各单位:
信息与网络中心在近日网络安全巡检中发现,若干学院和部门主页由于权限设置不当、代码存在安全问题、管理员自身安全问题等多方面原因,导致其主页存在严重的安全漏洞,目前已经发现几个部门主页存在内容被篡改、删除等黑客入侵的现象。为加强安全防范,消除安全隐患,特就部门主页的安全部署通知如下:
1.各单位立即对自己部门的主页进行一次安全检查,重点检查页面各栏目的内容是否存在被篡改、后台是否自动多出不明管理账号、后台其他管理权限设置是否存在被修改、权限是否限制不当、目录中是否存在非自己上传的不明文件等情况。
2.所有部门主页技术管理人员必须立即修改所有管理员账号密码(即使暂未发现问题也必须修改密码)。密码要求8位以上,且必须同时包含大小写字母、数字,然后妥善保管好密码,不得随意将账号密码授权给非指定管理人员使用。
3.所有部门主页管理员必须立即检查主页源代码以及后台数据的备份,没有备份的要立即备份(即使暂未发现问题也必须立即进行本地备份);要保持备份异地化、经常化,对于网站数据的备份频度不得低于每周一次。
4.对于一直安排学生制作或管理主页的单位,必须立即指派在职正式员工作为单位网站的负责人;如果单位委托制作或管理的人员已经离开,必须立即重新取得联系并获取网站的后台管理权限、获取网站源代码数据、修改后台管理员账号;对于后台账号遗失,同时委托制作或管理的人员已经离开并确实无法重新获取这些资料信息的单位,必须立即重新制作单位网站并安排在职人员管理。
5.部门主页自检中发现问题的单位,以及本通知附件中涉及的可能存在高危安全隐患的单位,请尽快由主页技术管理人员携带干净的网站源代码备份、管理员账号密码,与网络中心联系修复主页、排除隐患。注意此项工作必须由单位主页管理员完成,不得指派学生单独代办。
部门主页关系到我校以及各单位的形象,同时也是我校安全保密工作的重要内容。请各单位立即展开部门主页安全自检,对于存在安全隐患的单位,务必于通知后的一周内联系网络中心完成修复加固工作。必须明确的是,信息与网络中心的职责在于面向各单位提供基础网络连接、服务器存储空间及网站运行环境的支持,各单位网站的建设与内容管理目前仍然由各单位自行完成,因此各单位必须做好日常维护与备份。对于处置不力、响应不及时且检查后仍然存在安全问题的单位,为确保服务器上其他多数部门主页的安全,网络中心将采取紧急关闭这些发现问题的部门主页、并报请学校采取进一步处置的措施。
特此通知。
信息与网络中心
2011年12月5日