近期，国内部分科研机构、高校网络系统被攻击入侵，大量科研人员和高校师生信息被窃取，涉及科研、教务、图书馆、期刊等信息系统，具体问题包括：系统存在弱口令或缺少强认证措施，重要内部业务系统直接暴露于互联网并存在安全漏洞未修复，个人敏感信息随意发布等现象。

为防范风险，消除隐患，按照上级通知精神，结合工作实际，拟在全校范围开展专项治理，进一步加强学校网络安全和个人信息保护，请各单位（部门）高度重视，立即组织本单位（部门）开展相关风险隐患排查与整改工作，具体要求如下：

一、领导加强重视。

请各单位（部门）网络安全第一责任人或直接责任人立即组织部署隐患排查与整改工作。

二、加强身份认证安全。

（一）梳理本单位（部门）主管的信息系统，确保所有系统用户入口都纳入学校服务大厅统一管理，不得单独设置入口，避免存在弱口令登录或缺少强认证措施等现象。

近期，网服中心将开展身份信息核验工作。通过调用公安部身份信息接口，对全校用户的实名信息进行核验，未通过实名核验的用户将无法登录服务大厅。

（二）梳理本单位（部门）主管的信息系统，清除所有系统测试管理员帐户、僵尸账户，后台管理员账户一定使用高强度密码（包含大小写字母、数字、特殊字符，至少8位）。

三、确保漏洞清零。

梳理本单位（部门）主管的信息系统，协调系统的运维单位，重点排查越权访问、任意文件上传、SQL注入等安全漏洞，及时升级打补丁，对系统采用https等方式进行加密传输。

四、收敛互联网暴露面。

梳理本单位（部门）主管的信息系统，按照“非必要不对外”原则，减少外网访问服务，禁止无安全措施的远程访问，设置最小化访问权限。协调系统的运维单位，设置高强度主机安全防护措施。

五、加强个人信息保护。

梳理本单位（部门）发布的通知信息，重点排查网站上批量暴露的师生工（学）号、身份证号、手机号等敏感信息，发现后立即删除，或做脱敏处置。

六、提升师生网络安全意识。

采用多种渠道和形式，开展网络安全宣传培训。加强个人办公电脑、手机、移动存储介质、学术资料等安全保护措施，严防失泄密情况。

七、落实网络安全责任。

梳理本单位（部门）主管的信息系统、网站（未部署在站群上），与系统运维单位签订安全保密协议或网络安全责任承诺书，明确网络安全工作分工。

请各单位（部门）将安全保密协议或网络安全责任承诺书复印件（原件由主管单位保管）汇总，于12月22日（周三）报送至何章科，网络信息中心303室，联系方式84729283。

                          网络安全和信息化委员会办公室

                           2021年12月14日