首页 > 通知公告 > 正文

关于开展网络安全综合治理行动的通知

发布时间:2018-05-18文章来源: 浏览次数:

校属各单位:

为全面贯彻中省关于网络安全的统筹部署,落实《网络安全法》,增强我校信息系统(网站)防护能力,有效防范和抵御安全风险隐患,切实保障信息系统(网站)稳定运行和数据安全,并推动我校教育信息化建设顺利发展,结合陕西省教育厅《关于进一步加强我省教育信息系统安全应急处置工作的通知》等文件要求,我中心将在学校内部开展以“堵塞安全漏洞、规范安全管理”为目标的网络安全综合治理行动,全面查找发现各类安全漏洞和突出问题。具体内容如下:

一、工作内容

(一)推动信息系统(网站)清理整合

1. 加快推进网站群统一管理工作。为加强对网站乱象的治理,建立统一的规范管理,我中心已于2017年完成了网站群管理平台的升级工作,并在寒假期间组织了对校属各单位门户网站的迁移工作。截止目前,仍有18个单位未进行网站群迁移确认工作,按照上级和学校有关要求,我中心将对18个单位的门户网站暂停互联网访问,以上单位(见附件1)须于5月23日前提交《西安理工大学二级网站迁移确认单》至网络信息管理中心,进行网站群迁移确认工作和上线测试。自2018年起,新建网站必须纳入网站群管理平台进行统一管理。

2. 清理 “双非”信息系统(网站)。校属各单位必须加强本单位信息系统(网站)的资产信息统计,确保资产清、情况明。

要严格排查本单位的“双非”系统(IP地址不在学校地址段或域名不在学校的系统)。对非备案单位私自使用学校IP地址开设网站和使用学校域名的,应纳入学校统一管理,并在网络信息管理中心备案,对不纳入统一管理的,我中心可采取终止互联网服务或域名服务。

对IP和域名均不在校内,但以学校名义开办的系统,应在网络信息管理中心进行备案,统一纳入校内管理,由承建单位负责运维。对不纳入统一管理的,应由系统建设单位主要负责人签订安全承诺书。

3. 整合资源、清理虚拟服务器。为了提高系统安全性与性能,我中心将对虚拟化主机之间的工作负载进行平衡,做进一步优化,降低存储成本和资源的损耗,从而整合资源,提升资源利用率。

(二)加强信息系统(网站)安全管理

1. 加强网站信息发布管理。各单位应全面检查网站信息发布情况,如有发布的信息中存在法律和行政法规禁止发布或传输的信息、涉及个人隐私和单位秘密的信息,应釆取删除或更正等措施立即整改。

2. 加强数据与虚拟机服务器安全管理。信息系统(网站)的账号和密码应指派专人负责管理,并将口令设置为不小于12位、至少三种字符组合的口令,禁止多个账户使用同一口令;涉及核心业务(招生、考试、学籍、资助、教师管理等)的重要信息系统,至少要建立独立的数据库实例,针对各信息系统数据库实例设置最小权限的管理账户,并严格控制数据库管理员帐户的操作行为,同时每个周月应检查一次安全情况。

要定期检查虚拟服务器补丁更新情况,实施补丁自动更新的管理措施;关闭不必要的端口,特别是远程管理端口,停止不必要的服务和应用,部署本地服务器的安全管理策略,提高系统安全等级。

3. 全面监测网络安全威胁。校属各单位要切实加强信息系统(网站)的监管力度,进一步完善管理制度和技术保障措施,确保信息系统(网站)安全运行。网络信息管理中心依托相关专用安全评估设备负责校园网络安全监控预警工作,对监测情况将形成常态化报告。发现存在漏洞、后门、暗链、弱口令等安全威胁的信息系统(网站),涉及问题的单位须按照报告要求及时做好相应的整改工作,如因技术原因不能及时修复的须立即关停,直至系统完全修复后再上线运行。

二、安全检查结果及整改要求

网络信息管理中心对我校278台虚拟服务器和193个网站进行了安全检查,累计检测网页29万余页。监控结果显示:目前,我校用户的虚拟服务器部分利用率低于40%,高危信息系统(网站)38个,收集到的校内网站信息安全漏洞共29688个,其中高危漏洞8391个。整体安全性趋于高危,为此我中心将采取以下应对措施,做好安全保障工作:

1.虚拟服务器方面。暂停2年内未使用过的虚拟服务器,暂停虚拟服务器系统为win2000,win2003等微软已停止提供系统补丁的服务器,如需继续使用,请重新申请;暂停存在重大安全隐患的虚拟服务器,暂停绑定未备案域名的服务器,需进行整改后开放。

2.信息系统(网站)方面。对存在高危安全漏洞的38个信息系统(网站),我中心将以电子邮件(websoc@xaut.edu.cn)形式发送《站点监控报告》(包括漏洞情况、解决方案等)至需要整改的校属各单位网络信息安全员邮箱;同时,对以上相关网站采取限制互联网访问,并限定15日内做好漏洞修复,完成整改,将整改报告由部门负责人签字盖章后,提交至网络信息管理中心(6月1日前);逾期未完成修复整改的将按照上级有关要求进行关停处理。

三、其他工作要求

1.提高思想认识,加强组织领导。校属各单位要充分认识开展综合治理行动的重要性和必要性,坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,夯实网络与信息安全管理责任,明确主管领导和责任人,提供必要的工作保障,确保各项工作落到实处。

2.加强组织协调,形成工作合力。本次网络安全工作要进行全面排查,对查出的网络安全隐患须限期整改。各单位要树立“一盘棋”思想,工作中要加强沟通、协作,确保网络安全综合治理行动顺利完成。

附件1:未进行网站群迁移确认工作部门名单。

附件2:西安理工大学二级网站迁移确认单。

联系人及电话:张 晋(网站群迁移工作) 82066108

              王心成(安全检查) 82312022-810

              李 蒙(虚拟服务器) 82312022-805

网络信息管理中心  

2018年5月18日 

关闭 打印责任编辑:工程训练中心