医院网络安全整改报告汇编12篇.docx
医院网络安全整改报告为切实我院网络安全,结合网络安全检查结果和我院实际,进行了认真细致自查,并采取整改措施,现将有关情况如下:一、高度重视,加强领导在信息化领导工作小组会议上再次强调网络安全的重要性,并进一步明确了各小组成员的分工与职责:组长为计算机网络安全工作第一责任人,全面负责计算机网络与信息安全管理工作;副组长负责计算机网络安全管理工作的日常协调、督促工作;信息中心人员负责计算机网络安全管理工作的日常事务。二、主要问题及整改1、网络安全。自2018年以来,对我院重要信息系统,每年进行等级保护测评,并进行整改。2、日常管理。切实抓好内网、外网和应用软件管理,确保“涉密计算机不上网,上网计算机不涉密”。重点抓好“三大安全”排查:一是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗等;二是加强网络安全管理,加强密码管理、IP管理、互联网行为管理等;三是加强计算机应用管理,包括审判相关软件管理等。按照相关要求,结合我院2020年等级保护测评情况,梳理更新相关管理和应急预案。与外包运维公司签订保密协议,定期进行安全检查。三、网络安全下一步工作打算为切实做好网络信息安全工作,我院下一步将在以下方面加强网络安全工作:1、上线IP地址管理系统,对全院所有专网IP地址进行统一管理。并且根据相关网络规划标准,对我院所有办公区及派出法庭VLAN按照楼层逐层进行重新划分与切换。2、根据我院现机房实际情况,重新进行规划改造,建设符合要求的标准化机房,从物理环境上保障我院网络安全。进行部分老旧设备的更换,增设光闸,增强对入侵防御、漏洞主动扫描、虚拟化安全、重要数据备份等方面的防护。3、安排相关技术每天巡视机房及信息化设备,定期检测网络通道和安全防护状态,建立严格的机房管理制度,禁止无关人员随便进出机房,确保整个法院系统的安全。关于上报网络安全自检自查的报告根据的要求,大队高度重视,结合检查内容及相关要求,认真组织落实,对相关网络系统的各个方面进行逐一排查。现将自查情况总结汇报如下:一、加强领导,成立了网络安全工作领导小组为进一步加强大队信息网络系统安全管理工作,大队成立了以大队负责人为组长、中队负责人为副组长、全体人员为成员网络安全工作领导小组,做到分工明确,责任具体到人。分工与各自的职责如下:大队负责人为计算机网络安全工作第一责任人,全面负责计算机网络与信息安全管理工作。中队负责人分管计算机网络与信息安全管理工作。负责计算机网络安全管理工作的日常协调、督促工作。全体人员负责计算机网络安全管理工作的日常事务。二、计算机和网络安全情况(一)网络安全。大队所有计算机均配备了防病毒软件,采用了登录密码、移动存储设备管理等安全防护措施,明确了网络安全责任,强化了网络安全工作。(二)日常管理。切实抓好内网、外网和应用软件管理,确保;涉密计算机不上网,上网计算机不涉密,严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维修和销毁工作。重点抓好三大安全排查:一是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗和电源连接等;二是加强网络安全管理,对大队计算机实行分网管理,严格区分内网和外网,合理布线,优化网络结构,加强密码管理、IP管理、互联网行为管理等;三是加强计算机应用安全管理,包括邮件系统、软件管理等。定期组织大队工作人员学习有关网络知识,提高计算机使用水平,确保网络安全。三、计算机涉密信息管理情况大队加强组织领导,强化宣传教育,加强日常监督检查,重点加大对涉密计算机的管理。对计算机外接设备、移动设备的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的移动介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。严格区分内网和外网,对涉密计算机实行了与国际互联网及其他公共信息网物理隔离,落实保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机及网络使用,也严格按照有关计算机网络与信息安全管理规定,加强管理,确保了大队网络信息安全。四、硬件、软件使用装置规范,设备运行状况良好为进一步加强大队网络安全,每台电脑都安装了防病毒软件,硬件的运行环境符合要求;目前光纤收发器、交换机等网络硬件设备运转正常,各种计算机及辅助设备、软件运转正常。五、严格管理、规范设备维护大队对电脑及其设备实行谁使用、谁管理、谁负责的管理制度。在管理方面我们一是坚持制度管人。二是强化信息安全教育、提高工作人员计算机技能。在设备维护方面,对出现问题的设备及时进行维护和更换,对外来维护人员,要求有相关人员陪同,并对其身份进行核实,规范设备的维护和管理。六、存在的问题及下一步打算通过本次网络安全自查工作,我们也发现在网络管理过程中的一些薄弱环节,比如:个别工作人员网络安全意识还不够强。在以后的工作中,我们将进一步加强安全意识教育和防范技能训练,定期对工作人员进行培训,注重人防与技防结合,确实做好大队网络安全工作。公司网络安全工作计划202*年互联网网络安全形势严峻,企业信息、商业机密、客户信息等信息安全保护工作十分重要。为了更好地落实网络安全相关工作,增强网络安全防护意识,强化网络与信息安全管理能力,现将网络安全相关工作安排如下:一、组织机构调整为有效贯彻落实工信部、自治区通信管理局、市委网信办、区公司等上级单位网络安全工作要求,为分公司网络安全管理工作的顺利开展,切实落实“单位法人是网络安全第一责任人,分管网络安全的负责人是直接责任人”的责任要求,做好两部委网络与信息安全责任考核、网络安全自查等专项工作,分公司进一步调整完善网络安全领导小组、工作组成员及职责。(一)领导小组领导小组主要负责在区公司与相关部门的指导下,全面强化对本单位网络安全工作的管理、指导,切实抓好工作落实,督促各单位网络安全工作实施,做到保质保量按时完成各项工作。组长:总经理副组长:分管网络副总经理、分管市场副总经理、分管综合副总经理成员:网络部、市场部、集团客户部、渠道运营中心、客户响应中心、工程建设部、综合部、财务部等各部门总经理、各旗县分公司总经理。(二)工作组领导小组下设工作组:组长:分管网络副总经理副组长:网络部总经理、综合部总经理、市场部总经理、客户响应中心总经理、集团客户部总经理成员:网络部综合维护中心总经理、网络部网络优化中心总经理、市场部业务支撑中心总经理及分公司各部门分管网络安全副总经理。主要职责:贯彻落实区公司相关工作要求及分公司网络安全领导小组的工作要求,配合通管局、两部委、市委网信办、公安开展各项网络安全检查工作,统筹协调相关单位实施信息安全统筹规划、不良信息治理、客户信息保护、网络安全专家团队建设、安全培训和技术研究等各项网络安全相关工作,全力推进网络安全责任考核及防范打击通讯信息诈骗等工作的常态化管理和落实。二、各单位职责按照“谁主管谁负责”的原则,各责任单位负责本单位及业务管理、维护管理范围内的网络与信息安全工作,制定本单位网络与信息安全工作要求及相关制度规章,并组织学习宣贯。同时还应负责以下工作:网络部:全面负责网络安全相关工作。制定网络安全工作全年工作计划;对相关文件、规章及工作要求进行组织学习宣贯;定期开展网络部维护设备的安全及风险防控工作,并对发现问题进行相关整治工作;推进“金库模式”应用工作;监督涉及其他单位的网络与信息安全风险整治;制定网络安全威胁处置流程,并按要求进行工作处理;配合公安部门做好问题号码、IP地址的查询工作,以及“伪基站”打击治理工作。市场部:负责牵头开展客户信息安全防护专项工作;负责开展深化“金库模式”应用工作,用户信息模糊化管理,落实客户信息保护工作要求,落实电信业务实名制;负责网络安全类投诉的分析与处置;通过手机短、彩信向用户发送防范通信信息诈骗预警类、提醒类消息。集团客户部:负责本部门相关业务的实名制落实工作及白名单管理;全面负责专线出租业务、“一号通”“400”业务等集客相关业务的规范管理;负责集客主管业务产生的网络与信息安全举报受理工作。渠道运营中心:负责管理社会营销渠道代理资质审核、代理行为监管;落实电信业务实名制;利用营业厅张贴电信网络诈骗犯罪预警提示;负责到厅或网厅渠道产生的网络与信息安全举报受理工作。客户响应中心:负责本部门维护范围内客户设备、终端等信息安全漏洞及风险进行清理整改。推进“金库模式”应用工作;负责对MAS机开展日常安全风险排查整改;综合部:负责公众教育及对外宣传,积极营造网络与信息良好社会舆论环境;负责通过制作播放视频材料、悬挂警示标语、张贴防范提示、发放宣传资料等方式,普及法律知识,提高公众对各类电信网络诈骗的鉴别能力和安全防范意识。旗县市区分公司:负责本单位维护范围内专线及家庭宽带客户设备、终端等信息安全漏洞及风险进行清理整改;落实客户信息保护工作要求,落实电信业务实名制;负责集客业务实名制落实及白名单管理;对垃圾短信投诉进行处置;负责在管辖区域向公众发布电信网络诈骗犯罪预警提示;利用营业厅张贴电信网络诈骗犯罪预警提示;负责本地区举报投诉处理;配合网络部做好“伪基站”打击治理。三、202*年网络安全工作内容(一)网络安全自查工作牵头部门:网络部责任部门:网络部、市场部、集团客户部、客户响应中心、工程建设部、综合部及旗县分公司。配合上级单位开展202*年网络安全检查及做好网络安全工作责任落实情况、网络安全防护情况开展自查。对自有关键信息基础设施的数量、分布情况、网络安全管理机构、运维机构等情况进行梳理。定期对分公司重要信息系统进行漏洞扫描、合规配置检查,在网络安全检查中“零”隐患上报;对2018年网络安全检查中发现问题的整改效果进行自查,做到整改有效,确保202*年全年不出现网络安全重大问题。(二)持续提升网络与信息安全技术手段建设牵头部门:网络部责任部门:网络部、市场部、集团客户部、客户响应中心、工程建设部、综合部与旗县分公司。信息系统建设必须符合“三同步”与配套保障工作要求,开展“三同步”实施情况自查工作,发现问题第一时间整改;确保承载网站专线100%接入IDC/ISP系统并进行备案,发现漏备或未接入系统的专线,立即整改;加强网络威胁监测,针对异常流量、敏感漏洞、病毒做好防范工作,做到全年不出现网络安全重大事故;做好日志留存工作;按照有关规定要求,做好特殊通信技术接口配备和系统建设工作。加强人员培训,提升维护人员网络威胁监测能力。(三)数据安全管理工作牵头部门:市场部责任部门:网络部、市场部、集团客户部、客户响应中心、工程建设部、综合部与旗县分公司。完善数据安全组织保障体系,建立健全数据安全制度,有效落实数据安全管理责任,责任落实到个人,加强数据安全和用户个人信息保护。根据区公司有关指导文件建立完善数据安全管理制度开展客户侧数据安全防护工作。与此同时开展对外合作数据安全防护工作,对外合作项目做到100%签订安全协议,明确合作方的数据使用权限、期限、安全保护责任、必要的安全保护措施以及违约责任和处罚条款。(四)网络环境治理工作牵头部门:网络部、市场部责任部门:网络部、市场部、集团客户部、客户响应中心、工程建设部、综合部以及旗县分公司。做好防范治理电信网络诈骗专项工作,重视投诉、加强号码监管、对通报诈骗号码、诈骗短信、诈骗网站第一时间处理,做好封停工作,积极配合上级单位及有关部门进行溯源工作;加大伪基站打击力度;加强网络安全威胁的监测,保证发现网络威胁后在规定时限内按要求采取相关处置措施;定期开展网络安全加固工作,减小网络安全威胁影响范围。由市场部牵头开展用户实名制登记工作,从入网把关,确保新入网用户100%实名登记。四、考核与处罚网络安全按“谁主管谁负责”的原则,对网络安全责任落实不到位,职责履行不到位的,产生网络安全风险及漏洞,造成管辖范围内发生重大安全隐患,造成社会不良影响甚至造成公司损失的,将对责任部门及责任人按照公司网络数据安全管理实施细则中第六章要求进行考核与处罚。四、重点工作要求(一)分公司各单位每月6日前要以OA邮件方式反馈网络暴露面资产新增情况、APP软件开发上线情况、管辖区域内网络安全工作自查情况等进行上报(附件2、3)。报表要由单位总经理签字盖章(单位)后扫描作为附件上传。(二)网络部将每半年组织各部门进行一次网络与信息安全检查,各部门做好配合工作。(三)各部门严格按照公司202*年网上“扫黄打非”工作方案关于进一步做好防范治理电信网络诈骗重点工作的通知公司关于配合做好网络安全执法检查工作的通知中要求完成相关工作。(四)各部门需要对使用我公司网络数据及客户数据的第三方公司签订保密协议(附件6)o以上要求,请各单位认真落实到实际工作中,做好职责范围内的网络安全风险防控工作,完善网络安全防护措施,不断提升业务及网络的安全性,确保网络安全不出现重大安全事故。网络安全自查报告一、自查情况(一)网络安全组织管理情况为妥善地完成网络安全工作,消除网络安全隐患,XXX主要由电子信息科负责网络安全工作。严格按照上级部门要求,积极完善各项安全制度,保证了网络安全持续稳定运行。XXX制定了网络安全工作的各项信息管理制度,包括人员管理、机房管理、资产和设备管理、数据和信息安全管理、系统建设和运行维护管理等制度。(二)技术防护情况XXX办公电脑均配备防病毒软件,采取了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。在日常工作中切实抓好内网、外网和应用软件管理,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维护和销毁工作。重点抓好“三大安全”排查:一是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗和电源连接等;二是加强网络安全管理,对计算机实行分网管理,严格区分内网和外网,合理布线,优化网络结构,加强密码管理、IP管理、互联网行为管理等;三是加强计算机应用安全管理,包括邮件系统、资源库管理、软件管理等。(三)应急工作情况XXX严格按照网络安全法,制定了网络安全事件预案,定期进行系统备份,以提高突发事件发生时的应对能力。(四)宣传教育情况为了保证网络及各种设备安全有效地运行,减少病毒侵入,XXX定期组织工作人员学习有关网络知识,确保工作人员学习到网络安全防范技巧,提高计算机使用水平和对网络信息安全的认识力度,确保网络安全。二、自查中发现的主要问题一是计算机网络方面的专业技术人员较少,网络安全方面可投入的力量有限。二是规章制度体系初步建立,可能还不够完善,未能覆盖到网络和信息系统安全的所有方面。三、改进措施与工作安排(一)要切实增强信息安全制度的落实情况,不定期地对安全制度执行情况进行检查,从而增强工作人员安全防护意识。(二)加强工作人员计算机操作技术、网络安全技术方面的培训,强化我局计算机操作人员对网络病毒、信息安全的防范意识,不断提高计算机专管人员的技术水平。乡镇关于开展网络安全检查自查情况报告我镇根据指示文件要求,逐条落实,周密安排自查,对配备的计算机网络与信息安全工作进行了排查,现将自查情况报告如下:一、领导高度重视、组织健全、制度完善近年来,我镇网络与信息安全工作通过不断完善,日益健全,领导十分重视计算机管理组织的建设,本着“控制源头、加强检查、明确责任、落实制度”的指导思想,成立了网络安全工作小组,并设有专门的信息管理人员,所有上传信息都由办公室主任负责审查其合法性、准确性和保密性。我镇会在有关部门的监督和指导下,根据中华人民共和国计算机信息系统安全保护条例和计算机病毒防治管理办法等法规、规定,建立和健全了安全管理责任制度计算机及网络保密管理规定和文书保密工作制度等防范制度,将计算机信息系统保密工作切实做到防微杜渐,把不安全苗头消除在萌芽状态。按照文件要求,我镇及时制定了网站安全突发事件应急预案,并根据应急预案组织应急演练。二、强化安全教育,定期检查督促强化安全教育我镇在开展网络与信息工作的每一步,都把强化信息安全教育放到首位,使全体工作人员都意识到计算机安全保护是我镇中心工作的有机组成部分,而且在新形势下,网络和信息安全还将成为创建“平安XX、和谐XX”的重要内容。为进一步增强人员网络安全意识,我们还经常组织人员对相关部门进行计算机安全保护的检查。通过检查,我们发现部分人员安全意识不强,少数计算机操作员对制度贯彻不够。对此,我们根据检查方案中的检查内容对不合格的部门提出批评,限期整改。各部门在安装杀毒软件时全部采用国家主管部门批准的查毒杀毒软件实时查毒和杀毒,不使用来历不明、未经杀毒的软件、U盘等载体,不访问非法网站,自觉严格控制和阻断病毒来源。单位电脑设备外送修理时,有指定人员跟随联系。电脑报废处理时,及时将硬盘等存储载体拆除或销毁。三、信息安全制度日趋完善在网络与信息安全管理工作中,我们就树立了以制度管理人员的思想,制定了网络信息安全相关制度,要求我镇各部门提供的上传内容,由各部门负责人审查签字后报送至信息管理员,经办公室主任审核同意后上传;重大内容发布报管委会领导签发后再上传,以此作为我镇计算机网络内控制度,确保网站信息的保密性。对照通知要求,我镇网站在以往的工作中,主要做了以上几方面的工作,但还有些方面要亟待改进。一是要今后还要进一步加强与县政府信息中心联系,以此来查找差距,弥补工作中的不足。二是要进一步加强对我镇工作人员的计算机安全意识教育和防范技能训练,增强防范意识,充分认识到计算机网络与信息安全案件的严重性,把计算机安全保护知识真正融于工作人员业务素质的提高当中。三是要进一步健全网络与信息安全管理制度,提高管理人员工作技能,经常聘请专业人员对管理人员进行培训,把学到的知识真正融于网络与信息安全保护工作中,而不是轻轻带过;做到人防与技防结合,真正设置起一道网络与信息安全工作的一道看不见的屏障。网络安全防护技战法报告一、防守技战法概述为了顺利完成本次防护网行动任务,切实加强网络安全防护能力,XXXX设立HW202*领导组和工作组,工作组下设技术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成,由股份公司副总裁担任护网工作组的组长。为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线:第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。第二道防线:广域网边界防护、DMZ区边界防护。第三道防线:目标系统安全域边界防护、VPNo根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外发布的互联网应用系统,设备和安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况,SSLVpn和Ipsecvpn接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线wifi、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查,确认薄弱环节以便进行整改加固。二、防守技战法详情2.1 第一道防线一一互联网边界及二级单位防护技战法2.1.1 安全感知防御、检测及响应构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下:防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。检测能力:用于发现哪些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。2.1.2 安全可视及治理1全网安全可视结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。1动态感知采用大数据、人工智能技术安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据来发现主动发现威胁2.1.3 互联网及二级单位的区域隔离在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。服务器区部署防火墙和WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。2.1.3.1互联网出口处安全加固互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IPo开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略,对上网用户进行筛选放通合法用户阻断非法用户,同时对于非法UrI网站、风险应用做出有效管控。根据企业实际情况选择合适流控策略,最后对于所有员工的上网行为进行记录审计。攻防演练期间,需要将上网行为管理设备的规则库升级到最新,避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。2. 1.3.2DMZ区应用层安全加固当前网络内,DMZ区部署了WEB应用防火墙对应用层威胁进行防护,保证DMZ区域内的网站系统、邮件网关、视频会议系统的安全攻防演练期间,为了降低用从互联网出口处访问网站、邮件、视频的风险,防止攻击手通过互联网出口访问DMZ区,进行页面篡改,或通过DMZ区访问承载系统数据的服务器区进行破坏,需要设置严格的WEB应用层防护策略,保证DMZ区安全。通过设置WEB用防护策略,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的Web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。2.2第二道防线一数据中心防护技战法总部数据中心从防御层面、检测层面、响应层面及运营层面构建纵深防御体系。在现有设备的基础上,解决通号在安全建设初期单纯满足合规性建设的安全能力,缺乏完善的主动防御技术和持续监测技术带来的风险。主要解决思路如下:1、基于安全风险评估情况,夯实基础安全架构通过持续性的风险评估,进行安全架构的升级改造,缩小攻击面、减少风险暴露时间。包括:安全域改造、边界加固、主机加固等内容。2、加强持续检测和快速响应能力,进一步形成安全体系闭环针对内网的资产、威胁及风险,进行持续性检测;基于威胁情报驱动,加强云端、边界、端点的联动,实现防御、检测、响应闭环。3、提升企业安全可视与治理能力,让安全了然于胸基于人工智能、大数据技术,提升全网安全风险、脆弱性的可视化能力,大幅度提升安全运维能力,以及应急响应和事件追溯能力。2.2.1边界防御层面原有的边界防护已较完善,无需进行架构变动,只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统,通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙,实现目标系统的针对性防护,防止服务器群内部的横向威胁。下一代防火墙除基本的ACL访问控制列表的方法予以隔离以外,针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。通号业务系统中存在对外发布的网站、业务等,因此需要对WEB应用层进行有效防护,通过下一代防火墙提供SQL注入、跨站脚本、Ce攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止WebShen和敏感信息泄露,避免网页篡改与挂马,满足通号Web服务器深层次安全防护需求。根据现有网络,核心交换区部署了应用性能管理系统,攻防演练期间,需要对应用性能管理系统进行实时关注,应用出现异常立即上报,并定位责任人进行处置,保证网络性能稳定,流畅运行。核心交换机双机部署了两台防火墙,物理上旁路部署,逻辑上通过引流所有流量都经过防火墙,通过防火墙对服务器区和运维管理区提供边界访问控制能力,进行安全防护。攻防演练期间,核心交换区防火墙进行策略调优,对访问服务器区和运维管理区的流量数据进行严格管控,对访问服务器区内目标系统请求进行管控;防止安全威胁入侵运维管理区,对整体网络的安全及运维进行破坏,获取运维权限。攻防演练期间,在各分支机构的边界,通过对各类用户权限的区分,各分支机构的不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。专线接入及直接连接入分支通过广域网接入区的路由器一下一代防火墙一上网行为管理一核心交换机一服务器区的路径进行访问,因此通过完善下一代防火墙防护策略,达到安全加固的目的。通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。攻防演练前,需要对下一代防火墙的各类规则库、防护策略进行更新和调优。2.2.2端点防御层面服务器主机部署终端检测响应平台EDR,EDR基于多维度的智能检测技术,通过人工智能引擎、行为引擎、云查引擎、全网信誉库对威胁进行防御。终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。EDR主动检测暴力破解行为,并对发现攻击行为的IP进行封堵响应。针对Web安全攻击行为,则主动检测Web后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵尸网络文件,并进行一键查杀。进行关联检测、取证、响应、溯源等防护措施,与AC产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。2.3第三道防线一目标系统防护技战法本次攻防演练目标系统为资金管理系统及PLM系统,两个系统安全防护思路及策略一致,通过APDRo模型及安全策略调优达到目标系统从技术上不被攻破的目的。2.3.1网络层面在网络层面为了防止来自服务器群的横向攻击,同时针对业务系统进行有针对性的防护,通过部署在目标系统边界的下一代防火墙对这些业务信息系统提供安全威胁识别及阻断攻击行为的能力。同时通过增加一台VPN设备单独发布目标系统,确保对目标系统的访问达到最小权限原则。子公司及办公楼访问目标系统,需要通过登录新建的护网专用VPN系统,再进行目标系统访问,并通过防火墙实现多重保障机制。系统多因子认证构建为了保证攻防演练期间管理人员借入资金管理系统的安全性,借入资金管理系统时,需要具备以下几项安全能力:一是用户身份的安全;二是接入终端的安全;三是数据传输的安全;四是权限访问安全;五是审计的安全;六是智能终端访问业务系统数据安全性。因此需要对能够借入资金管理系统的用户进行统一管理,并且屏蔽有风险访问以及不可信用户;使用专用SSLVPN对资金管理系统进行资源发布;为需要借入资金管理系统的用户单独创建SSLVPN账号,并开启短信认证+硬件特征码认证+账户名密码认证,屏蔽所有不可信任用户访问,对可信用户进行强化管控。对接入的可信用户进行强管控认证仍会存在访问风险,因此需要边界安全设备进行边界安全加固。系统服务器主机正常运行是业务系统正常工作的前提,服务器可能会面临各类型的安全威胁,因此需要建设事前、事中、事后的全覆盖防护体系:1事前,快速地进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;1事中,有效防止了引起网页篡改问题、网页挂马问题、感信息泄露问题、无法响应正常服务问题及“拖库”“暴库”问题的Web攻击、漏洞攻击、系统扫描等攻击;1事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系、数据泄漏问题。同时,为了保证安全威胁能够及时被发现并处置,因此需要构建一套快速联动的处理机制:本地防护与整体网络联动、云端联动、终端联动,未知威胁预警与防护策略,实时调优策略;深度解析内网未知行为,全面安全防护;周期设备巡检,保障设备稳定健康运行;云端工单跟踪,专家复审,周期性安全汇报;通过关联全网安全日志、黑客行为建模,精准预测、定位网络中存在的高级威胁、僵尸主机,做到实时主动响应。在业务系统交换机与汇聚交换机之间部署下一代防火墙,根据资产梳理中收集到的可信用户IP、端口号、责任人等信息,在下一代防火墙的访问控制策略中开启白名单,将可信用户名单添加到白名单中,白名单以外的任何用户访问业务系统都会被拒绝,保证了区域内的服务器、设备安全。2.3.2应用层面下一代防火墙防病毒网关的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;下一代防火墙基于语义分析技术提供标准语义规范识别能力,进一步还原异变的web攻击;应用AI人工智能,基于海量web攻击特征有效识别未知的web威胁。基于AI构建业务合规基线,基于广泛的模式学习提取合规的业务操作逻辑,偏离基线行为的将会被判定为Web威胁,提升Web威胁识别的精准度。下一代防火墙以人工智能SAVE引擎为WEB应用防火墙的智能检测核心,辅以云查引擎、行为分析等技术,使达到高检出率效果并有效洞悉威胁本质。威胁攻击检测、多维度处置快速响应,有效解决现有信息系统安全问题。目前通号服务器区安全建设存在以下问题一是以边界防护为核心,缺乏以整体业务链视角的端到端的整体动态防护的思路;二以本地规则库为核心,无法动态有效检测已知威胁;三是没有智能化的大数据分析能力,无法感知未知威胁;四是全网安全设备之间的数据不能共享,做不到智能联动、协同防御。在保留传统安全建设的能力基础上,将基于人工智能、大数据等技术,按照“业务驱动安全”的理念,采用全网安全可视、动态感知、闭环联动、软件定义安全等技术,建立涵盖数据安全、应用安全、终端安全等的“全业务链安全”。为了保证访问资金管理系统访问关系及时预警及安全可视化,需要将访问目标系统的所有流量进行深度分析,及时发现攻击行为。在业务系统交换机旁路部署潜伏威胁探针,对访问资金管理系统的所有流量进行采集和初步分析,并实时同步到安全态势感知平台进行深度分析,并将分析结果通过可视化界面呈现。2.3.3主机层面下一代防火墙通过服务器防护功能模块的开启,可实现对各个区域的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不力,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题;下一代防火墙通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能WAF模块的对应策略,可帮助管理员的实现针对性的策略配置;利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003>linux>UniX等)、应用程序漏洞(HS服务器、APaChe服务器、中间件weblogic.数据库oracle、MSSQL.MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固,加固内容包括但不限于:限制默认账户的访问权限,重命名系统默认账户,修改账户的默认口令,删除操作系统和数据库中过期或多余的账户,禁用无用账户或共享账户;根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;启用访问控制功能,依据安全策略控制用户对资源的访问;加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。通过终端检测响应平台的部署,监测服务器主机之间的东西向流量,开启定时查杀和漏洞补丁、实时文件监控功能,限制服务器主机之间互访,及时进行隔离防止服务器主机实现并横向传播威胁。并且通过攻击链举证进行攻击溯源。2.4攻防演练一检测与响应技战法2.4.1 预警分析通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台,即可对互联网业务进行统一监测,统一预警。云端专家7*24小时值守,一旦发现篡改、漏洞等常规安全事件,即可实时进行处置。对于WebShen、后门等高阶事件,可以及时升级到技术分析组进行研判,一旦确认,将会实时转交应急响应组进行处置。监测与响应组成员实时监控安全检测类设备安全告警日志,并根据攻击者特征分析入侵事件,记录事件信息,填写文件并按照流程上报。若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。2.4.2 4.2应急处置应急处置组对真实入侵行为及时响应,并开展阻断工作,协助排查服务器上的木马程序,分析攻击者入侵途径并溯源。安全事件的处置步骤如下:(1)根据攻击者入侵痕迹及告警详情,判断攻击者的入侵途径。(2)排查服务器上是否留下后门,若存在后门,在相关责任人的陪同下清理后门。(3)分析攻击者入侵之后在服务器上的详细操作,并根据相应的安全事件应急处置措施及操作手册展开应对措施。(4)根据排查过程中的信息进行溯源。(5)梳理应急处置过程,输出安全建议。2.4.3 事件上报对发现确认的入侵事件,一经确认,快速编写事件报告,上报给公安部。2022公司网络安全自查情况报告近期,国铁集团信息技术中心发布了关于开展网络安全自查的通知(科技网安函(2022)40号),决定在全路范围内开展一次网络安全防护情况自查工作。为落实好通知有关工作要求,为深入贯彻落实习近平总书记关于维护网络安全、强化关键信息基础设施保护的系列重要指示精神,全力做好党的二十大等重大活动网络安保工作,有效备战国家级网络攻防演练,现将有关自查情况报告如下。一、自查工作组织开展情况接到通知后,领导高度重视,安排了公司副总经理牵头,组织信息技术部门人员成立