校内各部门、单位:
为了进一步贯彻落实党和国家关于网络安全工作的总体部署,及时排查整改重大安全隐患,严防发生重大网络安全事故,近期安徽省教育厅组织开展了网络安全攻防演练活动,通过本次大规模、深入度高的安全检查和渗透演练,我省高校依然暴露出大量的网络安全问题,主要集中在以下几点:
1、高校网络用户账户管理环节由于密码过于简单或通过社交网络泄露,导致被利用从而造成内网暴露,信息系统直面外网的严重威胁;
2、高校业务系统众多,少量业务系统成熟度不高,存在高危安全漏洞,黑客易于直接获取管理权限,造成信息大量泄漏;
3、部分业务系统管理部门长期忽视网络信息安全,产品维护公司安全服务意识差。
做好高校网络安全管理工作需要从技术和管理两个方面同时入手,在技术方面,我校建设了相对较为完善的网络安全防护体系,在制度方面,2021年6月我校出台了“合肥学院网络安全与信息化建设管理办法”(院行政【2021】64号文),明确了学校网络信息安全工作按照“谁主管、谁负责,谁主办、谁负责”的原则进行,明确了各单位信息系统上线前落实等级保护测评的要求,同时也进一步明确了我校信息化项目建设申报、管理和验收的流程。
通过本次教育厅组织的网络安全攻防演练,我校也暴露出了少部分业务系统存在系统安全漏洞,账号信息泄露等问题,为了消除安全隐患、进一步提升我校网络安全防护水平,再次通知强调:
1、校内各部门、各单位信息化建设应当做到系统建设和安全防护并行,且必须通过学校统一组织的信息安全等级保护测评达标后方可上线;
2、校内各部门、各单位信息化项目建设从项目申报、论证以及验收环节,学校信息办全过程参与,对于不按照“合肥学院网络安全与信息化建设管理办法”要求,未向信息办申报并通过可行性、安全性评估的项目,信息办不提供网络接入、虚拟机托管等IT支撑与技术支持!
近期信息办将对此次教育厅网络安全攻防演练暴露出的问题进行督促整改,联系电话:62158221 。特此通知!
信息办
2021年11月29日
