机械工程学院关于加强2021年下半年校园网络安全工作的通知-机械工程学院

机械工程学院关于加强2021年下半年校园网络安全工作的通知

日期：2021-09-30 点击：次

院属各单位：

为做好2021年下半年校园网络信息安全工作，维护我校网络安全稳定，提升网络安全防护水平，按照上级网络安全主管部门和我校网络安全管理工作总体要求，全院各级部门要进一步加强网络安全管理，提升网络安全综合安全防护能力，做好网络安全保障。现就有关工作通知如下：

一、提高认识，切实增强网络安全意识

各单位要充分认识网络安全工作的极端重要性，不断增强“四个意识”，坚定“四个自信”，做到“两个维护”，切实提高防范化解重大网络安全风险的能力，不折不扣地落实好下半年网络安全保障工作。

二、严格落实网络安全责任

各单位要严格落实网络安全主体责任，加强组织领导，系部主任为本单位网络安全第一责任人，要明确本单位网络安全管理员，并结合本单位实际，制定网络安全事件应急预案，健全网络信息安全日常巡查机制、完善网络安全事件上报流程，认真检查本单位建设、管理、运行的网络、网站及信息系统的运行状态，对存在的问题及时整改，全面落实落细工作职责。

三、主要措施

1．进一步加强安全隐患排查。各单位要对所属运行信息系统和信息资产进行全面安全隐患排查，进一步完善系统安全措施和内部管理制度，严防利用系统算力从事虚拟货币非法挖矿行为。对由信息技术中心主动检测扫描发现问题的信息系统和信息资产，采取无条件先关停、后整改处置措施。

2．规范办公邮箱使用。加强对校园办公邮箱的规范管理，严禁使用互联网邮箱处理公务邮件，清理长期不使用的校园公用邮箱，确保不发生办公邮箱安全事件。

3．推广使用校园正版软件。以燕山大学软件正版化管理与服务平台为支撑，加强操作系统和办公软件等相关校园软件的正版化普及工作，为教学、科研、办公提供安全、可靠的计算机软件环境。

4．开展虚拟货币挖矿和交易行为专项整治。加强常态化监测，严禁利用校内系统算力从事虚拟货币非法挖矿行为，对发现利用信息系统算力进行非法挖矿的行为，上级主管部门将严肃追究责任人责任，进行非法交易的，严格依法论处。

5．加强应急演练。根据整体工作安排，不定期开展全校或局部网络安全应急演练。

四、具体要求

1．各单位全面梳理本单位管辖范围内建设、管理、运行（包括本单位师生利用学校资源建设运行）的服务器和信息系统（网站）。未经备案审批的服务器、信息系统（网站）、App等互联网服务严禁发布运行。严禁师生利用校园网资源私自架设和提供信息系统和Web等服务。未经审批校内各单位原则上不允许在校外开设信息服务和存放学校敏感、重要数据。

2．各单位对存在网络信息安全隐患、无业务加载、无人运维、无安防措施的服务，一律予以自行关停，若必须运行，要及时采取提升防护策略、限制访问等必要措施，并尽快与信息技术中心沟通确认。对不使用的各类联网终端设备，及时断网断电，杜绝安全事件的发生。

3．各单位重点排查双非（非本单位IP地址、非本单位域名）信息系统（网站）和使用频率低、长期未更新、无专人运维的“僵尸”信息系统（网站）。全面排查高危漏洞不修复、非必要端口及服务长期开启、陈旧版本基础软件和通用软件不更新、僵尸主机和系统不整改等问题，及时补齐网络安全短板，避免“一点突破、全网皆失”。

4．各单位全面梳理本单位管辖范围内建设、管理、运行的网站、微信公众号、微博、App、LED显示屏，严格执行“先审后发”信息发布审核制度，对已发布的历史内容进行全面检查，严禁不良信息向互联网传播。各单位对公共区域LED显示屏进行梳理，确保其保持离线运行状态，明确责任人，妥善保管控制终端的用户及密码。

5．各单位务必规范各类信息数据的收集、存储、使用和管理工作，加强个人信息保护，严防师生隐私数据泄露，做好重要数据的备份，将数据安全保护工作意识与责任意识、保密意识结合起来，全面提高数据安全保护意识。

6．全面排查各单位网站及信息系统对外发布的内容，及时删除包含公民个人身份敏感信息的内容，或对相关信息进行脱敏处理，并加强相关工作人员的安全意识培训。

7．各单位对自建自管、托管于信息技术中心的服务器及相关服务进行全面检查，及时更新系统漏洞补丁，做好安全防护策略，及时整改存在的安全隐患。

8．各单位加强本单位网站、信息系统和办公邮箱的用户名和口令管理，清理所有弱口令，系统初始化时采用足够强度的口令初始化策略，杜绝默认口令、弱口令、通用口令等安全隐患，及时更新口令，加强对暴力破解的防范。

9．各单位加强本单位重要系统、数据的安全管理和防护，严格限制访问授权，加强检查，及时发现和处置非授权访问等异常情况，加强本单位重要系统、数据的保护和备份。

10．以校内各单位名义发送、收取、存储、处理、转发邮件的邮箱，一律使用域名为ysu.edu.cn的校内办公邮箱，邮箱内的邮件要定期（每月）进行备份清理，不得存储大量公务信息。原则上严禁使用互联网邮箱以燕山大学校内各单位名义发送、收取、存储、处理、转发邮件（因特殊情况确实需要使用互联网邮箱的，责任单位需提交情况说明进行审批备案）。各单位已在使用的互联网办公邮箱，一律禁止用于办公，并全部清除邮箱内存储的办公文件。

11．各单位督促本单位师生提升对知识产权保护和计算机系统安全的认识，普及使用校园正版操作系统和办公软件（校内用户登陆“燕山大学一网通办服务平台”，在系统直通车栏目点击“软件正版化”即可免认证登陆“软件正版化管理与服务平台”，或者直接登录软件正版化管理与服务平台：http://ms.ysu.edu.cn）。鉴于微软已停止提供windows7安全补丁更新，请各单位排查自有办公电脑操作系统，尽快完成windows7替换或升级工作，并开启win10自带防火墙。

12．全面排查本单位信息系统是否存在参与虚拟货币挖矿行为，信息技术中心将开展常态化网络安全监测，一旦发现利用校内信息系统算力进行非法挖矿的行为，立即停止互联网接入，并依法按规定流程处置。如本单位存在从事相关研究的，必须与学科建设相匹配，并在满足科研、教学条件下尽量缩减规模，并报信息技术中心备案，未经备案，严禁开展相关活动。

五、应急响应

1．各单位网络安全负责人和应急联系人，务必保持7*24小时通讯畅通。

2．重要时间节点，各单位务必加强对其所属运行的网站、应用系统的网络安全应急值守工作，相关责任人和管理员要保持7*24小时通讯畅通，并可随时到场。

3．一旦发生网络安全事件，按照《燕山大学网络安全突发事件应急预案》的要求，第一时间中断服务（拔掉相关服务器和网络设备网线），保留现场，同时报学院综合办公室（徐向伟，18330381835）。

机械工程学院

2021年9月30日