教务处各科室、系统业务相关人员：

为切实筑牢信息安全防线，堵塞安全漏洞，强化教务处各信息业务系统安全管理，杜绝同类安全事件再次发生，现就加强教务处各信息业务系统（含非本地化部署平台）安全排查与治理工作通知如下：

一、提高思想认识，压实安全责任

各相关科室人员要充分认识信息系统安全的重要性，牢固树立“安全第一、预防为主、综合治理”的理念，将信息系统安全工作纳入日常工作重点。明确各业务负责人为信息安全第一责任人，系统管理员为直接责任人，层层压实责任，确保安全排查、隐患整改、长效管控各项工作落到实处，切实保障教学管理工作有序开展。

二、聚焦突出问题，全面推进整改

结合教务处各业务系统实际，开展专项整改工作，确保隐患清零、漏洞封堵。

（一）全面整改越权访问安全漏洞

各科室业务负责人需立即对科室业务系统进行全面安全排查，重点整改越权访问漏洞，完善全链路用户角色权限访问控制机制，严格遵循“最小权限原则”，细化教务管理员、教师、学生等不同角色的权限边界，实现系统所有URL权限全覆盖校验，坚决封堵通过篡改URL、Cookie、HTTP Header等方式实现越权访问的安全风险。整改过程中，要建立权限清单，明确各角色访问范围，定期开展权限审计，及时回收冗余权限、过期权限，杜绝权限泛化、权限遗留等问题，确保系统访问权限可管、可控、可追溯。

（二）彻底整治系统弱口令问题

严格执行账号密码安全管控措施，全面提升账号密码安全等级。

1.严格落实密码复杂度规则，所有教务处的业务系统账号密码，必须同时包含大小写字母、数字和特殊字符，且长度大于8位，严禁使用简单数字组合、连续字符、个人生日、学号、手机号等易被破解的弱密码，严禁密码与用户名一致或使用系统默认密码；

2.推行强制改密机制，通知所有系统用户在本通知发布后5个工作日内完成密码修改，未按时完成改密的账号将被限制登录；

3.规范账号管理，对长期未登录（超过180天）的账号进行全面梳理，一律予以停用，如需重新启用，需经所在单位审核备案并完成密码重置；

4.规范新建账号管理，明确新建账号默认密码生成规则，默认密码需符合强密码要求，且用户首次登录时必须强制修改密码，同时做好账号创建登记备案工作。

三、扩大排查范围，实现全面覆盖

在专项整改的基础上，全面开展教务处相关业务系统安全排查工作，实现所有业务系统全覆盖、无死角，重点排查以下系统：教务系统、毕业设计系统、教研系统、教学质量管理平台，同时涵盖各相关子系统、附属应用及数据存储模块。排查重点包括：

（一）权限管理情况：是否存在权限分配不合理、越权访问漏洞、权限未及时回收等问题；

（二）账号密码安全：是否存在弱密码、默认密码、公用密码、长期未改密等问题，账号管理是否规范；

（三）系统漏洞情况：是否存在SQL注入、文件上传、接口未校验等常见安全漏洞，系统补丁是否及时更新；

（四）数据安全情况：是否存在敏感数据未加密存储、传输，数据备份机制是否完善，是否存在数据泄露风险；

（五）运维管理情况：系统操作日志是否完整可追溯，运维人员权限是否规范，第三方运维厂商是否签订安全保密协议。

各相关科室要组织专人开展自查自纠，对排查出的安全隐患，建立问题台账，明确整改措施、整改时限和责任人，实行销号管理，确保所有隐患全部整改到位，不遗漏、不拖延。

四、强化长效管控，健全防护体系

各相关科室要以本次安全排查和整改工作为契机，健全完善信息系统安全长效管控机制，筑牢信息安全防护屏障。

（一）加强系统日常运维，定期开展安全巡检、漏洞扫描和风险评估，及时更新系统补丁，防范新型安全风险；

（二）是加强人员安全教育培训，定期组织开展信息安全知识培训，提升系统管理员、操作人员的安全意识和操作技能，杜绝因人为操作失误引发安全事件；

（三）完善应急处置机制，制定信息系统安全突发事件应急预案，明确应急处置流程和责任分工，定期开展应急演练，提升应急处置能力；

（四）建立常态化排查机制，每月开展一次专项排查，每季度开展一次全面排查，及时发现和解决新出现的安全隐患，确保教务处各信息业务系统安全稳定运行。

五、明确工作要求，强化监督检查

（一）高度重视，迅速行动。各相关科室要立即组织开展排查整改工作，主要负责人亲自部署、亲自督办，确保各项工作按时完成。系统运维相关人员要全力以赴做好漏洞整改、系统加固工作，各科室要积极配合，通知系统用户完成密码修改，做好账号管理工作。

（二）严格落实，务求实效。排查工作要全面细致，不走过场、不留死角；整改工作要从严从实，不打折扣、不搞形式，确保隐患整改到位。

（三）强化监督，严肃问责。教务处将组织专人对各科室排查整改情况进行专项检查，对未按要求完成排查整改、存在安全隐患未及时整改，或再次发生同类安全事件的，将严肃追究相关人员的责任。

信息安全无小事，责任重于泰山。请各相关科室、人员切实提高警惕，强化责任担当，认真落实本次通知要求，扎实做好信息系统安全排查与治理工作，共同守护我校教学管理信息安全，为学校教育教学工作高质量发展提供安全保障。