各单位，

近日，我校收到多起上级部门通报，学校某些网站存在任意文件上传、个人信息泄露等漏洞。同时，学校安全团队针对永恒之蓝漏洞专项排查发现，校园网仍有系统存在此类陈旧漏洞隐患。

因此，请各单位加强管理，结合信息化技术中心历次发送的预警公告、漏洞报告开展安全自查工作，对各单位网站、信息系统、自建系统进行专项检查。请于5月20日前，将排查结果(附件)回复至security@bupt.edu.cn邮箱，邮件标题请注明单位名称。

排查内容如下：

1. 排查网站的上传目录，严格限制目录的可执行权限；采取技术措施防御恶意脚本上传执行；检查系统代码逻辑,防止被利用越权;

2. 排查网站、系统上留存的个人信息文件，避免个人隐私信息被泄露。采取网站与业务系统分离、隐私信息加密储存、数据授权管理等安全策略。

3. 排查系统密码策略，通过设置强制更改口令、增加强度、增加验证码等手段避免弱口令现象；

4. 排查网站、系统是否存在默认帐号、默认口令；

5. 排查系统漏洞，新漏洞应及时修补，陈旧漏洞彻底更新；关闭非必要端口服务。

根据《中华人民共和国网络安全法》和国家网络安全等级保护制度要求，请各单位依据自身职责任务，按照“谁主管、谁负责，谁使用、谁负责，谁运营、谁负责”的原则，安排做好全年网络安全保障工作，维护教育系统网络安全稳定。及时响应、处理问题，在规定时间内修复。避免我校因不能及时反馈、处置而被主管单位和执法单位处罚。

                      网络安全和信息化办公室
                              信息化技术中心

                                2021.5.10