通知公告

Announcement
关于进一步加强我校信息系统数据安全工作的通知
2017年07月20日 14:22  发布者:  访问量:

关于进一步加强我校信息系统数据

安全工作的通知

各二级单位:

 为了贯彻落实《网络安全法》,进一步加强以数据安全为重点的网络安全工作,严防重大网络安全事故发生,确保全市教育信息系统安全、稳定运行,为党的十九大胜利召开营造良好环境。据重庆市教育委员会【201723号文件精神和要求,全校针对信息系统数据安全进行排查。现将有关工作通知如下: 

一、  强化数据安全责任落实。数据安全是网络安全工作的重要组成部分。各部门要充分认识加强数据安全工作的重要性和紧迫性,克服麻痹大意和侥幸心理,进一步强化责任意识和担当精神,按照“谁主管谁负责,谁运维谁负责,谁使用谁负责”的原则,落实数据安全保护责任,凡与企业合作运维信息系统的,须签订网络安全责任书,明确数据安全责任,确保工作落细落实,取得实效。

二、  认真贯彻执行学校印发的《信息系统安全保密管理办法》、《信息化数据管理办法》等信息系统和数据安全管理制度。各部门要从维护安全稳定的大局出发,落实数据安全管理制度,定期检查制度执行情况,真正将数据安全工作贯穿到信息系统建设与运维全过程,做到同步规划、同步建设、同步运行,确保学校数据的完整性、保密性和可用性。

三、  完善数据安全技防措施。各部门要进一步加强数据安全软硬件条件建设,特别要加强容灾备份建设,采取更加严格、更加科学的数据安全保护措施,不断提升数据安全风险防控水平,为学校数据的安全采集、传输、存储与应用提供强有力的技术支撑。

四、  加强系统运维管理人员培训。重点加强数据安全相关法律法规、理论知识和技术技能学习培训,各部门要将数据安全知识纳入网络安全培训内容,切实提高本部门管辖的信息系统运维人员数据安全保护意识和业务能力。

五、  开展数据安全排查和加强问题整改。各部门要认真开展所辖信息系统数据安全隐患排查工作,做到底数清、情况明、全覆盖、不遗漏,针对检查中发现的突出问题和薄弱环节,要制定整改方案,细化任务措施,限期落实到位。

六、  提升网络安全防护水平。各部门要深刻吸取数据异常事件教训,举一反三,依托近期开展的网络安全检查和教育行业网络安全综合治理行动,加强信息系统网络安全风险隐患排查整治,建立健全关键信息基础设施网络安全责任制和防范机制,加快推进配合学校信息安全等级保护各项任务落实,真正做到网络安全状况心中有数、整改要求明确清晰、隐患问题盯紧看牢、防范措施落实见效,推动我校信息系统网络安全形势持续、稳定向好,努力实现网络安全与教育信息化协同发展。

七、  针对此次安全检查工作,请如下信息系统相关部门进行相应的工作安排,并于2017729日前将相关报告及安全责任书提交于信息化处,联系人:肖老师

联系电话:13594136377电子文档投递于邮箱454142667@qq.comoa邮件也可以),纸质文档于2017729日之前投递于7-188办公室。

详细见附件1-4

系统加固建议附件5

 

 

 

 

                             信息化处 

2017720


 

 

 

 

 

附件1:相关信息系统:招生系统,教务系统,资产系统,学管系统,就业系统,迎新系统,离校系统,财务系统,办公(OA)系统,一卡通系统,网站系统,邮件系统,质量诊断与改进信息平台,节能监管,人事管理,科研管理系统,学勤管理系统等及二级单位正在使用的信息系统(只要在网站有链接的都在此次检查范围内)。


 

 

附件2:安全责任书:

信息系统安全检查责任书

为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的安全检查工作,特制定本责任书。

一、  总体目标

按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。

二、责任要求

1、统筹安排信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。对检查工作组织领导不力,有关要求不落实的,要予以通报批评。

2、信息安全检查过程中,要及时通报发现的问题并提出整改建议。

3、信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。

4、信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。  

三、责任追究  如信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。  本《责任书》自签约之日起生效。

 

责任人(签章):

                      


 

 

附件3:数据安全工作情况表

数据安全工作情况表

填报单位:(加盖单位公章)

联系人:

联系电话:

网络安全责任书

已签订         □未签订

数据安全责任落实情况

已落实         □未落实

数据安全制度

建立及执行情况

是否制定数据安全制度?

数据运维是否按照制度执行,并有详细记录?

数据库安全管理情况

数据库是否存在弱口令?

数据库是否允许远程管理?

数据库远程管理是否采用加密通道?

是否建有数据库审计系统?

数据容灾备份

情况

是否采用同城备份?

是否采用异地备份?

网络安全培训

是否有网络安全培训计划?

是否将数据安全知识纳入网络安全培训内容?

是否开展网络安全培训?

数据安全隐患

排查及整改情况

是否开展数据安全隐患排查工作?

是否存在数据安全隐患?

是否制定数据安全隐患整改方案?

整改情况:

 


 

 

附件4:信息系统自查表:

重庆电子工程职业学院信息系统自查整改表

信息系统名称

所属部门

部门主管领导

系统管理员

安全问题现象

整改单位及人员

整改情况及结果

结论


附件5主机安全加固整改建议

1、  Service PacksHotfixs安装情况

在程序-控制面板(小图标)-Windows update 对服务器配置自动更新或者定期更新最新补丁。

 

2、  审计和帐号策略。

操作1:点击开始->设置->控制面板,然后双击管理工具,最后双击本地安全策略-账目策略-密码策略,开始进行检查。

 

 

 

 

 

 

3、  安全设置

本地安全策略-安全选项

 

 

 

 

注:需删除系统内所有未使用账户和分组。删除PowerUsersBackupOperators

 

 

 

4、  检查以下注册表值(非专业人员,不建议修改,)

 

注册表安全设置

禁止自动登录:  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\  CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0

禁止CD自动运行:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDrom\ Autorun  (REG_DWORD) 0

删除服务器上的管理员共享:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\LanmanServer\Parameters\AutoShareServer  (REG_DWORD) 0

源路由欺骗保护:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\  Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2

帮助防止碎片包攻击:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Tcpip\Parameters\EnablePMTUDiscovery  (REG_DWORD) 1

防止SYN Flood攻击:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\  Services\Tcpip\Parameters\SynAttackProtect (REG_DWORD) 2

SYN攻击保护-管理TCP半开sockets的最大数目: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\  TcpMaxHalfOpen (REG_DWORD) 100 500

 

 

5、  禁用不必须的服务

操作:控制面板-管理工具-服务

 

 

6、  防火墙及杀毒软件

系统内应安装有最新版杀毒软件,并自动更新。(建议使用:服务器安全狗+网站安全狗)

 

7、  检查以下注册表内是否存在异常程序

 



上一条 下一条

关闭

Copyright 2015 重庆电子工程职业学院-信息化处.