各学院、各相关部门:
近期,省教育厅对学校网络安全工作做了重点检查,发现VPN系统、统一缴费系统、学生事务大厅等存在弱口令问题,为增强校园网络安全防护能力,提升师生网络安全意识,有效防范和抵御安全风险隐患,避免因弱口令导致个人信息泄露,切实保障信息系统稳定运行和数据安全。现对全校用户登录账号和各类信息系统(网站)管理员账号等开展弱口令专项治理工作,现将相关事项通知如下:
一、弱口令专项治理工作开展时间
2023年4月28日至2023年5月6日
二、弱口令专项治理工作要求
1.各学院(部门)通知本单位师生检查自己所使用和负责的信息系统有无使用弱密码、默认密码和通用密码的情况,如有应及时修改。建议及说明如下:
(1)典型的弱密码如123456、123abc、电话号码、生日、学(工)号、姓名、身份证号、学校和院系(单位)名称等字符或其组合。
(2)相对安全的密码应该是数字、大小写字母、特殊字符的组合,长度在8位及以上,密码中不应包含用户名、个人信息及登录页面上出现的信息。
(3)各系统的密码应尽量做到唯一,防止单个系统中用户密码泄露引发黑客“撞库攻击”,造成多个系统集体失陷。
2.请各单位对所管理信息系统(网站)开展用户密码复杂度检查,尤其是高权限用户和管理员密码,应及时、认真做好弱口令修改工作,并关闭测试账号。对于用户数量较多的教学和科研等相关系统,建议各单位要求软件开发商协助完成用户密码复杂度检查,并对弱密码、默认密码和通用密码进行强制修改,在用户管理、注册、登录、密码修改等页面处增加密码复杂度检查功能,增加用户连续登录失败后的锁定机制,从系统层面减少乃至杜绝弱密码的使用,增强系统安全性。有条件的信息系统,可考虑采用双因素验证登录方式(如密码+手机验证码)。
信息网络中心定期对校园重要网站和信息系统进行密码安全性检查,对于弱口令治理不到位的,被教育厅、公安、网信办等主管部门通报,或对学校重要业务信息系统产生安全威胁或造成网络安全事件的单位,将报请学校按未落实网络安全主体责任情况进行处理。
如遇疑问,请致电*****931 杨老师
