各二级党组织、各单位:
近期抽查发现,部分单位自建设备、系统中存在弱口令安全问题,如门禁系统、监控系统、内部网络设备、信息系统等。为有效防范化解网络安全风险,营造安全有序的校园网络环境,保障师生权益,拟在全校范围内开展弱口令专项治理行动。现将有关事宜通知如下:
一、排查问题
1.密码不符合强度要求:密码不符合8个及以上字符,且同时包含大小写英文字母、数字和特殊符号中的3种以上字符类型的要求。
2.伪强密码:符合强密码结构要求,但主要由规律性内容构成,如姓名、生日、登录用户名、admin、swu、password、123456、111111、ASDFG和!@#$%^&*(键盘相邻按键)等。
3.密码的弱管理:测试账户、僵尸账户、离职员工账户不及时注销;初始密码、默认密码不及时变更;账号管理随意,如转借他人、开放空间张贴口令、账号和密码同渠道传递、口令集中明文存放等。
二、排查范围
1.系统账号:单位管理和使用的信息化系统(如人事、科研、教务、财务、门户网站、监控系统、LED电子显示屏系统等)账号。
2.个人账号:师生员工个人的统一身份认证、电子邮件、VPN、上网和电脑操作系统等账号。
3.设备账号:单位或个人管理使用的各类仪器设备的登录管理账号,如服务器、路由器、交换机、实验仪器、摄像头等。
三、排查流程
1.梳理资产:各单位梳理互联网可访问的各类软硬件资产,填写《西南大学二级单位互联网资产清单》(附件1)。
2.逐项排查:各单位结合梳理的互联网资产,按照《西南大学弱口令问题专项自查表》(附件2)逐项进行自查。
3.问题整改:能够立即整改的要立知立改;对需要时间落实整改的问题,制定整改计划并按时整改。
4.情况反馈:各单位于4月29日(星期一)前将《西南大学二级单位互联网资产清单》和《西南大学网络资产账号安全自查表》(电子原件和签章扫描件)通过数智西大(专属钉钉)反馈至信息化建设办公室王文韧。
四、工作要求
1.请各二级党组织、各单位和广大师生充分认识网络与信息安全的重要性和紧迫性,以高度的政治敏感性和责任心做好网络与信息安全工作。
2.请各二级党组织书记、各单位主要负责人亲自部署,明确分管领导和具体工作负责人,组织单位师生开展自查,落实落细治理工作。
3.学校将同步开展弱口令问题的扫描探测,将发现的问题及时提供给二级单位进行整改。
4.各单位自查结束后,学校探测发现仍未整改的弱口令问题,将上报学校安全稳定工作例会或网络安全季度会。
5.因账号管理问题引发网络安全事故,由账号持有单位和持有人负责。
联系方式:王文韧、林已杰,数智西大(专属钉钉)。
特此通知。
附件1.西南大学二级单位互联网资产清单.xlsx
附件2.西南大学弱口令问题专项自查表.xlsx
网络安全和信息化领导小组办公室
2024年4月24日