關于開展學校信息系統(網站)弱密碼排查整改工作的通知
各二級學院、各單位:
為貫徹落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等法律法規,根據《桂林學院網絡與信息系統安全管理辦法》(桂院政辦〔2023〕39號)文件要求,為保障我校網絡與數據安全,避免我校網站和信息系統由于弱密碼被盜用或暴力破解而造成網絡安全事件,現對全校各類信息系統(網站)和虛擬機的管理員和用戶賬號弱密碼問題進行全面排查和整改,相關要求通知如下:
一、排查整改范圍
排查學校各類業務信息系統(網站)和虛擬機管理員及用戶賬號密碼是否存在弱密碼【即123456、123abc、666666、888888電話號碼、生日、學(工)號、姓名、身份證號、學校和學院(單位)名稱等字符或其組合等】問題,包括但不限于:OA系統、教務系統、學工系統、財務系統、圖書館管理系統、郵箱、門戶網站等管理員和用戶賬號密碼。
二、排查整改內容
(一)各二級學院、各單位即日起對所管理及使用的信息系統(網站)開展用戶密碼復雜度檢查,尤其是高權限用戶和管理員,檢查本人所負責和使用的信息系統(網站)有無使用弱密碼、默認密碼和通用密碼等,若存在弱密碼,須立即按照要求修改。
(二)密碼設置原則、密碼管理及賬號使用規范
1.系統管理員的密碼長度不低于8個字符,由數字、大寫字母、小寫字母、特殊符號中的三種及以上組成,每三個月須更新一次密碼;用戶登錄賬號的密碼長度應不低于6個字符,由數字、大寫字母、小寫字母、特殊符號中的三種及以上組成,嚴禁使用簡單密碼。
2.不同系統應設置不同的密碼,各系統密碼應做到唯一,防止單個系統中用戶密碼泄露引發黑客“撞庫攻擊”,造成多個系統集體失陷。
3.各二級學院、各單位應要求所管理的信息系統(網站)軟件開發商在用戶管理、注冊、登錄及密碼修改等頁面增加密碼強度檢查功能,增加用戶連續登錄失敗后的鎖定機制,從系統層面減少乃至杜絕弱密碼的使用,增強系統安全性。
4.各單位須加強賬號使用規范,禁止多人共用管理賬號,禁止教師將管理賬號交學生使用。
(三)清理僵尸賬號、關停測試賬戶、關停離職人員賬戶。停用或刪除系統中長期未使用、已不需要的僵尸賬號,各單位須及時關停測試賬號及離職人員賬號,建立定期清理工作機制,定期清理僵尸賬號。
三、工作要求
(一)請各二級學院、各單位認真組織開展并做好“弱口令”排查整改工作,填寫《桂林學院弱密碼排查整改工作報告》(附件),并于5月15日下班前報送至圖文信息中心。電子版發送至電子郵箱:twxxzx@glc.edu.cn,紙質版經單位主要負責人簽字并加蓋單位公章后報送至圖文信息中心網絡與數字化辦公室(至善樓110辦公室)。聯系人:王飛揚,聯系電話:0773-3696627。
(二)圖文信息中心將定期對學校重要信息系統及網站進行密碼安全性檢查,對于弱口令治理不到位、被教育廳、公安、網信辦等主管部門通報,或對學校重要業務信息系統產生安全威脅或造成網絡安全事件的單位和個人,將根據學校網絡安全有關規定報請學校按未落實網絡安全主體責任情況進行處理。
附件:桂林學院弱密碼排查整改工作報告
圖文信息中心
2024年4月29日
- 附件【桂林學院弱密碼排查整改工作報告.docx】已下載次