网统一管理。对不纳入统一管理的,需要单位主要负责人单独签订安全承诺书,交学校网络安全与信息化领导小组备案。并如逾期未报、瞒报,或拒不纳入统一管理的,一切后果自负。

2)非学校所属的信息系统和网站使用学校域名和IP地址的网站,必须一律关停。

在排查过程中,凡有发现署有学校及校内二级单位名称,但不属于学校各单位管理的信息系统和网站,或是调试、备份所用的遗留网站,以及钓鱼网站和仿冒网站等,可以向信息化与网络管理处举报(邮箱:security@swjtu.edu.cn,电话:66366554)。

3. 加强信息系统规范管理持续推进
以本次治理工作为契机,信息化与网络管理处将着力解决信息系统小散乱问题,原则上校内各单位网站应纳入学校网站群平台管理,按照《中华人民共和国网络安全法》要求,严格执行国家网络安全等级保护制度,依法落实所属信息系统的等级保护定级、测评及整改工作,达到相应的等级标准。

三、加强网络安全防护措施

1. 加强基础网络的防护措施 920日前完成

请各单位对所属办公区域的所有无线热点进行排查,办公区原则上必须使用具有身份认证功能的WIFI热点。禁用无授权无线热点,禁用无安全措施的无线热点,禁止无线密码使用弱口令,无线密码不能共享到互联网和APP。

使用无线路由器的单位或个人,需加强对无线路由器的管理,无线路由器所用校园网上网帐号的登记人为该无线路由网络的责任人,通过其路由网络上网所造成的危害和损失由责任人承担。此项工作长期执行

2. 加强重点网站的防护措施108日前完成

重点网站主要是指学校的门户网站。同时,包括主要的对外服务网站。

相关单位须组织网站开发商,对重点网站的系统架构进行梳理与调优,对涉及Struts2的系统网站进行重点排查,分析内部安全区域划分是否合理,安全策略是否有效,网站系统的前台、后台需要分离部署,前台应采用静态页面方式,后台应与互联网隔离。109日至1027日期间可供校外访问的网站首页原则上只能提供静态网页服务

针对新上线的栏目及功能,需委托具备信息安全评估资质的专业机构进行安全评估,确认整改完成后方可上线运行。近期禁止系统变更

3.加强重要信息系统的防护措施108日前完成

重要信息系统标准如下:系统有100万以上个人数据,或涉及核心业务(招生、考试、学籍、资助、教师管理),或全国范围部署。以上条件满足一个条件即属于重要信息系统。

各单位需对重要信息系统的资产与帐户进行排查,排查范围包括应用系统、中间件、数据库、操作系统等组成部分。

1)删除、禁用与业务无关帐户,并将口令设置为不小于12位、至少三种字符组合的口令,禁止多个帐户使用同一口令,需对口令登录尝试次数进行限制,有条件的单位可以采用双因素认证等其它安全模式进行高强度用户认证;

2)重要信息系统至少要建立独立的数据库实例,针对各信息系统数据库实例设置最小权限的管理账户,并严格控制数据库管理员帐户的操作行为;

3)根据业务需求制定数据离线保存策略,并做好数据离线保存及数据迁移工作;

4)加强对重要信息系统非授权访问行为的安全审计。


四、加强组织领导和工作保障

1. 加强组织保障930日前完成

各单位须认真按照通知要求,通过举行专题办公会专题研究、部署本单位的网络安全保障工作。学校将在9月底前组织开展网络安全工作的专项培训,系统部署工作,提高各单位的网络安全意识。

2.加强监督通报10月底前

现阶段到10月底前,校内将实行网络情况监督通报,如遇紧急网络安全事件,须遵照《西南交通大学网络与信息安全事件应急预案》(《西南交通大学网络与信息安全管理办法》(西交校【2017】11号)附件8)进行处置,各单位网络安全工作联络人要保持 24 小时通讯畅通。



学校网络安全与信息化领导小组办公室

    信息化与网络管理处

    党委宣传部

    2017年9月15日