關于開展網站失效鍊接、暗鍊、個人敏感信息洩露等風險自查工作的通知
各二級學院、各部門:
為加強網絡與信息安全管理,淨化網絡空間,提高法律意識,避免師生個人敏感信息被無意洩露,現開展網站失效鍊接、暗鍊、個人敏感信息洩露、弱口令等風險自查工作。具體工作事宜如下:
一、自查内容:
1.失效鍊接(失效二維碼)
失效鍊接即無法訪問、不可到達的鍊接。通常是鍊接到不規範團體和個人發布的網絡内容,後期因失去維護、被随意删除等各種原因,内容不複存在,從而變為失效鍊接。
2.暗鍊
暗鍊是指網站存在的非法網址、鍊接,指向含有賭博、色情、暴力、詐騙、反動信息等内容的非法鍊接。已排查出來的案例,均為初始時、網站中的鍊接指向合法網站,後到期失效,被他人搶注用于發布非法信息。例如,某學院招聘信息網站中的原企業官網鍊接;某二級網站友情鍊接中的原校友網站鍊接;某教學成果網頁中的word文檔附件内列舉的原教學資源網站等。
3.個人敏感信息洩露
個人敏感信息洩露,有被用于詐騙,被惡意攻擊等風險。《中華人民共和國個人信息保護法》已于2021年11月1日起施行,個人敏感信息受國家法律保護。相關案例如:獎學金候選人、獲獎者名單等公示中,披露了師生的姓名、工号、學号、身份證件号碼、手機号碼、QQ号碼、家庭住址、銀行卡号、個人生物識别信息、詳細的個人經曆等個人敏感信息。
4.弱口令排查
“弱口令”是指強度較弱,易被軟件破解的密碼,如“123456”、“666666”、“abcdef”、“admin”、“qwe123”“abc123”、“身份證後六位”、“密碼同賬号一緻”等形式。建議修改為“含有大小寫字母、數字、特殊符号,且長度不低于8位的密碼”。
二、自查範圍
各單位在本部門網站及其他宣傳媒體和業務系統内所有已發布内容,包括附件裡的内容。
三、自查方式
1.失效鍊接、暗鍊、二維碼鍊接自查
逐個核實自查責任網站的每一個校外網址和鍊接是否能跳轉到合法網頁。建議非必要的校外網址和鍊接不做保留;外鍊盡量選用域名是gov.cn和edu.cn結尾的網站。
2.個人敏感信息洩露自查
對需公布的個人敏感信息進行脫敏、覆蓋處理,僅在工作範圍或責任範圍内公開。建議電話聯系方式以座機号碼為主。已過公示期的信息應予以删除。
3.弱口令自查
全面排查本學院、本部門内包括但不限于終端、服務器、網絡設備、安全設備、應用系統、數據庫、中間件等全部資産的弱口令、默認口令、通用口令、長期不變口令、密碼明文保存、不同設備(系統)使用相同密碼等問題,一經發現必須立即整改。同時,要加強網絡安全意識宣傳,特别防範以上弱口令問題。
四、自查結果反饋
各單位如發現存在以上問題,應立即對問題内容予以删除或脫敏處理。請各單位于2022年9月1日之前完成自查工作,填寫附件中的《網站失效鍊接、暗鍊、個人敏感信息洩露、弱口令風險自查表》,并将附件電子版于9月1日前發送至電子郵箱515378236@qq.com,網絡信息中心将對照自查表内容,予以協同處理。聯系人:梁中義,聯系電話:64200345。
(提示:學校唯一官網地址為:www.fyjnzs.com)
附件:網站失效鍊接、暗鍊、個人敏感信息洩露、弱口令風險自查表.doc
網絡信息中心
2022年8月20日