各单位:
为全面贯彻党中央、国务院关于网络安全的统筹部署,认真落实《中华人民共和国网络安全法》,根据河南省教育厅《关于在全省教育系统开展网络安全综合治理行动的通知》要求,经研究,决定开展网络安全综合治理行动。现将有关事项通知如下:
一、工作目标
此次专项整治行动以“治乱、堵漏、补短、规范”为目标,坚持问题导向,强化依法治网,全面从严管理,狠抓责任落实,着力加强网站乱象治理、堵塞安全漏洞、补齐信息系统等级保护短板、规范安全管理。同时,兼顾长远与近期,坚持综合治理与源头治理相结合,全面提升我校网络安全水平,增强信息系统防护能力,有效防范和抵御安全风险隐患,切实保障信息系统(网站)运行稳定和数据安全。
二、治理范围
各单位主办的网站(包括子网站)、管理的应用信息系统。
三、工作安排
(一)网站规范治理
1.严格网站域名管理。按照《党政机关网站开办审核、资格复核和网站标识管理办法》,学校已经办理了校级主页的审核备案工作。各单位主网站的域名应为学校一级域名(www.xynu.edu.cn)下的二级域名,子网站为单位主网站的下级域名,即三级域名。各单位要认真核实,本单位网站域名是不是学校一级域名下的二级域名。如果不是,请于6月30日前迁移至学校一级域名下,并向学校备案(备案表见附件1)。
2.严格信息发布、转载和链接管理。各单位要按照网站信息“统一规范、分级负责、多级审核、先审后上、保证质量”的原则,建立健全网站信息发布审核和保密审查机制,明确审核审查程序,建立审核审查记录档案,确保信息内容的准确性、真实性和严肃性。
3.加强网站运维管理。各单位网站管理员每天要登录网站读网,认真查看网站运行和页面显示状况,查看各项功能的有效性,查看所发布的信息特别是重要信息是否存在错漏,查看是否存在暗链,发现问题立即纠正。各单位网站运维管理要在校园网环境内进行。
(二)有效堵塞安全漏洞
1.开展网络基础设施检查。各单位要理清网络基础设施风险状况,以防攻击、防病毒、防泄密为重点,深入查找薄弱环节,关闭或删除不必要的网站、应用、服务、端口和链接,对弱口令问题进行重点整治。学校将于7月31日前,对全校的网站进行安全检查,发现安全隐患及时反馈相关单位。
2.加强和规范数据安全管理。各单位要规范数据采集、存储、使用和开放共享,对重要数据必须进行加密存储、传输和容灾备份。加强对0day漏洞、SQL注入等数据库安全风险防范,防止拖库等安全事件的发生。网络信息与计算中心要定期对各单位放置在数据中心的应用系统(网站)进行数据备份。
3.强化应用信息系统和互联网政务邮箱监管。各单位对所管理的信息系统负有直接责任。要按照谁主管谁负责、谁使用谁负责、谁运维谁负责的原则,将所有信息系统安全责任逐一明确到人,注销非在职人员账号。
(三)规范网络安全管理
1.健全网络安全预警机制。学校检测或收到网络安全预警信息后,将通过公文、电话、微信群、短信平台等方式,第一时间向各单位发布预警信息。各单位接到预警后,要迅速反应,按照预警通知要求全面做好防范工作。
2.建立网络安全日常监测和隐患通报机制。网络信息与计算中心对各单位门户网站、重要信息系统的常态化监测,通过电话、短信、微信和电子邮件等方式,向各单位通报存在的漏洞、后门、暗链、弱口令等安全隐患,并负责跟踪核查整改结果。各单位要按照省教育厅《信息技术安全事件报告与处置流程(试行)》(教科技〔2017〕438号)相关规定,按时按要求开展问题处置并提交整改报告。
四、工作要求
(一)提高思想认识,加强组织领导。学校成立了由校党委书记和校长任组长的网络安全和信息化领导小组,统筹学校网络安全和信息化工作。校网络安全和信息化领导小组下设办公室,具体负责本次综合治理行动。各单位负责人为网络安全责任人,网络(网站)管理员具体参与综合治理行动。要充分认识开展综合治理行动的重要性和紧迫性,将工作纳入重要议事日程,对本单位的网络(网站)安全认真进行自查,并填写自查表(见附件2),7月10日前报网络信息与计算中心。
(二)加强协调配合,形成工作合力。各单位服从网络信息与计算中心的统一安排,积极参与,全力配合,在打击网络违法行为、处置网络安全事件等方面形成合力。
(三)开展宣传教育,提升安全意识。各单位要组织开展网络安全宣传教育,切实提高网络安全意识、管理水平和防护能力。利用新生入学教育等契机,通过形势政策课、讲座、报告会等形式,面向广大师生开展网络安全宣传教育,提高网络安全意识和素养。
附件1.信阳师范学院新建网站备案申请表.docx
附件2.信阳师范学院网站安全自查表.docx
党委办公室
党委宣传部
网络信息与计算中心
2017年6月20日