各学院、各部门:
根据相关工作通知安排,三亚市公安局等相关部门将于2024年9月20日至9月29日对我校网络安全进行攻防演练。为进一步维护学校信息系统网络安全稳定,提升网络安全防护水平,确保演练期间校园网络的安全稳定,现通知如下:
一、提高思想认识,加强组织部署
请各学院、各部门要充分认识做好网络安全防护工作的重要性,提高政治站位,强化底线思维,落实网络安全主体责任。
二、全面排查整改,消除风险隐患
结合前期网络安全攻防演练的情况,需各二级单位按以下措施自查自改:
(一)需进一步梳理本单位的信息系统(网站)和自有服务器部署情况,清理非本单位域名和IP地址的双非网站。
(二)清理和删除内容长期未更新、无专人运维的“僵尸”信息系统(网站)或子栏目、挂外链接。
(三)严格落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规,对本单位的自有自建信息系统进行安全风险研判,综合考虑系统安全情况和业务必要性后采取不同访问策略。
(四)应建立数据安全防护制度,梳理重点保障对象清单(例如重要岗位教职工的办公电脑保密情况及访问权限)。
(五)门户网站、内容管理、公共展示屏应严格落实内容审核制度,提高防页面篡改能力。
(六)教务学工管理系统、办公系统、电子邮箱系统等管理系统、即时通信工具应强化账号管理和密码复杂度设置,定期修改系统登录密码,不随意告知密码和自动保存密码。
(七)提高所属教职工网络安全防护意识,不打开陌生链接,做到人离开办公区时设置电脑登录密码,下班后关闭电脑,严防办公电脑被陌生人操作等,涉及学校及师生的重要个人信息数据做到严格保密,不随意存放在电脑桌面等,提高防钓鱼攻击能力。
(八)各类网站和系统普通用户账号、办公电脑、FTP共享、共享打印机、WIFI密码、家用路由器等必须设置密码,密码复杂度要求:密码必须包含大小写字母、数字、特殊字符,至少8个字符,定期更换修改;如不懂操作,可咨询网络中心或演练期间关闭暂停使用FTP等共享功能。
(九)各类网站和系统管理员账号等必须设置密码,密码复杂度要求:密码必须包含大小写字母、数字、特殊字符,至少12个字符,定期更换修改。
(十)涉及师生个人信息量大的各类系统、门禁系统、监控系统、服务器、数据库、路由器、交换机以及各种网络设备等必须设置密码,密码复杂度要求:密码必须包含大小写字母、数字、特殊字符,至少14个字符,定期更换修改。
(十一)各系统应使用不同的密码,设置密码不能使用个人相关信息或学校相关信息。比如学校全称的拼音、个人名字的拼音、生日、电话号码等。
(十二)机房、强电房、实验室、教室、会议室等重要场所,无人使用期间,应锁好门窗,避免外来人员未经许可非法操作或破坏电脑等用网设备。在网络攻防演练期间防止校外无关人员混入学校使用校内电脑等设备或者使用校内网络进行横向扫描渗透攻击。
(十三)关闭不必要的网络服务和端口
为了降低潜在的安全风险,请在演练期间关闭不必要的网络服务和端口。包括但不限于:
关闭远程桌面服务(RDP),防止未经授权的远程访问;
关闭不必要的Web服务、FTP服务等;
关闭不常用的TCP/UDP端口,以减少潜在的攻击面。
(十四)安装并更新安全软件
请确保您的计算机上已安装防病毒软件、防火墙等安全软件,并及时更新病毒库和安全补丁。这将有助于防御潜在的恶意软件和攻击。
三、建立应急响应机制
为应对可能发生的网络安全事件,建立应急响应机制。对于扫描发现存在中高风险的学院或部门网站将进行临时关闭处理,漏洞修复后方可恢复运行。请各学院各部门相关负责人员在演练期间保持手机畅通,以便在发生安全事件时能够及时响应和处理。
四、演练期间注意事项
(一)加强排查网站、业务系统存在的弱口令,及时修改为强密码。
(二)加强排查机房实验室的设备(路由器、交换机、服务器等)存在的弱口令,及时修改为强密码。
(三)不用的网站、系统、设备应关尽关。
(四)系统登录界面不能设置账号或密码的提示信息。
(五)删除网站发布的师生个人完整信息的新闻(如名字、学号、身份证号、电话号)。
(六)机房、强电房、实验室、教室、会议室等重要场所,无人使用期间,应锁好门窗。
(七)攻防演练期间,加强检查外来人员入校,防止攻方人员混入办公区。
(八)请勿点击来源不明的链接或下载不明附件。
(九)非必要,暂关闭所有公共计算机的连外网功能。
(十)请勿在演练期间进行与演练无关的网络活动。
如发现可疑的网络行为或安全事件,请第一时间联系网络中心反馈处理。
演练结束后将根据攻防演练扣分情况,对已提醒的网络安全自查自纠内容但仍未重视落实整改的学院或部门进行通报。请各学院部门高度重视,对所属全体教工做好通知提示,安排专人监督提醒所属教职工和所属管理区域按照以上说明进行全面自查自纠整改,共同做好校园网络安全防护工作。如有疑问或需要帮助,请及时联系网络中心,办公电话:88386818。
2024年9月19日
