公司各部门、各企业:
为进一步加强公司网络安全治理,切实履行公司网络安全主体责任,及时防范化解网络安全风险,不断提升员工网络安全意识和防范能力,根据上级和学校有关精神,公司决定开展2024年网络安全治理专项行动,现就有关事宜通知如下:
一、工作目标
以习近平新时代中国特色社会主义思想为指导,深入学习贯彻习近平总书记关于网络安全工作的重要指示精神,坚持系统思维和底线思维,进一步强化责任落实、夯实安全基础、提升治理能力,建立健全网络安全防护体系、网络安全管理制度体系、网络安全应急响应体系,着力提高网络安全防御能力,严防发生重大网络安全事件,为公司教育事业发展营造清朗网络空间和良好氛围。
二、工作任务
(一)加强联网终端设备安全管理
重点加强各类显示屏、门禁、通道机、摄像头、水控、电控、报警器、传真机、打印机、复印机等联网终端设备的安全管理和风险排查。公司各部门、各企业要建立完善联网终端设备管理制度,按照“分级分类、最小授权、最小局域网范围接入、定期更换密码”的原则,安排专人负责管理和运维,严禁接入互联网。对长期不使用、无人运维或存在安全隐患的联网终端设备一律关停。加强引进社会商业服务的自助终端的监督管理,相关单位要对服务平台的安全能力严格把关,包括满足国家网络安全等级保护测评、密码应用安全性评估等规定和要求。
(二)加强各类系统(网站)年审备案
1.全面梳理本单位名下的信息系统(网站),重点清理排查“双非”(非公司IP地址、非公司域名)信息系统(网站),以及使用频率低、内容长期不更新、长期无人运维的僵尸网站和测试网站。公司各部门、各企业要及时开展网络资产年审备案工作,登录学校网络资产备案系统(http://net.whu.edu.cn/manage),清查核实、修改确认本单位网络资产信息,并将确认后的网络资产台账导出后,纸质版加盖公章报送行政部(联系人朱金洪:15071471868,电子邮箱:307803722@qq.com),凡未纳入网络资产台账管理的信息系统和网站,学校将限制网络接入。
2.全面排查各类系统(网站)弱口令、默认口令、通用口令、长期不变口令、高危漏洞不修复、非必要端口及服务长期开启、陈旧版本基础软件和通用软件不更新、僵尸主机和系统不整改等问题,避免“一点突破、全网皆失”。
完成时限:4月25日前;责任单位:相关部门、企业
(三)加强数据资产安全管理
1.落实数据安全主体责任。业务部门对业务系统数据履行主体责任,指定专人负责本部门业务系统数据管理。切实加强对业务系统开发方在数据安全方面的监督管理,建立负面清单与问责机制,落实涉及数据相关人员签署保密协议要求。加强数据共享交换安全管理,严格遵循“最小够用”原则。
2.加强个人信息脱敏保护。非必要不采集和使用员工身份证、手机号等敏感信息,对确需使用员工身份证、手机号的应用场景,尽量采取加密存储、脱敏提供等方式降低风险。对现有业务系统的存量敏感数据,在升级改造中将数据脱敏、防泄漏作为重点内容优先考虑。
3.严控个人信息批量导出。全面排查并关闭各类信息系统的个人信息批量导出功能,原则上不提供批量导出功能,确因工作需要提供批量导出功能的,须由责任单位提出申请经审批备案后实施。严格控制个人信息批量导出授权的用户范围、数据字段、IP地址等,并保留不少于半年的相关操作日志。
4.全面摸排信息系统数据现状。公司各部门、各企业要全面梳理详细盘点本单位相关信息系统数据安全情况,排查各类风险隐患,并将结果报送行政部(联系人朱金洪:15071471868,电子邮箱:307803722@qq.com)。
完成时限:5月10日前;责任单位:相关部门、企业
(四)加强服务器安全管理
公司各部门、各企业要加强各类服务器安全管理,自建的提供访问的服务器,完成时限内完成本单位服务器终端检测防护软件安装(主要用于病毒防护、漏洞检测及修复)。
防护软件安装步骤参见网址:
https://nic.whu.edu.cn/info/1095/8616.htm
完成时限:5月10日前;责任单位:相关部门、企业
(五)加强个人邮件管理
近年来,境外黑客组织频繁伪装成境内外学术期刊、业内知名专家等方式进行钓鱼邮件攻击,发送携带恶意链接或附件的邮件,窃取受害者邮箱账号密码,并对其个人终端设备进行入侵控制,进而窃取敏感数据等,造成不良影响甚至引发安全事件。请公司各部门、各企业加强宣传教育,提高公司员工钓鱼邮件识别能力。
完成时限:长期;责任单位:各部门、各企业
三、工作要求
(一)落实网络安全责任。公司各部门、各企业要充分认识做好网络安全保障工作的极端重要性,提高政治站位,按照《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求,强化底线思维,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,健全工作机制,细化工作举措,抓好具体落实。
(二)注重部门协同联动。公司各部门、各企业要加强与公司行政部沟通对接,安排专人负责本单位服务器和信息系统(网站)管理,发现网络安全事件应第一时间报告。同时相关部门、企业要加强与政府相关部门协同联动,充分发挥网络安全信息共享和通报预警机制作用,切实提高应急处置能力。
(三)加强安全宣传教育。公司各部门、各企业要充分利用各类媒介广泛开展网络安全知识宣传教育,提高公司员工安全意识。重点加强各类信息系统网站(网站)管理员安全培训,切实规范账号和密码管理。
特此通知
武汉大学资产经营投资管理有限责任公司
2024年5月6日