各学院、部门、科室：

为进一步加强学校网络与信息安全防护能力，落实《中华人民共和国网络安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》等文件要求，防范因弱口令引发的数据泄露、系统入侵等安全事件，学校决定开展全校范围内的网站和信息系统弱口令专项自查整改工作。现将有关事项通知如下：

一、工作目标

全面排查校内网站、信息系统、服务器、数据库等关键设施中存在的弱口令问题，消除安全隐患，提升账号密码强度，保障学校网络与信息系统的安全稳定运行。

二、自查范围

1. 覆盖对象

   • 学校各级官方网站、业务系统（如教务、学工、科研、OA等）。

   • 服务器、数据库、网络设备、物联网设备等后台管理账号。

   • 教职工、学生账号（如有权限管理功能）。

2. 检查内容

   • 是否存在默认口令（如admin/123456）、简单口令（如连续数字、常见单词）。

   • 是否长期未更换密码（超过1年未更新）。

   • 是否存在同一密码多账号共用的情况。

三、整改要求

1. 密码强度标准

   • 长度不低于8位，建议12位以上，包含大小写字母、数字及特殊符号（如!@#）。

   • 避免使用姓名、生日、电话号码等易猜测信息。

2. 管理要求

   • 禁用默认账号密码，修改为强口令。

   • 重要系统需启用双因素认证（如短信验证码、动态令牌）。

   • 定期更换密码（建议每90天更新一次）。

3. 权限管控

   • 严格遵循最小权限原则，及时清理离职、转岗人员的账号权限。

四、注意事项

1. 安全操作：自查整改过程中，避免影响系统正常运行，建议在非业务高峰期进行。

2. 全面覆盖：确保检查所有账号，包括临时账号、测试账号和第三方系统接入账号。

3. 应急准备：如发现账号异常（如被爆破或篡改），立即停用并报信息中心处置。

4. 长期机制：整改后应定期复查，并将强密码要求纳入日常运维规范。

教务处信息设备运维科

2025年4月12日