校内各单位：

为进一步落实《中华人民共和国网络安全法》、《关于组织开展吉林省2021年网络安全监督检查工作方案》及教育部相关文件等要求，按照吉林省委网信办的相关部署，经学校网络安全与信息化工作领导小组研究，决定近期开展2021年度网络安全检查工作，相关工作安排通知如下：

一、落实学校网络安全责任制，完善制度及人员配备

根据《吉林大学关于加强网络与信息安全工作的若干意见》的规定，按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，校内各单位分别负责本单位主管、运维、使用的各信息系统及网站的安全工作。

各单位主要负责人是网络与信息技术安全工作的第一负责人，各单位的网络与信息技术安全工作的分管负责人，协助主要负责人履行本单位网络与信息技术安全职责。各单位需明确本单位网络安全员，负责组织、协调、落实本单位的网络安全工作。请各单位对照检查本单位相关人员配备，并将主要负责人、分管负责人、网络安全员信息登记到《吉林大学2021年网络安全监督检查工作责任人及网络安全员名单》中（附件1）。同时由各单位主要负责人与学校签订《网络安全承诺书》，《网络安全承诺书》签订的具体时间与方式另行通知。

请各单位对照相关法律法规及校内规定，切实落实网络安全责任，明确部门内部网络安全管理制度，制度应包括各单位主管的信息化资产清单、人员分工及责任划分、应急预案与应急值守方案等必要部分。

二、建立信息系统运维机制，保障信息系统正常运行

按照学校相关要求，校内各单位应尽快建立本单位主管信息系统及网站的运维机制，明确运维人员、制定运维方案、建立运维记录文档等。

运维人员可以是主管单位工作人员，也可以是签订运维合同的第三方人员，各二级单位需对运维人员进行有效的监督和管理，切实保证运维方案和责任的落实。运维方案应包括系统运行监控方法、巡检周期及巡检内容、系统异常情况处置流程、系统升级方案、日志留存方案、数据备份与恢复、运维操作手册、运维考核方案等。各单位可根据主管信息系统的重要程度、使用范围、用户规模等因素明确上述各部分内容。运维方案各部分应建立相关文档，记录各项运维操作相关情况，用于未来的故障排查及网络安全审计。

三、 开展校内网络安全自查，及时发现危险隐患

从即日起至5月8日，请各单位开展网络安全自查，并填写附件2的网络安全自查表（多张表），在5月8日下班前将电子版通过邮件发送到大数据和网络管理中心联系人邮箱中，纸质版由单位主要负责人签字并加盖公章后送交大数据和网络管理中心技术部。自查内容除自查表内容还包括：

1.加强校内各类办公密码的安全保护

各类办公密码包括本单位主管的信息系统管理后台、数据库、办公计算机、网络打印机、LED大屏、网络摄像头、网络设备、微信公众号、微博等软硬件设备和自媒体平台的密码。对于在各信息系统中有管理权限的教工，其个人统一身份认证密码应纳入办公密码管理中。办公密码保护包括清理弱密码、建立密码管理机制、避免密码泄露等。弱密码包括简单密码、默认密码、通用密码等，弱口令问题一直都是校内网络安全主要问题之一，也是最容易被利用和攻击的一类漏洞，且可以造成非常严重的后果。请各单位高度重视此问题，对于弱密码问题进行彻底清理。

建立密码管理机制、避免密码泄露，明确各类管理密码的管理人员名单，且管理人员应为校内在职教工；确定密码授权范围，不得超范围授权密码使用；确定密码更新方案；制定密码保管办法，不得造成密码泄露，不得私自授权他人使用密码。

需要特别提醒的是，将密码存放在互联网云存储平台如各种网盘，或者随代码托管到代码共享平台如Github等都存在安全隐患。请各单位提醒师生不要将办公密码、个人密码通过互联网云存储平台、代码托管平台及其他社交软件共享。

2.检查各服务器的安全状况

服务器的配置是服务器安全的基础，配置不当就会产生各类安全隐患，甚至直接出现违法风险。服务器应本着专用、最小化、合法合规等基本原则进行安全配置，主动将风险尽量降低。请各单位对主管的服务器安全状况进行彻查，包括：

a)服务器中是否安装了与应用服务无关的软件；

b)服务器中是否安装了远程控制软件如Teamviewer、向日葵等；

c)服务器中是否有非必要的服务、端口开启；

d)应用服务所用软件是否为安全版本；

e)服务器访问控制范围是否为最小；

f)服务器中是否有备份文件在本地存储；

g)WEB应用系统访问日志是否保留至少180天。

3. 加强自建局域网接入安全管理

校内各单位应加强本单位自建的有线、无线局域网，明确专人负责单位局域网的管理。对于局域网使用者进行实名登记，确保局域网接入的可控。清查无线网络环境，对于自建的无密码、弱密码、无人管理、管理失控的无线局域网，应尽快整改或关闭。各有线、无线局域网所使用校园网IP的登记用户为该局域网的网络安全直接责任人，对所出现的网络安全问题承担直接责任。

4.加强和规范学校QQ群、微信群、钉钉群等新媒体工具的管理。对现有QQ群、微信群、钉钉群开展清理整治工作，具体要求如下：

　　a)对于功能重复的群，需进行合理整合，不同平台（QQ、微信、钉钉）相似功能的群也需整合，一般一个部门只保留1——2个官方群。

　　b)对于临时性、阶段性工作群，应在工作结束后及时注销或解散。

　　c)对于长期未使用或使用频率过低的“僵尸群”，应及时注销或解散。

　　d)对群文件和相册进行整体清理或删除。

　　e)对所有群成员（含学生群）进行实名认证，修改群名片为：姓名——所在部门；并将离职人员或调整工作岗位的人员移出本群。

　　f)群消息管理实行群主（群管理员）负责制，群主、群管理员需审核群内发布内容，保障内容合规合法。　

四、组织开展网站安全技术检查，督促整改网络安全漏洞隐患

5月8日至6月1日，学校将组织技术人员及相关服务机构针对各单位上报的自查结果组织开展技术检测工作。检查期间，学校将对单位的服务器、网站、重要业务系统、云平台、大数据平台、APP、互联网数据库系统、LED电子显示屏系统、物联网和工控系统等开展技术检测和渗透测试，查找网络安全漏洞和存在的隐患。

6月1日至6月10日，针对技术检测过程中发现的网络安全漏洞、隐患、问题和风险，学校将进行登记，并向相关单位下发《网络安全监督检查限期整改通知书》，督促限期完成整改并提供书面整改情况，确保问题整改清零。

五、重要时期网络安全保障工作安排和工作要求

按照教育部相关文件要求，结合我校实际情况，将5月1日-5月5日、6月1日-6月10日、6月20日-7月10日定为我校近期重要时期网络安全保障期。请各单位加强安全保障期网络安全的管理与监控，加强网络安全值守工作，发现网络安全问题及时通报并做好应急响应。在安全保障期，原则上不上线新的信息系统、不对现有系统进行重大升级和调整；根据上级主管部门相关要求，可能会临时调整校内信息系统访问控制策略，请各相关单位配合。

请校内各单位高度重视网络安全检查工作，按时完成各项自查任务并反馈相关材料。对于本次各单位自查反馈问题不准确或有遗漏的问题，被上级部门查出或通报，学校将按照相关规定对相应部门进行通报，对相应责任人进行严肃问责。同时，本次检查工作情况也将作为本年度校内网络安全工作、信息化建设工作主要考核依据之一。

请各单位4月30日下班前将附件1（word版、文件名为：XXX单位网络安全检查联络名单），5月8日下班前附件2（Excel版）电子版压缩成一个文件后（文件名为：XXX单位网络安全自查表）邮件发送至大数据和网络管理中心联系人处。5月8日下班前所有纸质版由单位主要负责人签字并加盖公章后送至大数据和网络管理中心技术部。

联系人：李振建， 联系电话：85168327，联系邮箱：xxaq@jlu.edu.cn

办公地点：前卫南区逸夫图书馆110室

大数据和网络管理中心

2021年4月29日