附件4-网络安全核查整改工作办法.docx

网络安全核查整改H作办法-、名词定义办公网络设备：主要指运营分公司管辖范围内的员工办公用台式电脑、服务器、笔记本电脑等设备。生产网络设备：指为完成所属部门生产职能所建立的专用设备，包括台式电脑、服务器、企业级路由器、工控机、广告屏等。其主要特征为具备完整操作系统或具有一定网络连接能力/自动化控制能力，可被网络攻击、病毒攻击等影响的设备。例如车控室终端、机房服务器、子系统路由器等。二、表格字段填写说明所属部门：设备归属管理的部门，办公设备填写使用部门。所在场段：设备硬件所在地址，填写至车站或场、段。设备管理人：办公设备由使用人填写，生产设备可填写管辖工班长或系统工程师。设备类型：办公电脑填写"办公电脑"即可；生产设备可参照表中样例填写。样例不满足需求的，可按照部门实际情况填写。设备IPv4地址：填写办公电脑或生产设备的实际网络地址，查询办法可参考本文第3节。受限于操作系统版本繁多，不一一列举。生产设备在封闭网络内的，填写局域网地址即可。操作系统：查询办法可参考本文第4节。部分生产网络设备系统不易查阅的，请详询设备供应商。是否完成病毒查杀/WiFi关闭：办公网络设备可采用360、火绒等知名供应商软件进行病毒查杀并关闭自行使用的WiFi网络。生产网络设备请使用系统自带的或者设备供应商预先安装的病毒查杀软件进行操作。是否完成操作系统漏洞修复与补丁升级：查询办法请参考第4节。办公网络设备可直接联网升级。生产网络设备不应该采用联网升级方式，应前往操作系统供应商网站，查找离线升级包或补丁下载，并采用U盘/硬盘等安全方式进行离线升级。升级前请完成系统关键功能/数据的备份工作，必要情况下需联系设备供应商进行升级操作。是否完成高危漏洞关闭：查询办法请参考第5节。办公网络设备可使用电脑管家类软件进行辅助关闭。生产网络设备，必要情况下需联系设备供应商进行端口关闭操作。是否备份重要数据/功能：办公网络设备请自行备份工作相关的重要文件。生产网络设备的软件/数据库备份方法可参考第6节。必要情况下需联系设备供应商进行操作。受限于软件版本繁多，不一一列举。使用备份恢复系统时间：指备份完毕后，如遭受攻击，使用备份数据对系统功能和数据恢复所需要的时间。是否建立网站类服务：指是否使用该设备建立了ftp、BB论坛、博客、管理系统等网站或页面供其他人访问。网站类服务是否建立安全防护能力：是指如开启上述网站类服务，是否对该设备安装并开启系统防火墙、定期查杀病毒、定期升级操作系统或软件版本、定期检查页面是否被劫持或篡改等工作。是否采用云计算服务：是指设备是否采用HyPerV、Vmware或其他虚拟化软件/系统/平台并建立虚拟机、建立负载均衡、故障冗余等虚拟化功能。或建立IAAS/PAAS/SAAS级别云计算服务平台。云计算服务是否通过安全评估：通常应通过"计算机网络安全等级二级评测”或更高级别评测。否则视为未通过安全评估。是否存在连通生产网/互联网情况：办公设备与生产类设备互相连接并可进行数据调阅的，填写“是"并在备注中列明。厂家能否提供24小时响应保障：对于生产网络设备，厂家是否提供24小时响应保障以应对可能发生网络安全事件风险。三、参考操作办法（一）IPv4地址查询在键盘上同时按下Win+R键，打开运行管理，在命令栏里输入cmdblm腐讯QQVISIO23微信血IWI陶IIlWllEll亘输入ipconfig,点击回车键，IP地址便出现了（二）操作系统版本查询与补丁升级1.查看Win7版本按下键盘的win÷R组合快捷键或者是在开始菜单中点击运行选项。然后会打开一个运行窗口，在输入框中输入Cmd回车。然后会打开一个黑色的命令行窗口，在窗口的最上面就可以看到系统的版本号了。Windows?系统最新的版本号Windows7ServicePack1（简称SPl）,于2011年2月23日发布，这也是WindoWS7的最终版本，内部版本是7601OAdministrator始图片育乐jisuanji控制面板设备和打印机默认程序帮助和支持四关机关于"Windows"GWindows?旗舰版MicrosoftWindows617601ServicePack1)版D2009IIIIiCrOSoftCOrPOrationO有权利。需箫y三三黜疆籍勰和其他国家地区的2.查看win7升级情况鼠标点击桌面左下角的"开始菜单"图标，选择"控制面板"Tl入门Q；se鹤§雌/减图工具命令提ZF符a计算器画图.XPSViewerVjWindows传真和扫？5所有程序11攫程腼文件进入。何e:总a在控制面板界面，将右上角的查看方式改为"类别"，然后选择“系统和安全”进入。4 Mm/，*<«，值"IC T "Mif.OflM*XW%网TMHaVBet ” Rffc AWxmtemR*Q UtfF MMtMMmV SiSMemaM,；*0J M IBflMmma外 SHbC U MMS9B M*.e> e sVffeattMMxaIMEWM WdCM wfllJMr打开系统和安全界面之后，直接点击最上方的"操作中心”进入。MMH KMVtR*iQ IfP2Q“用¥i«fm*金AeRKIna 眩MiWiTef h> nw>wa 穴皿0二 yM»m W*<m Upd«e»ARMMSM*IWSXflh*W<药e*>WttMBCl 叭£&>».KCLMftMatCnaXmMFmIua va MloCsEnFTTT* .FFvmfll *BTWW9 方计 M2JBCtm*XW MM 明工 HQrBiU 0fl VlM<mm «M0 . 1 这"得.nc*9uo<9eW9M±«2 *eMn*WtUl0“文窈HMbfi行0F»e三MCHJe*，。WEPSm金出现操作中心的界面后，需要在界面的左下角处点击"WindowsUpdate"选项，如下图所示:MmMWMtXHcawv<>fl9 .mf?HfMSJ>em T<av¾MwwtMl»«9CWw*W> . .wmw2-*v-o anp*A>K4MWWldCWVUpdeBtWekrw，*$!<««进入WirIdOWSUPdate界面之后，在左侧找到并进入"查看更新历史记录"选项，这时就可以很清楚地看到电脑中详细的更新记录了。登台3*m*hmsm£9MT«#B# SBS目初MirE<hnmMWtttt.*出咻5在WM«».7M(*ttW*M-mtft>3.查看WinlO版本方法1进入WinlO设置查看点击WinlO左下角的开始菜单，然后打开设置，如图所然后再点击进入系统设置，如图所示。RISK lme<ne< Wi E WUUt. VPN固只信个住化M姓Wd».CM.M<mw.电学瓶.三a.km.日继续点击左侧下方的关于 M0,5WWM=0t.MBIXeflIrUeW自定义显示器师 S MMMSSIUH*、总用a«BBtf)大小:WoHly)万号nsE之后就可以在右侧看到WinlO版本号了®*三Swcw*ftm¾e¢3W三WEMKSWR»aM¼SItUQA*方法2借助命令查看Winlo版本号，使用Win+R组合快捷键打开运行操作框，然后键入dxdiag命令打开DireCtX诊断工具J运行×Windows格IfiJS你所口入的名称.为你打开相应的程序.文件夹.3?«ScInternetSHf.打开(fi)：ddiag脸取消浏IS(B)打开DirectX诊断工具后，在系统选项卡下，就可以看到WinlO的版本号了Uf*BV)Hstjdns*.二QEjMFamYmmle-?MtoM6"NH44*缗MrMr>,KO<<TB11UOfVMFM曰2C，XUNOVQ皿fMZHM>*M<aovHwjnKmHWt*w)am'>c*cb门方qmv2*ooqevu-m«m»R*40MM*AMFM<JIOMMe1，WDkWtXXQ0B<kWMK4.查看WinIo升级情况用鼠标的右键点击WindOWSlo桌面左下角的开始按钮，在弹出的菜单中选择"设置"菜单项。这时就会打开WindoWSlo的设置窗口，点击窗口中的"更新更新和安全搜索WindoWS更新、次复、备语言、权限、历史记录份Q源戏栏、DVl和安全"图标。在打开的更新和安全窗口中，点击左侧边栏的"Windows更新”菜单项。断Windows 更亲* 某 SS 由 31查看配置的更新策略更新和安全更新状态f巧Windows 更新Windows Defender喻ez*r有可用更新. 2018-适用于(KB4093112)状看正在等传1小3学用于于县于x95的方"K ½i±-在右侧的窗口中找到"查看已安装更新历史记录"的快捷链接OWindows更新*某些设置由你的组织来管理查看配置的更新策略更新状态不1有可用更新./,2018-½于WindOWSIOVerSi509的04累小新，JSCKB4O93112)/««：正S三JS/2018-i于AdobeFPlayerforWindows10Version1709于基于x86的系统彩瓶93110)US：正SW待查看已安装更新历史记录这时就会打开"历史更新记录”的列表了。如果要查看某个更新详细信息的话，只需要点击其快捷链接。历史更新记录NZ质量更新(16)2018-透用于AdobeRashPlayerforWindows10VtefSton1709的y全更新.IS用于鼻-需要重启才能完成安装/2018-适用于Windows10Vtrswn1709的04寮积更新/晶JI于x86的系绕(KB4093112)®E»g才喻fiE$4*/2018-适用于Windows10Version1709的。绊F宇浙.道台嘉于x86的系统(KB4088776于2O18/3/26/W成功安装Z288-适用于Windows10Version1709的03累积更新，适合0于x86的累嬉(KB4088776于2018/3/15/周四成功安装iO-NfcFW-X-A*4awCi*¾Dfl-*M*rLAmTw,八t4»mAn17Oft)07'B4MtM4-H-（三）高危漏洞关闭（这里以关闭135,137,138,139,445端口为例）首先打开Windows系统自带的防火墙Win7：控制面板-系统安全-WindoWS防火墙WinlO:设置-网络和Internet-以太网TindoWS防火墙点击左侧"高级设置0 .Endows ： j?个0 控制面板控制面板主费允许应用或功能通过Windows 防火堪0 更 Ki联i£S0启用或关闭WindoWS访火塔0还厚默认值匿圾S对网络进行疑惟彩答至婉和妄全 WindowsEWdS使用Windows防火墙来帮IWindows防火堪有助于防止黑客项 专用网络(R)来宾或公用网络(P)公共场时例如机场或咖啡店)中的网Windows防火18状态：传入连接：活动的公用网络：3点击"入站规则0高级安全Windows防火信文件(F)操作（八）查看(V)g伞吟I方园I(Bl日0本地计算机上的高级安全Win.BUIS3出站规则4、选中"入站规则"，单击鼠标右键，选择"新建规则"&广TB-.*BT.±nM*ti.Mt,JdM4tlWWm,5、选择"端口（o）”，点击下一步.fHL2砌HlIS则类型送哥鼻tm火，Sftg察世怦*悔MlQ.哂文件名称t$»JTCFW?ttMM÷控制gJ，体掘唯父*1O自定义（G6、选择"特定本地端口",输入135,137,本8,139,445,中间用逗号隔开，特别注意这里的逗号一定是英文的逗号。曹T瓯图守协议和殖口指窟曲用山窜则的防校*«*口QJS砥用于m逐QM磅TCPO UDPMh«mS*於位值口-*作a置文件7、阻止连接TA站毅"掾作察.Mms办7I图口-发作- 0野文体-a#sttainttgiSfiH#摇这症占接与娱咽中播童的条件幅酶明度执制»催*o允汴洋，国IS传用r，"侵拶e寇再，以辰来使用I九"保护的违HbIH止注/098、下一步*#<ASW他障配置文件脸此械应用筋跟震文件蒙雪ams>ilD*-近文件-献何时应借读投则？M<o)计真机逢檀麻企北，明廊用4白杳;丽伊,一计舞机连摘?HMB网瑞位W(例如，第虹作垃时应用，0Ol(U)计”相S摺M公带咖位长酎应JiJ9、命名设备名称如：“关闭137、139、445、593、1025、2745、3127、6129、3389,点击完成。axu9名称搭宅it眼赠阁NQ看述，Mr*三tff-协议2口IW*食文件10,双击关闭端口，查看端口设置IMfft汕09Wf6火.女侬D*tuuM6*“)*力E.*B0Kt叫UCUM胃SIAIMIMG入WtMqx½m5唱ES7#SJAAMIWECl33.137.131g445NmEIgw>*M公尾SVMftOJ：工"公愚SVWWIOWAQQIOWA晶KMtt好*VgmOWftTflWtCrMhJJgWW*MO9rAT9Cr±*nS0W-O3*m寄夕欢"1sww9£*TU«公用NQ*O*公OM,otcMiM9in9,1M001Q.f*KA<r8<tM*M9g.一藤11、可以看到阻止连接关闭我口135,137.138,139,445!性X作用域高级本地主体远程用户窜规程序砸务远程计真机协议和睛口常猊名称S)：0已启用(E)操作0允许连接(L)0只允许安全连接(£)阻止连接(B)12、点击"协议和端口"，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445,说明网络端口135,137,138,139,445已经阻止连接g135,137.138.139.445IS性×I作用域高级本地主体远程用户常规程序和服务远程计算机协议侬!口（四）软件与数据库备份1.MySQL数据库备份进行备份时需要将隐藏在C盘的MySQL文件夹下的data文件夹备份。图4-1是MySQL安装文件夹的截图，能够看到并没有我们的数据库。图4-1正确做法为把隐藏的文件显示出来。在目录选项中，取消隐藏文件前面的复选框，如图4-2所示。图4-2在C盘的用户目录下即可看到AllUSerS这个隐藏的目录，如图4-3所示。图4-3在其目录下的MySQL目录下的data目录。即可看到我们如今的数据库的文件。如图4-4所示。文用0"»1MSD（三）I&R包含到M中共*MSIMa得耍、口我就:自岭MSBRKfli«aIuttSifimfiflWPPTVSubversion旧.=同SS"SSB片GhSIBSTItJ乐112个对图4-4使用光盘或独立U盘将数据库文件进行拷贝备份并令部门内部专人保管。当使用U盘进行备份时，要注意除还原数据库工作外，不得使用该U盘。注意在完成备份操作后，要将原本隐藏的文件再次隐藏,避免在日后使用系统工作时误删除文件。或可采用命令行法或数据库管理软件等方法。以上方法仅供参考，在面对不同功能设备所使用数据库的备份工作时，应联系相关设备厂商要求其定期做好数据备份工作。2.重要软件备份进行软件备份时，应优先找到软件安装包并备份。如只备份安装完成后软件所安装位置的文件，可能会导致还原软件时因系统版本不同或注册表问题无法使用软件的情况。db_«am.dM11lihotell11>ysq1performnce,hefTM.tsi_$pring_sercurityJibjo9fi0JbjOMl】Jibd<u一IUTR544CKSoX4GLevr-IVTR544CKSOX4GLpid2014-0-2111Q92014-05-1021:322014-06-181&172014-044)712:532014-040712:532014-M2110162014-040712:532014-06»11:542014-04-0712:532014-0629IhM2014-062911:042014-0629IlXM文件夹文件夹文件夹文取文快文博大JW*文怦X#文件ERR文件PlD文件10.240KB10.240KB18.432KB47KB1KB在备份软件时，同样也要使用光盘或独立U盘进行备份,并由部门内部专人进行保管。除还原软件工作外，不得使用该U盘。3.备份周期对于重要的数据库及软件，应定期进行备份更新工作。在日常工作中，可能会涉及到对数据库做出新增、更改、删除等操作，此时应在操作完成后及时备份数据库或做好修改记录。避免日后因系统问题在还原数据库时，无法还原当时所做全部操作，导致数据库不全、错误等情况。相关功能软件，无论是否有软件增量更新，都应定期进行备份。避免人为原因，导致备份光盘或U盘丢失；以及因软件备份不及时，导致软件增量更新部分无备份存储。4.评估系统影响及恢复时间如发生勒索软件攻击等网络安全事件，系统可能会发生瘫痪、黑屏、功能无法使用、软件无法正常运行等情况。部门工作人员应根据本部门职能及该系统功能性进行评估在发生类似网络安全事件时对生产工作的影响范围及严重程度。估算在做好数据库备份及软件备份后，恢复系统所需时长。