各二级单位:
为增强网络安全防护能力,维护良好的网络环境,避免因弱密码导致冒名发送涉黄涉黑邮件、个人科研及收入信息泄露、上网流量盗用等事件发生,决定开展我校弱密码专项治理工作,对全校各类信息系统、网站和虚拟机的管理员账号、统一身份认证账户、电子邮箱账户开展弱密码专项治理工作。具体工作内容如下:
一、各单位加强对师生员工的网络安全宣传教育,减少和杜绝弱密码、默认密码和通用密码的使用,养成定期更换密码的习惯。校内师生员工应检查自己所属和负责的系统及账户中有无使用弱密码、默认密码和通用密码的情况,如有则必须修改,包括各系统(网站)管理员、电子邮箱密码、上网认证密码、教学科研等其他系统的个人密码。建议及说明如下:
1. 典型的弱密码如123456、123abc、qwerty(键盘上连续字母)、iloveyou、名字拼音+生日、名字拼音+123、电话号码、生日、手机号码、全数字、英文单词(含姓名)等形式。
2. 相对安全的密码应该是数字、大小写字母、特殊字符的组合,长度在8位及以上(视具体系统规定),密码中不应包含用户名、个人信息及登录页面上出现的信息。
3. 各系统的密码应尽量做到唯一,防止单个系统中用户密码泄露引发黑客“撞库攻击”,造成多个系统集体失陷。
二、对于各类信息系统(网站)的弱密码专项治理分为三个阶段:
1. 自查自纠阶段,从即日起到11月31日。在此期间,对于所有信息系统(网站),负责人应立即检查所有用户密码复杂度,尤其要检查高权限用户和管理员密码,避免账户被非法利用导致严重网络安全事件的发生。
信息系统、网站和虚拟机的管理员如果采用弱密码、默认密码和通用密码,或者长期不进行修改,容易被黑客使用暴力破解软件直接破解本地密码,导致虚拟机被黑客控制,成为他们进行不法行为的跳板或僵尸网络的一部分,以及虚拟机内部资料泄露,造成群体性危害事件。例如某省级管理网站,因某管理者使用弱口令作为密码,不仅造成该管理人员所在组织内部人员信息全部泄露,入侵者结合网站其他漏洞,导致全网站72万组织成员身份证号,联系方式,家庭住址等信息全部泄露。
2. 信息系统(网站)负责人,应要求用户进行弱密码修改工作。对于用户数量较多的教学、科研相关系统,建议主管部门要求软件开发商协助进行用户密码复杂度检查并对弱密码、默认密码和通用密码进行强制修改。
师生如果使用与个人相关的信息进行密码设置(如身份证后六位、生日、姓名全拼或缩写的组合),一旦个人信息泄露,其统一身份认证、教务及教学科研系统的账户信息则全部泄露,黑客可登录其所有有权限的系统(网站)并进行信息修改、数据下载和发放非法信息等操作,造成很大的负面影响和损失。
电子邮箱若采用弱密码、默认密码和通用密码或公共邮箱公开密码易导致邮箱被盗,用来发放广告、涉黄、涉黑等非法信息,,对学校声誉和个人利益造成较大损害,严重情况还可能引起法律纠纷事件。
3. 学校检查阶段,从10月18日开始到11月31日。办公室将对重要网站和信息系统进行密码安全性检查,对于弱密码治理不到位的,采取即刻关停措施并上报学校网络安全与信息化领导小组。
4. 持续改进阶段。各信息系统(网站)的责任部门应要求软件开发商在用户管理、注册、登录、密码修改等页面处增加密码复杂度检查功能,增加用户连续三次登录失败后的锁定机制,从系统层面减少乃至杜绝弱密码的使用,增强系统安全性。有条件的,可考虑采用双因素验证登录方式(如密码+手机验证码)。
网络安全工作委员会办公室
2019.10.17
