各平台、孵化企业:
为进一步加强网络安全防护,结合学校相关通知精神,现就做好网络安全有关工作通知如下:
一、落实责任和提高意识
1.各单位要充分认识做好网络安全保障工作的重要性,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,结合本单位实际,加强组织领导,落实网络安全工作职责。
2.提高网络安全意识。请各单位加大网络安全意识宣传力度,建议在个人隐私泄露,防范钓鱼邮件,非法开展网络攻击,警惕网络诈骗等方面开展网络安全培训。
二、资产梳理和隐患排查
1.各单位全面梳理本单位管辖范围内建设、管理、运行的服务器和信息系统(网站)、小程序、App等。未经备案审批的服务器、信息系统(网站)、小程序、App等互联网服务严禁发布运行。严禁师生利用校园网资源、研究院办公网络资源私自架设和提供信息系统和Web等服务。未经审批各单位原则上不允许在校外开设信息服务和存放学校敏感、重要数据。
2.各单位对存在网络信息安全隐患、无业务加载、无人运维、无安防措施的服务,一律予以自行关停,若必须运行,请及时采取提升防护策略、限制访问等必要措施。对于不使用的各类联网终端设备,及时断网断电,杜绝安全事件的发生。
3.各单位要规范各类信息数据的收集、存储、使用和管理工作,严防师生隐私数据泄露。
4.各单位对自建自管、托管于学校公共服务机房的服务器进行全面检查,及时更新系统漏洞补丁,做好安全防护策略,及时整改存在的安全隐患,删除不必要的账号和设置高强度密码。
5.各单位加强本单位信息系统(网站)和公务电子邮箱的用户名和口令管理,清理所有弱口令,系统初始化时采用足够强度的口令初始化策略,杜绝默认口令、弱口令、通用口令等安全隐患,及时更新口令,加强对暴力破解的防范。
6.各单位加强本单位重要系统、数据的安全管理和防护,严格限制访问授权,加强检查,及时发现和处置非授权访问等异常情况,加强本单位重要系统、数据的保护和备份。
三、漏洞整改和安全加固
学校网络中心近期已启动全校范围内的信息系统安全扫描和渗透测试工作,发现的系统漏洞会立即发送至信息安全责任人邮箱,要求各二级单位完成漏洞整改工作。针对部分关键系统,需各二级单位配合网络中心进行现场排查和系统加固(包括部署主机安全软件、进行系统防火墙设置和清理无用账号等),具体由网络中心另行通知,请各平台、孵化企业配合学校相关部门做好网络安全整改工作。
四、网络安全应急响应
1.重要时间节点,各单位务必加强对其所属网站、应用系统的网络安全应急值守工作,相关责任人和管理员要保持7*24小时通讯畅通,并可随时到场。
2.一旦发生网络安全突发事件,事发单位要第一时间中断服务,保留现场,同时报院办。
五、相关信息报送
请各单位按照系统自查表(附件)中要求项目,针对管辖范围下的信息资产开展系统自查工作,并在重要节点期间(5月29日至6月2日)安排24小时应急响应人员。请在5月31日前将系统自查表发回z3zc@scut.edu.cn。
附件:系统自查表
华南理工大学珠海现代产业创新研究院
2023年5月29日
