校内各单位：
        为加强学校校园网络安全的整体防护能力，提升突发网络安全事件的应急响应和处置能力， 根据教育部《教育部科学 技术与信息化司关于开展 2023 年教育系统网络安全攻防演 习的通知》 (教科信厅函〔2023〕37 号) ，学校将结合教育 部攻防演习要求， 全面开展全校网络安全自查工作，对重要 业务系统、重大平台、薄弱环节开展专项治理， 进一步消除 潜在风险，为大运会等重要时期的网络安全保障做好充分准 备工作。具体要求如下：

        一、准备期：开展网络安全自查整改工作(5 月 17-18 日)
        1.严格落实网络安全责任制。 各单位务必高度重视，狠 抓责任落实，将网络安全作为核心工作重点部署、重点推动、 重点落实，坚持做到主要负责人亲自抓、各信息资产负责人 具体抓。 学校也将加强对网络安全事件的追责问责。
        2.系统(含固定 IP) 核查清理。各单位应全面梳理运 行的信息系统和固定 IP，关闭不再使用的系统和固定 IP(短 期无业务运行或不重要的系统可做下线处理) 。关于固定 IP 的清理， 信网处将另行通知。
        3.系统边界防护。 各单位应梳理并细化边界防护墙策 略配置，做好专网与互联网等相关网络的隔离工作，最大 化减少资产暴露面。
        4.主机安全加固。 各单位应对部署在专网上的服务器及办公计算机进行安全加固，及时更新操作系统、数据库、中 间件等补丁，调整安全策略配置。
        5.系统账户清理。各单位应对部署系统的用户及管理员 账户 (僵尸账号、无效账号) 进行全面清理， 删除已不再使 用的账户，避免账号数据泄露被非法利用引起的安全风险。 同时，对在用账号建议进行权限最小化处理。
        6.敏感信息防护。各单位应认真排查本部门网站信息， 对个人敏感信息做好加密等安全防护，如发现在公开信息中 存在敏感信息内容， 应立即予以删除或进行脱敏处理。  (个 人敏感信息主要包括：身份证件号码、 交大 ID 统一身份认 证、银行卡号、手机号码、家庭住址、个人生物识别信息、 家庭经济困难原因等。 )
        7.弱密码整治。目前网络安全事件的 80%来源于弱密码 和密码泄露，各单位应加强本单位主管的信息系统密码管理， 包括管理后台、数据库、办公计算机、网络打印机、 LED 大 屏、网络摄像头、网络设备、微信公众号、微博等软硬件设 备和自媒体平台的密码，坚决杜绝弱口令和明文口令现象。
        8.VPN 资源和账号清理。目前， 为方便学校师生在校外 使用校内信息资源，学校 VPN 接入了大量业务系统，导致 VPN 成为校园网络安全的高风险点。因此， 请各单位结合本 单位业务特点、系统安全性及运维能力等因素，针对进入 VPN 资源池中的业务系统进行风险评估，存在安全隐患的建议暂停开放 VPN 使用。同时， 对暂时不用或已离职的运维人 员的 VPN 账号进行集中清理。
        二、演练期： 参加教育部网络攻防演习实战(5 月中下 旬—6 月上旬)
        1.在演习期间，学校将持续通过技术手段主动发现网络 安全漏洞、隐患、风险等问题， 及时向校内各单位下发《西 南交通大学网络安全隐患整改通知书》， 督促期限整改，确 保问题整改清零， 学校将对重大问题隐患举一反三，视情开 展重点排查，杜绝类似问题隐患。
        2.各单位应对自身的网络安全防护能力正确评估， 充分 调动各方资源尤其是系统开发商的应对措施， 全面做好系统 防护， 要加强对第三方参演人员的背景审查和纪律宣贯工作， 严防问题人员进入防守队伍。
        3.各单位应再次梳理应急预案， 畅通应急响应机制，如 若发现安全事件， 第一时间按照《教育系统网络安全事件应 急预案》《西南交通大学网络与信息安全事件应急预案》进 行处置并上报信息化与网络管理处，保护好相关证据以便溯 源。
        4.演习结束后， 各单位应及时做好总结汇报， 通过复盘 总结经验教训和对照整改，为日后重要时期网络安全保障工 作形成重要参考。
        三、 师生个人网络安全防护温馨提示

        请各单位加强对师生的信息安全素养宣传，提升个人网 络安全意识， 防范社会工程学攻击。
        1.全校师生员工应谨慎保护个人账号密码， 杜绝使用弱 密码、默认密码和通用密码，杜绝借与他人使用。目前网络 安全事件的 80%来源于弱密码和密码泄露，成为网络安全的 最大隐患。例如交大 ID 统一身份认证账号关联的数据信息 包括身份证件号码、 电子邮箱、 手机号码、个人生物识别信 息、VPN 账号、一网通办和教学科研等各类系统的用户账号 等，与师生个人信息安全密切相关。
        2.全校师生员工应谨慎防范交大邮箱的钓鱼邮件。近期， 针对国内高校电子邮箱的钓鱼邮件攻击较频繁，常以骗取用 户重要信息、传播恶意程序为主要目的， 是最容易被利用的 攻击手段之一。因此，在使用交大邮箱时应注意： 邮箱设置 高强度密码且定期更换； 不要随意打开不明来源的邮件附件 和点击邮件正文中的可疑网址链接；不要随意打开内容可疑 的邮件附件(Word/PDF/zip/rar) ；不要被发件人假冒的名 称误导 (如冒充系统管理员)； 不要轻信各种以管理员身份 发送的学校通知、中奖信息、系统升级等通知等。
        3.如遇可疑事件，可及时与单位网络安全员或学校信网 处联系处置。

网络安全和信息化领导小组办公室 信息化与网络管理处
2023 年 5 月 17 日