按照上级有关部门要求,为防范重要信息系统因“弱口令”问题造成网络安全事件,切实提升系统网络安全防护能力,落实学校有关加强网络信息安全的工作部署,学校将在全校范围内开展网络安全“弱口令”问题自查整治工作。请各部门(学院/学部)(以下简称部门)高度重视此项工作,全面排查各部门所属各类网站、应用系统和业务平台,主要工作内容包括:
一、排查弱口令
(一)信息系统(网站)的弱密码专项治理:主要排查关键信息基础设施、门户网站、邮件系统、办公系统、重要业务系统、云平台、大数据平台、数据库系统、LED电子显示屏系统等是否存在弱口令的情况。杜绝使用admin、password root、123456等或键盘相邻按键组成的弱密码。
各部门须对所负责和使用的以上资产进行排查,尤其是系统后台管理员密码,要严防弱口令、默认口令、通用口令,一经发现必须立即更改;口令长期未变更的及时变更。同时,要加强网络安全意识的宣传,特别防范将口令明文保存、大量不同设备(系统)使用相同口令、账号口令随意转借等问题。
(二)个人账号弱密码专项治理:师生个人用户须妥善保管本人的上网认证、电子邮箱、VPN、网站群及各类业务系统的账号,加强密码复杂度设置。自行检查修改个人密码,杜绝“弱口令”。
二、加强口令安全管理策略
(一)各部门负责的业务系统需加强对密码复杂度的要求,在登录界面须具有对弱密码账号要求强制更改密码的安全设置,增加用户连续登录失败后的锁定机制,从系统层面减少乃至杜绝弱密码的使用,增强系统的安全性。可考虑采用多因素验证登录方式(如密码+手机验证码等)。
(二)要求用户每三个月或六个月定期更改密码,密码应设置为同时包含大小写字母、数字和特殊符号,密码长度不低于八位的强密码。
(三)各部门应加强口令管理制度的制定和落实,各部门需定期对所负责的业务系统进行弱口令排查。要持续开展对师生的安全教育,加强对弱密码危害的宣传,重视弱密码等安全隐患,切实提高网络安全防范能力,有针对性地采取相应措施,常抓不懈。
三、排查流程
(一)梳理资产:各部门梳理本部门所有开放访问的信息系统,包括服务器、物联网设备、摄像头、自助机等各类软硬件资产。
(二)逐项排查:各部门结合梳理的信息系统资产,按照《“弱口令”风险系统自查指南》(附件1)逐项进行自查。
(三)问题整改:能够立即整改的要立知立改;对需要时间落实整改的问题,制定整改计划并按时整改。
(四)情况反馈:各部门于6月16日前将《“弱口令”风险系统整改整治清单》(附件2)(电子版原件和签章扫描件)发至邮箱security@usst.edu.cn。
四、工作要求
(一)各部门要充分认识弱密码专项治理工作的重要性,提前部署,集中资源,进一步压实工作责任。认真落实网络安全总体要求,紧盯关键信息基础设施、数据安全和个人信息保护等关键环节,严格制度执行,落实工作部署,构建全方位、立体化网络安全保障体系。
(二)检查到位,不留死角。对本部门弱密码问题自检到位,加强所有信息系统(网站)弱密码的管理,做到不遗漏,确保基本无弱密码问题。
(三)各部门和广大师生充分认识网络与信息安全的重要性和紧迫性,以高度的政治敏锐性和责任心做好网络与信息安全工作。
(四)按照“谁主管谁负责,谁运维谁负责,谁使用谁负责” 的原则,各部门主要负责人亲自部署,明确分管领导和具体工作负责人,组织部门师生开展自查,落实落细治理工作。因账号管理问题引发网络安全事故,由账号持有部门和持有人负责。
(五)学校将同步开展弱口令问题的扫描探测,将发现的问题及时提供给二级部门进行整改。
(六)各部门自查结束后,学校探测发现仍未整改的弱口令问题,将纳入学校网络安全责任制考核范畴。
五、其他事项
如有问题可联系信息化办公室陈老师:35013913。
请各部门高度重视此次专项整治工作,切实提升思想认识,压实网络安全主体责任,进行周密部署并认真落实,按时且保质保量地完成排查整改任务,坚决杜绝安全隐患。
信息化办公室
2026年6月8日
