根据《省教育厅办公室关于切实加强全省校园安全工作的紧急通知》要求,为保障重大活动、假期前后校园网络信息安全,网络信息中心结合学校网络信息化工作实际,对网络安全风险进行提示,请各单位根据以下网络安全风险开展自查整改。
一、对弱口令等网络安全风险进行自查整改
1.弱口令
风险等级:高
风险描述:未对密码设置策略进行强制要求,用户使用弱口令、通用口令,账户被黑客破解并控制,造成信息泄露,发布欺骗信息、恶意文件、钓鱼邮件等问题,产生严重的后果及影响。
修复建议:设定强制密码策略,密码至少由数字、字母、符号等三种字符组合、长度不少于12 位;定期更换密码;禁用长期未登录账户和已离职人员账户;增加多因素验证机制。
2.木马后门植入
风险等级:高
风险描述:木马植入是攻击者通过技术手段将木马程序上传于服务器中,对被感染木马病毒的计算机实施操作并取得网站或服务器管理员权限,一般木马植入会伴随系统本身存在的漏洞、脆弱性配置、弱口令等其他威胁。
修复建议:定期开展木马查杀,删除被植入的后门木马,并通过检查日志文件查明入侵途径及影响危害。及时修复网站或服务器漏洞,对服务器上传文件类型进行检验和限制。
3.数据库身份验证
风险等级:高
风险描述:数据库未设置身份验证,造成默认用户或空密码,外部人员无需认证便可以任意访问内部数据,造成用户名、密码等敏感信息泄露。
修复建议:在数据库配置中开启认证机制并设置强口令,对访问数据库IP 进行白名单限制。
4.FTP 匿名访问
风险等级:高
风险描述:目标服务器对外开放了FTP 服务,并未对FTP设置权限认证,导致任意用户未经过认证便可访问相关服务,造成敏感信息泄露。
修复建议:对外开放服务设定权限验证,对长期未使用、未维护的系统进行关闭处理,定期检查防火墙映射关系,及时发现对外开放的高危端口。
5.补丁升级
风险等级:高
风险详情:应用程序、WEB 中间件版本过低或已安装版本存在安全漏洞时,黑客可通过程序缺陷进行命令执行、拒绝服务攻击、反序列化等多种攻击获取网站服务器权限。
修复建议:关注厂商发布的更新动态,及时安装补丁和升级软件版本。
二、切实加强各类帐号的管理
1、教师个人上网帐号
全校教职工每人拥有唯一上网账号,对本人账号上网行为负责,办公区域上网实行免费。为保证安全,请妥善保管密码并及时更新。使用路由器上网须加强网络安全检查。
2、统一身份认证帐号
该账号用于直接登录纳入统一身份认证的各业务系统,校园网用户应妥善保管好自己的统一身份认证帐号和密码,不得转借他人使用。在公共机房和网络环境使用后及时注销。同时,应及时修改弱密码并定期更换新密码。
3、单位上网帐号
对于各单位、科研机构等申请的单位帐号、服务器帐号和VPN帐号,帐号的责任人(提供身份证号的教职工和单位签字的领导)应高度重视,切实加强对帐号的检查和管理督查。人员调离时,应及时报告网络信息中心注销帐号。
4、邮件帐号
各单位和个人应加强对邮件帐户的使用管理,使用较为复杂的密码并定期修改密码,安全使用并遵守国家法律法规,不传送涉密信息,不散布恐怖谣言等危害国家安全和影响社会稳定的言论,不随意攻击、诽谤他人,交谈中避免使用不文明的语言。
5、业务系统管理员账户
切实加强本单位业务系统管理账户的安全检查,杜绝无密码、弱密码、默认密码隐患。按照强密码策略定期修改密码并妥善保管,坚决不留盲区、不留后门、不留隐患。
三、切实加强网站与服务器管理
1、网站监管
各二级网站建设单位应严格落实网站的责任人和管理人,切实加强对本单位网站的监控,积极开展网络信息安全自查,一是要全面清查网站上的外部链接,避免外部链接被不法分子利用而导致网站出现安全问题;二是要清查网站上的信息公示内容,避免出现师生个人信息泄露。如发现异常情况需技术支持,第一时间向网络信息中心报告。
2、业务系统网站开发
各部门与业务系统开发单位必须签订服务合同,并对网络安全和数据信息的保密提出明确的要求,督促其使用先进的技术和方法进行开发设计,避免使用开源代码,切实加强业务系统网站的安全建设。
非必须对公网开放的业务系统,建议限制在校园网内,师生可通过VPN访问相应系统。
3、信息发布审核
各二级网站建设单位要切实加强对网站的日常检查,严格信息发布审核,妥善保管信息发布账户的密码,定期开展账号巡检。
对于必须要发布在网上的各类公示信息,应严格遵循国家有关个人信息保护的相关法规制度,严禁公示“个人敏感信息”,不得将师生身份证件号码、家庭住址、电话号码、出生日期等个人敏感信息进行公示。确需公布的,应坚持“最小化”原则,并用“*”等进行脱敏处理。
4、服务器托管
学校建设有统一的托管服务器机房,可提供良好的供电、温度等环境条件及安全保障,建议各单位对放置在本单位的服务器送托管机房统一管理。
四、切实加强专线用户安全管理
1、各专线接入单位应对辖区机房的网络安全负总责、负全责,应切实加强下辖区机房的网络安全管理,实行认证上网,并妥善保管用户上网登录日志、NAT日志和DNS日志,要做到可以追根溯源,以便于安全事件的追踪查询。
2、各专线接入单位应加强对本单位IP地址的申请管理,规范化使用并进行有效地监管。
3、各专线接入单位应切实加强对本单位的网络监控,实时将单位的网络安全状况向本单位网络安全管理工作第一责任人汇报,发现问题及时向网络信息中心报告。
五、开展网络信息安全检查
根据上级有关部门通知要求,为进一步加强对学校各类管理信息系统、网站和移动互联网应用程序(APP)的规范管理,对各类管理信息系统、网站和移动互联网应用程序(APP),邮件系统、重要业务系统、云平台、数据平台、互联网数据库系统、信息发布系统等,检查信息化系统备案情况,更新、完善信息化管理台账,摸清家底、掌握底数。强化密码管理和系统修复,确保系统稳定、安全运行。
六、禁止未经许可对外提供服务
根据上级有关文件精神和《武汉工程大学校园网安全管理暂行办法》要求,任何单位或个人在校园网上提供各种信息服务(WEB网站服务)前,必须先向网络信息中心备案,网络信息中心将对网络服务进行评估检查。
未经许可、未备案、未经安全检查或达不到要求,一律不得对外提供网络和信息服务。否则,一经发现,将停止帐号或IP的使用,造成不良影响的将报请学校处理,涉及违法将移交司法机关处理。
网络信息中心提供网络信息安全解答和技术咨询、指导,全力协助学校单位和个人做好网络信息安全工作。同时,网络信息中心也将进一步加强技术手段升级应用,采取切实有效的措施进一步加大网络监控力度,强化安全防范,保障校园网络信息安全。
网络信息中心
2021年6月18日
