企业互联网网络安全保障方案.docxVIP

企业互联网网络平安保障方案 为做好党的二十大和护网行动网络攻防演习等重要时 期网络平安保障工作，确保保障期间无重大网络平安责任事 件，圆满完成网络平安保障工作，提升网络平安事件应急及 处置能力，持续提升公司网络平安防护能力，根据集团公司 网络平安保障工作要求，结合公司实际，制定网络平安保障 方案。 一、保障范围 包括公司所有信息系统、服务器、网络设备、办公计算机终端等。保障重点为关键信息基础设施、等保定级为二级 及以上的系统，包括公司对外发布的系统、门户网站等对外 提供服务的系统。 二、保障原那么 坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”原 那么，机关各部门、各二级单位落实主体责任，各负其责、协 同做好保障工作。 三、组织保障 公司成立网络攻防演习防护指挥部，公司副总经理担任 指挥长，信息管理部主任任副指挥长，成员由信息管理部和 公司网络平安应急专家团队组成。 防护指挥部办公室设在信息管理部，防护指挥部设置协 调组与应急响应组。 四、防护措施 (-)办公计算机终端.安装桌面平安管理系统客户端，安装极限加固核查工 具，严格按照平安基线配置。 .安装系统补丁。 .设置登录口令复杂度，满足基线要求。 .启用防火墙，阻止任何入站访问请求。 .关闭远程桌面访问，禁止安装使用远程控制软件。 .禁止计算机终端通过自建互联网出口连接互联网。 .不访问可疑网站，不翻开来历不明邮件，严防钓鱼邮 件。 .不采用公共互联网通信软件发送工作内容及文档。 .下班关闭计算机。 .严格限制远程管理泛终端设备IP地址。 （二）服务器 .及时关闭或下线部署在集团公司DMZ区域的不再使 用的服务器资源。 .严格按照平安极限配置服务器。 .清理系统账号，杜绝所有账号弱口令、空口令、口令 复用情况。 .最小化系统安装。 .禁止使用QQ、TeamViewer,向日葵等软件对服务器 进行互联网穿透方式远程管理。 .更新服务器必威体育精装版补丁。 .服务器开放提供服务的端口，关闭其他所有不必要的 端口和对外服务，建立白名单。 .禁止采用反向代理。 .禁止对互联网开放具备远程登录、远程控制能力的管理端口和数据库端口 （例如22、23、3389、5800、5900、 1433、3306、1521等），内网需要访问，应严格限制访问的IP地址。 .防火墙默认禁止所有主动对外访问策略，实行服务器 对外访问白名单。 .开启日志功能，日志应在本地记录同时转发至日志服 务器，所有日志必须保至少六个月。 .管理员每日检查服务器是否存在被入侵的痕迹。 （三）网络设备.更新系统补丁 .禁用Web管理页面。 .严格按照平安基线配置。 .开启日志记录功能。 .检查平安策略，删除无用策略，保证平安防护策略处于使用状态。 .做好配置备份，确认备份有效可以恢复。 ）工控系统.梳理工控系统在线资产，明确在线工控系统资产、责 任人、属地、漏洞。 .明确工控网络平安连接边界。连接点处应部署工业防火墙、网闸等网络隔离设备，禁止没有采取防护措施的工控 网络与内网连接，禁止工控网络与互联网直接连接。 .加强网络流量控制。 .关闭工控系统远程访问。 .加强物理平安控制。禁止非授权人员进入生产区域， 特别是机房、服务器、操作站等核心工控系统软硬件所在区 域。 .加强数据备份工作。 五、风险清理 .对历年攻防演习和集团公司关基检查中发现的平安问 题进行复验，并进行举一反三排查同类问题，重点在于解决 口令漏洞和老旧局危漏洞问题。 .清除在内外部门户、微信公众号、网盘等互联网平台 上暴露的敏感信息，清除在互联网平台上存储的系统源代 码。 .严查违规行为，及时发现及时处置，包括自建互联网 出口、采用反向代理等方式穿透DMZ区、自建VPN系统、 自建邮件系统等。 .不翻开任何可疑邮件中的链接和附件，不通过邮件、 QQ、微信等任何互联网通讯工具发送讨论包含账号密码、 工作内容的敏感信息。 六、突发事件应急响应预案(-)角色与职责 防护指挥部：全面领导本次网络攻防演习工作，负责演 习期间重大网络平安突发事件处置决策，审核重大网络平安 事件上报。 应急响应组：在应急响应工作中进行应急处置的专家人员，成员由信息管理部和公司网络平安应急专家团队组成。 对监测到的平安事件进行综合研判，对平安事件进行分类、 分级，并提供处理建议。 协调组：行动小组设置两名专职联络员通过企业微信与集团公司行动指挥部对接，及时处置演习过程中的突发情 况。 （二）预警防御机制.事件分类及等级 根据网络与信息平安突发事件的性质，机理和发生过 程，公司网络与信息平安事件分为有害程序事件，网络攻击 事件，信息破坏事件，信息内容平安事件，设备设施故障和 灾害性事件。 根据网络与信息平安突发事件的可控性，严重程度和影响范围，分为四级：I级（特别重大网络与平安事件），II 级（重