各二级学院、部门:
近期,我校各类信息系统(网站)弱密码漏洞事件频发,被江苏省教育网信办通报2次:
1、218.3.172.124网站存在漏洞,风险编号MVD-20191012A31440,事件类型-弱密码。
2、info.xzcit.cn 网站存在漏洞,风险编号MVD-20190801A26750,事件类型-弱密码。
为增强网络安全防护能力,维护良好的网络环境,根据江苏省教育网信办文件精神,定于10月16日到10月31日开展我校信息系统(网站)弱密码专项治理工作,对全校各类信息系统和网站开展为期两周的弱密码专项治理,具体工作内容如下:
一、对于各类信息系统(网站)的弱密码专项治理分为三个阶段:
1.自查自纠阶段,从即日起到10月26日。在此期间,对于在校内外访问的信息系统(网站),由系统管理员立即检查所有用户密码复杂度,尤其要检查高权限用户和管理员的密码,避免弱密码被非法利用导致严重网络安全事件的发生。对于用户数量较多的教务、学工等相关系统,建议主管部门要求软件开发商协助进行用户密码复杂性检查并对弱密码进行强制修改。
2.学校检查阶段,从10月27日开始到10月31日。现代教育技术中心将联合网络安全公司和市公安局网络安全支队对重要网站和信息系统进行密码安全性检查,对于弱密码治理不到位的,采取即刻关停措施。
3.持续改进阶段。各信息系统(网站)的责任部门应要求软件开发商在用户管理、注册、登录、密码修改等页面处增加密码复杂度检查功能,增加用户连续三次登录失败后的锁定机制,从系统层面减少乃至杜绝弱密码的使用,增强系统安全性。有条件的,可考虑采用双因素验证登录方式(如密码+手机验证码)。
二、修改弱密码建议及说明如下:
1.典型的弱密码如123456、123abc、qwerty(键盘上连续字母)、iloveyou、名字拼音+生日、名字拼音+123、电话号码、生日、手机号码、全数字、英文单词(含姓名)等形式。
2.相对安全的密码应该是数字、大小写字母、特殊字符的组合,长度在8位及以上(视具体系统规定),密码中不应包含用户名和登录页面上出现的信息。
3.各系统的密码应尽量做到唯一,防止单个系统中用户密码泄露造成多个系统集体失陷。
三、各类信息系统(网站)的弱密码专项治理完成之后,由各二级学院、部门信息系统(网站)管理员和二级学院、部门负责人签署密码安全承诺书,请到“下载中心”下载文件“信息系统(网站)管理员密码安全承诺书”,于11月5日之前签字盖章后送交现代教育技术中心。
现代教育技术中心
2019.10.15