关于开展大连工业大学“护网2023”专项行动的通知

　　关于开展大连工业大学“护网2023”专项行动的通知
各单位、各部门：
　　按照辽宁省网络安全监管部门通知，全省“护网2023”网络安全实战攻防演练现已启动，我校同步启动重要时期网络安全保障工作。结合我校实际，经研究决定，即日起开展“护网2023”专项行动，现就相关工作通知如下：
　　一、开展网络安全自查及整改工作
　　从即日起至6月14日，请各单位开展网络安全自查及整改工作，自查内容包括：
　　1.清理“僵尸”信息系统
　　符合以下条件之一的信息系统即为“僵尸”信息系统，“僵尸”信息系统基本已无存在意义且存在管理漏洞和安全隐患，因此要求校内各单位尽快注销删除：
　　1）使用频率低
　　2）长期未更新
　　3）专题网站已完成工作使命
　　4）无专人运维或运维缺乏基本保障(安全隐患长期不修复的视为缺乏基本保障)
　　2.“双非”信息系统的治理
　　“双非”信息系统指使用非学校域名、非学校IP地址建设的信息系统。“双非”信息系统不属于学校官方行为，一切网络安全责任由系统校内相关单位承担。
　　请特别注意在校外搭建的各类测试、演示系统，不要随意使用校名、校徽等学校标识，否则均应按照“双非”信息系统处理。
　　请各单位开展“双非”信息系统排查，对于排查出的此类系统，应尽快关闭，避免遗留网络安全隐患。
　　3.加强校内各类办公密码的安全保护
　　各类办公密码包括本单位主管的信息系统管理后台、数据库、办公计算机、打印机、LED大屏、网络摄像头、网络设备、微信公众号、微博等软硬件设备和自媒体平台的密码。办公密码保护内容包括清理弱密码、确定密码管理与使用人员、定期修改密码、避免密码泄露等。
　　弱口令包括简单密码、默认密码、通用密码、长期不变密码等。弱口令问题一直都是校内网络安全主要问题之一，也是最容易被利用和攻击的一类漏洞，且可以造成非常严重的后果。请各单位高度重视此问题，对于弱口令问题进行彻底清理。
　　各单位应明确各类管理密码的管理、使用人员名单，且管理、使用人员应为校内在职教职工。密码管理人员应按照校内相关制度、要求进行密码授权，不得超范围授权密码使用，并定期对密码进行修改；密码使用人员应妥善保管密码，不得造成密码泄露，不得私自授权他人使用密码。
　　4.彻底检查各信息系统安全状况
　　各单位对主管的信息系统网络安全状况进行彻查，包括：高危漏洞的排查，非必要端口、服务、文件的清查，陈旧版本基础软件和通用软件的更新，调整访问控制范围避免超范围访问等。
　　5.加强自建局域网接入安全管理
　　各单位应对本单位以及本单位监管的校内商户等公共场所自建的有线、无线局域网进行自查，对于局域网使用者进行实名登记，确保局域网接入的可控。清查无线网络环境，对于自建的无密码、弱密码、无人管理、管理失控的无线局域网，应尽快整改或关闭；如要继续使用，应立即更换密码，明确管理员，落实网络安全管理制度。各有线、无线局域网所使用校园网IP的登记用户为该局域网的网络安全直接责任人，对所出现的网络安全问题承担主要责任。
　　6.加强对其他信息化应用及服务管理
　　各单位应加强本单位以及本单位监管的校内商户等公共场所的LED大屏、网络摄像头、微信公众号、微博等设备、自媒体平台的管理，开展网络安全自查，消除安全隐患，落实网络安全保障工作，避免出现不良信息等内容安全问题。
　　如自查过程中发现相关问题，请及时联系信息技术中心（联系人：南峰；联系电话：86323697-193,18841177713；邮箱：nanfeng@dlpu.edu.cn）。
　　二、防护措施与应急响应
　　1.网络防护策略调整
　　6月8日至6月21日期间，学校将建立对外开放系统白名单，不在白名单内的信息系统将全部限制在校园网内访问。白名单系统的确认必须符合以下三个条件：
　　1）安全性：信息系统建设在技术、管理、人员等方面有完善的保障措施。
　　2）必要性：信息系统必须对外开放才能正常使用，且为学校日常教学、科研、校务管理所必须。
　　3）历史安全记录：2020年至今，信息系统无不良安全问题记录。
　　学校初步拟定对外开放系统白名单（见附件1），如仍有满足上述条件的系统，相关负责单位可向信息技术中心申请加入白名单。如信息系统不满足上述条件但仍要开放，需经学校审批通过后可开放（联系人：南峰；联系电话：86323697-193,18841177713；邮箱：nanfeng@dlpu.edu.cn）。申报需提供以下材料：
　　1）由部门负责人签署的网络安全承诺书（附件2）
　　2）信息系统安全技术保障方案及相关人员名单（须有校内人员专门负责技术保障）
　　3）信息系统网络安全事件应急处置预案
　　4）信息系统24小时值守方案及人员安排
　　2.加强人防、技防，强化应急响应与值守
　　重要时期学校白名单列表系统的主管单位应制定针对相关系统的应急响应预案以及本单位的值守计划，相关负责人、联系人、管理员等应保持手机24小时畅通；对于校内其他单位建议结合本单位实际情况，制定有效的应急处置方案。
　　3.加强对独立机房的安全自查和管理
　　对有独立机房的单位，须严格按照网络安全法、监管部门文件和学校规定开展网络安全工作，落实网络安全责任制，制定网络安全管理制度、应急预案、24小时值守方案，并依照法律法规完成相关工作。
　　三、相关工作要求
　　按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，校内各单位分别负责本单位主管、运维、使用的各信息系统及内部网络的安全工作；各单位负责人为本单位网络安全的第一责任人，负责规划、监督本单位的网络安全工作。请校内各单位高度重视上述网络安全保障工作，按时完成自查整改工作，强化重要时期网络安全保障，确保顺利完成保障任务。附件1_重要时期校内对外开放信息系统白名单.docx
附件2_大连工业大学网络安全承诺书.docx 　　信息技术中心
　　2023年6月8日