护网期间网络安全风险排查 v2.0.docx

作为攻防演练的参演单位，将通过网络安全攻防演练，进一步检验网络安全防护能力、监测发现能力、应急处置能力，发现可能在网络安全防护、监测和处置措施中存在的短板，积累有效应对网络安全攻击和威胁的经验，促进网络安全积极防御、协同处置的体系建设，促进网络安全队伍建设，在实战中有效提升网络安全保障能力。 为充分做好攻防演练相关工作，按照监管部门攻防演练的工作安排，结合自身安全工作实际情况，在护网工作开展前期将现有应用系统资产清单梳理完成，内容包括系统名称、访问地址、IP地址、开发语言、操作系统版本、数据库类型、中间件版本，特别是集权类系统（OA、邮件、堡垒机），便于攻防演练进行安全监测与分析工作，方便快速判断为是否为有效攻击事件。 应根据漏洞扫描、渗透测试、风险评估等报告进行安全风险排查，包括： 1、互联网入口攻击：应用网站安全漏洞、弱口令和默认口令、应用和中间件管理后台暴露、服务器互联网暴露、服务器外联风险 ### 护网期间网络安全风险排查知识点 #### 一、网络安全攻防演练背景及目标 - **演练背景**：为了响应监管机构的要求，并基于自身网络安全的实际状况，组织将参与网络安全攻防演练活动。此活动旨在检验并提升组织在网络安全防护、监测发现及应急处置方面的能力。 - **演练目的**： - 检验与提高组织的网络安全防护水平； - 发现网络安全防护中的不足之处； - 积累应对网络安全攻击的有效经验； - 推动网络安全防御体系和协同处置机制的建设； - 加强网络安全队伍的专业能力。 #### 二、准备工作 - **资产清单梳理**：在演练前，需对现有的应用系统进行全面的资产清查，包括但不限于系统名称、访问地址、IP地址、开发语言、操作系统版本、数据库类型以及中间件版本等。特别强调对关键系统（如OA、邮件系统、堡垒机等）的详细记录，以便于演练过程中的安全监控与分析。 - **安全风险排查**： - **漏洞扫描**：利用自动化工具检测系统中的安全漏洞； - **渗透测试**：模拟黑客攻击行为，验证系统安全性； - **风险评估**：综合评估潜在的安全威胁及其可能造成的损失。 #### 三、具体排查内容 1. **信息系统排查记录** - **密码复杂度**： - **系统管理员密码**：要求至少10位，包含数字、大小写字母和特殊字符； - **普通用户密码**：至少8位，包含数字、大小写字母和特殊字符； - **防爆破策略**： - 登录超时锁定：如30分钟后无操作自动退出； - 密码错误次数锁定：如连续输入5次错误密码则锁定账户30分钟； - IP连续登录失败锁定：如1分钟内连续10次失败则锁定IP30分钟； - **密码更改策略**：每半年强制修改一次密码； - **用户权限管控**：遵循最小权限原则，按需分配权限； - **双因素认证**：采用账户密码加动态验证码等方式； - **系统交互模块**：确保用户提交信息未经审核不对外发布； - **账户加密存储**：采用SM2、RSA等加密算法存储密码； - **加密传输**：使用HTTPS协议，要求TLS 1.3及以上版本； - **重要数据加密存储**：对于敏感信息如个人身份信息等实现加密存储； - **前后台分离管理**：确保后台管理端口仅对内部开放； - **安全审计功能**：记录用户登录、操作等日志； - **审计日志存储时间**：不少于6个月； - **异常登录检测**：检测是否存在异常登录记录； - **页面完整性检查**：确保页面未被篡改； - **系统开发框架**：记录所用框架及版本； - **测试系统要求**： - 测试环境与生产环境隔离； - 禁止生产数据在测试环境中运行； - 测试环境不应对外开放； - 测试环境账号密码符合复杂度要求； - 加密、传输应符合生产环境标准； - 测试环境禁止标记单位名称等信息。 - **开发源码管理**：禁止在公共平台上存储系统源码。 2. **服务器排查记录** - **服务器密码复杂度**：至少12位，包含数字、大小写字母和特殊字符； - **防爆破策略**：密码错误3次则锁定账户30分钟； - **密码更改策略**：每半年至少更改一次密码； - **多余账户清理**：定期清理多余的或过期的账户。 #### 四、结论 通过对上述各项安全风险排查内容的实施，可以有效地提升组织在网络安全方面的防护能力和应急响应水平。此外，定期进行此类演练不仅可以帮助组织发现并解决潜在的安全隐患，还能增强员工的安全意识，从而构建更加稳固的网络安全防线。