全校各学院、各部门:
为深入贯彻落实《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和国家网络安全等级保护制度,按照自治区教育厅相关部署,经学校网络安全与信息化领导小组研究,决定在校内开展2024年度网络安全检查工作,相关工作安排通知如下:
一、落实校内网络安全责任制,完善制度及人员配备
根据《内蒙古师范大学党委贯彻落实网络安全工作责任制实施细则(试行)》【内师党发[2022]30号】的规定,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,由校内各单位分别负责本单位主管、运维、使用的各信息系统及内部网络的安全工作。
各院级单位党委(党总支)书记和各部门主要领导是信息安全主要责任人,分管网络安全的领导班子成员是分管责任人。各单位还需明确本单位网络安全员,负责组织、协调本单位的网络安全工作。请各单位对照检查本单位相关人员配备,并将主要负责人、分管负责人、网络安全员信息在智能填报系统中登记到《内蒙古师范大学2024年网络安全监督检查工作责任人及网络安全员名单》(附件1)中。
请各单位对照相关法律法规及校内规定,切实落实网络安全责任,明确部门内部网络安全管理制度,制度应包括部门主管的信息化资产清单、人员分工及责任划分、应急预案与值守方案、数据安全管理与个人信息保护等必要部分。
二、建立信息系统运维机制
信息化项目的立项单位为该项目网络安全工作的主管单位,项目组负责该项目网络安全工作的具体落实与实施。请各单位全面排查所建设的信息系统(包括部署于校内或校外的网站、移动APP、微信及钉钉等应用),并在智能填报系统中将系统信息登记到《内蒙古师范大学信息基础设施网络资产名录》(附件2)中,务必要做到无一遗漏,如果已经不再使用,须立即销毁。
根据学校信息化项目管理要求,校内各单位应尽快建立本单位主管信息化项目的运维机制,明确运维人员、制定运维方案、建立运维记录文档等。
运维人员可以是主管单位系统管理员,也可以是由承建方人员或者第三方人员负责运维,但运维人员要相对固定,且主管单位的系统管理员应进行有效的监督和管理,切实保证运维方案的落实。运维方案应包括系统运行监控方法、巡检周期及巡检内容、系统异常情况处置流程、系统升级方案、日志留存方案、数据备份与恢复、运维操作手册、运维考核方案等。各单位可根据主管信息系统的重要程度、使用范围、用户规模等因素明确上述各部分内容。运维方案各部分应建立相关文档,记录各项运维操作相关情况,用于未来的故障排查及网络安全审计。
三、落实个人信息保护工作
《中华人民共和国个人信息保护法》已经于2021年11月1日起施行,两高近年也出台了详细的刑法中个人信息保护相关的司法解释,明确了涉及个人信息安全的入刑标准,因此尽快落实校内个人信息保护工作,成为衔接法律、满足合规合法要求的基础保障。请各单位对照《内蒙古师范大学数据管理办法》,认真核查各信息系统建设、使用中是否存在破坏个人信息安全的情况。另外,各单位在非信息化建设场景中,同样要重视个人信息保护,对于广大师生个人信息的采集、使用、存储、共享、删除要严格按照国家法律法规进行,对在互联网中传播、存储的个人信息要展开清查,禁止在各类网盘、社交软件、网站中公开共享师生的个人信息。
四、开展校内网络安全自查工作
从即日起至7月13日,请各单位开展网络安全自查,并在智能填报系统中填写《2024年内蒙古师范大学校内网络安全自查表》(附件3),由部门网络安全负责人审核后,上报信息中心。自查工作内容还包括:
(一)清理“僵尸”信息系统
符合以下条件之一的信息系统(包括网站、移动APP)即为"僵尸"信息系统:
1. 使用频率低(年访问量1000人次以下);
2.页面内容或者数据长期未更新(180天以上未更新);
3. 专题网站已完成工作使命;
4.无专人运维或运维缺乏基本保障,安全隐患长期不能修复。
"僵尸"信息系统基本已无存在意义且存在管理漏洞和安全隐患,因此要求建设各单位应尽快予以销毁。
(二) 治理“双非”信息系统
“双非”信息系统指未经立项审批、未经学校同意而使用了学校标志标识,且使用了非学校域名、非学校IP地址建设的信息系统(包括网站、移动APP)。
校名、校徽等学校标识标志为学校无形资产,未经授权任何单位或个人不得随意在非官方信息系统中使用。对于在校外搭建的各类测试、演示系统,更不得随意使用学校标识。
对于必须使用校外应用云服务的特殊信息化项目,需按照学校信息化和网络安全相关规定相关流程建设,并在采购文件和合同中明确要求由云服务提供商负责全部的网络安全责任,未按学校相关规定、流程建设的此类项目同样属于“双非”信息系统。
请各单位开展“双非”信息系统排查,对于排查出的此类系统,如不再使用,应尽快注销和关闭,如仍需使用,请按照学校信息化建设管理规定,即时向学校报备。
(三)加强校内各类办公密码的安全保护
各类办公密码包括本单位主管的信息系统管理后台、数据库、办公计算机、网络打印机、LED大屏、网络摄像头、网络设备、微信公众号、微博等软硬件设备和自媒体平台的密码。对于在各信息系统中有管理权限的教工,其个人统一身份认证密码应纳入办公密码管理中。办公密码保护包括清理弱密码、建立密码管理机制、避免密码泄露等。
弱密码包括简单密码、默认密码、通用密码等,弱口令问题一直都是校内网络安全主要问题之一,也是最容易被利用和攻击的一类漏洞,且可以造成非常严重的后果。请各单位高度重视此问题,对于弱密码问题进行彻底清理。
建立密码管理机制、避免密码泄露,明确各类管理密码的管理人员名单,且管理人员应为我校在职在编教工;确定密码授权范围,不得超范围授权密码使用;确定密码更新方案;制定密码保管办法,不得造成密码泄露;严禁将所持有的任何业务的账号私自授予他人使用。
特别注意将密码存放在互联网云存储平台如各种网盘,或者随代码托管到代码共享平台如GitHub等都存在安全隐患,请各单位提醒师生不要将办公密码、个人密码通过互联网云存储平台、代码托管平台及其他社交软件共享。
(四)检查各服务器的安全状况
服务器的配置是服务器安全的基础,配置不当就会产生各类安全隐患,甚至直接出现违法风险。服务器应本着专用、最小化、合法合规等基本原则进行安全配置,主动将风险尽量降低。请各有自管理服务器的单位对主管的服务器安全状况进行彻查,包括:
1.服务器中是否安装了与应用服务无关的软件;
2. 服务器中是否安装了远程控制软件如TeamViewer、向日葵等;
3. 服务器中是否有非必要的服务、端口开启;
4. 应用服务所用软件是否为安全版本;
5. 服务器访问控制范围是否为最小;
6. 服务器中是否有备份文件在本地存储;
7. WEB应用系统访问日志是否保留至少180天。
(五)服务器操作系统更新
对于操作系统Windows server 2003、2008微软已经不再提供技术支持,且上述操作系统的开发时间过于久远,存在严重的安全隐患。为解决该问题,学校采购了正版Windows服务器操作系统WindowsSever2016、2019授权,用于学校信息化项目建设。请各单位检查本单位信息系统服务器,如仍在使用上述老旧操作系统,应尽快更换,具体更换方式可联系信息中心确认。
本次自查工作结束后,信息中心将对数据中心中使用上述老旧操作系统的服务器限制访问,原则上Windows2008服务器不得对校外提供服务,Windows 2003服务器将完全与校园网隔离。
(六)加强LED大屏、网络摄像头的管理
各单位应加强本单位主管的LED大屏、网络摄像头的管理,明确专人负责相关设备管理及信息发布,保障设备安全,避免出现不良信息发布或敏感信息泄露。原则上不建议LED大屏联网管理,如一定联网必须接入专网,不得接入校园网、互联网。
(七)加强办公区域网络接入安全管理
校内各单位应加强本单位办公区域的有线、无线网接入管理,严禁使用无线路由器、随身wifi等网络扩展设备。目前我校无线网络已覆盖所有教学、办公、学生公寓,配合5G双域专网覆盖了所有校内公共场所,请使用校园无线网络(imnu-wlan)联网。依据《中华人民共和国网络安全法》第二十四条、第六十一条规定,已覆盖无线网络的区域,禁止使用无线路由器,且要求师生上网严格执行一人一号,实名认证,不得出借上网账号。
各单位应加强对办公电脑设备的管理,要求全面清理、卸载各类与工作无关的软件程序,如炒股软件、游戏软件等,安装正版杀毒软件、操作系统和办公软件,由学校提供正版操作系统和办公软件下载、安装和激活。设置强度较高的密码,减少或避免使用USB存储设备。
各单位应明确专人负责单位办公网络环境管理,按上述要求开展清查,尽快整改。
(八)加强和规范学校微信群、钉钉群、QQ群等新媒体工具的管理。对现有微信群、钉钉群、QQ群开展清理整治工作,具体要求如下:
1.对于功能重复的群,需进行合理整合,不同平台(QQ、微信、钉钉)相似功能的群也需整合,一般一个部门只保留1-2个官方群。
2.对于临时性、阶段性工作群,应在工作结束后及时注销或解散。
3对于长期未使用或使用频率过低的“僵尸群”,应及时注销或解散。
4.对群文件和相册进行整体清理或删除。
5.对所有群成员(含学生群)进行实名认证,并将离职人员或调整工作岗位的人员移出。
6.群消息管理实行群主(群管理员)负责制,群主、群管理员需审核群内发布内容,保障内容合规合法。
五、有独立机房单位的自查要求
图书馆、保卫处、财务处、计算机学院等有独立机房的单位,须严格按照网络安全法、教育部文件和学校规定开展网络安全工作,落实网络安全责任制,落实人员配备,制定网络安全管理制度、应急预案、运维方案,“重保”时期要及时按要求报送《重保预案》和值守方案,并按照法律法规完成日志留存、网络安全等级保护等相关工作。对机房管理人员要按年度开展常规安全培训。
六、组织开展校园网络安全检查
7月5日起,学校将组织技术人员及相关服务机构针对各单位上报的自查结果组织开展技术检测工作。检查期间,学校将对单位的服务器、网站、重要业务系统、云平台、大数据平台、APP、互联网数据库系统、LED电子显示屏系统、物联网和工控系统等开展技术检测和渗透测试,查找网络安全漏洞和存在的隐患。
信息收集完毕后,将组织多支技术队伍深入各单位办公场所,检查办公网络环境整改、制度建设和预案编制情况、制度执行、责任制落实以及重保值班情况,并随机抽测人员联系方式可用性(包括负责人、联络人、运维人员)等。
针对技术检查过程中发现的网络安全漏洞、隐患、问题和风险,学校将进行登记,并向相关单位下发《网络安全监督检查限期整改通知书》,督促限期完成整改并提供书面整改情况,确保问题整改清零。
七、下半年重要时期网络安全保障工作安排
将按照教育厅相关文件要求,结合我校实际情况,点对点通知重点部门进入我校重要时期网络安全协同保障,请相关单位在此期间加强网络安全管理与监控,加强网络安全值守工作,落实个人信息保护工作,发现网络安全问题及时向信息中心通报并做好应急响应。在重保期间,原则上不上线新的信息系统、不对现有系统进行重大升级和调整,根据上级主管部门相关要求,信息中心可能会临时调整校内各信息系统访问控制策略,请各相关单位配合。
八、工作要求
请校内各单位高度重视网络安全检查工作,按时完成各项自查任务并反馈相关材料。对于本次各单位自查反馈问题不准确或有遗漏的问题,如被上级部门查出或通报,学校将按照相关规定对相应部门进行通报,对相应责任人进行处理。同时,本次自查工作情况也将作为本年度校内网络安全工作、信息化建设工作主要考核依据之一。
九、其他事项
(一)报送填报人。
为了更加准确、规范的进行信息化安全检查及填报,各单位均需确定1名填报员,并于7月5日下班前将填报员信息登记表(见附件4)发送信息中心联系邮箱。系统登录及填报方法见网络安全专项检查信息填报操作手册(附件5)。
(二)正式填报。各单位填报员可于7月6日正式登录系统开始填报数据。填报截止时间7月13日。
填报技术支持:郭老师15184714615
联系邮箱:xinxizhongxin@imnu.edu.cn
内蒙古师范大学党委网络安全和信息化委员会办公室