教技厅函〔2018〕107 号
各省、自治区、直辖市教育厅(教委),新疆生产建设兵团教育局, 部属各高等学校,各直属单位,中国教育和科研计算机网网络中心:
电子邮件已成为教育行政部门、各级各类学校人员办公联系、 业务交流、教学管理的重要途径。电子邮件安全将影响教育系统信 息安全、网络安全、业务安全,甚至国家安全。近年来,针对教育 机构邮件系统的网络攻击时有发生,造成了不良影响。为全面加强 教育系统电子邮件系统安全管理,根据公安部、工业和信息化部、 国家保密局等三部门联合印发的《党政机关事业单位和国有企业互 联网电子邮件系统安全专项整治行动方案》(公信安〔2017〕2615 号) 要求,现就有关事项通知如下。
一、加强电子邮件工作的统筹。各单位应高度重视电子邮件安 全工作,将其作为网络安全重要内容予以部署。全面贯彻落实《中 华人民共和国网络安全法》的要求,强化电子邮件系统主体责任, 明确邮件系统的主管单位和专任管理员,制定电子邮件管理制度, 规范邮件系统的运维、账户和安全管理等。各省级教育行政部门应统筹部署本地区教育系统电子邮件安全防护工作,切实保障教育系 统网络安全。
二、规范电子邮件账号管理。各单位应系统梳理本单位的电子 邮件账户,建立健全电子邮件账户的注册和注销机制,规范在校学 生和教职员工的账号管理。电子邮件账号注册原则上只限于本单位 工作人员或本校师生,应进行实名身份认证,内设部门或机构的公 共邮箱注册应明确账号负责人。电子邮件账号应建立注销机制,未 落实实名认证或长期未使用的账号应暂停服务,教职员工离任应注 销账号,防止出现僵尸账号的情况。
三、保障电子邮件系统安全运行。各单位应建立邮件信息过滤、 审核机制,规范邮件信息发送和接收环节。严禁通过互联网电子邮 件办理涉密业务,存储、处理、转发国家涉密信息或重要敏感信息。 优化电子邮件密码管理策略,禁止使用简单密码,有条件的单位应 使用数字证书等手段提高邮件账户安全性,防止电子邮件账号被攻 击盗用。明确电子邮件的个人邮箱储存空间上限,建立定期清理制 度,避免邮箱“网盘化”,提高空间使用率。
四、提高电子邮件系统技术保障水平。各单位应完成电子邮件 系统的网络安全等级保护定级备案和测评整改,建立常态化的网络 安全威胁监测通报机制,做好日志留存和审计,及时发现、修复存 在的安全隐患。探索国产商用密码应用,加强个人信息保护,严防 邮件信息泄露。切实提高电子邮件稳定运行能力,拦截过滤钓鱼邮 件、病毒邮件、垃圾邮件能力,保障电子邮件系统访问流畅。
五、加强网络安全宣传教育。各单位应加强对本单位人员的网络安全培训,掌握基本的防病毒、防钓鱼、防窃取的安全知识,具 备分辨和处理钓鱼邮件、垃圾邮件的能力。提高电子邮件使用的安 全意识,工作事务和个人事务应使用不同的账号密码,防止撞库攻 击和外站泄露等风险。各单位应借助网络安全宣传周等契机,采取 多种形式做好网络安全宣传教育,切实提高广大师生的网络素养。
六、开展电子邮件系统专项检测。教育部将会同有关单位对电 子邮件系统存在的安全隐患进行专项检测,重点排查弱口令、账户 泄露、垃圾邮件、钓鱼邮件等问题。对发现的问题,将通过教育系 统网络安全工作管理平台进行通报,请各单位及时处置,并在3 个 工作日内反馈处置情况。 联系人及电话: 教育部科技司 潘润恺,010-66096457; 教育部教育管理信息中心 乔智明,010-66092089。
教育部办公厅
2018年10月17日