各单位:
当前信息系统安全形势日趋复杂,AI驱动的自动化攻击、API漏洞利用、量子安全威胁等新型风险持续凸显,信息系统面临外部攻击、内部管理漏洞、技术缺陷等多重安全挑战,一旦发生安全事件,可能导致系统瘫痪、数据泄露篡改、业务中断等严重后果。为切实保障我单位信息系统安全稳定运行,保护各类数据和信息资产安全,现就做好信息系统安全工作提醒如下,请严格遵照执行。
一、强化安全意识,严守操作规范
1、全体人员需高度重视信息系统安全,杜绝麻痹大意思想,主动学习信息安全知识和防护技能,提升对AI钓鱼邮件、深度伪造指令、恶意链接等新型威胁的识别能力。
2、严格遵守账号使用管理规定,推行双因子认证,账户密码长度建议至少为10位,推荐12位,必须包含大写字母、小写字母、数字和特殊字符(如!@#$%等)中的至少三种类型组合的强密码。避免多个系统用同一个密码,防止因一个系统密码泄露导致其他系统被“撞库”攻击。建议重要系统一学期修改一次密码,提高安全意识。避免用电话号码、手机号、本人生日、特定英语单词或姓名汉字拼音等个人信息,严禁随意泄漏账户和密码、共用账号或向他人转借账号。严禁使用“123456”或身份证后六位等常见默认或简单组合。
3、执行“非必要不点击、不下载、不安装”原则,不打开陌生邮件及附件、不点击非官方推送链接、不安装来源不明的软件和插件,避免接入公共无密码Wi-Fi处理工作业务。
二、规范权限管理,堵塞内部漏洞
1、各部门按照“最小权限、按需分配”原则,梳理本部门信息系统账号权限,及时回收离职、调岗人员的系统操作权限,清理闲置、冗余账号,杜绝越权访问。
2、工作人员仅可在授权范围内操作信息系统,严禁擅自修改系统配置、删除数据、新增操作权限,严禁将敏感数据私自拷贝、外传或在非工作设备上存储。
3、做好工作设备的专属使用管理,离开工作岗位时及时锁屏,下班前关闭计算机、服务器等设备,严禁非工作人员操作办公设备和信息系统。
三、夯实技术防护,提升防御能力
1、技术保障部门需定期对信息系统进行漏洞扫描和渗透测试,及时修复系统、软件、硬件存在的安全漏洞,更新系统补丁和病毒库,确保防火墙、入侵检测系统、杀毒软件等安防设备正常运转。
2、针对API接口、AI智能体等新型攻击点,建立全生命周期防护体系,对API调用行为进行实时监控,约束AI智能体权限,拦截异常访问请求。
3、落实数据分类分级保护要求,对核心业务数据、敏感个人信息、重要工作资料等采取加密存储和传输措施,执行“定期备份、异地容灾”制度,确保数据可追溯、可恢复,备份数据需定期验证恢复有效性。
四、健全应急机制,强化处置报告
1、各部门需明确信息系统安全责任人,配合技术保障部门完善安全应急预案,定期开展实战化安全演练,提升对网络攻击、系统故障、数据泄露等突发事件的处置能力。
2、建立信息系统安全事件即时报告制度,工作人员发现系统异常登录、运行故障、数据泄露等情况时,需立即停止相关操作、保护现场,并在24小时内向本部门安全责任人和技术保障部门报告,严禁迟报、漏报、瞒报。
3、技术保障部门接到安全事件报告后,需迅速启动应急处置流程,及时排查风险、阻断攻击,同时按规定向网信、公安等主管部门报备,最大限度降低安全事件损失。
五、落实主体责任,强化监督检查
1、各部门负责人为本部门信息系统安全第一责任人,需切实履行管理职责,组织开展本部门安全自查,及时整改发现的问题,将安全责任落实到每一个岗位、每一名人员。
2、信息化建设管理处将定期对各部门信息系统安全制度执行、权限管理、设备防护等情况开展监督检查,对发现的安全隐患下达整改通知书,限期整改;对因管理不善、操作不当、工作未完成造成,导致发生信息系统安全事件的,将依规追究牵头管理部门和人员相关负责。
六、重点项目提醒
教务系统、图书馆座位预约系统、访客系统等后期新建业务系统,在系统正式上线前应与企业微信对接,并针对系统完成“两高一弱”以及漏洞扫描自查工作,加强账号和组合型强密码管理,以免财产损失等风险,甚至可能成为网络攻击的跳板,造成单位重要数据泄露,发布欺骗信息和恶意文件等严重后果,对学校声誉和形象造成不良影响。
南京财经大学红山学院信息化建设管理处
2026年1月24日
