各学院(部)、部门:
为进一步提高学校网络信息安全防护能力,有效防范和抵御安全风险隐患,根据《网络安全法》等法律法规的相关规定,按照上级部署要求,就近期校园网络安全工作通知如下:
一、高度重视近期网络信息安全保障工作
各单位要切实增强认识,高度重视网络信息安全管理。按照“谁主管谁负责、谁主办谁负责”的原则,坚持保护与管理并重,落实网络安全管理责任分解,明确各单位主要负责人对本单位主办的网站、新媒体、各类系统、大屏幕等的网络安全负总责,网站内容审核员、管理员和信息发布人员负直接责任,切实把安全管理和责任落到实处。
二、开展校园网络信息安全隐患排查
学校将组织开展校园网络安全专项检查,全面梳理排查风险隐患并及时整改。
1.各单位自查。各单位对各自的网络平台,对照内容安全和技术安全标准一一核对自查,并及时按照要求进行整改。
内容安全:各单位网站、以杭州师范大学为主体注册的新媒体平台、以非杭州师范大学为注册主体但名称中带有“杭师大”、“HZNU”等学校相关信息和带有学院、系所等名称的新媒体平台发布的内容要坚持正确的政治方向、舆论导向和价值取向,不发生错误导向、错误表述及含有不良信息链接内容等情况。
技术安全:彻底清查本单位主办的网站、系统、联网的显示屏等网络平台资产,对照网站日常管理的要求规范进行核查,尤其是不得以师生个人注册运营学校、学院的新媒体平台,管理后台不得使用弱口令账号密码,存在网络中高风险漏洞的应暂时关闭网站并及时修复等。
2.检测抽查。学校将对全校网站、新媒体平台等所发布的内容进行抽查,对全校网络平台进行全方位技术检测,排查技术隐患。
3.落实整改。对存在内容安全问题和技术隐患的网站、系统,学校将通过发送《网络安全隐患告知单》告知网站主办单位,限期整改。
三、加强网络安全日常管理工作
1.严格执行学校网站、新媒体备案登记制度。校内各单位设立的网站、新媒体,须经党委宣传部备案同意。相关网站由信息中心开通HZNU.EDU.CN网站域名,不得在未经审批同意的情况下,私自申请非HZNU.EDU.CN域名网站。网站需要终止或撤消时,主办单位须书面办理注销手续。
2.落实校园网络安全责任。按照“谁主办谁负责”的原则,主办单位对网站、新媒体平台的形式、内容、运行等负全责。所发布的信息须经主办单位负责人审核后方可发布,确保发布的内容符合规定。
3.加强网站日常运行安全防护工作。各网站管理员要针对网站可能存在的安全漏洞、弱口令(例如使用“123456”、“123abc”、办公电话号码)等突出问题,认真加以整改,提高密码强度(密码必须为3种类型代码组合的中等以上口令)。不得多人共用一个账号管理网站,要通过网站群权限分配功能,合理分配信息员实名制账号(分配时应明确工号、姓名信息),并督促信息员做好账号保管等工作。各网站管理员要认真学习站群管理平台操作程序,提高网管水平。对独立服务器建站(含向信息中心申请使用的虚拟服务器),应加强服务器日常运行监控,及时升级系统补丁,关闭不必要的网络端口、共享访问以及远程桌面连接,安装并及时升级杀毒软件,定期更换服务器密码等,不得私设或开启网站服务以外的功能,不得以独立IP地址访问方式提供网站访问服务。
4.加强师生个人隐私数据和学校核心业务数据保密。不得在学校各级各类网站、平台直接以明文方式(含附件形式)公布师生个人隐私数据和学校不宜公开的核心业务数据。师生个人隐私数据包括身份证件号码、通信通讯联系方式、个人生物识别信息、银行账号、通信记录、住址、健康生理信息、交易信息、账号密码、财产状况、行踪轨迹等。因上级要求必须公开公示的,应对隐私数据的部分内容用“*”代替进行脱敏处理。如手机号码:1355*****12。
5.要加强师生个人电子邮件、认证账号、电脑终端等的安全管理。要防范钓鱼邮件,对于要求提供个人信息或学校业务数据的邮件,要谨慎对待并再三确认内容的真实性,必要时通过电话与对方确认真实身份,不要随意提供信息。要注意避免使用弱口令的认证密码,防止被他人盗用。要注意保管个人的账号信息,不得将账号借给他人使用。要注意个人电脑等网络终端的安全管理,防止木马病毒等恶意软件入侵导致的信息泄露等安全问题。
6.加强日常巡查和突发事件处置。网站管理员应做好网站的日常巡查工作,对长期无人管理的网站、已经完成工作任务的网站、机构已经不存在的网站要予以关闭,或暂停网站相关服务。新媒体管理员对长期无更新、内容质量较低的账号要予以关闭。对涉嫌网站被黑客攻击、内容被恶意篡改等突发安全事件,应在第一时间报告信息中心和党委宣传部,自主管理的网站或系统应在第一时间断网下线,要保留日志信息与保护现场,等待相关部门调查。
7.及时做好信息更新。各单位要加快网站、新媒体信息更新,不断丰富内容。要切实提高信息获取的完整性、栏目建设的针对性,明确各栏目信息发布内容,注意可读性和实用性,深化信息内涵,提高信息质量水平。
四、近期校园网络防护应急措施
根据上级部门部署,学校将在9月30日至10月24日(暂定,以上级部门通知为准)期间,对校园网络采取以下措施:
1.学校主页每日8:30-18:00对外网开放,其余时段仅限内网访问。学校微门户、网上办事平台、电子通行证平台、认证平台、校园卡充值平台、电子邮件系统、webVPN等核心网站和系统,每日7:00-21:00对外网开放,其余时段仅限内网访问。
2.除上述核心网站和系统外,其余网站和系统在重要保障时期原则上暂停对外服务,仅限校园网内网或webVPN访问。各单位网站平台确因工作需要开放外网访问的,需于9月28日前填写附件表格,经审核后开通。相关单位网站外网开放期间,应落实专人负责网站的安全工作。
3.暂停VPN系统本地用户登录权限,暂停客户端连接方式的VPN服务,仅提供webVPN服务。
4.信息中心将组织值班人员24小时值班,及时排查和处置各类网络安全隐患。
未尽事宜,请与信息中心联系,联系人:叶微波,电话:28865883。
学校办公室、党委宣传部、信息中心
2022年9月27日
