校属各单位：

为全面贯彻中省关于网络安全工作的统筹部署，落实《中华人民共和国网络安全法》和陕西省教育厅《关于进一步加强我省教育信息系统安全应急处置工作的通知》等文件要求，增强我校信息系统（网站）防护能力，有效防范和抵御安全风险隐患，切实保障信息系统（网站）稳定运行和数据安全，信息化管理处将在学校开展2021年度春季学期网络安全综合治理行动，全面查找发现各类安全漏洞和突出问题。具体内容如下：

一、工作内容

（一）推动信息系统（网站）清理整合

1．清理“双非”信息系统（网站）。校属各单位必须加强本单位信息系统（网站）的资产信息统计，确保资产清、情况明。

要严格排查本单位的“双非”系统（IP地址不在学校地址段或域名不在学校的系统）。对非备案单位私自使用学校IP地址开设网站和使用学校域名的，应纳入学校统一管理，并在信息化管理处备案，对不纳入统一管理的，将采取终止互联网服务或域名服务。

对IP和域名均不在校内，但以学校名义开办的系统，应在信息化管理处进行备案，统一纳入校内管理，由承建单位负责运维。对不纳入统一管理的，应由系统建设单位主要负责人签订安全承诺书。

2．整合资源、清理虚拟服务器。为了提高系统安全性与性能，我处将对虚拟化主机之间的工作负载进行平衡，做进一步优化，降低存储成本和资源的损耗，从而整合资源，提升资源利用率。

（二）加强信息系统（网站）安全管理

1．加强网站信息发布管理。各单位应全面检查网站信息发布情况，发布的信息中如存在法律和行政法规禁止发布或传输的信息、涉及身份证号码、私人手机号码等个人隐私或单位秘密的信息，应釆取删除或更正等措施立即整改。

2．加强数据与虚拟机服务器安全管理。

信息系统（网站）的账号和密码应指派专人负责管理，并将口令设置为不小于10位、至少有三种字符组合的口令，禁止多个账户使用同一口令；涉及核心业务（招生、考试、学籍、资助、教师管理等）的重要信息系统，至少要建立独立的数据库实例，针对各信息系统数据库实例设置最小权限的管理账户，并严格控制数据库管理员帐户的操作行为，同时每个周月应检查一次安全情况。

要定期检查虚拟服务器补丁更新情况，实施补丁自动更新的管理措施；关闭不必要的端口，特别注意远程管理端口，及时停止不必要的服务和应用；部署本地服务器的安全管理策略，提高系统安全等级。

各单位应建立网站数据备份工作机制，以不少于每月一次的频率，自行对所属网站数据进行备份，并确保备份数据的完整性与连续性。

3．全面监测网络安全威胁。校属各单位要切实加强网站、信息系统的监管力度，进一步完善管理制度和技术保障措施，确保信息系统（网站）安全运行。信息化管理处依托相关专用安全评估设备负责校园网络安全监控预警工作，对监测情况形成常态化报告。发现存在漏洞、后门、暗链、弱口令等安全威胁的信息系统（网站），涉及问题的单位须按照报告要求及时做好相应的整改工作，如因技术原因不能及时修复的须立即关停，直至系统完全修复后再上线运行。

（三）加强操作系统安全防范

微软公司自2020年1月14日起，停止对Windows7系统提供任何问题的技术支持、软件更新、漏洞修复等更新服务，意味着如果继续使用会带来一定的信息安全风险。

为了进一步加强操作系统安全防范工作，避免网络安全与信息泄露，要求对仍在使用Windows 7的计算机，在硬件条件满足的情况下，尽快将操作系统升级至Windows 10。目前学校已采购软件正版化服务平台，免费提供Windows操作系统、Office办公软件和金山WPS办公软件，可通过以下几种方式获取Windows 10安装服务。

1．登陆学校“软件正版化平台”（从服务门户-业务直通车-软件正版化服务板块进入或直接输入http://mssoft.xaut.edu.cn，仅限校园网内访问），自行下载相关系统和软件，进行安装、激活，使用方法见平台帮助文档。

2．由各院系、部门网络信息员负责本单位系统的安装，可到信息化管理处登记借用Windows 10安装U盘。

3．用户可将电脑送至信息化管理处网络与安全管理科，由专门的技术人员为用户提供Windows 10系统的免费安装服务。

4．在重新安装系统前务必自行做好数据备份工作。由于未做好数据备份造成数据丢失的风险自行承担。

二、网络安全检查结果及整改要求

信息化管理处将对我校虚拟服务器和网站进行安全检查，具体工作要求如下：

（一）虚拟服务器方面

暂停两年内未使用过的虚拟服务器，暂停虚拟服务器系统为Windows Server 2003/2008等微软已停止提供系统补丁的服务器的虚拟服务器。满足上述情况的虚拟服务器资源如需继续使用，须重新申请，并部署为Windows Server 2016及以上系统；暂停存在重大安全隐患和绑定未备案域名的服务器，整改完成后开放。

（二）信息系统（网站）方面

对存在高危安全漏洞的信息系统（网站），我处将通过OA发送发送《站点监控报告》（包括漏洞情况、解决方案等）至需要整改的单位；同时，对以上相关网站采取限制互联网访问。收到监控报告的单位须在规定时限内完成整改并形成整改报告，逾期未完成修复整改的将按照上级有关要求进行关停处理。

（三）操作系统安全防范方面

各单位各部门针对办公和教学电脑操作系统进行排查，形成操作系统安全台账，及时做好相应防护，发现安全问题及时进行处理。

三、其他工作要求

（一）提高思想认识，加强组织领导

校属各单位要充分认识开展综合治理行动的重要性和必要性，坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，夯实网络与信息安全管理责任，明确主管领导和责任人，提供必要的工作保障，确保各项工作落到实处。

（二）加强组织协调，形成工作合力

本次网络安全工作要进行全面排查，对查出的网络安全隐患须限期整改。各单位要树立“一盘棋”思想，工作中要加强沟通、协作，确保网络安全综合治理行动顺利完成。

（三）资料提交

对于本次网络安全综合治理行动中发现存在虚拟服务器、信息系统（网站）不符合要求或存在安全漏洞的，须按照实际情况形成本单位《2021年度春季学期网络安全综合治理行动总结报告》（总结报告模板见附件1）与《操作系统安全台账》（台账模板见附件2），并于7月16日前通过OA提交至信息化管理处。