安全防護提升工作方案-正文

1、附件1“安全防護”工作任務(wù)一、工作目標各單位須圍繞以下工作目標開展工作：（一）網(wǎng)絡(luò)與信息安全工作責任制得到切實貫徹。按照全業(yè)務(wù)、全流程、全 覆蓋的原則將各網(wǎng)站/系統(tǒng)/平臺的網(wǎng)絡(luò)與信息安全責任落實到具體部門和責任人（直接責任、管理責任和領(lǐng)導責任）。（二）“三無”（無管理、無使用、無防護）網(wǎng)站/系統(tǒng)/平臺100%消除?！捌?邊”（測試系統(tǒng)、實驗平臺、退網(wǎng)未離網(wǎng)系統(tǒng)、工程已上線加載但未正式交維系 統(tǒng)、與合作伙伴共同運營的業(yè)務(wù)/網(wǎng)站/系統(tǒng)/平臺等、責任交接不清晰的網(wǎng)站/系統(tǒng) /平臺、處于衰退期的網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)）網(wǎng)站/系統(tǒng)/平臺風險得到100%治理。（三）互聯(lián)網(wǎng)暴露面顯著降低。全面梳理和審核各網(wǎng)站/系統(tǒng)/

2、平臺接入互聯(lián) 網(wǎng)的必要性和安全性，沒有充分必要暴露至互聯(lián)網(wǎng)上的網(wǎng)站/系統(tǒng)/平臺100%通 過關(guān)停并轉(zhuǎn)等措施斷開互聯(lián)網(wǎng)聯(lián)接；保留在互聯(lián)網(wǎng)上的網(wǎng)站/系統(tǒng)/平臺以省級公 司為單位實現(xiàn)高安全度集約防護。未完成安全治理的網(wǎng)站/系統(tǒng)/平臺在完成全面 治理前原則上不應(yīng)接入互聯(lián)網(wǎng)。（四）完成對VPN （暴露在互聯(lián)網(wǎng)上，通過公網(wǎng)認證接入后可進入內(nèi)網(wǎng)的通 道）、終端（指PC、服務(wù)器）、電子郵箱等風險的自查，全面消除可能存在的安 全漏洞和隱患。（五）自查和消除社會工程學風險（以“十三個不準”為最基本要求）和合 作風險。提高全體員工及“四方”（供應(yīng)方、合作方、系統(tǒng)集成方、外部支撐方） 等各單位人員安全意識；嚴查快處合

3、作風險（特別是系統(tǒng)高等級權(quán)限被授予第三 方的風險）；防止外部網(wǎng)絡(luò)安全攻擊隊伍通過社會工程學手段獲取敏感信息、重 要權(quán)限或入侵重要內(nèi)部系統(tǒng)。（六）弱口令、典型高危漏洞、未定級備案問題得到全面徹底整治。杜絕系 統(tǒng)弱口令現(xiàn)象，快速完成典型高危漏洞（特別是可導致遠程控制和敏感信息泄露 的高危漏洞）的風險處置，形成常態(tài)實時管控機制，所有上線系統(tǒng)（含試運行系 統(tǒng)）100%定級。各系統(tǒng)賬號100%實名，100%解決不必要端口開放、基線配置不 達標、日志留存不達標等問題。（七）網(wǎng)絡(luò)安全監(jiān)測和防護技術(shù)手段進一步完善，原則上互聯(lián)網(wǎng)暴露面上的 網(wǎng)站類系統(tǒng)100%覆蓋防攻擊與入侵的技術(shù)手段（包括監(jiān)測手段）。（八）內(nèi)網(wǎng)

4、或私網(wǎng)網(wǎng)絡(luò)安全性得到大幅度提升。基本消除內(nèi)網(wǎng)或私網(wǎng)網(wǎng)內(nèi)系 統(tǒng)同時連接互聯(lián)網(wǎng)現(xiàn)象，內(nèi)網(wǎng)或私網(wǎng)網(wǎng)內(nèi)的威脅監(jiān)測處置能力得到強化內(nèi)網(wǎng)或私 網(wǎng)網(wǎng)內(nèi)各系統(tǒng)安全域劃分得到全面落實，按照最小化原則嚴格網(wǎng)內(nèi)各網(wǎng)站/系統(tǒng)/ 平臺的訪問控制措施，關(guān)閉不必要的端口與服務(wù)。（九）建立本單位涉及的XX公司全貌網(wǎng)絡(luò)拓撲圖或邏輯關(guān)系圖，呈現(xiàn)本 單位與總部、周邊省分、子公司相關(guān)的網(wǎng)絡(luò)、系統(tǒng)連接關(guān)系，重點標注連接點或 IP地址，梳理對接關(guān)系影響面，關(guān)閉不必要的連接；圍繞重要系統(tǒng)梳理網(wǎng)絡(luò)拓撲 圖或邏輯關(guān)系圖，做到摸清家底，形成基礎(chǔ)資料。二、工作措施各單位按照全業(yè)務(wù)、全流程、全覆蓋的原則，圍繞本次專項行動目標，組織 開展對本單位網(wǎng)絡(luò)

5、安全現(xiàn)狀的評估，梳理責任范圍內(nèi)網(wǎng)絡(luò)與系統(tǒng)的詳細信息，形 成臺賬，按照“安全防護”互聯(lián)網(wǎng)暴露面清查與減少防護方案（附件2）重點 關(guān)注互聯(lián)網(wǎng)暴露面的資產(chǎn)清查，做到全面徹底，不留盲區(qū)與死角，找出存在差距。 在此基礎(chǔ)上，組織制定本單位工作方案，明確工作要求和任務(wù)分工、形成細化工 作分解表，明確各項工作任務(wù)責任人與時間節(jié)點。對于梳理得到的全量資產(chǎn)，明確網(wǎng)絡(luò)安全責任。對于無必要暴露在互聯(lián)網(wǎng)上 的資產(chǎn)進行退網(wǎng)或轉(zhuǎn)入內(nèi)網(wǎng)，對于“三無”系統(tǒng)進行下電，對“七邊”系統(tǒng)進行 整治。對于確需保留至線上的資產(chǎn)（含新上線系統(tǒng)），依照資產(chǎn)不同類別，按照“安 全防護”脆弱性自查整改方案（附件3）對各臺設(shè)備的開放端口、訪問控制策

6、 略、系統(tǒng)與服務(wù)賬號、基線配置、漏洞隱患、防護措施等進行仔細排查，形成隱 患清單。對于多余賬號、不必要的服務(wù)、訪問控制不嚴格等隱患實行邊查邊改。按照 “安全防護” VPN、終端與郵箱整改方案（附件4）、“安全防護”社會工程學 自查與防范方案（附件5）進行分項自查。按照“安全防護”威脅監(jiān)測與阻斷 方案（附件6）完善防護手段能力。并根據(jù)“安全防護”內(nèi)網(wǎng)或私網(wǎng)網(wǎng)絡(luò)安全 加固整改方案（附件7）對內(nèi)網(wǎng)或私網(wǎng)網(wǎng)絡(luò)進行重點自查。原則上，在完成全面 治理前不接入互聯(lián)網(wǎng)；根據(jù)“安全防護” “四方”強化管理方案（附件8）進行 對“四方”的管理強化提升。對于整改后發(fā)生擴建、改建、版本迭代的系統(tǒng)，要重新進行隱患排查，

7、落實 整改。對于新建系統(tǒng)，比照存量系統(tǒng)進行全面自查，隱患全部消除后方可上線。對于已實現(xiàn)IPV6訪問的系統(tǒng)，同步落實開放端口、訪問控制策略、系統(tǒng)與 服務(wù)賬號、基線配置、漏洞隱患、防護措施等安全要求。對于梳理形成的隱患清單，逐條落實整改，確保每一個漏洞隱患均得到有效 處置。做到每臺設(shè)備開放端口最小化；訪問控制策略僅保留業(yè)務(wù)所需，且精確到 單個IP地址與端口；無用系統(tǒng)與服務(wù)賬號全部清除；消除全部弱口令；基線配 置有效加固；漏洞隱患全面清除；防護措施全部覆蓋；定級備案全面實施。附件2“安全防護”互聯(lián)網(wǎng)暴露面清查與減少方案一、工作目標通過本次專項行動，實現(xiàn)全集團所有接入互聯(lián)網(wǎng)（包括存量和新建）的網(wǎng)站 /

8、系統(tǒng)/平臺定級備案率100%、資產(chǎn)基本安全信息準確率達95%以上。杜絕網(wǎng)站/ 系統(tǒng)/平臺管理后臺未加任何防護與限制，未通過管控審核而暴露在互聯(lián)網(wǎng)上， 消除“三無”（無人管理、無人使用、無人防護）網(wǎng)站系統(tǒng)/平臺，各單位暴露在 互聯(lián)網(wǎng)上的網(wǎng)站與系統(tǒng)100%實現(xiàn)集約防護，100%做好“七邊”系統(tǒng)（測試系統(tǒng)、 實驗平臺、退網(wǎng)未離網(wǎng)系統(tǒng)、工程已上線加載但未正式交維系統(tǒng)、與合作伙伴共 同運營的業(yè)務(wù)/系統(tǒng)/網(wǎng)站/平臺等、責任交接不清晰的網(wǎng)站與系統(tǒng)、處于衰退期且 存在安全風險的網(wǎng)絡(luò)/業(yè)務(wù)系統(tǒng)）的清查整治、規(guī)范管理和網(wǎng)絡(luò)安全責任落實。涉及與第三方合作運營的業(yè)務(wù)/網(wǎng)站/系統(tǒng)/平臺100%在合作協(xié)議中增加網(wǎng)絡(luò) 信息

9、安全條款，明確合作雙方的網(wǎng)絡(luò)信息安全責任劃分及合作方違反網(wǎng)絡(luò)信息安 全條款的違約處罰措施；授權(quán)第三方人員賬號權(quán)限要100%進行審批，并與第三 方人員簽訂保密協(xié)議，定期（季度）對該賬號登陸和操作日志進行審計。二、適用范圍各省/自治區(qū)/直轄市分公司、公司總部各部門、各子公司的自有/合作運營網(wǎng) 站及通過http或https協(xié)議訪問的互聯(lián)網(wǎng)信息系統(tǒng)（包含設(shè)備的Web管理頁面）， 以及可通過互聯(lián)網(wǎng)訪問的其他系統(tǒng)（包括不局限于FTP、SMTP、POP3、RADIUS、 數(shù)據(jù)庫、RDP、NTP等）。三、具體工作安排（一）建立新改擴建網(wǎng)站/系統(tǒng)/平臺及新業(yè)務(wù)膜塊接入互聯(lián)網(wǎng)的審批制度和 流程原則上新建網(wǎng)站與系統(tǒng)

10、應(yīng)部署在自有云資源池或總部云資源池專用區(qū)域，實 現(xiàn)集約化部署和防護。各單位、部門應(yīng)在上線前由網(wǎng)站與系統(tǒng)主管部門組織評估 其暴露在互聯(lián)網(wǎng)上的必要性（含開放什么端口、允許哪些源IP地址訪問），經(jīng)本 單位網(wǎng)絡(luò)安全主管部門審批同意，完成網(wǎng)絡(luò)安全定級備案、第三方風險評估、符 合性評測等網(wǎng)絡(luò)安全驗收，且與主管部門簽訂網(wǎng)絡(luò)安全責任書后方可接入互聯(lián)網(wǎng)。(網(wǎng)站/系統(tǒng)/平臺的主管部門是指因業(yè)務(wù)需要發(fā)起設(shè)立網(wǎng)站/系統(tǒng)/平臺并對網(wǎng)站/ 系統(tǒng)/平臺功能提出需求的或分配賬號部門，運營單位是指按照主管部門要求對 網(wǎng)站/系統(tǒng)/平臺進行日常運營和維護的部門或單位)。全面清查梳理暴露在互聯(lián)網(wǎng)上的網(wǎng)站/系統(tǒng)/平臺，開展關(guān)停各單位應(yīng)

11、再次梳理暴露在互聯(lián)網(wǎng)上的網(wǎng)站/系統(tǒng)/平臺，明確網(wǎng)站與系統(tǒng)的 主管單位和具體責任人，形成詳細清單。對發(fā)現(xiàn)的在互聯(lián)網(wǎng)上暴露“三無”網(wǎng)站/系統(tǒng)/平臺立即實施互聯(lián)網(wǎng)訪問關(guān) 停。關(guān)?；ヂ?lián)網(wǎng)訪問一個月后仍無法確定主管單位的，由運營單位或網(wǎng)絡(luò) 操作部門對系統(tǒng)下電，在年末集中統(tǒng)計下電后可盤活資產(chǎn)量和節(jié)能減排數(shù)值，并 按附表1的格式統(tǒng)計報集團公司。網(wǎng)站/系統(tǒng)/平臺下電后20個工作日內(nèi)，如確定了主管單位，由主管單 位確定該網(wǎng)站與系統(tǒng)是否接入互聯(lián)網(wǎng)。如決定不需接入互聯(lián)網(wǎng)的，應(yīng)按照網(wǎng)絡(luò)安 全管理規(guī)定要求，做好定級備案、風險評估、賬號實名、權(quán)限稽核、基線配置、 訪問控制、安全基本信息備案等方面的自查整改轉(zhuǎn)入內(nèi)網(wǎng)，并做好

12、安全域劃分。 如主管單位決定繼續(xù)接入互聯(lián)網(wǎng)的，由主管單位提出申請，按照前款規(guī)定，視為 新建網(wǎng)站/系統(tǒng)/平臺，按新建入網(wǎng)流程完成審批后方可上電接入互聯(lián)網(wǎng)。下電后 20個工作日仍無主管單位認領(lǐng)，原則上該網(wǎng)站/系統(tǒng)/平臺涉及的設(shè)備等資產(chǎn)納入 可盤活和處置資產(chǎn)。對于“七邊”網(wǎng)站系統(tǒng)/平臺中不符合定級備案、責任書簽訂、安全基本 信息動態(tài)采集等網(wǎng)絡(luò)安全管理要求的應(yīng)立即暫時切斷互聯(lián)網(wǎng)訪問，經(jīng)網(wǎng)站/系統(tǒng)/ 平臺主管單位評估，如確需接入互聯(lián)網(wǎng)的，由主管單位提出申請，按照前款規(guī)定， 視為新建網(wǎng)站/系統(tǒng)/平臺，按新建入網(wǎng)流程完成審批后方可上電接入互聯(lián)網(wǎng)。主 管單位評估后不需接入互聯(lián)網(wǎng)的，應(yīng)按照網(wǎng)絡(luò)安全管理規(guī)定要求，

13、做好定級備案、 風險評估、賬號權(quán)限、基線配置、訪問控制、安全基本信息備案等方面的自查整 改轉(zhuǎn)入內(nèi)網(wǎng)，并做好安全域劃分。對所有暴露在互聯(lián)網(wǎng)上的網(wǎng)站/系統(tǒng)/平臺應(yīng)由主管單位/部門判斷暴露的 必要性，原則上對面向非用戶的、僅供內(nèi)部員工使用的網(wǎng)站/系統(tǒng)/平臺需斷開互 聯(lián)網(wǎng)連接轉(zhuǎn)入內(nèi)網(wǎng)，確需通過互聯(lián)網(wǎng)訪問的要實施嚴格的點對點白名單方式進行 訪問控制，使用VPN撥入后直接訪問或通過4A系統(tǒng)訪問目標系統(tǒng)，并同時采用 密碼、令牌、動態(tài)密碼key、短信驗證碼等因子中的至少兩個因子進行認證。由主管單位/部門確定確需接入互聯(lián)網(wǎng)的，應(yīng)完成定級備案、漏洞風險、賬 號權(quán)限、基線配置、訪問控制等方面的限期自查整改（原則上1

14、5天內(nèi)完成自查 整改），經(jīng)信息安全管理部門評估合格后和網(wǎng)站與系統(tǒng)主管單位簽訂網(wǎng)絡(luò)信息安 全責任書。未完成限期整改的網(wǎng)站/系統(tǒng)/平臺應(yīng)立即斷開互聯(lián)網(wǎng)連接。整改完成 后經(jīng)網(wǎng)絡(luò)信息安全管理部門檢查合格方可接入互聯(lián)網(wǎng)。（三）網(wǎng)站/系統(tǒng)/平臺關(guān)停并轉(zhuǎn)和遷移方式梳理工作完成后，各單位網(wǎng)絡(luò)安全主管部門應(yīng)會同網(wǎng)站與系統(tǒng)的主管和運營 部門對網(wǎng)站/系統(tǒng)/平臺能否實施遷移進行判定。判定原則和處置方法如下：對保留至互聯(lián)網(wǎng)上的網(wǎng)站/系統(tǒng)/平臺，其中能夠?qū)嵤┻w移的應(yīng)全部實施遷 移操作，即集中遷移至自有云資源池或總部云資源池專用區(qū)域集中防護。對確需保留至互聯(lián)網(wǎng)上，但短期無法進行物理遷移的網(wǎng)站及系統(tǒng)可采取 將系統(tǒng)功能遷移合并

15、的方式降低互聯(lián)網(wǎng)暴露面，也可暫使用流量牽引等方式進行 集約防護。對于安全防護能力已符合集團統(tǒng)一防護標準且暫時難以納入集約防護的 暴露在互聯(lián)網(wǎng)上的網(wǎng)站/系統(tǒng)/平臺，經(jīng)本單位網(wǎng)絡(luò)與信息安全領(lǐng)導小組核準后可 暫維持原狀，不納入集約防護。（四）進行互聯(lián)網(wǎng)暴露面網(wǎng)絡(luò)安全集約防護對于遷移入內(nèi)網(wǎng)的網(wǎng)站/系統(tǒng)/平臺，遷移中應(yīng)統(tǒng)籌考慮IP地址分配的問題， 完成安全基本信息動態(tài)采集工作、二級以上定級單元要納入4A系統(tǒng)進行訪問 控制和防護。對于遷移入自有云資源池或總部云資源池的網(wǎng)站/系統(tǒng)/平臺，責任主體在實 施遷移過程中要落實好安全域劃分和邊界防護要求。對于上述沒有實施關(guān)停的網(wǎng)站/系統(tǒng)/平臺（遷移入內(nèi)網(wǎng)、遷移入云、

16、流量遷 轉(zhuǎn)、維持原狀），責任主體應(yīng)簽訂責任書，明確其資產(chǎn)基本信息、備案信息、責任 部門、責任人、現(xiàn)有防護手段等內(nèi)容。各單位要加強域名管理，明確本單位負責域名審批的管理部門。（五）互聯(lián)網(wǎng)暴露面網(wǎng)絡(luò)安全集約防護能力建設(shè)要嚴抓系統(tǒng)自身安全防護，持續(xù)做好補丁升級、配置合規(guī)、訪問控制策 略配置等工作。各單位需參考“安全防護”威脅監(jiān)測與阻斷方案（附件5）,通過多層 級威脅監(jiān)測和處置防護手段建設(shè)，使各網(wǎng)絡(luò)與系統(tǒng)具備防病毒、防入侵、防篡改、 防DDoS的能力，對遷移入云和流量遷轉(zhuǎn)的網(wǎng)站與系統(tǒng)進行全覆蓋。對原有WAF、 IPS等安全防護設(shè)備應(yīng)統(tǒng)籌集約利舊使用。對于保留至互聯(lián)網(wǎng)上的各網(wǎng)站/系統(tǒng)/平臺，各單位于臨戰(zhàn)

17、前再次填報附表 2,將防護能力提升后各網(wǎng)站/系統(tǒng)/平臺的防護情況再次報集團公司，確保所有互 聯(lián)網(wǎng)上的網(wǎng)站/系統(tǒng)/平臺均覆蓋防護能力。附件：“三無系統(tǒng)”下電設(shè)備節(jié)能減排信息表XX公司互聯(lián)網(wǎng)暴露面網(wǎng)站類系統(tǒng)臺賬附件1“三無系統(tǒng)”下電設(shè)備節(jié)能減排信息表單位：中國聯(lián)通XX公司上報人：張三，186XXXXXXXX累計下電設(shè)備XX臺，騰退空間XX U，減少能耗XX W系統(tǒng)名稱設(shè)備名稱所占空間能耗XX系統(tǒng)XXX服務(wù)器2 UXX W附件2XX公司互聯(lián)網(wǎng)暴露面網(wǎng)站類系統(tǒng)臺賬互聯(lián)網(wǎng)上的系統(tǒng)數(shù)：10填報人：張三186 XXXXXXXX系 統(tǒng) 名 稱安全責任 部門安全負責人公網(wǎng)URL端口公網(wǎng)IP 地址列 表定級備案

18、名稱定級備案級別防護 方式XX 系 統(tǒng)信息化部張三 HYPERLINK 80 x.x.xy.y.y.y中國聯(lián) 通xx公 司xxx系 統(tǒng)二級DNS解 析遷 轉(zhuǎn)云 WAF防 護注：安全責任人必須為聯(lián)通正式員工，不可為外部代維人員。公網(wǎng)IP地址要填報精確，一一對應(yīng)。防護方式填報：在集中入云防護、DNS解析遷轉(zhuǎn)云WAF防護、使用原 有防護能力不變（原則上僅限于現(xiàn)有防護能力較強的系統(tǒng)）。附件3“安全防護”脆弱性自查整改方案、總體架構(gòu)在“安全防護一2019”專項行動基礎(chǔ)上梳理資產(chǎn)查遺補缺，明確每個資產(chǎn)實 體（網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、數(shù)據(jù)庫、Web中間件、應(yīng)用系統(tǒng)）的責任人（必 須是中國聯(lián)通正式員工，不可

19、為第三方代維、廠家人員），各資產(chǎn)實體對應(yīng)的自 查整改項目和整改要求如下：賬號與口令端口開放與訪問控制基線配置漏洞日志留存網(wǎng)絡(luò)設(shè)備VVVVV安全設(shè)備VVVVV主機（含虛擬機）VVVVV數(shù)據(jù)庫VVVVWeb中間件VVVV應(yīng)用系統(tǒng)VVVV便于系統(tǒng)及責任定位，各單位需匯總資產(chǎn)信息，形成XX公司資產(chǎn)安全管 理臺賬，臺賬格式參考文件（此文件后續(xù)用于總部資產(chǎn)安全管理平臺導入模板）:二、脆弱性自查整改總體要求（一）賬號與口令工作對象：各類維護和管理賬號、口令以及相關(guān)配置。自查方式：梳理賬號口令，查看相關(guān)配置，對標弱口令標準。管理要求：（1）賬號使用人必須實名登記，每個賬號能對應(yīng)到具體使用人員。（2）賬號開通、

20、變更、延期、注銷等操作應(yīng)經(jīng)過主管領(lǐng)導和相關(guān)系統(tǒng)負責 人審批。（3）集中維護的網(wǎng)絡(luò)、安全設(shè)備和主機應(yīng)納入4人系統(tǒng)管理，滿足賬號、口令和授權(quán)的強制要求。（4）應(yīng)定期審計資產(chǎn)納管、賬號變更和異常操作行為，對不合規(guī)行為組織整改。禁止共享賬號，為不同用戶分配不同賬號，賬號應(yīng)明確到具體責任人， 且必須為聯(lián)通自有員工。策略要求：清理與設(shè)備、業(yè)務(wù)、數(shù)據(jù)庫、Web中間件運行和維護等工作無關(guān)的無用 賬號。應(yīng)配置定期更換靜態(tài)口令，有效期不超過90天。修改系統(tǒng)默認口令或廠商通用口令，對所有賬號的口令進行全面更新， 杜絕使用弱口令。根據(jù)用戶的業(yè)務(wù)或維護需求，配置其所需的最小權(quán)限。靜態(tài)口令應(yīng)使用不可逆加密算法加密后以密文

21、形式存放。端口開放與訪問控制工作對象：開放的服務(wù)端口與訪問控制策略。自查方式：登錄查看服務(wù)開放情況和過濾策略。具體要求：關(guān)閉不必要的服務(wù)和監(jiān)聽端口。遠程管理或維護使用SSH等加密協(xié)議，必須經(jīng)過堡壘機進行；不具備 條件的通過具備日志記錄能力的跳板機進行。對于遠程維護、數(shù)據(jù)采集、數(shù)據(jù)庫、管理后臺等服務(wù)端口的訪問者來 源，應(yīng)通過防火墻策略限制到最小化白名單，白名單應(yīng)精確到單個IP地址， 嚴禁暴露在互聯(lián)網(wǎng)上。針對各種維護和管理終端所在的本地維護域，采用最小化原則嚴格控 制該域?qū)ζ渌蚧蛲饩W(wǎng)的訪問權(quán)限，通過關(guān)閉端口、綁定MAC或認證等手段 防止非法接入，禁止對外開放任何服務(wù)。因業(yè)務(wù)需要開放的HTTP/H

22、TTPS端口須采取集約化防護措施。主機或設(shè)備上所有端口未使用前必須關(guān)閉，如有條件可采取端口隔離 措施。不允許內(nèi)網(wǎng)或私網(wǎng)等承載網(wǎng)管系統(tǒng)和其他內(nèi)部支撐系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)的資 產(chǎn)同時跨接內(nèi)網(wǎng)與互聯(lián)網(wǎng)。內(nèi)網(wǎng)服務(wù)器如有訪問互聯(lián)網(wǎng)或內(nèi)網(wǎng)或私網(wǎng)等企業(yè)內(nèi)網(wǎng)的需求，應(yīng)通過 邊界安全設(shè)備按最小化權(quán)限原則統(tǒng)一配置NAT和過濾策略?；€配置工作對象：安全相關(guān)配置。自查方式：登錄設(shè)備、主機和系統(tǒng)等查看配置?？傮w要求各類主機、設(shè)備和應(yīng)用的賬號、口令、授權(quán)、日志、補丁和不 必要服務(wù)等進行安全配置檢查和修改，具體配置操作及檢測的步驟或命令應(yīng) 結(jié)合具體操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用中間件類型及版本而定。具體要求：配置定時賬戶自動登出，登出后

23、需再次登錄才能進入系統(tǒng)。配置用戶連續(xù)認證失敗次數(shù)上限。隱藏或修改主機和設(shè)備的缺省BANNER,不能顯示歸屬、用途、型號、 名稱等提示信息。關(guān)閉不必要的SNMP協(xié)議，如需啟用時允許最小權(quán)限，修改SNMP的默 認通行字，通行字應(yīng)符合口令強度要求。在保證業(yè)務(wù)網(wǎng)絡(luò)穩(wěn)定運行的前提下，安裝最新的補丁，補丁在安裝前 需要測試確定。刪除或禁用不需要的服務(wù)、軟件以及應(yīng)用模塊等。刪除或禁用軟盤、USB、串口等不必要的設(shè)備。漏洞工作對象：所有開放服務(wù)及其存在的漏洞。自查方式：登錄查看系統(tǒng)版本信息、補丁安裝情況等，并利用漏洞掃描 器接入內(nèi)網(wǎng)掃描、同時采用人工滲透等方式進行檢測。具體要求：在保證業(yè)務(wù)網(wǎng)絡(luò)穩(wěn)定運行的前提下

24、，安裝最新的補丁，補丁在安裝前 需要經(jīng)過測試確定安全性。掃描器系統(tǒng)軟件以及插件庫更新到最新版本，定期對資產(chǎn)進行安全掃 描和人工滲透，確保掃描器和滲透人員通過內(nèi)網(wǎng)接入并能訪問內(nèi)網(wǎng)整個網(wǎng)段 和資產(chǎn)所有開放端口。對中高危漏洞及時進行整改，短期無法整改的漏洞必須通過訪問控制 措施限制訪問范圍，低危漏洞評估后采取整改、規(guī)避或接受等措施。系統(tǒng)上線前或升版后必須做安全評估并完成整改。日志留存工作對象：資產(chǎn)的登錄日志、操作日志、安全日志等。自查方式：查看本機或者日志服務(wù)器是否留存相應(yīng)日志，日志配置和留 存是否符合相關(guān)規(guī)范。具體要求：滿足日志留存6個月及以上。配置登錄日志、操作日志和安全日志記錄功能，本機存儲或

25、傳輸?shù)竭h 程日志服務(wù)器中進行存儲。應(yīng)配置權(quán)限，控制對日志文件讀取、修改和刪除等操作。開啟NTP 客戶端，保證日志記錄時間的準確性，資產(chǎn)與NTP服務(wù)器之 間開啟認證功能。重要日志采用主備存儲和加密等措施。三、網(wǎng)絡(luò)設(shè)備自查整改要求賬號與口令工作對象：網(wǎng)絡(luò)設(shè)備的維護賬號口令與相關(guān)配置。自查方式：登錄設(shè)備或系統(tǒng)查看賬號和相關(guān)配置，對標弱口令標準。在總體要求基礎(chǔ)上，還需要配置CONSOLE 口密碼保護功能。端口開放與訪問控制工作對象：網(wǎng)絡(luò)設(shè)備開放的服務(wù)端口與訪問控制策略。自查方式：登錄設(shè)備查看服務(wù)開放情況和ACL策略。在總體要求基礎(chǔ)上，需滿足以下要求：網(wǎng)絡(luò)設(shè)備應(yīng)使用控制平面訪問策略對路由器引擎進行保護，

26、策略應(yīng)使 用精細化白名單。邊界設(shè)備根據(jù)業(yè)務(wù)需要配置流量過濾策略，過濾所有和業(yè)務(wù)不相關(guān)的 流量。網(wǎng)絡(luò)邊界應(yīng)配置安全訪問控制，過濾常見攻擊端口，例如UDP1434、TCP445、3389 等。（4）邊界設(shè)備配置路由策略，禁止發(fā)布或接收不安全的路由信息，只接受 合法的路由更新，只發(fā)布所需的路由更新。（三）基線配置工作對象：網(wǎng)絡(luò)設(shè)備的安全相關(guān)配置。自查方式：登錄設(shè)備查看配置情況。在總體要求基礎(chǔ)上，需滿足以下要求：（1）啟用動態(tài)路由協(xié)議或者LDP、RSVP標簽分發(fā)協(xié)議時，配置協(xié)議認證功 能。（2）配置路由器防止地址欺騙攻擊，不使用ARP代理的路由器關(guān)閉該功能。（四）漏洞工作對象：網(wǎng)絡(luò)設(shè)備的所有開放服務(wù)。

27、自查方式：通過漏洞掃描器接入內(nèi)網(wǎng)掃描。具體要求：參見總體要求第（四）項。（五）日志留存工作對象：設(shè)備的登錄日志、操作日志、安全日志等。自查方式：查看本機配置和相關(guān)日志系統(tǒng)。具體要求：參見總體要求第（五）項。四、安全設(shè)備自查整改要求（一）賬號與口令工作對象：安全設(shè)備的維護賬號與口令，以及相關(guān)配置。自查方式：登錄設(shè)備查看配置，通過系統(tǒng)查看賬號列表，對標弱口令標 準。在總體要求基礎(chǔ)上，需滿足以下要求：配置CONSOLE 口密碼保護功能。（二）端口開放與訪問控制工作對象：安全設(shè)備開放的服務(wù)端口與安全策略。自查方式：登錄設(shè)備查看服務(wù)開放情況ACL。在總體要求基礎(chǔ)上，需滿足以下要求：（1）防火墻應(yīng)配置NA

28、T和過濾策略按照最小化原則僅允許必要的網(wǎng)絡(luò)訪問；（2）通過防火墻限制內(nèi)網(wǎng)服務(wù)器到互聯(lián)網(wǎng)和內(nèi)網(wǎng)或私網(wǎng)等企業(yè)內(nèi)網(wǎng)的主動 訪問，策略精確到IP地址和端口。（三）基線配置工作對象：安全設(shè)備的配置。自查方式：登錄設(shè)備查看配置情況。在總體要求基礎(chǔ)上，需滿足以下要求：及時升級安全設(shè)備的病毒庫和特 征庫等。（四）漏洞工作對象：安全設(shè)備存在的漏洞。自查方式：通過掃描器掃描、人工滲透等方式。具體要求：參見總體要求第（四）項。（五）日志留存工作對象：設(shè)備的登錄日志、操作日志、安全日志等。自查方式：查看本機或者日志服務(wù)器是否留存設(shè)備日志，能力是否滿足 存放6個月具體要求：參見總體要求第（五）項。五、主機（含虛擬機）設(shè)

29、備自查整改要求（一）賬號與口令工作對象：主機的賬號與口令，以及相關(guān)配置。自查方式：登錄到主機上查看配置文件，檢查賬號口令。具體要求：參見總體要求第（一）項。（二）端口開放與訪問控制工作對象：主機開放的服務(wù)端口與主機防火墻策略。自查方式：登錄主機查看服務(wù)啟用、端口監(jiān)聽情況，查看主機防火墻策 略和規(guī)則。具體要求：參見總體要求第（二）項。（三）基線配置工作對象：主機的安全配置。自查方式：登錄主機查看配置情況。具體要求：參見總體要求第（三）項。（四）漏洞工作對象：主機存在的漏洞。自查方式：登錄主機查看系統(tǒng)版本信息、補丁安裝情況等，并利用漏洞 掃描器、人工滲透等方式進行檢測。在總體要求基礎(chǔ)上，需滿足以下

30、要求：檢查主機操作系統(tǒng)版本是否已超 出官方服務(wù)的最后期限，特別是官方已經(jīng)不再提供安全更新的系統(tǒng)，應(yīng)盡力 更新升級，或設(shè)法從網(wǎng)絡(luò)上做好隔離。（五）日志留存工作對象：主機的登錄日志、安全日志。自查方式：查看主機日志配置、日志記錄情況。具體要求：參見總體要求第（五）項。六、數(shù)據(jù)庫自查整改要求（一）賬號與口令工作對象：數(shù)據(jù)庫的各類賬號與口令，以及相關(guān)配置。自查方式：登錄設(shè)備查看配置，通過系統(tǒng)查看賬號列表，對標弱口令標 準。在總體要求基礎(chǔ)上，需滿足以下要求：數(shù)據(jù)庫應(yīng)具備防止賬號密碼被暴 力破解的機制。（二）基線配置工作對象：數(shù)據(jù)庫的配置。自查方式：登錄設(shè)備查看配置情況。在總體要求基礎(chǔ)上，需滿足以下要求：

31、（1）禁止使用系統(tǒng)管理員賬號權(quán)限運行數(shù)據(jù)庫。（2）根據(jù)機器性能和業(yè)務(wù)需求，設(shè)置最大連接數(shù)。（三）漏洞工作對象：數(shù)據(jù)庫存在的漏洞。自查方式：通過掃描器掃描、人工滲透等方式。具體要求：參見總體要求第(四)項。日志留存工作對象：數(shù)據(jù)庫的登錄日志、操作日志、安全日志。自查方式：查看數(shù)據(jù)庫本地或者日志服務(wù)器是否留存相應(yīng)日志，日志留 存是否符合相關(guān)規(guī)范。在總體要求基礎(chǔ)上，需滿足以下要求：日志應(yīng)對用戶登錄信息進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、 登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。日志應(yīng)記錄用戶對數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：賬號創(chuàng)建、 刪除和權(quán)限修改、口令修改、讀取和修改數(shù)

32、據(jù)庫配置等。記錄需要包含用戶 賬號，操作時間，操作內(nèi)容以及操作結(jié)果。七、Web中間件自查整改要求賬號與口令工作對象：Web中間件的維護賬號與口令，以及相關(guān)配置。自查方式：登錄查看配置，通過系統(tǒng)查看賬號列表，對標弱口令標準。在總體要求基礎(chǔ)上，需滿足以下要求：Web登錄頁面應(yīng)具備防止賬號密碼被暴力破解的機制。密碼找回功能需使用短信、郵件等可靠驗證手段。基線配置工作對象：Web中間件的配置。自查方式：登錄設(shè)備查看配置情況。在總體要求基礎(chǔ)上，需滿足以下要求：禁止使用系統(tǒng)管理員賬號權(quán)限運行Web中間件。嚴格設(shè)置配置文件和日志文件的權(quán)限，防止未授權(quán)訪問。禁止Web中間件訪問Web目錄之外的任何文件。禁止目

33、錄列出。需自定義錯誤頁面，其中不能包含版本、錯誤內(nèi)容等信息。根據(jù)業(yè)務(wù)需要，合理設(shè)置session時間，防止拒絕服務(wù)攻擊。禁用PUT、DELETE等不安全的HTTP方法。（8）關(guān)閉 TRACEo（9）根據(jù)機器性能和業(yè)務(wù)需求，設(shè)制最大最小連接數(shù)。（10）刪除不需要的默認文件。（三）漏洞工作對象：Web中間件存在的漏洞。自查方式：通過掃描器掃描、人工滲透等方式。在總體要求基礎(chǔ)上，需滿足以下要求：重點檢查OWASP T0P10安全風險 （參考鏈接：http： /owasp-project/0WASPTop102017v1.3.pdf）,包括注入、失效的身份認證、敏感信息泄露、XXE、失效的訪問 控制、

34、安全配置錯誤、XSS、不安全的反序列化、使用含有已知漏洞的組件、 不足的日志記錄和監(jiān)控等，對檢查發(fā)現(xiàn)的中高危漏洞完成整改。（四）日志留存工作對象：Web中間件的登錄日志、操作日志、安全日志。自查方式：查看Web中間件服務(wù)器本地或者日志服務(wù)器是否留存相應(yīng)日 志，日志留存是否符合相關(guān)規(guī)范。在總體要求基礎(chǔ)上，需滿足以下要求：對運行錯誤、用戶訪問等進行記 錄，記錄內(nèi)容包括時間、URL、用戶使用的IP地址等內(nèi)容。八、應(yīng)用系統(tǒng)自查整改要求（一）賬號與口令工作對象：應(yīng)用系統(tǒng)的賬號與口令，以及相關(guān)配置。自查方式：登錄到應(yīng)用系統(tǒng)上查看配置文件，檢查賬號口令。具體要求：參見總體要求第（一）項。（二）漏洞工作對象：

35、所有開放在公網(wǎng)的Web應(yīng)用。自查方式：使用Web應(yīng)用掃描器、滲透測試等方式進行檢查。具體要求：參見總體要求第（四）項。（三）日志留存工作對象：應(yīng)用系統(tǒng)的日志配置、日志記錄。自查方式：查看應(yīng)用系統(tǒng)的日志配置、日志記錄情況。3.具體要求：參見總體要求第（五）項?！鞍踩雷o” VPN、終端、郵箱自查整改方案一、工作目標開展對VPN、終端、電子郵箱、代碼共享和自查整改，全面消除可能存在的 安全漏洞和隱患。二、適用范圍VPN、終端隱患自查主要針對中國聯(lián)通全部VPN設(shè)備、終端，面向所有VPN 和終端的運維人員、設(shè)備管理員和賬號使用者。電子郵箱、代碼共享隱患自查主要面向中國聯(lián)通所有員工和業(yè)務(wù)外包人員。三、具

36、體工作安排：（一）VPN自查要求1.VPN使用情況檢查檢查所有已開通的VPN,核實是否正在使用。如果VPN涉及的系統(tǒng)已關(guān)停， 則應(yīng)及時關(guān)閉VPN。判斷已開通的VPN是否可以保留。部署在內(nèi)網(wǎng)的重要系統(tǒng)不允許采用撥入 VPN后直接登錄的方式。經(jīng)信息安全管理部門認定確實有外網(wǎng)訪問需求的系統(tǒng)， 應(yīng)通過“VPN+4A”的雙重管控方式進行防護，即系統(tǒng)納入4A管理，運維人員先 以VPN方式撥入內(nèi)網(wǎng)，再以4A為跳板訪問該系統(tǒng)。不需要保留的VPN系統(tǒng)應(yīng)/士實施關(guān)停。部分高風險的VPN，如進入內(nèi)網(wǎng)或私網(wǎng)的，應(yīng)在安全防護行動期間實施關(guān) 停，安全防護行動后按上述VPN+4A方式實施改造。.認證方式檢查檢查全部VPN設(shè)

37、備的登錄認證方式，禁止使用只有“用戶名+ 口令”的認證 方式，必須采用手機驗證碼短信或者令牌等方式進行雙因子認證。對僅通過“用戶名+口令”進行認證的VPN實施下線改造。本次改造完成后 應(yīng)經(jīng)過網(wǎng)絡(luò)安全管理部門確認后才能重新上線。.賬號使用情況檢查全面檢查和清理所有VPN賬號。全面核實所有賬號使用狀態(tài)，檢查實際使 用人和賬號信息是否保持一致。對于檢查中發(fā)現(xiàn)的異常情況應(yīng)及時處置，清除所 有無人使用、無人管理的僵尸賬號，及時更新賬號信息，關(guān)停人號不一致的賬號。.賬號權(quán)限檢查檢查VPN設(shè)備是否實施基于賬號、IP地址和VPN號的精準訪問權(quán)限控制 機制。檢查所有VPN賬號的權(quán)限分配情況，核實其是否滿足權(quán)限最

38、小化原則。VPN設(shè)備脆弱性檢查檢查VPN設(shè)備是否具備登錄認證防暴破能力。對于不具備防暴破的VPN設(shè) 備應(yīng)下線實施改造或者進行更換。VPN設(shè)備應(yīng)按照下文安全設(shè)備脆弱性自查整改方案的要求進行檢查和整改。（二）終端自查要求此方案中的終端指的是接入中國聯(lián)通網(wǎng)絡(luò)的工作終端和個人終端，包括但不 限于臺式機、筆記本電腦、網(wǎng)絡(luò)打印機等。具體自查要求如下：.網(wǎng)絡(luò)共享私接情況自查檢查網(wǎng)絡(luò)共享和私接情況。不允許員工共享辦公網(wǎng)絡(luò)，禁止使用辦公桌有線網(wǎng)口私接路由器，禁止安裝 共享WiFi軟件。.終端軟件自查檢查所有終端的已安裝軟件情況。不允許在終端上安裝與工作無關(guān)的或與終 端用途無關(guān)的軟件，包括但不限于黑客、系統(tǒng)破解、

39、端口掃描或口令破解等軟件。終端必須接受安裝補丁分發(fā)系統(tǒng)自動下發(fā)的安全補丁或自行安裝操作系統(tǒng) 和重要組件的安全補丁，以有效降低漏洞所帶來的潛在安全風險。.敏感信息文本自查全體員工不允許在終端上以明文文本形式保存工作相關(guān)的賬號、密碼等敏感 信息，賬號密碼文件應(yīng)采用高強度不可逆的加密方式。（三）電子郵箱自查整改檢查電子郵箱的防范措施，具體要求包括：對于有集團OA郵箱的員工，集團OA郵箱是中國聯(lián)通全體員工唯一的 工作郵箱。嚴禁使用私人郵箱發(fā)送工作郵件，嚴禁使用境外郵箱作為工作郵箱。集團和各省需確定OA郵箱的具體維護人員，并檢查工作郵箱的緩存存 放期限配置項和郵件代收功能配置項。應(yīng)將集團郵箱的郵件緩存存

40、放期限設(shè)置為 2周。不允許使用集團OA郵箱的轉(zhuǎn)發(fā)功能；不允許使用其他郵箱代收集團OA 郵箱的郵件；集團和各省應(yīng)啟用工作郵箱的附件過濾查殺功能；所有員工開展電子郵件自查工作，確認電子郵件是否違規(guī)存放在非工作 郵箱，對于違規(guī)存放在其他郵箱的工作郵件，應(yīng)及時刪除；各單位要組織一次全體員工的工作郵箱密碼修改行動，各級單位應(yīng)督促 員工在期限前按要求重設(shè)郵箱密碼。各省應(yīng)對集團發(fā)現(xiàn)的未修改密碼的郵箱賬號 進行核查和通報，并確認使用人信息。如郵箱無人使用，應(yīng)上報集團實施關(guān)停。嚴禁使用電子郵件發(fā)送明文賬號密碼文件。清除電子郵件系統(tǒng)中已經(jīng)明 文發(fā)送的賬號密碼文件，并更改涉及系統(tǒng)的賬號和密碼?！鞍踩雷o”社會工程學

41、自查防范方案一、工作目標加強社會工程學防范教育，提高全體員工及外包人員安全意識，防止外部網(wǎng) 絡(luò)安全攻防隊伍通過社會工程學手段獲取敏感信息或入侵重要內(nèi)部系統(tǒng)。二、適用范圍社會工程學隱患自查主要面向中國聯(lián)通所有員工和業(yè)務(wù)外包人員。三、具體工作安排（一）社會工程學意識教育開展覆蓋全體員工和業(yè)務(wù)外包人員的社會工程學攻擊手段及防范教育，內(nèi)容 應(yīng)包括電子郵件釣魚、短信釣魚、電話釣魚、人員接觸方面的社會工程學攻擊防 范意識教育，講述電子郵件及短信釣魚的攻擊原理、流程，指出惡意附件、惡意 仿冒鏈接、偽造身份、套取敏感信息、不明身份人員非法操作設(shè)備等需要提高警 惕的具體場景情形及識別惡意信息、保護敏感信息等相應(yīng)

42、的應(yīng)對處置方法。重點 宣貫“十三個不準”，特別是后端維護人員集中的區(qū)域“十三個不準”具體包括：不準設(shè)置弱口令；不準使用非工作郵箱代收工作郵件；不準點擊來路不明郵件中的鏈接或打開附件；不準將賬號與口令明文保存于終端上；不準將系統(tǒng)設(shè)計文檔、網(wǎng)絡(luò)拓樸等敏感信息存放于服務(wù)器上；不準將本人使用的賬號與口令告知他人；不準在互聯(lián)網(wǎng)上的外部網(wǎng)站或應(yīng)用（如論壇、微博、即時通信軟件等） 上使用與公司設(shè)備、系統(tǒng)上相同的賬號或口令；不準允許來路不明的人員遠程控制公司內(nèi)各類設(shè)備或執(zhí)行其告知的各 項指令；不準將網(wǎng)站或系統(tǒng)源代碼上傳至互聯(lián)網(wǎng)上；不準設(shè)置公司內(nèi)業(yè)務(wù)系統(tǒng)為自動登錄；不準私自在辦公網(wǎng)絡(luò)及其他內(nèi)網(wǎng)中搭建無線熱點；不

43、準將未進行自我檢查和安全加固的終端接入內(nèi)網(wǎng)；不準未經(jīng)審批開通內(nèi)部系統(tǒng)的互聯(lián)網(wǎng)出口。（二）開放場所防護措施自查檢查營業(yè)廳、展示廳等向公眾開放場所的防范 措施具體要求包括：檢查開放場所的公共WiFi防護措施。開放場所的公共WiFi應(yīng)具備流量 監(jiān)控技術(shù)能力，與內(nèi)網(wǎng)實施隔離控制；檢查核實開放場所內(nèi)搜索到的共享WiFi。禁止所有員工在開放區(qū)域工作 終端上開啟共享WiFi；檢查開放場所內(nèi)向客戶開放區(qū)域的所有網(wǎng)絡(luò)接口以及連接的終端，核實 其是否與內(nèi)網(wǎng)進行隔離，確保外部人員不能通過這類網(wǎng)口訪問內(nèi)網(wǎng)；檢查開放場所辦公區(qū)域的工作終端的防護措施。工作終端應(yīng)具備阻止無 關(guān)人員使用工作終端的物理措施和上網(wǎng)審計等技術(shù)能力

44、。（三）辦公區(qū)域門禁管理措施自查各級單位應(yīng)檢查本單位辦公樓宇、營業(yè)廳的工作專用區(qū)域等非開放的辦公區(qū) 域的門禁管理措施。所有辦公區(qū)域應(yīng)具備對進入場所的外來人員進行身份核驗檢 查的有效措施，防止無關(guān)人員進入辦公區(qū)域。（四）信息防泄漏自查各級單位及全體員工應(yīng)檢查信息防泄漏措施是否完備，敏感信息處置和存儲 是否合規(guī)，具體要求包括：開展對代碼的全面清查，確認對合作方的各項代碼保密要求是否已經(jīng)落 實，包括禁止合作方在GitHub等第三方托管平臺進行代碼共享等，發(fā)現(xiàn)存在代 碼共享情況的要第一時間刪除，共享代碼中有賬號密碼信息的要第一時間更換相 關(guān)賬號密碼；加強代碼安全管理，軟件源代碼、開發(fā)文檔、程序配置文件

45、中含有明文 數(shù)據(jù)庫賬號口令、郵箱賬號口令及其他平臺數(shù)據(jù)交互方式等敏感信息的，必須嚴 格管理，責任到人。禁止通過云盤（包括沃家云盤、百度云等）、社交軟件（包括微信、QQ）等方式進行企業(yè)敏感信息的共享、存儲;禁止在服務(wù)器上明文存放重要信息（網(wǎng)絡(luò)拓撲、設(shè)計文檔等，特別是賬 號口令信息）；應(yīng)將含有敏感信息的移動介質(zhì)保存在安全可靠的地方。應(yīng)在使用完成后 刪除不再需要的敏感信息?！鞍踩雷o”威脅監(jiān)測與阻斷方案一、工作目標組織網(wǎng)絡(luò)單元維護單位、系統(tǒng)管理員、維護廠家和第三方合作廠家清理現(xiàn)有 安全防護設(shè)備和能力清單，對現(xiàn)有安全防護能力進行優(yōu)化調(diào)整，全力完成公網(wǎng)資 產(chǎn)威脅監(jiān)測和處置能力的100%全覆蓋，強化應(yīng)用系

46、統(tǒng)的邏輯防護能力。通過部 署出口/鏡像流量監(jiān)測、應(yīng)用層軟件WAF、網(wǎng)站監(jiān)測、網(wǎng)站擬態(tài)防護系統(tǒng)或WAF、 DNS流量牽引防護等安全防護手段，全面建設(shè)完成集中監(jiān)測、統(tǒng)一防護的三層 安全防護體系。二、適用范圍監(jiān)測和防護對象為本單位所轄責任范圍內(nèi)的所有公網(wǎng)資產(chǎn)，包括自營公網(wǎng)業(yè) 務(wù)系統(tǒng)、合作平臺、APP軟件、VPN系統(tǒng)、微信公眾號、網(wǎng)絡(luò)設(shè)備（路由器、交 換機、AC、AP等）、智能設(shè)備（攝像頭、樓宇視頻等）、安全系統(tǒng)或設(shè)備（防火 墻、IPS、IDS、WAF、漏洞掃描等）等公網(wǎng)資產(chǎn)。三、具體工作安排（一）全面梳理威脅監(jiān)測和處置防護現(xiàn)狀梳理現(xiàn)有威脅監(jiān)測和阻斷防護設(shè)備和能力清單，核實其當前防護范圍， 尤其是對公

47、網(wǎng)安全資產(chǎn)防護的覆蓋范圍，建立公網(wǎng)安全資產(chǎn)防護設(shè)備和防護能力 臺賬。威脅監(jiān)測和阻斷防護設(shè)備清單包括但不限于：防火墻、IPS、IDS、網(wǎng)站 擬態(tài)防護系統(tǒng)或WAF、網(wǎng)站安全監(jiān)測、出口流量攻擊監(jiān)測、網(wǎng)頁防篡改等；防 護能力包括但不限于：自動化工具掃描和滲透防護、SQL注入防護、文件上傳防 護、任意命令執(zhí)行防護、文件包含防護、緩存/堆棧溢出防護、邏輯漏洞防護、代 碼執(zhí)行防護、跨站腳本防護、遠程拒絕服務(wù)防護、敏感內(nèi)容防護、路徑穿越防護 等。（二）全力建立威脅監(jiān)測和處置防護能力.各單位做到公網(wǎng)系統(tǒng)級威脅監(jiān)測和處置全覆蓋，形成第一道防線。各單位要在網(wǎng)絡(luò)系統(tǒng)、或公網(wǎng)流量出口處部署威脅監(jiān)測和阻斷防護設(shè)備。對 于

48、具備防護能力的網(wǎng)絡(luò)系統(tǒng)，要全面核查和更新防護策略，確保防護能力的完整 性和有效性；對于無威脅監(jiān)測和阻斷防護設(shè)備的公網(wǎng)業(yè)務(wù)系統(tǒng)，要先通過調(diào)整優(yōu) 化已有網(wǎng)絡(luò)安全防護手段進行覆蓋，如不能滿足，則應(yīng)新建網(wǎng)絡(luò)安全防護設(shè)備進 行防護，確保公網(wǎng)系統(tǒng)防護全覆蓋，做到監(jiān)測無盲點。在此基礎(chǔ)上可進一步部署公網(wǎng)系統(tǒng)應(yīng)用服務(wù)層面的防護能力、公網(wǎng)系統(tǒng)外部 防護產(chǎn)品或服務(wù)，建設(shè)多層級防護能力，形成第二、三道防線。同時鼓勵有條件 單位通過部署流量探針、端口鏡像、安全日志等方式對公網(wǎng)全流量進行集約防護， 實現(xiàn)全網(wǎng)實時監(jiān)測、集中分析和統(tǒng)一處置。.強化公網(wǎng)系統(tǒng)應(yīng)用層防護，形成第二道防線。針對公網(wǎng)系統(tǒng)應(yīng)用服務(wù)層部署WAF、網(wǎng)站防篡改

49、等安全防護程序，從系統(tǒng) 內(nèi)部及時監(jiān)測和處置各類應(yīng)用攻擊威脅。.部署公網(wǎng)系統(tǒng)外部防護產(chǎn)品或服務(wù)，形成第三道防線。在與聯(lián)通智慧安全科技有限公司、云盾智慧安全科技有限公司或第三方安全 服務(wù)廠商簽訂具有法律效益的保密協(xié)議基礎(chǔ)上，集約部署安全可靠的安全防護產(chǎn) 品或服務(wù)，如通過流量牽引等方式部署，使用聯(lián)通云盾、網(wǎng)站云監(jiān)測、網(wǎng)站云防 護（云WAF）、態(tài)勢感知等安全防護產(chǎn)品或服務(wù)，構(gòu)建以單位為維度的集中外部 防護機制。各單位要積極探索威脅監(jiān)測與防護的新方法（如擬態(tài)防護），時與俱進， 使用新思路、新手段強化威脅監(jiān)測與處置能力，應(yīng)對日新月異的網(wǎng)絡(luò)安全攻防形 勢。（三）加強公網(wǎng)系統(tǒng)和網(wǎng)絡(luò)安全日志審計各單位要對公網(wǎng)系

50、統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、存在敏感信息重要系統(tǒng)的登錄日志、 操作日志、告警日志、安全日志等進行及時審計，審計是否存在賬號登錄異常、 服務(wù)進程異常、重要進程狀態(tài)異常、數(shù)據(jù)庫非法登錄或數(shù)據(jù)非授權(quán)導出、網(wǎng)站頁 面被篡改等情況，對網(wǎng)絡(luò)安全設(shè)備日志應(yīng)進行匯總和集中研判。（四）核心業(yè)務(wù)系統(tǒng)公網(wǎng)防護要求各單位核心業(yè)務(wù)系統(tǒng)除部署上述安全防護能力外，應(yīng)完成以下增強性防護工 作：各單位應(yīng)根據(jù)業(yè)務(wù)系統(tǒng)的實際應(yīng)用發(fā)布情況，建設(shè)基于用戶行為分析和 判斷的防護手段。對非正常時間段的訪問IP、請求次數(shù)頻繁等特征的訪問行為進 行綜合分析，對于存在異常行為的IP地址及時進行處置。各單位要加強業(yè)務(wù)系統(tǒng)APT的檢測與防護，利用靜態(tài)檢測和虛

51、擬執(zhí)行等 技術(shù)加強對未知惡意軟件的分析能力，針對“水坑”攻擊、C&C鏈接等攻擊行為 進行監(jiān)測和防護，達到防止敏感數(shù)據(jù)外泄的目的。網(wǎng)網(wǎng)“安全防護”內(nèi)網(wǎng)或私網(wǎng)網(wǎng)絡(luò)安全加固整改方案一、工作目標內(nèi)網(wǎng)或私網(wǎng)網(wǎng)絡(luò)安全性得到大幅度提升。內(nèi)網(wǎng)或私網(wǎng)網(wǎng)內(nèi)資產(chǎn)得到進一步清 查，90%以上明確網(wǎng)絡(luò)安全責任人，90%以上消除內(nèi)網(wǎng)或私網(wǎng)內(nèi)部同時暴露在互 聯(lián)網(wǎng)上的系統(tǒng)與“三無七邊”系統(tǒng)。關(guān)閉不必要的端口、嚴格系統(tǒng)訪問控制措施， 內(nèi)網(wǎng)或私網(wǎng)網(wǎng)內(nèi)的威脅監(jiān)測處置能力得到進一步強化。二、適用范圍各單位使用的內(nèi)網(wǎng)或私網(wǎng)網(wǎng)絡(luò)。三、具體安排（一）網(wǎng)絡(luò)層面的防護清查內(nèi)網(wǎng)或私網(wǎng)網(wǎng)內(nèi)的所有系統(tǒng)和資產(chǎn)，重點檢查DCN網(wǎng)內(nèi)資產(chǎn)。暴露面的清查與整改，檢查內(nèi)網(wǎng)或私網(wǎng)內(nèi)部是否存在暴露在互聯(lián)網(wǎng)的系 統(tǒng)，是否具備同時向內(nèi)網(wǎng)或私網(wǎng)/公網(wǎng)提供服務(wù)的系統(tǒng)或主機。劃分安全域隔離，以路由器為邊緣做隔離，以系統(tǒng)為維度進行最小化訪 問控制。對于“三無七邊”的網(wǎng)站與系統(tǒng)，進一步執(zhí)行關(guān)停并轉(zhuǎn)等整改措施，原 則上無責任人的系統(tǒng)必須關(guān)停。檢查內(nèi)網(wǎng)或私網(wǎng)網(wǎng)內(nèi)的FW/IPS/防病毒等防護手段是否具備，缺乏相應(yīng) 防護手段的必須建設(shè)對應(yīng)的機制完善。通過防火墻限制內(nèi)網(wǎng)服務(wù)器