全体学生管理人员及后台运维人员：

为全面落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》等有关要求，进一步提高全体学生资助工作人员的网络安全责任意识，明确网络安全责任，落实用网行为规范要求，提升网络安全防范能力，防范网络安全事件发生，各级各类管理人员通过登录学工系统各子模块管理学生数据时，应遵守下列要求：

一、通用安全要求

1.不得使用弱口令、默认口令、简单口令、通用口令。

要求:口令需使用强口令，长短应该大于8个字符,并采用大小写字母、符号、数字相结合的组合方式。同时更改各类系统/设备的缺省或初始化口令，更改周期为3个月。

2.不得将账号与口令明文保存于终端、邮箱及纸张。

要求:各类账号口令(特别是运维类、管理类账号口令)应通过加密方式保存;纸面留存需锁入保险柜。

3.不得将工作账号与私人社交账号混用。

要求:工作电脑中所使用的口令不要与个人电脑中使用的口令设置相同，业务系统的账号及口令不要设置与个人微博、微信、邮箱等社交平台账号口令相同。

4.不得设置系统账号密码为自动登录。

要求:禁止办公电脑自动登录功能，禁用浏览器记住口令功能，禁止设备自动登录操作等。

5.不得私自在办公网络及其他内网中搭建无线热点。

要求:禁止打开热点共享功能，禁止将办公网络及内部网络通过WIFI共享给他人使用。

6.不得使用非工作邮箱代收工作邮件。

要求:工作内容邮件传递必须通过工作邮箱开展，禁止通过外部公共邮箱或非办公路径存储或交换工作相关内容，含有敏感信息的工作文档需要加密后进行传输。

7.不得点击来路不明的链接和附件(含邮件系统、微信、钉钉、QQ等)。

要求:警惕主题和内容有疑点的邮件或链接;附件打开前必须先进行病毒查杀，确认安全后方可使用;及时更新系统及办公软件补丁。

8.不得将涉及敏感信息的工作文档(特别是系统设计文档、网络拓扑等敏感信息)存放于互联网上。

要求:敏感信息妥善保管，禁止将部署文档、用户手册、网络拓扑等工作相关文档存放于不受控访问的网站、网盘或github等互联网中，并严格控制授信访问范围。使用各种社交软件截图时，严禁涉及学生敏感信息。

9.不得将终端同时跨接内外网。

要求:终端禁止使用双网卡，禁止绕过区域防护策略同时使用内外网资源。

10.不得在办公终端设备开展与办公不相关的活动、安装与办公无关的软件。

要求:办公终端仅安装工作相关的各类办公软件，必须安装杀毒软件。

11.不得未在监督的情况下使用内部办公终端供第三方服务商进行各类业务系统维护工作。

要求:在向服务商提供内部办公终端进行维护业务系统工作时，需要全程对服务商进行监督，防止信息泄密。

二、运维人员安全要求

12.不得将本人使用的账号与口令借用给他人。

要求:运维账号根据实际工作需要单独设置，明确账号权限最小化原则，实现人与账号一一对应，杜绝混用、滥用、权限过大的账号行为，并定期审计账号使用情况，及时删除非法或者长期未使用账号。

13.不得将网站或系统源代码.上传至互联网上。

要求:开发运维人员对业务源代码的保存必须遵从开发与运维管理规范，特别是严禁通过github. gitlab等公共源码托管平台管理源代码，坚决杜绝源代码泄露风险。

14.不得允许未经授权的人员远程控制各类设备。

要求:任何人员远程运维应通过堡垒机进行，远程协助过程中，管理人员须严格辨别厂商人员身份，并对其操作及提供的脚本指令进行全程审计，严禁在未授权情况下控制我方设备或执行恶意指令。

15.不得在未审批时开放业务系统的互联网出口。

要求:业务上线开通网络策略必须经过相关处室审核，禁止未经审批的互联网端口对外提供服务。

16.不得使用非正式授权的办公软件运维业务系统。

要求:办公软件必须通过正规渠道或官方地址获取，尽量不使用盗版软件、试用版软件和来路不明的软件，特别是运维软件，下载后要及时进行病毒查杀，防范捆绑恶意程序的软件影响办公与运维环境。

学生处

2022年4月