附件1“安全防护”工作任务一、工作目标各单位须围绕以下工作目标开展工作:(一)网络与信息安全工作责任制得到切实贯彻
按照全业务、全流程、全覆盖的原则将各网站/系统/平台的网络与信息安全责任落实到具体部门和责任人(直接责任、管理责任和领导责任)
(二)“三无”(无管理、无使用、无防护)网站/系统/平台100%消除
“七边”(测试系统、实验平台、退网未离网系统、工程已上线加载但未正式交维系统、与合作伙伴共同运营的业务/网站/系统/平台等、责任交接不清晰的网站/系统/平台、处于衰退期的网络业务系统)网站/系统/平台风险得到100%治理
(三)互联网暴露面显著降低
全面梳理和审核各网站/系统/平台接入互联网的必要性和安全性,没有充分必要暴露至互联网上的网站/系统/平台100%通过关停并转等措施断开互联网联接;保留在互联网上的网站/系统/平台以省级公司为单位实现高安全度集约防护
未完成安全治理的网站/系统/平台在完成全面治理前原则上不应接入互联网
(四)完成对VPN(暴露在互联网上,通过公网认证接入后可进入内网的通道)、终端(指PC、服务器)、电子邮箱等风险的自查,全面消除可能存在的安全漏洞和隐患
(五)自查和消除社会工程学风险(以“十三个不准”为最基本要求)和合作风险
提高全体员工及“四方”(供应方、合作方、系统集成方、外部支撑方)等各单位人员安全意识;严查快处合作风险(特别是系统高等级权限被授予第三方的风险);防止外部网络安全攻击队伍通过社会工程学手段获取敏感信息、重要权限或入侵重要内部系统
(六)弱口令、典型高危漏洞、未定级备案问题得到全面彻底整治
杜绝系统弱口令现象,快速完成典型高危漏洞(特别是可导致远程控制和敏感信息泄露的高危漏洞)的风险处置,形成常态实时管控机制,所有上线系统(含试运行系统)100%定级
各系统账号100%实名,100%解决不必要端口开放、基线配置不达标、
