部门 网络 安全 自查 方案 为落实集团公司 2020 年信息化工作会议精神和公司《关于开展公司 2020 年网络安全检查工作的通知》(科 2020] 4 号)的相关要求,落实公司各级网络安全责任,识别公司网络安全风险和薄弱环节,加强网络安全防护,公司将组织在各部门和分支机构开展网络安全自查工作,一、工作目标 以杜绝重大网络安全事件为目标,按照“摸清底数、查找漏洞、识别风险、通报检查、督促整改”的总体要求,全面排查网络安全、信息系统安全和数据中心重大风险和隐患,强化信息基础设施和信息系统防护责任,提高全员网络安全防范意识,加快已知问题整改,预防重大网络安全事件的发生,筑牢公司网络安全屏障,提升公司网络安全管理和防御水平。
二、检查内容 1.网络安全防护与要求 1)网络设备安全防护 各部门严格按照集团公司下发的网络设备安全基线对公司核心层和可网管汇聚层网络设备进行配置检查和加固,并制订网络详细技术防护方案和应急处置预案。
各部门严格按照集团公司安全基线标准要求对可网管汇聚层、接入层网络设备进行检查和配置,并将结果填报到《网络安全检查
表》中安全基线检查相关内容。
2)非办公场所接入办公网 按照集团公司办公网络接入要求,宾馆、学校、居民楼、门脸房等非办公场所严禁接入办公网,各部门要严格清查本部门是否存在上述场所接入办公网。如果在公司检查中发现还存在此项问题,将在公司内进行通报。
3)自建互联网出口清查 集团公司信息化管理办法和历次信息化工作会议明令禁止在办公网自建互联网出口、自建海外接入、无线网络和卫星通信系统,私建出口为攻击提供了通道,扩大公司受攻击风险。
各部门要认真排查是否存在连接办公网同时通过非法途径(如ADSL/手机 4G/私搭路由器等)连接互联网,是否存在办公网中的计算机为其他计算机提供代理、网关或直接映射到互联网,是否存在通过网络地址转换(NAT)或者类似的地址转换技术接办公网。如果存在,必须全部关闭。针对财务报税、开票等例外需求可以申请通过集团出口进行访问。
4)生产网接入办公网检查 按照公司信息化管理办法的要求,生产网与办公网连接应采取物理隔离、强逻辑隔离、单向隔离中的一种。确因业务需要,通过办公网访问生产网,必须通过安全设备进行强逻辑隔离或单向隔离,以保证生产网的物理安全。各部门排查未通过隔离手段直接连接办公网的生产网终端,一经发现立即切断连接并进行整改。
2.服务器安全防护与要求 网络安全检查工作小组负责对公司自建信息系统按照集团公司下发的操作系统安全基线标准要求进行配置检查,对弱口令及高危漏洞(参见《网络安全检查表》已知 16 类高危漏洞)持续开展检查与修复加固。
各部门对自建信息系统进行梳理,依据集团公司下发的操作系统安全基线对所有服务器进行检查和配置,对已知 16 类高危漏洞进行检查与修复加固。
各部门持续对发布在互联网上的应用系统防护情况和敏感信息泄露、外发等情况进行重点检查。
基于整体网络安全考虑,自建信息系统互联网应用应统一部署到集团数据中心 DMZ 区,对已有映射的自建信息系统完成迁移,由集团安全域提供网络安全保障。
3.终端计算机安全防护与要求 各部门依据集团公司安全基线标准要求对所有终端计算机进行检查和配置,统一安装集团公司桌面安全管理客户端进行保护,公司将对桌面安全管理客户端安装率未达到 100%的部门进行通报并实施互联网访问限制。
部门全体员工(外部员工提交系统中相关个人信息的表格,发送邮件至工作小组)登录公司协同办公系统主页-个人办公-个人业务-个人信息中,填报终端计算机的系统类型、IP 地址、MAC 地址等信息。未上报的 IP 地址将限制其网络访问,无法安装桌面安全
客户端的 IP 写明未安装原因。
杜绝所有终端计算机弱口令、空口令情况,在 5 月 20 日前所有计算机终端至少更改一次密码,更改后的密码必须符合安全基线中对于密码强度的要求(Aa�!四选三,长度不少于 8 位)。
4.清理网络暴露面 1)对外网站 重点防护互联网上有标志的网站,在互联网上托管于外部单位的对外网站,一旦发生被攻击、被篡改安全事件时追究所属单位责任。
梳理所有对外发布网站及应用,对于长期不用、无人维护的自建网站或系统应关闭下线。
2)自媒体及移动应用 重点检查以公司名义(含带标志)注册的微博、微信公众号等自媒体和微信小程序、移动应用、提供对外服务的信息系统等面向互联网的应用。
自媒体和微信小程序应满足集团公司信息系统用户、密码和账户安全管理相关规范要求,移动应用和对外服务的信息系统按照常规信息系统检查内容进行。各部门应如实填报面向互联网应用的自媒体、微信小程序和移动应用的安全情况和网络安全责任人,填报至《部门网络安全自查表》(见附件)中自媒体及移动应用情况。未经报备自媒体及移动应用应立即停止使用。
涉及公司信息的需经公司党委宣传部审批,要求各部门须建立
信息发布内容审核流程,明确分管领导、主管部门和具体责任人员,并切实做好本部门的微博、微信公众号等自媒体、微信小程序和移动应用的日常管理和更新维护工作。
3)敏感信息外发 各部门清查在互联网上的信息技术资料(如百度文库、源代码管理系统、域名信息系统、360 云盘等),识别其中包含的账号、密码、源代码、联系信息和网站信息、内部信息系统手册等,并对已经暴露的信息系统技术细节进行修改。
集团公司网络安全运行中心对密码明文外发事件进行实时监控,对发生重要文件、敏感数据违规外发行为在公司内部进行通报。
三、工作要求 各部门要充分认识网络安全检查工作的重要性,认真做好组织落实,在部门开展自查工作,加强与公司检查小组的协调沟通,按计划完成检查任务。被通报的部门和信息系统,要及时将整改结果反馈至网络安全检查工作小组,工作小组将组织对通报的问题进行复查。
各部门按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,对本部门管理的网络、信息系统、服务器、用户桌面进行安全加固和检查。
对于瞒报网络安全时事件的部门和个人,给予通报批评;对于通报拒不整改的部门和个人,将由公司网络安全检查领导小组约谈所属部门负责人。因违反集团公司信息化管理办法中关于网络安全
禁止条款要求,特别是在检查期间给攻击方提供通道和入侵跳板事实的部门,将予以通报,并在部门年度考核中进行扣分处罚。
网络安全检查工作小组联系人:
1 保密办公室 2020 年 5 月 12 日
