1、更新所有系统:确保操作系统、应用程序和安全软件均为最新版本,并修复已知漏洞。(高风险漏洞)
2、强化密码策略:更新使用复杂密码,有条件可启用双重或多重身份验证。(弱口令)
3、部署防火墙:确保网络边界和关键系统均有防火墙保护,限制不必要的网络访问。
4、加密敏感数据:对存储和传输的敏感数据进行加密,确保数据在传输过程中的安全。
5、限制访问权限:实施最小权限原则,确保用户只能访问其工作所需的资源。(高风险行为)
6、备份关键数据:定期备份重要数据,并确保备份数据的安全存储和可恢复性。
7、监控网络活动:使用网络监控工具实时监测网络流量和异常行为,及时发现并响应安全事件。
8、禁用不必要服务:关闭或禁用系统上不必要的服务和端口,减少攻击面。(高危端口)
9、应用安全补丁:及时应用系统和应用程序的安全补丁,修复已知的安全漏洞。
10、培训员工:提高员工对网络安全的认识,教育他们如何识别和防范网络威胁。
这些举措可以在短时间内有效提升网络安全防御能力,为攻防演练做好充分准备。
攻防演练安全要求50条
1 所有人都要关注 个人设备防护 离开座位电脑要锁屏, 另设置电脑的自动锁屏时间不得超过10分钟。
2 所有人都要关注 个人设备防护 下班后电脑需关机, 确实无法关机的必须断开网络连接。
3 所有人都要关注 个人设备防护 账号、 密码、 重要业务数据、 重要生产数据等敏感信息不能在未有效加密的情况下放置在个人工作电脑中。
4 所有人都要关注 个人设备防护 本人账号密码不得透露或提供他人。
5 所有人都要关注 个人设备防护 非绝对必要, 不允许将自己的电脑、 U盘、 移动硬盘等涉及有存储的设备提供他人使用。
6 所有人都要关注 个人设备防护 杜绝在登陆系统时设置“ 记住账号” 、 “ 记住密码” 。
7 所有人都要关注 个人设备防护 登陆系统后, 浏览器若出现询问, “ 是否保存密码” 要选择“ 一律不” 等否决项。
8 所有人都要关注 个人设备防护 禁止使用工作设备操作“ 翻墙” 软件。
9 所有人都要关注 个人设备防护 个人电脑必须开启防火墙、 安装防病毒软件( 保持病毒库联网更新) 、 补丁必须保持更新, 尤其是安全补丁一定要及时更新。
10 所有人都要关注 个人设备防护 操作系统必须设置分级管理, 不同角色建立不同权限账户。
11 所有人都要关注 个人设备防护 个人电脑每周至少进行一次病毒扫描、 木马扫描、 漏洞扫描, 发现问题的要及时处理。
12 所有人都要关注 个人设备防护 windows系统默认的administrator账户建议禁用, 或者禁止远程控制权限。
13 所有人都要关注 个人设备防护 windows系统上的Guest账户必须禁用, 网络共享必须要经过用户名密码认证。
14 所有人都要关注 个人设备防护 使用u盘、 移动硬盘等存储设备前要先进行病毒查杀。
15 所有人都要关注 个人设备防护 卸载所有远程工具, 清除安装包, 清理注册表( 360可以清理注册表) 。
16 所有人都要关注 个人设备防护 上网访问网站, 不要随便点“ 确定” 或者“ 允许” , 应该搞清楚没有危害再点。
17 所有人都要关注 个人设备防护 不要在不知名的网站下载不清不楚的可执行文件。 如果一定要下载, 下载完应该遵循杀毒软件安全扫描的建议选择去留。
18 所有人都要关注 个人设备防护 不点击可疑的链接地址, 不下载异常的风险软件( 尤其是邮箱中收到的链接、 文档和附件) 。
19 项目上要特别关注 服务器防护 公司测试环境下, 我方的系统, 尽量不要出现带地区的字样, 选择直接加我方公司名称( 例如 臻善XXXX系统) , 不要加地区名称。
20 项目上要特别关注 服务器防护 杜绝数据库链接工具设置成记住密码。
21 项目上要特别关注 服务器防护 服务器每周至少进行一次病毒扫描、 木马扫描、 漏洞扫描, 发现问题的要及时处理。
22 项目上要特别关注 服务器防护 确保服务器及云平台提供方对操作系统进行过扫描漏洞并打上补丁。
23 项目上要特别关注 服务器防护 应用服务器上不能用超级管理员权限运行业务程序。
24 项目上要特别关注 服务器防护 严禁通过Todesk、 Teamviewer、 向日葵、 anydesk、 QQ等任意工具远程操控访问或被访问服务器。
25 项目上要特别关注 服务器防护 禁止将系统接口文档暴露到互联网( 可离线提供) ; 另外对重要系统运维管理后台、 数据库等需主动限制访问源IP, 禁止对整个网络开放。
26 项目上要特别关注 服务器防护 对非正常范围IP即刻封禁。
27 项目上要特别关注 服务器防护 禁止使用内网代理穿透工具将“ 客户现场的或公司内部的所有服务器” 映射到公网, 如 frp、 ngrok、 花生壳、 NAT123 等工具。
28 项目上要特别关注 服务器防护 EWS以及其他运维端软件不得暴露在互联网。
29 项目上要特别关注 服务器防护 务必及时提醒客户开通“ 堡垒机、 日志审计、 waf、 安骑士、 云盾、 数据库审计、 态势感知” 服务, 开通skyeye安全监控服务。
30 项目上要特别关注 服务器防护 使用AppScan漏洞扫描工具进行风险排查。
31 所有人都要关注 账户密码防护 密码最小长度: 8位( 所述密码包括但不限于: 服务器密码、 操作系统密码、 应用系统登录密码、 数据库密码、 第三方组件密码等。 )
32 所有人都要关注 账户密码防护 密码复杂度: 数字+字母( 区分大小写) +特殊字符。
33 所有人都要关注 账户密码防护 密码历史: 修改后的密码至少与前5次密码不同。
34 所有人都要关注 账户密码防护 服务器、 数据库密码最长有效期限30天( 个人电脑登陆密码建议90天) 。
35 所有人都要关注 账户密码防护 密码区别: 密码不得共用( 避免出现1个攻破=多个攻破的局面) 。
36 所有人都要关注 账户密码防护 密码存放: 保存密码的文件做好加密工作, 不要明文( 即: 可以放在Word或excel, 但Word或excel必须复杂加密, 并且Word或excel的文件名不能明文, 例如: 密码本、 账号密码清单
37 所有人都要关注 账户密码防护 严禁使用root、 admin等可猜测的口令。
38 项目上要特别关注 账户密码防护 设立密码保管员, 负责堡垒机动态口令的保管和使用记录, 负责服务器、 数据库密码等的保管和定期更换。
39 项目上要特别关注 账户密码防护 有条件的区域, 应尽量开启双因子认证(短信 认证、 TOTP 认证<动态口令>、 数字证书认证)功能。
40 项目上要特别关注 账户密码防护 账号密码严禁写死在前端源码中。
41 所有人都要关注 信息泄露防护 现场测试中发现的漏洞、 风险不得通过朋友圈及任何渠道外泄。
42 所有人都要关注 信息泄露防护 警惕生人, 有陌生人进驻办公场所, 要警觉要上报。
43 所有人都要关注 信息泄露防护 禁止项目组成员、 关联合作伙伴严禁将项目资料上传在GitHub、 csdn等开源社区、 网盘等。
44 所有人都要关注 信息泄露防护 不得使用聊天工具, 邮箱等发送明文密码, 必须采用文件加密的方式或使用不同的通讯工具分隔发送。
45 项目上要特别关注 网络防护 由我方自行搭设的无线网络, 需提前向甲方报备, 征得同意, 另需定期进行现场局域网路由器密码更换, 设置白名单绑定ip或Mac地址, 并且更换wifi密码。 非工作时间, 关闭wifi。
46 项目上要特别关注 网络防护 禁止在用户办公场所私自搭建无线网络接入内网。
47 项目上要特别关注 软件防护 中间件: Nginx、 Minio等中间件漏洞定期修复( 依照公司发布的消息执行) 。
48 项目上要特别关注 软件防护 产品软件用到的公司的政务平台和快速构建平台的admin密码要定期修改。
49 项目上要特别关注 软件防护 定期进行各类中间件的密码修改: Apollo的Admin密码修改; Eureka注册中心添加认证; EWS、 Redis、 ES、 ActiveMQ、 Tomcat、 Memecached密码修改等。
50 项目上要特别关注 安全备份防护 已对关键网络设备、 计算设备、 应用系统的配置文件以及应用系统数据建立备份机制, 并定期( 7天) 检测备份配置、 备份数据的可用性。 其中: 数据要做离线备份。
