各企业:
为落实《中华人民共和国网络安全法》以及教育部等相关文件要求,保障“国庆70周年”等重要时期产业系统内网络安全,经产业投资公司网络与信息安全工作组讨论,现将做好产业系统内网络安全相关工作安排通知如下:
一、全面落实网络安全责任制
根据《大连理工大学网络安全管理办法(修订)》的规定,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各企业分别负责本企业主管、运维、使用的各信息系统及内部网络的安全工作。
各企业信息化负责人为本企业网络安全的第一责任人,负责规划、监督本企业的网络安全工作;信息化专干负责组织、协调本企业的网络安全工作。
请各企业对照规定,切实落实网络安全责任,完善内部管理制度及应急处置预案。
二、开展企业网络安全自查工作
从即日起至9月26日,请各企业开展网络安全自查,并填写附件1的网络安全自查表,在9月26日下班前将电子版通过邮件发送到产业综合行政部,纸质版由企业信息化负责人签字并加盖公章后送交产业综合行政部。
自查内容包括:
1.清理“僵尸”信息系统
按照教育部文件说明,符合以下条件之一的信息系统即为"僵尸"信息系统,"僵尸"信息系统基本已无存在意义且存在管理漏洞和安全隐患,因此要求各企业尽快注销删除:
a) 使用频率低(年访问量1000人次以下)
b) 长期未更新(180天以上未更新)
c) 专题网站已完成工作使命
d) 无专人运维或运维缺乏基本保障,安全隐患长期不修复的视为缺乏基本保障
2. “双非”信息系统的治理
根据教育部文件说明,“双非”信息系统指使用非学校域名、非学校IP地址建设的信息系统。按照学校信息化和网络安全建设管理相关规定,“双非”信息系统不属于学校官方行为,不得使用学校资金建设,不得使用校名、校徽等学校标识,一切网络安全责任由系统校内相关单位(包括建设使用单位、资金提供单位、宣传推广单位等)及所有参与人员承担。对于必须使用校外云服务的特殊信息化项目,按照学校信息化和网络安全建设管理相关规定,要完成立项、建设、运维等相关流程,并在采购文件和合同中应明确要求由云服务提供商负责项目的网络安全建设,由校内主管单位及云服务提供商共同承担网络安全责任,未按学校规定建设的此类系统同样属于“双非”信息系统。
请特别注意在校外搭建的各类测试、演示系统,不要随意使用校名、校徽等学校标识,否则均按照“双非”信息系统处理。
请各企业开展“双非”信息系统排查,对于排查出的此类系统,如不再使用应尽快关闭,如仍需使用,请按照学校信息化建设管理规定进行建设。
3. 加强各类办公密码的安全保护
各类办公密码包括本企业主管的信息系统管理后台、数据库、办公计算机、打印机、LED大屏、网络摄像头、网络设备、微信公众号、微博等软硬件设备和自媒体平台的密码。办公密码保护内容包括清理弱密码,确定密码管理、使用人员,定期修改密码,避免密码泄露等。
根据教育部文件要求,弱口令包括简单密码、默认密码、通用密码、长期不变密码等,弱口令问题一直都是校内网络安全主要问题之一,也是最容易被利用和攻击的一类漏洞,且可以造成非常严重的后果。请各企业高度重视此问题,对于弱口令问题进行彻底清理。
各企业应明确各类管理密码的管理、使用人员名单,且管理、使用人员应为校内在职教工。密码管理人员应按照校内相关制度、要求进行密码授权,不得超范围授权密码使用,并定期对密码进行修改;密码使用人员应妥善保管密码,不得造成密码泄露,不得私自授权他人使用密码。
4. 彻底检查各信息系统安全状况
请各企业对主管的信息系统网络安全状况进行彻查,包括:高危漏洞的排查,非必要端口、服务、文件的清查,陈旧版本基础软件和通用软件的更新,调整访问控制范围避免超范围访问。
5. 加强自建局域网接入安全管理
各企业应对本企业自建的有线、无线局域网进行自查,对于局域网使用者进行实名登记,确保局域网接入的可控。清查无线网络环境,对于自建的无密码、弱密码、无人管理、管理失控的无线局域网,应尽快整改或关闭,如要继续使用,应立即更换密码,明确管理员,落实网络安全管理制度。各有线、无线局域网所使用校园网IP的登记用户为该局域网的网络安全直接责任人,对所出现的网络安全问题承担主要责任。
6. 加强对其它信息化应用及服务管理
各企业应加强本单位主管的LED大屏、网络摄像头、微信公众号、微博等设备、自媒体平台的管理,开展网络安全自查,消除安全隐患,落实网络安全保障工作,避免出现不良信息等内容安全问题。
三、加强重要时期企业信息系统的网络安全防护与应急响应
1. 网络防护策略调整
9月30日~10月7日期间,学校将建立对外开放系统白名单,不在白名单内的信息系统将全部限制在校园网内访问,在校园网外可通过学校的WebVPN或VPN访问。白名单系统的确认必须符合以下三个条件:
1) 安全性:信息系统建设在技术、管理、人员等方面有完善的保障措施。
2) 必要性:信息系统必须对外开放才能正常使用,并且信息系统是学校日常教学、科研、校务管理必不可少的。
3) 历史安全记录:2017年至今,信息系统无不良安全问题记录。
网信中心初步拟定对外开放系统白名单,见附件2,如仍有满足上述条件的系统,相关负责企业向产业投资公司提出申请,统一报网信中心加入白名单。如信息系统不满足上述条件但仍要开放,由产业投资公司审核后向学校网络与信息安全工作组申报,审批通过后可开放,申报需提供以下材料:
1) 由部门信息化负责人签署的网络安全承诺书(附件3)
2) 信息系统安全技术保障方案及相关人员名单,其中必须有校内人员专门负责技术保障
3) 信息系统网络安全事件应急处置预案
4) 信息系统24小时值守方案及人员安排
2. 应急响应与值守
根据网络安全法及教育部文件要求,网信中心已制定校内网络安全事件应急预案及网络安全值守计划;重要时期学校白名单列表系统的主管企业应制定针对相关系统的应急响应预案以及本企业的值守计划,相关负责人、联系人、管理员等应保持手机24小时畅通;对于其他企业建议参考学校的应急预案,结合本企业实际情况,制定有效的应急处置方案。
3. 新系统上线
9月23日至10月7日期间上不允许各类新信息系统上线,原有信息系统不允许进行较大的升级,请各企业按此要求做好项目进度规划。
四、加强对独立机房的安全自查和管理
有独立机房的企业,须严格按照网络安全法、教育部文件和学校规定开展网络安全工作,落实网络安全责任制,制定网络安全管理制度、应急预案、24小时值守方案,并按照法律法规完成日志留存、网络安全等级保护等相关工作。
五、工作要求
请各企业高度重视上述网络安全保障工作,按时完成自查工作并反馈相关材料,强化重要时期网络安全保障,确保顺利完成保障任务。
联系人:牟秀玉
联系电话:84708688
联系邮箱:muxiuyu@
大连理工大学产业投资有限公司
综合行政部