关于进一步加强校园网络安全防护工作的通知
校园网用户:
近期,国内多所高校发生因弱口令、病毒入侵及违规搭建信息系统引发的网络安全事件,导致教学科研数据泄露、业务系统瘫痪等严重后果。
为切实保障校园网络基础设施安全、师生个人信息安全及学校核心数据安全,维护学校声誉和合法权益,依据《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规及公安厅、网信办、教育厅等上级主管部门要求,结合我校实际,现就加强网络安全防护工作通知如下:
一、严格规范账号密码管理,杜绝弱口令风险
各单位及个人管理和使用的网络和信息系统,存在的默认用户名和默认口令、通用口令及长期不变口令均统称为弱口令,包括但不限于网站、电子邮箱、应用系统、虚拟机、数据库、中间件、服务器、端口服务、网络设备(无线网络)、安全设备、终端设备、官方新媒体账号的各类涉及口令的网络资产。
弱口令是当前最普遍、最易被利用的安全隐患,极易被黑客通过暴力破解等方式获取账号权限,进而窃取数据或控制设备。全体师生及各相关单位需立即开展自查整改:
1.排查并更换弱口令:组织开展用户密码复杂度检查,认真做好弱口令修改工作,并及时关停测试账户、离职员工账户、僵尸账户等。严禁使用“123456”“admin”“学号/工号”“生日”等简单组合作为账号密码,新密码长度应不少于12个字符,由随机组合的字符构成,包括大写字母、小写字母、数字和特殊符号等,但不应使用常见的、有规律的词语或模式,且确保密码的唯一性,即为每个网站或应用创建独一无二的密码。
2.定期更新密码:校园网账号、信息系统管理员账号、服务器管理账号等关键账号,需至少每3个月更换一次密码,避免长期使用同一密码。
3.避免密码复用:禁止在校园系统与外部平台(如购物网站、社交软件)使用相同密码,防止因外部平台数据泄露牵连校园账号安全。
4.强化口令保管:应妥善保管口令,严格使用权限,严禁在开放空间张贴口令,严禁使用相同渠道传递账号和密码、严禁将口令直接交由第三方运维人员掌握。
校内各相关单位应进一步加强组织领导,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,将本次排查整改作为落实党委网络安全责任制的重要举措,认真组织实施。应加强网络安全宣传教育,进一步提高本单位师生的网络安全意识,深刻认识密码管理对网络安全、数据安全的重要性,杜绝弱口令。
二、严禁以学校名义私建信息系统,规范系统建设流程
未经审批私建信息系统存在严重安全漏洞,可能导致数据归属不明、责任无法追溯,甚至被用于虚假宣传、诈骗等违法活动,现明确要求:
1.禁止私建行为:学校各单位开办互联网网站,应使用学校互联网域名和校内IP地址,需使用校外数据中心的,须经网络安全和信息化工作领导小组批准。任何单位或个人不得擅自搭建含有“太原理工大学”明显标识(包括但不限于学校名称、校徽、校旗、校训、校庆标识等)及校内部门名义命名的网站、APP、小程序等信息系统。严禁教师或学生未经批准在公网以太原理工大学名义搭建实验类、课程设计类、毕业设计类等信息系统。
2.完善审批备案:确因教学、科研、管理等需要建设信息系统的,需先向信息化管理与建设中心提交信息系统开通申请,经技术评估、安全审核通过后,方可按规范流程建设。
对于已私建相关系统的单位或个人,需于本通知发布之日起向信息化管理与建设中心说明并及时完成整改。若未完成整改的,将视情节轻重,采取限制访问、关闭服务等措施;对于因上述问题引发网络安全事件的,将依法依规追究有关单位和人员责任。
三、强化病毒防范意识,做好主动防御措施
当前“银狐”等恶意程序仍处于高发态势,可通过邮件附件、U盘拷贝、漏洞攻击等方式传播,轻则导致文件加密、设备死机,重则窃取敏感数据、破坏系统功能。全体师生需重点做好以下防范工作:
1.安装防护软件:个人电脑、办公设备需安装正版杀毒软件,并开启实时防护、自动更新功能。
2.警惕风险传播途径:不打开陌生邮件附件、不点击不明链接、不随意插入来源不明的U盘/移动硬盘,确需使用的,需先通过杀毒软件扫描。
3.及时修复系统漏洞:定期检查操作系统、办公软件、浏览器等是否存在安全漏洞,及时安装官方发布的补丁程序,避免病毒利用漏洞入侵。
4.遭遇病毒及时上报:如发现设备出现文件异常加密、弹窗勒索、运行卡顿等疑似感染病毒的情况,需立即断开网络,避免病毒扩散,并第一时间联系信息化管理与建设中心。
四、重视数据安全保护,落实数据管理责任
教学科研数据、师生个人信息、学校行政数据等均属于核心敏感数据,一旦泄露将严重损害学校及师生权益。各单位及全体师生需切实履行数据安全责任:
1.严守法律法规:严格遵守《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全法》等法律法规及学校相关管理制度,建立健全数据分类分级保护制度,明确各类数据的安全管控要求,确保数据处理活动的合法性与规范性。
2.强化数据管控:对教学、科研、管理等业务中产生的重要数据、师生个人信息、未公开科研成果等敏感信息实施全生命周期安全管理。建立从数据采集、存储、传输、使用到销毁的全流程管控机制,严格访问权限审批,确保数据操作留痕可溯,防止数据被非授权访问、篡改或破坏。
3.规范数据传输:严禁通过互联网邮箱、即时通讯工具等非加密渠道传输任何涉密或敏感数据。传输重要工作数据必须使用学校批准或提供的加密传输平台、VPN等安全通道,确保数据传输过程的安全性与完整性。
4.规范数据存储:禁止将学校敏感数据存储在个人网盘、外部云存储平台或非办公设备中,确需校外传输的,需使用特定加密传输工具,并对存有敏感数据的移动存储设备(包括U盘、移动硬盘、笔记本电脑等)实行严格的保管制度。
5.保护个人信息:不随意向他人泄露自己的校园网账号密码、身份证号、银行卡号等敏感信息,不在公共网络环境下(如网吧、免费 WiFi)登录校园核心系统。
网络安全无小事,防范责任重于山。请校内各单位根据通知要求,开展全面自查整改;全体师生需提高安全意识,主动落实防护措施。对于因违反本通知要求而导致网络安全事件发生的,上级主管部门将视情节轻重追究相关单位及个人的责任。
网络安全事件报告与技术支持联系方式:
电话:0351-6011050
信息化管理与建设中心
2025年9月30日