全校各单位：

为落实《中华人民共和国网络安全法》、《2020年公安机关网络安全监督检查工作方案》及教育部相关文件等要求，按照省教育厅及市等保办的相关部署，经学校网络安全与信息化建设管理委员会网络与信息安全工作组研究，决定在校内开展2020年度网络安全自查工作相关工作安排通知如下：

一、落实校内网络安全责任制，完善制度及人员配备

根据《大连理工大学网络安全管理办法（修订）》的规定，按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，由校内各单位分别负责本单位主管、运维、使用的各信息系统及内部网络的安全工作。

校内各单位信息化负责人为本单位网络安全的第一责任人，负责规划、监督本单位的网络安全工作；信息化专干负责组织、协调本单位的网络安全工作；信息化项目的立项单位为该项目网络安全工作的主管单位，项目组负责该项目网络安全工作的具体落实与实施。请各单位检查本单位相关人员配备，并将本单位信息化负责人、信息化专干联系信息登记到附件1的自查表中。

请各单位对照相关法律法规及校内规定，切实落实网络安全责任，明确部门内部网络安全管理制度，制度应包括部门主管的信息化资产清单、人员分工及责任划分、应急预案与值守方案、数据安全管理与个人信息保护等必要部分。

二、建立信息系统运维机制

根据学校信息化项目管理要求，校内各单位应尽快建立本单位主管信息化项目的运维机制，明确运维人员、制定运维方案、建立运维记录文档等。

运维人员可以是主管单位系统管理员，也可以是由承建方人员或者第三方人员负责运维，但运维人员要相对固定，且主管单位的系统管理员应进行有效的监督和管理，切实保证运维方案的落实。运维方案应包括系统运行监控方法、巡检周期及巡检内容、系统异常情况处置流程、系统升级方案、日志留存方案、数据备份与恢复、运维操作手册、运维考核方案等。各单位可根据主管信息系统的重要程度、使用范围、用户规模等因素明确上述各部分内容。运维方案各部分应建立相关文档，记录各项运维操作相关情况，用于未来的故障排查及网络安全审计。

三、落实个人信息保护工作

2020年国家已经将个人信息保护法及数据安全法列入国家立法规划，即将颁布和施行。近年两高已经出台了详细的刑法中个人信息保护相关的司法解释，明确了涉及个人信息安全的入刑标准，因此尽快落实校内个人信息保护工作，成为衔接法律、满足合规合法要求的基础保障。请各单位对照《大连理工大学信息化个人信息保护管理办法（试行）》，认真核查各信息系统建设、使用中是否存在破坏个人信息安全的情况。另外，提醒各单位在非信息化建设场景中，同样要重视个人信息保护，对于广大师生个人信息的采集、使用、存储、共享、删除要严格按照国家法律法规进行，对在互联网中传播、存储的个人信息要展开清查，禁止在各类网盘、社交软件、网站中公开共享学校师生的个人信息。

四、开展校内网络安全自查工作

从即日起至9月30日，请各单位开展网络安全自查，并填写附件1的网络安全自查表，在9月30日下班前将电子版通过邮件发送到网信中心网络安全部联系邮箱中，纸质版由单位信息化负责人签字并加盖公章后送交网信中心网络安全部。自查内容除以上内容还包括：

1.清理“僵尸”信息系统

符合以下条件之一的信息系统（包括网站、移动APP）即为"僵尸"信息系统，"僵尸"信息系统基本已无存在意义且存在管理漏洞和安全隐患，因此要求校内各单位尽快注销：

a)使用频率低（年访问量1000人次以下）；

b)页面内容或者数据长期未更新（180天以上未更新）；

c)专题网站已完成工作使命；

d)无专人运维或运维缺乏基本保障，安全隐患长期不能修复。

2.“双非”信息系统的治理

“双非”信息系统指未经立项、未经学校同意使用学校标志标识，且使用了非学校域名、非学校IP地址建设的信息系统（包括网站、移动APP）。按照学校信息化和网络安全建设管理相关规定，“双非”信息系统不属于学校官方行为，一切网络安全责任由系统校内相关单位（包括建设使用单位、资金提供单位、宣传推广单位等）及所有参与建设人员个人承担。对于必须使用校外应用云服务的特殊信息化项目，需按照学校信息化和网络安全相关规定相关流程建设，并在采购文件和合同中明确要求由云服务提供商负责全部的网络安全责任，未按学校相关规定、流程建设的此类项目同样属于“双非”信息系统。

请特别注意校名、校徽等学校标识标志为学校无形资产，未经授权任何单位或个人不得随意在非官方信息系统中使用。对于在校外搭建的各类测试、演示系统，更不得随意使用学校标识，完成测试、演示任务后应及时撤销删除。

请各单位开展“双非”信息系统排查，对于排查出的此类系统，如不再使用应尽快注销和关闭，如仍需使用，请按照学校信息化建设管理规定进行建设。

3.加强校内各类办公密码的安全保护

各类办公密码包括本单位主管的信息系统管理后台、数据库、办公计算机、网络打印机、LED大屏、网络摄像头、网络设备、微信公众号、微博等软硬件设备和自媒体平台的密码。对于在各信息系统中有管理权限的教工，其个人统一身份认证密码应纳入办公密码管理中。办公密码保护包括清理弱密码、建立密码管理机制、避免密码泄露等。

弱密码包括简单密码、默认密码、通用密码等，弱口令问题一直都是校内网络安全主要问题之一，也是最容易被利用和攻击的一类漏洞，且可以造成非常严重的后果。请各单位高度重视此问题，对于弱密码问题进行彻底清理。

建立密码管理机制、避免密码泄露，明确各类管理密码的管理人员名单，且管理人员应为校内在职教工；确定密码授权范围，不得超范围授权密码使用；确定密码更新方案；制定密码保管办法，不得造成密码泄露，不得私自授权他人使用密码。

特别注意将密码存放在互联网云存储平台如各种网盘，或者随代码托管到代码共享平台如Github等都存在安全隐患，校内已经发生过通过Github泄露个人统一身份认证密码的案例，对校内网络安全造成一定威胁。请各单位提醒师生不要将办公密码、个人密码通过互联网云存储平台、代码托管平台及其他社交软件共享。

4.检查各服务器的安全状况

服务器的配置是服务器安全的基础，配置不当就会产生各类安全隐患，甚至直接出现违法风险。服务器应本着专用、最小化、合法合规等基本原则进行安全配置，主动将风险尽量降低。请各单位对主管的服务器安全状况进行彻查，包括：

a)服务器中是否安装了与应用服务无关的软件；

b)服务器中是否安装了远程控制软件如Teamviewer、向日葵等；

c)服务器中是否有非必要的服务、端口开启；

d)应用服务所用软件是否为安全版本；

e)服务器访问控制范围是否为最小；

f)服务器中是否有备份文件在本地存储；

g)WEB应用系统访问日志是否保留至少180天。

5.服务器操作系统更新

对于操作系统Windows server 2003、2008微软已经不再提供技术支持，且上述操作系统的开发时间过于久远，存在严重的安全隐患。目前数据中心仍有部分服务器使用上述老旧操作系统，增加了数据中心安全风险。

为解决该问题，学校今年为数据中心采购了正版Windows server 2016、2019授权，用于学校信息化项目建设。请各单位检查本单位信息系统服务器，如仍在使用上述老旧操作系统，应尽快更换，具体更换方式可联系网信中心确认。本次自查工作结束后，网信中心将对数据中心中使用上述老旧操作系统的服务器限制访问，原则上Windows 2008服务器不得对校外提供服务，Windows 2003服务器将采取更严格的限制访问策略。

6.加强LED大屏、网络摄像头的管理

各单位应加强本单位主管的LED大屏、网络摄像头的管理，明确专人负责相关设备管理及信息发布，保障设备安全，避免出现不良信息发布或敏感信息泄露。原则上不建议LED大屏联网管理，如一定联网必须接入专网，不得接入校园网、互联网。

7.加强自建局域网接入安全管理

校内各单位应加强本单位自建的有线、无线局域网，明确专人负责单位局域网的管理，对于局域网使用者进行实名登记，确保局域网接入的可控。清查无线网络环境，对于自建的无密码、弱密码、无人管理、管理失控的无线局域网，应尽快整改或关闭。各有线、无线局域网所使用校园网IP的登记用户为该局域网的网络安全直接责任人，对所出现的网络安全问题承担直接责任。

五、有独立机房单位的自查要求

图书馆、保卫处、教务处、盘锦校区、开发区校区、继续教育学院等有独立机房的单位，须严格按照网络安全法、教育部文件和学校规定开展网络安全工作，落实网络安全责任制，落实人员配备，制定网络安全管理制度、应急预案、值守方案、运维方案、个人信息保护要求等，并按照法律法规完成日志留存、网络安全等级保护等相关工作。

六、下半年重要时期网络安全保障工作安排

按照教育部相关文件要求新学期开学及国庆为下半年的重要时期网络安全保障期，结合我校实际情况，将9月20日~21日、10月1日~10月7日定为我校下半年剩余时间重要时期网络安全保障期，并且目前疫情仍未结束，在保障期内仍要兼顾疫情防控的网络安全支持。请各单位在此期间加强网络安全管理与监控，加强网络安全值守工作，落实迎新及疫情防控中的个人信息保护工作，发现网络安全问题及时向网信中心通报并做好应急响应。在重保期间，原则上不上线新的信息系统、不对现有系统进行重大升级和调整，根据上级主管部门相关要求，网信中心可能会临时调整校内各信息系统访问控制策略，请各相关单位配合。

七、工作要求

请校内各单位高度重视网络安全自查工作，按时完成各项自查任务并反馈相关材料。对于本次各单位自查反馈问题不准确或有遗漏的问题，如被上级部门查出或通报，学校将按照相关规定对相应部门进行通报，对相应责任人进行处理。同时，本次自查工作情况也将作为本年度校内网络安全工作、信息化建设工作主要考核依据之一。

联系人：李先毅 刘瑾 郑维

联系电话：84709126

联系邮箱：security@

材料报送：网信中心304室

大连理工大学网络安全与信息化建设管理委员会网络与信息安全工作组

2020年9月14日