教育数字化知识图谱

各学院、各部门：

根据教育部科学技术与信息化司《关于开展2025年“两高一弱”和供应链安全问题自查整治工作》相关文件要求，为切实加强我校信息系统（含网站、论坛，下同）的安全管理，落实网络安全主体责任，遵循“谁建设谁负责、谁管理谁负责、谁使用谁负责”的原则，现决定在全校范围内组织开展信息系统“两高一弱”及供应链安全检查工作。具体事项通知如下：

一、基本概念说明

为确保本次检查工作精准落实，首先对“两高一弱”及相关核心概念说明如下：

“两高一弱”：指高危漏洞、高危端口和弱口令三类典型网络安全风险。

高危漏洞：指信息系统（含操作系统、中间件、应用软件等）中存在的、可能被攻击者利用并造成严重损害（如数据泄露、系统被控、服务中断等）的安全缺陷。

高危端口：指网络中开放的、通常与高风险服务关联且易被攻击者利用的端口（如未加密的远程访问端口、文件共享端口等），这些端口若缺乏有效防护，极易成为网络入侵的通道。

弱口令：指强度低、易被猜测或破解的密码。常见情形包括：使用简单数字或字母组合（如“123456”、“admin”、“password”）、系统默认口令、含有用户名或单位名信息的口令、短于8位字符的口令、未包含字母、数字、特殊符号中两种以上组合的口令等。

二、检查范围与责任主体

本次检查覆盖所有校内信息系统，包括已完成登记备案的系统（见附件1：《已备案信息系统列表》）、前期排查发现但尚未登记备案的系统（见附件2：《未备案信息系统列表》）以及其他可能存在的未统计信息系统。

各信息系统的主管单位（部门、学院）为该系统的安全责任单位，信息系统管理员和安全责任人为直接责任人。

三、检查内容与工作要求

(一) “两高一弱”安全隐患排查与登记

1. 信息核实与登记备案：

对于附件1中已列出的信息系统，请各责任单位首先核对该系统的“管理员”与“安全责任人”信息是否准确。如信息准确无误，请直接填写《信息系统（网站）“两高一弱”排查登记表》（附件3）；如信息不一致或发生变化，请在填写附件3时予以修正更新。

对于附件2中列出的未备案系统以及其他未统计到的信息系统，请各相关单位进行认领。确认归属后，须立即进行弱口令排查，并按要求填写附件3。对于无人认领的信息系统，将于10月30日起进行统一关停处理，由此产生的一切后果由原建设单位或管理单位承担。

2. “两高一弱”全面排查：

弱口令排查：各信息系统管理员和安全责任人须立即对负责的系统进行全面自查，重点排查并消除弱口令。同时，提醒各位师生，个人用户账号的安全由账号持有人负责，请务必对本人所使用的各类系统账号进行自查，确保不使用弱密码。

高危漏洞与高危端口排查：各单位在完成系统上报与确认后，由信息化中心统一组织技术力量，对全校信息系统进行高危漏洞和高危端口的专项技术检测。对于检测中发现存在相关安全隐患的信息系统，将另行通知责任单位限期整改。

(二) 供应链安全检查

对于面向全校师生提供服务或存储个人信息、科研、财务、管理等重要、敏感数据的信息系统（例如：财务、科研、教务、后勤、办公等相关系统）和开放校外网络访问权限的信息系统，其系统管理单位负责组织开展供应链安全检查。

系统管理单位对信息系统所涉及的供应商、技术服务提供商等供应链环节进行安全评估，重点排查可能引入的安全风险，并要求相关企业如实填写《供应链单位网络安全自查表》。针对自查中发现的问题， 由 系统管理单位向企业提出整改要求， 限 于11月4日前完成整改。

四、材料报送与时间要求

1. 请各单位高度重视，指定专人负责，按要求完成各项检查与填报工作。

2. 请将负责人签字并加盖单位公章后的 《“两高一弱”排查登记表》（附件3）与《供应链单位网络安全自查表》（附件4，按需提交）的电子扫描版，于10月30日（星期四）下午17:00前，打包发送至邮箱：ymh2023@xzit.edu.cn。

3. 邮件主题及压缩包请统一命名为：“XX单位-信息系统安全检查材料”。

五、 联系方式

如在检查与填报过程中遇到问题，请及时与信息化中心联系。

联系人：杨老师

联系电话：83105056（5056）

特此通知。

附件：（请至办公系统下载）

1. 《已备案信息系统列表》

2. 《未备案信息系统列表》

3. 《信息系统（网站）“两高一弱”排查登记表》

4. 《供应链单位网络安全自查表》

徐州工程学院网络信息安全工作领导小组

2025年10月27日