附件1“安全防护”工作任务一、工作目标各单位须围绕以下工作目标开展工作:(一)网络与信息安全工作责任制得到切实贯彻。按照全业务、全流程、全覆盖的原则将各网站/系统/平台的网络与信息安全责任落实到具体部门和责任人(直接责任、管理责任和领导责任)。(二)“三无”(无管理、无使用、无防护)网站/系统/平台100%消除。“七边”(测试系统、实验平台、退网未离网系统、工程已上线加载但未正式交维系统、与合作伙伴共同运营的业务/网站/系统/平台等、责任交接不清晰的网站/系统/平台、处于衰退期的网络业务系统)网站/系统/平台风险得到100%治理。(三)互联网暴露面显著降低。全面梳理和审核各网站/系统/平台接入互联网的必要性和安全性,没有充分必要暴露至互联网上的网站/系统/平台100%通过关停并转等措施断开互联网联接;保留在互联网上的网站/系统/平台以省级公司为单位实现高安全度集约防护。未完成安全治理的网站/系统/平台在完成全面治理前原则上不应接入互联网。(四)完成对VPN(暴露在互联网上,通过公网认证接入后可进入内网的通道)、终端(指PC、服务器)、电子邮箱等风险的自查,全面消除可能存在的安全漏洞和隐患。(五)自查和消除社会工程学风险(以“十三个不准”为最基本要求)和合作风险。提高全体员工及“四方”(供应方、合作方、系统集成方、外部支撑方)等各单位人员安全意识;严查快处合作风险(特别是系统高等级权限被授予第三方的风险);防止外部网络安全攻击队伍通过社会工程学手段获取敏感信息、重要权限或入侵重要内部系统。(六)弱口令、典型高危漏洞、未定级备案问题得到全面彻底整治。杜绝系统弱口令现象,快速完成典型高危漏洞(特别是可导致远程控制和敏感信息泄露的高危漏洞)的风险处置,形成常态实时管控机制,所有上线系统(含试运行系统)100%定级。各系统账号100%实名,100%解决不必要端口开放、基线配置不达标、日志留存不达标等问题。(七)网络安全监测和防护技术手段进一步完善,原则上互联网暴露面上的网站类系统100%覆盖防攻击与入侵的技术手段(包括监测手段)。(八)内网或私网网络安全性得到大幅度提升。基本消除内网或私网网内系统同时连接互联网现象,内网或私网网内的威胁监测处置能力得到强化内网或私网网内各系统安全域划分得到全面落实,按照最小化原则严格网内各网站/系统/平台的访问控制措施,关闭不必要的端口与服务。(九)建立本单位涉及的《XX公司全貌网络拓扑图或逻辑关系图》,呈现本单位与总部、周边省分、子公司相关的网络、系统连接关系,重点标注连接点或IP地址,梳理对接关系影响面,关闭不必要的连接;围绕重要系统梳理网络拓扑图或逻辑关系图,做到摸清家底,形成基础资料。二、工作措施各单位按照全业务、全流程、全覆盖的原则,围绕本次专项行动目标,组织开展对本单位网络安全现状的评估,梳理责任范围内网络与系统的详细信息,形成台账,按照《“安全防护”互联网暴露面清查与减少防护方案》(附件2)重点关注互联网暴露面的资产清查,做到全面彻底,不留盲区与死角,找出存在差距。在此基础上,组织制定本单位工作方案,明确工作要求和任务分工、形成细化工作分解表,明确各项工作任务责任人与时间节点。对于梳理得到的全量资产,明确网络安全责任。对于无必要暴露在互联网上的资产进行退网或转入内网,对于“三无”系统进行下电,对“七边”系统进行整治。对于确需保留至线上的资产(含新上线系统),依照资产不同类别,按照《“安全防护”脆弱性自查整改方案》(附件3)对各台设备的开放端口、访问控制策略、系统与服务账号、基线配置、漏洞隐患、防护措施等进行仔细排查,形成隐患清单。对于多余账号、不必要的服务、访问控制不严格等隐患实行边查边改。按照《“安全防护”VPN、终端与邮箱整改方案》(附件4)、《“安全防护”社会工程学自查与防范方案》(附件5)进行分项自查。按照《“安全防护”威胁监测与阻断方案》(附件6)完善防护手段能力。并根据《“安全防护”内网或私网网络安全加固整改方案》(附件7)对内网或私网网络进行重点自查。原则上,在完成全面治理前不接入互联...
