全校各单位、全体师生:
为了进一步加强网络安全管理,规避网络安全隐患,落实学校有关加强网络信息安全的工作部署,根据河南省教育信息安全检测中心《关于开展弱口令专项治理工作的通知》的文件要求,将在全校范围内开展网络安全“弱口令”问题自查及整改工作。
请各单位高度重视此项工作,全面排查各单位所属各类网站、应用系统和业务平台,主要工作内容包括:
一、排查弱口令
1.信息系统(网站)的弱密码专项治理:主要排查关键信息基础设施、门户网站、邮件系统、办公系统、重要业务系统、云平台、大数据平台、数据库系统、LED电子显示屏系统等是否存在有弱口令的情况。杜绝使用admin、password root、123456等或键盘相邻按键组成的弱密码。
各单位须对所负责和使用的以上资产进行排查,尤其是系统后台管理员密码,要严防弱口令、默认口令、通用口令,一经发现必须立即更改;口令长期未变更的及时变更。同时,要加强网络安全意识的宣传,特别防范将口令明文保存、大量不同设备(系统)使用相同口令、账号口令随意转借等问题。
2.个人账号弱密码专项治理:师生个人用户须妥善保管本人的上网认证、电子邮箱、VPN、网站群及各类业务系统的账号,加强密码复杂度设置。自行检查修改个人密码,杜绝“弱口令”。
二、加强口令安全管理策略
1.各单位负责的业务系统需加强对密码复杂度的要求,在登录界面须具有对弱密码账号要求强制更改密码的安全设置,增加用户连续登录失败后的锁定机制,从系统层面减少乃至杜绝弱密码的使用,增强系统的安全性。可考虑采用多因素验证登录方式(如密码+手机验证码等)。
2.要求用户每三个月或六个月定期更改密码,密码应设置为同时包含大小写字母,数据和特殊符号,密码长度不低于八位的强密码。
3.各单位应加强口令管理制度的制定和落实,各单位需定期对所负责的业务系统进行弱口令排查。要持续开展对师生的安全教育,加强对弱密码危害的宣传,重视弱密码等安全隐患,切实提高网络安全防范能力,针对性地采取相应措施,常抓不懈。
三、工作要求
1.各单位要充分认识弱密码专项治理工作的重要性,提前部署,集中资源,进一步压实工作责任。认真落实网络安全总要求,紧盯关键信息基础设施、数据安全和个人信息保护等关键环节,严格制度执行,落实工作部署,构建全方位、立体化网络安全保障体系。
2.检查到位,不留死角。对本单位弱密码问题自检到位,加强所有信息系统(网站)弱密码的管理,做到不遗漏,确保基本无弱密码问题。
四、其他事项
如有问题可反馈至信息管理中心网络管理部:
联系人:陈梦泽 陈传兵 联系电话:61912716。
附件:关于避免使用弱密码的安全提示
信息管理中心
2022年5月30日
附件:
关于避免使用弱密码的安全提示
一、什么是弱密码
弱密码(Weak passwords)即容易破译的密码,多为简单的数字组合、账号相同的数字组合、键盘上的临近键或常见姓名、终端设备出厂配置的通用密码等都属于弱密码范畴。弱密码很容易被他人猜到或破解,所以如果你使用弱密码,就像把家门钥匙放在家门口的垫子下面,这种行为是非常危险的。
二、常见弱密码
序号 |
弱密码 |
序号 |
弱密码 |
序号 |
弱密码 |
1 |
123456 |
10 |
ILOVEYOU |
19 |
654321 |
2 |
PASSWORD |
11 |
PRINCESS |
20 |
!@#$%八&* |
3 |
123456789 |
12 |
ADMIN |
21 |
CHARLIE |
4 |
12345678 |
13 |
WELCOME |
22 |
AA123456 |
5 |
12345 |
14 |
666666 |
23 |
DONALD |
6 |
min |
15 |
ABC 123 |
24 |
PAS SWORD 1 |
7 |
1234567 |
16 |
FOOTBALL |
25 |
QWERTY123 |
8 |
SUNSHINE |
17 |
123123 |
|
|
9 |
QWERTY |
18 |
MONKEY |
|
|
三、弱密码的危害
弱密码的危害性比想象中要大得多,对于实体银行卡被盗,弱口令被猜出,户主损失大量的钱财;对于个人电脑或工业主机,弱密码意味着容易成为黑客的肉鸡,成为他们进行不法行为的跳板或僵尸网络的一部分,甚至电脑资料泄露,感染病毒,造成严重损失;信息系统、网站和虚拟机的管理员采用弱密码、默认密码和通用密码,或者长期不进行修改,容易被黑客使用暴力破解软件直接破解本地密码,导致服务器被黑客控制,成为他们进行不法行为的跳板或僵尸网络的一部分,或服务器内部资料泄露,造成群体性危害事件等。
四、常用密码设置原则
1.不使用空密码或系统默认的密码,因为这些密码众所周知,为典型的弱密码。
2.密码长度不小于8位。
3.密码不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。
4.密码应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。
5.密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。
6.不要长期使用固定密码,应定期或者不定期修改密码。
7.不要在多个场合使用同一个密码,应为不同应用场合设置不同密码,特别是有关财务的网银及网购账户,避免一个账户密码被盗,其他账户密码也被轻易破解。
8.不把密码保存在电脑、U盘、笔记本、书籍等上面。
五、密码设置建议
推荐使用自己喜欢的单词-喜欢的数字排列-网站名称的前三个大写字母或者后三个大写字母,也可以找到一个生僻但又容易记住的短语、句子、歌词、书名或者电影台词都可以摘录,并创建它的缩写形式,其中可包括大写字母、数字和标点符号等。
