各单位、部门:
近期,我中心发现多起单位(部门)网站通知公告内容涉嫌泄露师生隐私数据、或因含有不良信息外链(涉及赌博网站、黄色网站等不良信息)而收到省厅网络安全主管部门通报的情况。根据上级文件精神要求,为进一步加强网络与信息安全管理工作,强化网络安全责任,净化网络空间,避免师生个人敏感信息泄露,杜绝网络安全事件发生,根据我校发布的广油〔2022〕15号《广东石油化工学院互联网网站管理办法》规定,现开展网站和信息系统自查整改工作。具体如下:
一、自查内容
1.自查网站不良信息链接情况,网站内容中是否存在非法的链接、网址,指向赌博、黄色、诈骗网站等不良信息。
我中心巡查发现,绝大多数不良信息链接是由于通知公告发布时引用了当时正常的校外域名,经历若干时间段后该校外域名过期失效,又被他人注册用于发布非法内容导致。例如,某学院发布招聘信息中的原企业官网链接;某部门发布的活动通知中的报名地址;某实验室网站友情链接中的某平台网站链接。
2.自查网站涉及个人敏感信息情况。
奖学金、助学金候选人、三方解约、发展对象等通知公告公示内容,未经脱敏处理显示当事人身份证号码、银行卡号、家庭住址、手机号(公开手机号码用于工作联系不算敏感信息泄露,但应在一定时段后删除或打码)、家庭经济困难原因等个人及家庭敏感信息。
3.自查信息系统弱口令情况。
主要检查系统测试、试运行阶段所用账号是否已删除或停用;是否禁用或删除不必要的账号;是否修改默认(缺省)密码;现有管理员和用户密码是否存在弱口令;是否强制启用复杂密码策略(字母+数字+特殊符号,长度大于8位)。
4.自查本单位实名制用网情况。
有无存在盗用、借用、共享帐号上网的行为,按照《中华人民共和国网络安全法》等法规和要求,用户必须实名制认证上网,严禁盗用、借用(包括共享)帐号。
5.明确网站、信息系统管理员(安全员)
网站、信息系统管理安全责任要落实到人,专人负责,安全员管理账号不得转给其他人使用。若有人员变动,请及时更新。为尽快处理网络安全事件,消除不良影响,保证网络安全,请各单位、部门明确网络信息安全员1名,按附件填写安全员信息并加盖公章。
二、自查范围
各单位、部门的网站及业务系统及所发布的新闻、公示正文、附件里的内容及链接。
三、自查方式
1.不良链接
请单位、部门安排专人逐一自查负责网站的每一个校外网址和链接是否能跳转到正常的网页。建议保留gov.cn和edu.cn域名链接,其它超级链接一律删除。
2.个人敏感信息
已公布的个人敏感信息进行脱敏、打码处理,已过公示期的个人信息应予以删除。
3.弱口令
各类信息系统和网站要强制启用复杂密码策略(字母+数字+特殊符号,长度大于8位);重要的信息系统和网站启用双因子登录认证(用户名、密码+手机短信验证码);及时删除离职人员账户、严格审计访问行为。
4.实名制用网
按照《中华人民共和国网络安全法》等法规和要求,用户必须实名制认证上网,严禁盗用、借用(包括共享)帐号(包括各类管理员帐号)。
四、自查结果反馈
各单位、部门填写附件中的《网站和信息系统自查表》(相关栏目无相关情况的,内容写“无”)、《网站和信息系统管理员名单》,纸质版经单位、部门领导签字盖章后,通过OA发送扫描版报送网络与教育信息技术中心(纸质版自行留存备查)梁高燕老师。以上自查及OA材料提交,请于2022年9月5日下午下班前完成,相关情况将汇总后在9月份学校网络安全工作会议上通报。
网信中心联系人:梁老师,0668-2944728。
网络与教育信息技术中心
2022年9月1日
网站和信息系统自查表
单位名称(盖章): 单位主要负责人:
序号 |
存在问题(可附截图) |
链接(网站)地址 |
处理结果 |
1 |
网站不良信息链接 |
|
|
…… |
|
|
2 |
个人敏感信息 |
|
|
…… |
|
|
3 |
弱口令 |
xxx系统/网站 admin 帐号 弱密码 |
已修改为强密码 |
…… |
|
|
4 |
实名制用网 |
张三 借用/共享 李四帐号上网 |
已停止借用/共享,并对当事人进行教育谈话 |
…… |
|
|
注:灰色斜体为示例。请如实逐条登记,表格数量可自行添加,无此类问题的填“无”。
网站和信息系统管理员名单
单位名称(盖章): 单位主要负责人:
网站、信息系统名称 |
管理员(安全员)姓名 |
工号 |
联系手机 |
邮箱 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
注:网站、信息系统管理安全责任要落实到人,专人负责,安全员管理账号不得转给其他人使用。