紧急通知——网络安全建议.docx

紧急通知：网络安全建议 下周一开始水利部将开展网络安全攻防演练（3月15日～3月28日），请各单位加强网络安全工作，网络安全建议如下： 1.严守互联网出口 （1）缩减不必要、没有防护的互联网出口，严格禁止没有防火墙防护的互联网出口接入局域网，互联网出口防火墙策略最小化开启，保证互联网出口安全可控 2.检查互联网应用，减少不必须的互联网应用。 （1）清理互联网站和Web应用系统 （2）防止非必要端口和服务长期开启 （3）禁止通过互联网进行远程在线运维服务，避免各类应用系统的管理后台对互联网开放 （4）关停老旧、废弃系统，下线僵尸资产，清理无用账户 （5）安装防病毒软件、保持病毒库更新，并定时进行病毒查杀 3.建立资产台账 （1）依据台账开展安全防护，确保没有遗漏在台账之外的资产，确保每一项资产责任落实到位 4.账号与口令 （1）对各类系统账号、应用账号进行弱口令检查，严禁出现弱口令问题 口令复杂度要求： 口令长度不少于8位，关键账户10位以上； 口令应包含大写字母、小写字母、数字和特殊字符，四种元素缺一不可； 口令中不能出现与用户名相同或相似的字符串； 口令中不出现重复相同字符串、升序降序字符串、有规律的字符串等特殊字 符组合，如123、666、asd、xyz等； 不能使用设备、软件默认初始口令； 系统口令每三个月修改一次，不重复使用相同口令； 多个设备账号不允许使用相同口令。 （2）设定账户尝试登陆次数限制 （3）禁止将账号、口令明文存储在主机上 （4）检查范围包括自建系统、使用公有云平台建设的系统、包括实验中开发中在内的所有在线系统、使用外单位上级单位系统账户的地址 5.漏洞与补丁 （1）坚决防止出现高危漏洞不修复的情况 （2）防止出现陈旧版本基础软件和通用软件不更新的情况 （3）对于已不再提供补丁的老旧系统直接下线 6.加强个人防护和邮件安全防护 （1）加强单位个人计算机终端防护，进行个人终端防病毒软件、系统补丁和弱口令检查 （2）加强个人手机安全防护教育 （3）并加强防钓鱼意识教育 7.信息通报与应急处理 （1）攻防演练期间，网信办会根据上级传达和网络监测结果在“网络安全与信息化工作群”动态发布威胁预警信息，请各单位指派专人进行应急处置，及时将威胁攻击地址在本地安全设备进行封禁。 （2）发现本单位遭受攻击，应第一时间将问题设备断开网络，进行威胁、病毒查杀，并向上级单位网信主管部门上报。