全校各二级单位、校园网用户：

近期发现学校电子邮箱和教务管理等系统存在用户弱口令问题，按照上级有关部门要求,为增强校园网络安全防护能力，提升师生网络安全意识，有效防范和抵御安全风险隐患，避免因弱密码导致个人信息泄露，切实保障信息系统稳定运行和数据安全。现对全校各类信息系统（网站）管理员账号和用户登录账号等开展弱密码专项治理工作，具体工作内容如下：

一、对于各类信息系统（网站）的弱密码治理要求

1.全面自查。各二级单位要充分认识网络安全的重要性，坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，夯实网络与信息安全管理责任，明确责任人，对本单位所属的信息系统（网站）进行全面清查，负责人应立即检查所有用户密码复杂度，尤其要检查高权限用户和管理员密码，避免账户被非法利用导致严重网络安全事件的发生。要求2021年4月15日前完成。

2.强行修改。信息系统（网站）负责人，应要求用户进行弱密码修改工作。对于用户数量较多的教学和科研等相关系统，建议主管部门要求软件开发商协助完成用户密码复杂度检查和对弱密码强制修改。要求2021年4月28日前完成。

3.持续改进。建议各信息系统（网站）的责任部门应要求软件开发商在用户管理、注册、登录、密码修改等页面处增加密码复杂度检查功能，增加用户连续三次登录失败后的锁定机制，从系统层面减少乃至杜绝弱密码的使用，增强系统安全性。有条件的，可考虑采用双因素验证登录方式（如密码+手机验证码）。

二、对于学校电子邮箱用户弱密码治理要求

电子邮箱若采用弱密码容易导致邮箱被盗，用来发放广告、涉黄、涉黑等非法信息，对学校声誉和个人利益造成损害，严重情况还可能引起法律纠纷事件。考虑到不影响用户使用的前提下，要求邮箱用户限期修改安全密码，具体要求下：

1．从即日起至2021年4月28日，用户根据要求自行修改安全的登录密码，并回复邮件系统管理员邮箱admin@nepu.edu.cn，已修改安全密码。

2．对2021年5月1日管理员邮箱未收到回复信息的账户，邮件系统将自动对这些账号冻结（不能登录），冻结邮箱不影响收发信件。

3.被冻结的账户须凭有效证件到网络服务大厅（1A338）完成密码修改后才可予以复通。

4.具体要求也会由学校邮件系统管理员账号群发到每个邮箱，请注意查收，及时修改。

三、对于用户弱密码修改规则要求和建议

全校师生检查自己所属和负责的系统及账户中有无使用弱密码、默认密码和通用密码的情况，如有则必须修改，包括各信息系统（网站）的个人密码。建议及说明如下:

1.典型的弱密码如123456、123abc、电话号码、手机号码、身份证后六位、生日、全数字、英文单词（含姓名）等形式。

2.相对安全的密码应该是数字、大小写字母、特殊字符的组合，长度在8位及以上，密码中不应包含用户名、个人信息及登录页面上出现的信息。

3.各系统的密码应尽量做到唯一，防止单个系统中用户密码泄露引发黑客“撞库攻击”，造成多个系统集体失陷。

学校定期对校园重要网站和信息系统进行密码安全性检查，对于弱密码治理不到位的，将立即予以关停。一旦发现对我校重要业务信息系统产生安全威胁或造成网络安全事件，将追溯相关人员责任。自查整改如遇疑问，请拨打网络信息管理部电话：6504574 周老师

现代教育技术中心

2021年4月6日