安全防护提升工作方案-正文

1、附件1“安全防护”工作任务一、工作目标各单位须围绕以下工作目标开展工作：（一）网络与信息安全工作责任制得到切实贯彻。按照全业务、全流程、全 覆盖的原则将各网站/系统/平台的网络与信息安全责任落实到具体部门和责任人（直接责任、管理责任和领导责任）。（二）“三无”（无管理、无使用、无防护）网站/系统/平台100%消除。“七 边”（测试系统、实验平台、退网未离网系统、工程已上线加载但未正式交维系 统、与合作伙伴共同运营的业务/网站/系统/平台等、责任交接不清晰的网站/系统 /平台、处于衰退期的网络业务系统）网站/系统/平台风险得到100%治理。（三）互联网暴露面显著降低。全面梳理和审核各网站/系统/

2、平台接入互联 网的必要性和安全性，没有充分必要暴露至互联网上的网站/系统/平台100%通 过关停并转等措施断开互联网联接；保留在互联网上的网站/系统/平台以省级公 司为单位实现高安全度集约防护。未完成安全治理的网站/系统/平台在完成全面 治理前原则上不应接入互联网。（四）完成对VPN （暴露在互联网上，通过公网认证接入后可进入内网的通 道）、终端（指PC、服务器）、电子邮箱等风险的自查，全面消除可能存在的安 全漏洞和隐患。（五）自查和消除社会工程学风险（以“十三个不准”为最基本要求）和合 作风险。提高全体员工及“四方”（供应方、合作方、系统集成方、外部支撑方） 等各单位人员安全意识；严查快处合

3、作风险（特别是系统高等级权限被授予第三 方的风险）；防止外部网络安全攻击队伍通过社会工程学手段获取敏感信息、重 要权限或入侵重要内部系统。（六）弱口令、典型高危漏洞、未定级备案问题得到全面彻底整治。杜绝系 统弱口令现象，快速完成典型高危漏洞（特别是可导致远程控制和敏感信息泄露 的高危漏洞）的风险处置，形成常态实时管控机制，所有上线系统（含试运行系 统）100%定级。各系统账号100%实名，100%解决不必要端口开放、基线配置不 达标、日志留存不达标等问题。（七）网络安全监测和防护技术手段进一步完善，原则上互联网暴露面上的 网站类系统100%覆盖防攻击与入侵的技术手段（包括监测手段）。（八）内网

4、或私网网络安全性得到大幅度提升。基本消除内网或私网网内系 统同时连接互联网现象，内网或私网网内的威胁监测处置能力得到强化内网或私 网网内各系统安全域划分得到全面落实，按照最小化原则严格网内各网站/系统/ 平台的访问控制措施，关闭不必要的端口与服务。（九）建立本单位涉及的XX公司全貌网络拓扑图或逻辑关系图，呈现本 单位与总部、周边省分、子公司相关的网络、系统连接关系，重点标注连接点或 IP地址，梳理对接关系影响面，关闭不必要的连接；围绕重要系统梳理网络拓扑 图或逻辑关系图，做到摸清家底，形成基础资料。二、工作措施各单位按照全业务、全流程、全覆盖的原则，围绕本次专项行动目标，组织 开展对本单位网络

5、安全现状的评估，梳理责任范围内网络与系统的详细信息，形 成台账，按照“安全防护”互联网暴露面清查与减少防护方案（附件2）重点 关注互联网暴露面的资产清查，做到全面彻底，不留盲区与死角，找出存在差距。 在此基础上，组织制定本单位工作方案，明确工作要求和任务分工、形成细化工 作分解表，明确各项工作任务责任人与时间节点。对于梳理得到的全量资产，明确网络安全责任。对于无必要暴露在互联网上 的资产进行退网或转入内网，对于“三无”系统进行下电，对“七边”系统进行 整治。对于确需保留至线上的资产（含新上线系统），依照资产不同类别，按照“安 全防护”脆弱性自查整改方案（附件3）对各台设备的开放端口、访问控制策

6、 略、系统与服务账号、基线配置、漏洞隐患、防护措施等进行仔细排查，形成隐 患清单。对于多余账号、不必要的服务、访问控制不严格等隐患实行边查边改。按照 “安全防护” VPN、终端与邮箱整改方案（附件4）、“安全防护”社会工程学 自查与防范方案（附件5）进行分项自查。按照“安全防护”威胁监测与阻断 方案（附件6）完善防护手段能力。并根据“安全防护”内网或私网网络安全 加固整改方案（附件7）对内网或私网网络进行重点自查。原则上，在完成全面 治理前不接入互联网；根据“安全防护” “四方”强化管理方案（附件8）进行 对“四方”的管理强化提升。对于整改后发生扩建、改建、版本迭代的系统，要重新进行隐患排查，

7、落实 整改。对于新建系统，比照存量系统进行全面自查，隐患全部消除后方可上线。对于已实现IPV6访问的系统，同步落实开放端口、访问控制策略、系统与 服务账号、基线配置、漏洞隐患、防护措施等安全要求。对于梳理形成的隐患清单，逐条落实整改，确保每一个漏洞隐患均得到有效 处置。做到每台设备开放端口最小化；访问控制策略仅保留业务所需，且精确到 单个IP地址与端口；无用系统与服务账号全部清除；消除全部弱口令；基线配 置有效加固；漏洞隐患全面清除；防护措施全部覆盖；定级备案全面实施。附件2“安全防护”互联网暴露面清查与减少方案一、工作目标通过本次专项行动，实现全集团所有接入互联网（包括存量和新建）的网站 /

8、系统/平台定级备案率100%、资产基本安全信息准确率达95%以上。杜绝网站/ 系统/平台管理后台未加任何防护与限制，未通过管控审核而暴露在互联网上， 消除“三无”（无人管理、无人使用、无人防护）网站系统/平台，各单位暴露在 互联网上的网站与系统100%实现集约防护，100%做好“七边”系统（测试系统、 实验平台、退网未离网系统、工程已上线加载但未正式交维系统、与合作伙伴共 同运营的业务/系统/网站/平台等、责任交接不清晰的网站与系统、处于衰退期且 存在安全风险的网络/业务系统）的清查整治、规范管理和网络安全责任落实。涉及与第三方合作运营的业务/网站/系统/平台100%在合作协议中增加网络 信息

9、安全条款，明确合作双方的网络信息安全责任划分及合作方违反网络信息安 全条款的违约处罚措施；授权第三方人员账号权限要100%进行审批，并与第三 方人员签订保密协议，定期（季度）对该账号登陆和操作日志进行审计。二、适用范围各省/自治区/直辖市分公司、公司总部各部门、各子公司的自有/合作运营网 站及通过http或https协议访问的互联网信息系统（包含设备的Web管理页面）， 以及可通过互联网访问的其他系统（包括不局限于FTP、SMTP、POP3、RADIUS、 数据库、RDP、NTP等）。三、具体工作安排（一）建立新改扩建网站/系统/平台及新业务膜块接入互联网的审批制度和 流程原则上新建网站与系统

10、应部署在自有云资源池或总部云资源池专用区域，实 现集约化部署和防护。各单位、部门应在上线前由网站与系统主管部门组织评估 其暴露在互联网上的必要性（含开放什么端口、允许哪些源IP地址访问），经本 单位网络安全主管部门审批同意，完成网络安全定级备案、第三方风险评估、符 合性评测等网络安全验收，且与主管部门签订网络安全责任书后方可接入互联网。(网站/系统/平台的主管部门是指因业务需要发起设立网站/系统/平台并对网站/ 系统/平台功能提出需求的或分配账号部门，运营单位是指按照主管部门要求对 网站/系统/平台进行日常运营和维护的部门或单位)。全面清查梳理暴露在互联网上的网站/系统/平台，开展关停各单位应

11、再次梳理暴露在互联网上的网站/系统/平台，明确网站与系统的 主管单位和具体责任人，形成详细清单。对发现的在互联网上暴露“三无”网站/系统/平台立即实施互联网访问关 停。关停互联网访问一个月后仍无法确定主管单位的，由运营单位或网络 操作部门对系统下电，在年末集中统计下电后可盘活资产量和节能减排数值，并 按附表1的格式统计报集团公司。网站/系统/平台下电后20个工作日内，如确定了主管单位，由主管单 位确定该网站与系统是否接入互联网。如决定不需接入互联网的，应按照网络安 全管理规定要求，做好定级备案、风险评估、账号实名、权限稽核、基线配置、 访问控制、安全基本信息备案等方面的自查整改转入内网，并做好

12、安全域划分。 如主管单位决定继续接入互联网的，由主管单位提出申请，按照前款规定，视为 新建网站/系统/平台，按新建入网流程完成审批后方可上电接入互联网。下电后 20个工作日仍无主管单位认领，原则上该网站/系统/平台涉及的设备等资产纳入 可盘活和处置资产。对于“七边”网站系统/平台中不符合定级备案、责任书签订、安全基本 信息动态采集等网络安全管理要求的应立即暂时切断互联网访问，经网站/系统/ 平台主管单位评估，如确需接入互联网的，由主管单位提出申请，按照前款规定， 视为新建网站/系统/平台，按新建入网流程完成审批后方可上电接入互联网。主 管单位评估后不需接入互联网的，应按照网络安全管理规定要求，

13、做好定级备案、 风险评估、账号权限、基线配置、访问控制、安全基本信息备案等方面的自查整 改转入内网，并做好安全域划分。对所有暴露在互联网上的网站/系统/平台应由主管单位/部门判断暴露的 必要性，原则上对面向非用户的、仅供内部员工使用的网站/系统/平台需断开互 联网连接转入内网，确需通过互联网访问的要实施严格的点对点白名单方式进行 访问控制，使用VPN拨入后直接访问或通过4A系统访问目标系统，并同时采用 密码、令牌、动态密码key、短信验证码等因子中的至少两个因子进行认证。由主管单位/部门确定确需接入互联网的，应完成定级备案、漏洞风险、账 号权限、基线配置、访问控制等方面的限期自查整改（原则上1

14、5天内完成自查 整改），经信息安全管理部门评估合格后和网站与系统主管单位签订网络信息安 全责任书。未完成限期整改的网站/系统/平台应立即断开互联网连接。整改完成 后经网络信息安全管理部门检查合格方可接入互联网。（三）网站/系统/平台关停并转和迁移方式梳理工作完成后，各单位网络安全主管部门应会同网站与系统的主管和运营 部门对网站/系统/平台能否实施迁移进行判定。判定原则和处置方法如下：对保留至互联网上的网站/系统/平台，其中能够实施迁移的应全部实施迁 移操作，即集中迁移至自有云资源池或总部云资源池专用区域集中防护。对确需保留至互联网上，但短期无法进行物理迁移的网站及系统可采取 将系统功能迁移合并

15、的方式降低互联网暴露面，也可暂使用流量牵引等方式进行 集约防护。对于安全防护能力已符合集团统一防护标准且暂时难以纳入集约防护的 暴露在互联网上的网站/系统/平台，经本单位网络与信息安全领导小组核准后可 暂维持原状，不纳入集约防护。（四）进行互联网暴露面网络安全集约防护对于迁移入内网的网站/系统/平台，迁移中应统筹考虑IP地址分配的问题， 完成安全基本信息动态采集工作、二级以上定级单元要纳入4A系统进行访问 控制和防护。对于迁移入自有云资源池或总部云资源池的网站/系统/平台，责任主体在实 施迁移过程中要落实好安全域划分和边界防护要求。对于上述没有实施关停的网站/系统/平台（迁移入内网、迁移入云、

16、流量迁 转、维持原状），责任主体应签订责任书，明确其资产基本信息、备案信息、责任 部门、责任人、现有防护手段等内容。各单位要加强域名管理，明确本单位负责域名审批的管理部门。（五）互联网暴露面网络安全集约防护能力建设要严抓系统自身安全防护，持续做好补丁升级、配置合规、访问控制策 略配置等工作。各单位需参考“安全防护”威胁监测与阻断方案（附件5）,通过多层 级威胁监测和处置防护手段建设，使各网络与系统具备防病毒、防入侵、防篡改、 防DDoS的能力，对迁移入云和流量迁转的网站与系统进行全覆盖。对原有WAF、 IPS等安全防护设备应统筹集约利旧使用。对于保留至互联网上的各网站/系统/平台，各单位于临战

17、前再次填报附表 2,将防护能力提升后各网站/系统/平台的防护情况再次报集团公司，确保所有互 联网上的网站/系统/平台均覆盖防护能力。附件：“三无系统”下电设备节能减排信息表XX公司互联网暴露面网站类系统台账附件1“三无系统”下电设备节能减排信息表单位：中国联通XX公司上报人：张三，186XXXXXXXX累计下电设备XX台，腾退空间XX U，减少能耗XX W系统名称设备名称所占空间能耗XX系统XXX服务器2 UXX W附件2XX公司互联网暴露面网站类系统台账互联网上的系统数：10填报人：张三186 XXXXXXXX系 统 名 称安全责任 部门安全负责人公网URL端口公网IP 地址列 表定级备案

18、名称定级备案级别防护 方式XX 系 统信息化部张三 HYPERLINK 80 x.x.xy.y.y.y中国联 通xx公 司xxx系 统二级DNS解 析迁 转云 WAF防 护注：安全责任人必须为联通正式员工，不可为外部代维人员。公网IP地址要填报精确，一一对应。防护方式填报：在集中入云防护、DNS解析迁转云WAF防护、使用原 有防护能力不变（原则上仅限于现有防护能力较强的系统）。附件3“安全防护”脆弱性自查整改方案、总体架构在“安全防护一2019”专项行动基础上梳理资产查遗补缺，明确每个资产实 体（网络设备、安全设备、主机、数据库、Web中间件、应用系统）的责任人（必 须是中国联通正式员工，不可

19、为第三方代维、厂家人员），各资产实体对应的自 查整改项目和整改要求如下：账号与口令端口开放与访问控制基线配置漏洞日志留存网络设备VVVVV安全设备VVVVV主机（含虚拟机）VVVVV数据库VVVVWeb中间件VVVV应用系统VVVV便于系统及责任定位，各单位需汇总资产信息，形成XX公司资产安全管 理台账，台账格式参考文件（此文件后续用于总部资产安全管理平台导入模板）:二、脆弱性自查整改总体要求（一）账号与口令工作对象：各类维护和管理账号、口令以及相关配置。自查方式：梳理账号口令，查看相关配置，对标弱口令标准。管理要求：（1）账号使用人必须实名登记，每个账号能对应到具体使用人员。（2）账号开通、

20、变更、延期、注销等操作应经过主管领导和相关系统负责 人审批。（3）集中维护的网络、安全设备和主机应纳入4人系统管理，满足账号、口令和授权的强制要求。（4）应定期审计资产纳管、账号变更和异常操作行为，对不合规行为组织整改。禁止共享账号，为不同用户分配不同账号，账号应明确到具体责任人， 且必须为联通自有员工。策略要求：清理与设备、业务、数据库、Web中间件运行和维护等工作无关的无用 账号。应配置定期更换静态口令，有效期不超过90天。修改系统默认口令或厂商通用口令，对所有账号的口令进行全面更新， 杜绝使用弱口令。根据用户的业务或维护需求，配置其所需的最小权限。静态口令应使用不可逆加密算法加密后以密文

21、形式存放。端口开放与访问控制工作对象：开放的服务端口与访问控制策略。自查方式：登录查看服务开放情况和过滤策略。具体要求：关闭不必要的服务和监听端口。远程管理或维护使用SSH等加密协议，必须经过堡垒机进行；不具备 条件的通过具备日志记录能力的跳板机进行。对于远程维护、数据采集、数据库、管理后台等服务端口的访问者来 源，应通过防火墙策略限制到最小化白名单，白名单应精确到单个IP地址， 严禁暴露在互联网上。针对各种维护和管理终端所在的本地维护域，采用最小化原则严格控 制该域对其他域或外网的访问权限，通过关闭端口、绑定MAC或认证等手段 防止非法接入，禁止对外开放任何服务。因业务需要开放的HTTP/H

22、TTPS端口须采取集约化防护措施。主机或设备上所有端口未使用前必须关闭，如有条件可采取端口隔离 措施。不允许内网或私网等承载网管系统和其他内部支撑系统业务网络的资 产同时跨接内网与互联网。内网服务器如有访问互联网或内网或私网等企业内网的需求，应通过 边界安全设备按最小化权限原则统一配置NAT和过滤策略。基线配置工作对象：安全相关配置。自查方式：登录设备、主机和系统等查看配置。总体要求各类主机、设备和应用的账号、口令、授权、日志、补丁和不 必要服务等进行安全配置检查和修改，具体配置操作及检测的步骤或命令应 结合具体操作系统、数据库、应用中间件类型及版本而定。具体要求：配置定时账户自动登出，登出后

23、需再次登录才能进入系统。配置用户连续认证失败次数上限。隐藏或修改主机和设备的缺省BANNER,不能显示归属、用途、型号、 名称等提示信息。关闭不必要的SNMP协议，如需启用时允许最小权限，修改SNMP的默 认通行字，通行字应符合口令强度要求。在保证业务网络稳定运行的前提下，安装最新的补丁，补丁在安装前 需要测试确定。删除或禁用不需要的服务、软件以及应用模块等。删除或禁用软盘、USB、串口等不必要的设备。漏洞工作对象：所有开放服务及其存在的漏洞。自查方式：登录查看系统版本信息、补丁安装情况等，并利用漏洞扫描 器接入内网扫描、同时采用人工渗透等方式进行检测。具体要求：在保证业务网络稳定运行的前提下

24、，安装最新的补丁，补丁在安装前 需要经过测试确定安全性。扫描器系统软件以及插件库更新到最新版本，定期对资产进行安全扫 描和人工渗透，确保扫描器和渗透人员通过内网接入并能访问内网整个网段 和资产所有开放端口。对中高危漏洞及时进行整改，短期无法整改的漏洞必须通过访问控制 措施限制访问范围，低危漏洞评估后采取整改、规避或接受等措施。系统上线前或升版后必须做安全评估并完成整改。日志留存工作对象：资产的登录日志、操作日志、安全日志等。自查方式：查看本机或者日志服务器是否留存相应日志，日志配置和留 存是否符合相关规范。具体要求：满足日志留存6个月及以上。配置登录日志、操作日志和安全日志记录功能，本机存储或

25、传输到远 程日志服务器中进行存储。应配置权限，控制对日志文件读取、修改和删除等操作。开启NTP 客户端，保证日志记录时间的准确性，资产与NTP服务器之 间开启认证功能。重要日志采用主备存储和加密等措施。三、网络设备自查整改要求账号与口令工作对象：网络设备的维护账号口令与相关配置。自查方式：登录设备或系统查看账号和相关配置，对标弱口令标准。在总体要求基础上，还需要配置CONSOLE 口密码保护功能。端口开放与访问控制工作对象：网络设备开放的服务端口与访问控制策略。自查方式：登录设备查看服务开放情况和ACL策略。在总体要求基础上，需满足以下要求：网络设备应使用控制平面访问策略对路由器引擎进行保护，

26、策略应使 用精细化白名单。边界设备根据业务需要配置流量过滤策略，过滤所有和业务不相关的 流量。网络边界应配置安全访问控制，过滤常见攻击端口，例如UDP1434、TCP445、3389 等。（4）边界设备配置路由策略，禁止发布或接收不安全的路由信息，只接受 合法的路由更新，只发布所需的路由更新。（三）基线配置工作对象：网络设备的安全相关配置。自查方式：登录设备查看配置情况。在总体要求基础上，需满足以下要求：（1）启用动态路由协议或者LDP、RSVP标签分发协议时，配置协议认证功 能。（2）配置路由器防止地址欺骗攻击，不使用ARP代理的路由器关闭该功能。（四）漏洞工作对象：网络设备的所有开放服务。

27、自查方式：通过漏洞扫描器接入内网扫描。具体要求：参见总体要求第（四）项。（五）日志留存工作对象：设备的登录日志、操作日志、安全日志等。自查方式：查看本机配置和相关日志系统。具体要求：参见总体要求第（五）项。四、安全设备自查整改要求（一）账号与口令工作对象：安全设备的维护账号与口令，以及相关配置。自查方式：登录设备查看配置，通过系统查看账号列表，对标弱口令标 准。在总体要求基础上，需满足以下要求：配置CONSOLE 口密码保护功能。（二）端口开放与访问控制工作对象：安全设备开放的服务端口与安全策略。自查方式：登录设备查看服务开放情况ACL。在总体要求基础上，需满足以下要求：（1）防火墙应配置NA

28、T和过滤策略按照最小化原则仅允许必要的网络访问；（2）通过防火墙限制内网服务器到互联网和内网或私网等企业内网的主动 访问，策略精确到IP地址和端口。（三）基线配置工作对象：安全设备的配置。自查方式：登录设备查看配置情况。在总体要求基础上，需满足以下要求：及时升级安全设备的病毒库和特 征库等。（四）漏洞工作对象：安全设备存在的漏洞。自查方式：通过扫描器扫描、人工渗透等方式。具体要求：参见总体要求第（四）项。（五）日志留存工作对象：设备的登录日志、操作日志、安全日志等。自查方式：查看本机或者日志服务器是否留存设备日志，能力是否满足 存放6个月具体要求：参见总体要求第（五）项。五、主机（含虚拟机）设

29、备自查整改要求（一）账号与口令工作对象：主机的账号与口令，以及相关配置。自查方式：登录到主机上查看配置文件，检查账号口令。具体要求：参见总体要求第（一）项。（二）端口开放与访问控制工作对象：主机开放的服务端口与主机防火墙策略。自查方式：登录主机查看服务启用、端口监听情况，查看主机防火墙策 略和规则。具体要求：参见总体要求第（二）项。（三）基线配置工作对象：主机的安全配置。自查方式：登录主机查看配置情况。具体要求：参见总体要求第（三）项。（四）漏洞工作对象：主机存在的漏洞。自查方式：登录主机查看系统版本信息、补丁安装情况等，并利用漏洞 扫描器、人工渗透等方式进行检测。在总体要求基础上，需满足以下

30、要求：检查主机操作系统版本是否已超 出官方服务的最后期限，特别是官方已经不再提供安全更新的系统，应尽力 更新升级，或设法从网络上做好隔离。（五）日志留存工作对象：主机的登录日志、安全日志。自查方式：查看主机日志配置、日志记录情况。具体要求：参见总体要求第（五）项。六、数据库自查整改要求（一）账号与口令工作对象：数据库的各类账号与口令，以及相关配置。自查方式：登录设备查看配置，通过系统查看账号列表，对标弱口令标 准。在总体要求基础上，需满足以下要求：数据库应具备防止账号密码被暴 力破解的机制。（二）基线配置工作对象：数据库的配置。自查方式：登录设备查看配置情况。在总体要求基础上，需满足以下要求：

31、（1）禁止使用系统管理员账号权限运行数据库。（2）根据机器性能和业务需求，设置最大连接数。（三）漏洞工作对象：数据库存在的漏洞。自查方式：通过扫描器扫描、人工渗透等方式。具体要求：参见总体要求第(四)项。日志留存工作对象：数据库的登录日志、操作日志、安全日志。自查方式：查看数据库本地或者日志服务器是否留存相应日志，日志留 存是否符合相关规范。在总体要求基础上，需满足以下要求：日志应对用户登录信息进行记录，记录内容包括用户登录使用的账号、 登录是否成功、登录时间以及远程登录时用户使用的IP地址。日志应记录用户对数据库的操作，包括但不限于以下内容：账号创建、 删除和权限修改、口令修改、读取和修改数

32、据库配置等。记录需要包含用户 账号，操作时间，操作内容以及操作结果。七、Web中间件自查整改要求账号与口令工作对象：Web中间件的维护账号与口令，以及相关配置。自查方式：登录查看配置，通过系统查看账号列表，对标弱口令标准。在总体要求基础上，需满足以下要求：Web登录页面应具备防止账号密码被暴力破解的机制。密码找回功能需使用短信、邮件等可靠验证手段。基线配置工作对象：Web中间件的配置。自查方式：登录设备查看配置情况。在总体要求基础上，需满足以下要求：禁止使用系统管理员账号权限运行Web中间件。严格设置配置文件和日志文件的权限，防止未授权访问。禁止Web中间件访问Web目录之外的任何文件。禁止目

33、录列出。需自定义错误页面，其中不能包含版本、错误内容等信息。根据业务需要，合理设置session时间，防止拒绝服务攻击。禁用PUT、DELETE等不安全的HTTP方法。（8）关闭 TRACEo（9）根据机器性能和业务需求，设制最大最小连接数。（10）删除不需要的默认文件。（三）漏洞工作对象：Web中间件存在的漏洞。自查方式：通过扫描器扫描、人工渗透等方式。在总体要求基础上，需满足以下要求：重点检查OWASP T0P10安全风险 （参考链接：http： /owasp-project/0WASPTop102017v1.3.pdf）,包括注入、失效的身份认证、敏感信息泄露、XXE、失效的访问 控制、

34、安全配置错误、XSS、不安全的反序列化、使用含有已知漏洞的组件、 不足的日志记录和监控等，对检查发现的中高危漏洞完成整改。（四）日志留存工作对象：Web中间件的登录日志、操作日志、安全日志。自查方式：查看Web中间件服务器本地或者日志服务器是否留存相应日 志，日志留存是否符合相关规范。在总体要求基础上，需满足以下要求：对运行错误、用户访问等进行记 录，记录内容包括时间、URL、用户使用的IP地址等内容。八、应用系统自查整改要求（一）账号与口令工作对象：应用系统的账号与口令，以及相关配置。自查方式：登录到应用系统上查看配置文件，检查账号口令。具体要求：参见总体要求第（一）项。（二）漏洞工作对象：

35、所有开放在公网的Web应用。自查方式：使用Web应用扫描器、渗透测试等方式进行检查。具体要求：参见总体要求第（四）项。（三）日志留存工作对象：应用系统的日志配置、日志记录。自查方式：查看应用系统的日志配置、日志记录情况。3.具体要求：参见总体要求第（五）项。“安全防护” VPN、终端、邮箱自查整改方案一、工作目标开展对VPN、终端、电子邮箱、代码共享和自查整改，全面消除可能存在的 安全漏洞和隐患。二、适用范围VPN、终端隐患自查主要针对中国联通全部VPN设备、终端，面向所有VPN 和终端的运维人员、设备管理员和账号使用者。电子邮箱、代码共享隐患自查主要面向中国联通所有员工和业务外包人员。三、具

36、体工作安排：（一）VPN自查要求1.VPN使用情况检查检查所有已开通的VPN,核实是否正在使用。如果VPN涉及的系统已关停， 则应及时关闭VPN。判断已开通的VPN是否可以保留。部署在内网的重要系统不允许采用拨入 VPN后直接登录的方式。经信息安全管理部门认定确实有外网访问需求的系统， 应通过“VPN+4A”的双重管控方式进行防护，即系统纳入4A管理，运维人员先 以VPN方式拨入内网，再以4A为跳板访问该系统。不需要保留的VPN系统应/士实施关停。部分高风险的VPN，如进入内网或私网的，应在安全防护行动期间实施关 停，安全防护行动后按上述VPN+4A方式实施改造。.认证方式检查检查全部VPN设

37、备的登录认证方式，禁止使用只有“用户名+ 口令”的认证 方式，必须采用手机验证码短信或者令牌等方式进行双因子认证。对仅通过“用户名+口令”进行认证的VPN实施下线改造。本次改造完成后 应经过网络安全管理部门确认后才能重新上线。.账号使用情况检查全面检查和清理所有VPN账号。全面核实所有账号使用状态，检查实际使 用人和账号信息是否保持一致。对于检查中发现的异常情况应及时处置，清除所 有无人使用、无人管理的僵尸账号，及时更新账号信息，关停人号不一致的账号。.账号权限检查检查VPN设备是否实施基于账号、IP地址和VPN号的精准访问权限控制 机制。检查所有VPN账号的权限分配情况，核实其是否满足权限最

38、小化原则。VPN设备脆弱性检查检查VPN设备是否具备登录认证防暴破能力。对于不具备防暴破的VPN设 备应下线实施改造或者进行更换。VPN设备应按照下文安全设备脆弱性自查整改方案的要求进行检查和整改。（二）终端自查要求此方案中的终端指的是接入中国联通网络的工作终端和个人终端，包括但不 限于台式机、笔记本电脑、网络打印机等。具体自查要求如下：.网络共享私接情况自查检查网络共享和私接情况。不允许员工共享办公网络，禁止使用办公桌有线网口私接路由器，禁止安装 共享WiFi软件。.终端软件自查检查所有终端的已安装软件情况。不允许在终端上安装与工作无关的或与终 端用途无关的软件，包括但不限于黑客、系统破解、

39、端口扫描或口令破解等软件。终端必须接受安装补丁分发系统自动下发的安全补丁或自行安装操作系统 和重要组件的安全补丁，以有效降低漏洞所带来的潜在安全风险。.敏感信息文本自查全体员工不允许在终端上以明文文本形式保存工作相关的账号、密码等敏感 信息，账号密码文件应采用高强度不可逆的加密方式。（三）电子邮箱自查整改检查电子邮箱的防范措施，具体要求包括：对于有集团OA邮箱的员工，集团OA邮箱是中国联通全体员工唯一的 工作邮箱。严禁使用私人邮箱发送工作邮件，严禁使用境外邮箱作为工作邮箱。集团和各省需确定OA邮箱的具体维护人员，并检查工作邮箱的缓存存 放期限配置项和邮件代收功能配置项。应将集团邮箱的邮件缓存存

40、放期限设置为 2周。不允许使用集团OA邮箱的转发功能；不允许使用其他邮箱代收集团OA 邮箱的邮件；集团和各省应启用工作邮箱的附件过滤查杀功能；所有员工开展电子邮件自查工作，确认电子邮件是否违规存放在非工作 邮箱，对于违规存放在其他邮箱的工作邮件，应及时删除；各单位要组织一次全体员工的工作邮箱密码修改行动，各级单位应督促 员工在期限前按要求重设邮箱密码。各省应对集团发现的未修改密码的邮箱账号 进行核查和通报，并确认使用人信息。如邮箱无人使用，应上报集团实施关停。严禁使用电子邮件发送明文账号密码文件。清除电子邮件系统中已经明 文发送的账号密码文件，并更改涉及系统的账号和密码。“安全防护”社会工程学

41、自查防范方案一、工作目标加强社会工程学防范教育，提高全体员工及外包人员安全意识，防止外部网 络安全攻防队伍通过社会工程学手段获取敏感信息或入侵重要内部系统。二、适用范围社会工程学隐患自查主要面向中国联通所有员工和业务外包人员。三、具体工作安排（一）社会工程学意识教育开展覆盖全体员工和业务外包人员的社会工程学攻击手段及防范教育，内容 应包括电子邮件钓鱼、短信钓鱼、电话钓鱼、人员接触方面的社会工程学攻击防 范意识教育，讲述电子邮件及短信钓鱼的攻击原理、流程，指出恶意附件、恶意 仿冒链接、伪造身份、套取敏感信息、不明身份人员非法操作设备等需要提高警 惕的具体场景情形及识别恶意信息、保护敏感信息等相应

42、的应对处置方法。重点 宣贯“十三个不准”，特别是后端维护人员集中的区域“十三个不准”具体包括：不准设置弱口令；不准使用非工作邮箱代收工作邮件；不准点击来路不明邮件中的链接或打开附件；不准将账号与口令明文保存于终端上；不准将系统设计文档、网络拓朴等敏感信息存放于服务器上；不准将本人使用的账号与口令告知他人；不准在互联网上的外部网站或应用（如论坛、微博、即时通信软件等） 上使用与公司设备、系统上相同的账号或口令；不准允许来路不明的人员远程控制公司内各类设备或执行其告知的各 项指令；不准将网站或系统源代码上传至互联网上；不准设置公司内业务系统为自动登录；不准私自在办公网络及其他内网中搭建无线热点；不

43、准将未进行自我检查和安全加固的终端接入内网；不准未经审批开通内部系统的互联网出口。（二）开放场所防护措施自查检查营业厅、展示厅等向公众开放场所的防范 措施具体要求包括：检查开放场所的公共WiFi防护措施。开放场所的公共WiFi应具备流量 监控技术能力，与内网实施隔离控制；检查核实开放场所内搜索到的共享WiFi。禁止所有员工在开放区域工作 终端上开启共享WiFi；检查开放场所内向客户开放区域的所有网络接口以及连接的终端，核实 其是否与内网进行隔离，确保外部人员不能通过这类网口访问内网；检查开放场所办公区域的工作终端的防护措施。工作终端应具备阻止无 关人员使用工作终端的物理措施和上网审计等技术能力

44、。（三）办公区域门禁管理措施自查各级单位应检查本单位办公楼宇、营业厅的工作专用区域等非开放的办公区 域的门禁管理措施。所有办公区域应具备对进入场所的外来人员进行身份核验检 查的有效措施，防止无关人员进入办公区域。（四）信息防泄漏自查各级单位及全体员工应检查信息防泄漏措施是否完备，敏感信息处置和存储 是否合规，具体要求包括：开展对代码的全面清查，确认对合作方的各项代码保密要求是否已经落 实，包括禁止合作方在GitHub等第三方托管平台进行代码共享等，发现存在代 码共享情况的要第一时间删除，共享代码中有账号密码信息的要第一时间更换相 关账号密码；加强代码安全管理，软件源代码、开发文档、程序配置文件

45、中含有明文 数据库账号口令、邮箱账号口令及其他平台数据交互方式等敏感信息的，必须严 格管理，责任到人。禁止通过云盘（包括沃家云盘、百度云等）、社交软件（包括微信、QQ）等方式进行企业敏感信息的共享、存储;禁止在服务器上明文存放重要信息（网络拓扑、设计文档等，特别是账 号口令信息）；应将含有敏感信息的移动介质保存在安全可靠的地方。应在使用完成后 删除不再需要的敏感信息。“安全防护”威胁监测与阻断方案一、工作目标组织网络单元维护单位、系统管理员、维护厂家和第三方合作厂家清理现有 安全防护设备和能力清单，对现有安全防护能力进行优化调整，全力完成公网资 产威胁监测和处置能力的100%全覆盖，强化应用系

46、统的逻辑防护能力。通过部 署出口/镜像流量监测、应用层软件WAF、网站监测、网站拟态防护系统或WAF、 DNS流量牵引防护等安全防护手段，全面建设完成集中监测、统一防护的三层 安全防护体系。二、适用范围监测和防护对象为本单位所辖责任范围内的所有公网资产，包括自营公网业 务系统、合作平台、APP软件、VPN系统、微信公众号、网络设备（路由器、交 换机、AC、AP等）、智能设备（摄像头、楼宇视频等）、安全系统或设备（防火 墙、IPS、IDS、WAF、漏洞扫描等）等公网资产。三、具体工作安排（一）全面梳理威胁监测和处置防护现状梳理现有威胁监测和阻断防护设备和能力清单，核实其当前防护范围， 尤其是对公

47、网安全资产防护的覆盖范围，建立公网安全资产防护设备和防护能力 台账。威胁监测和阻断防护设备清单包括但不限于：防火墙、IPS、IDS、网站 拟态防护系统或WAF、网站安全监测、出口流量攻击监测、网页防篡改等；防 护能力包括但不限于：自动化工具扫描和渗透防护、SQL注入防护、文件上传防 护、任意命令执行防护、文件包含防护、缓存/堆栈溢出防护、逻辑漏洞防护、代 码执行防护、跨站脚本防护、远程拒绝服务防护、敏感内容防护、路径穿越防护 等。（二）全力建立威胁监测和处置防护能力.各单位做到公网系统级威胁监测和处置全覆盖，形成第一道防线。各单位要在网络系统、或公网流量出口处部署威胁监测和阻断防护设备。对 于

48、具备防护能力的网络系统，要全面核查和更新防护策略，确保防护能力的完整 性和有效性；对于无威胁监测和阻断防护设备的公网业务系统，要先通过调整优 化已有网络安全防护手段进行覆盖，如不能满足，则应新建网络安全防护设备进 行防护，确保公网系统防护全覆盖，做到监测无盲点。在此基础上可进一步部署公网系统应用服务层面的防护能力、公网系统外部 防护产品或服务，建设多层级防护能力，形成第二、三道防线。同时鼓励有条件 单位通过部署流量探针、端口镜像、安全日志等方式对公网全流量进行集约防护， 实现全网实时监测、集中分析和统一处置。.强化公网系统应用层防护，形成第二道防线。针对公网系统应用服务层部署WAF、网站防篡改

49、等安全防护程序，从系统 内部及时监测和处置各类应用攻击威胁。.部署公网系统外部防护产品或服务，形成第三道防线。在与联通智慧安全科技有限公司、云盾智慧安全科技有限公司或第三方安全 服务厂商签订具有法律效益的保密协议基础上，集约部署安全可靠的安全防护产 品或服务，如通过流量牵引等方式部署，使用联通云盾、网站云监测、网站云防 护（云WAF）、态势感知等安全防护产品或服务，构建以单位为维度的集中外部 防护机制。各单位要积极探索威胁监测与防护的新方法（如拟态防护），时与俱进， 使用新思路、新手段强化威胁监测与处置能力，应对日新月异的网络安全攻防形 势。（三）加强公网系统和网络安全日志审计各单位要对公网系

50、统、网络安全设备、存在敏感信息重要系统的登录日志、 操作日志、告警日志、安全日志等进行及时审计，审计是否存在账号登录异常、 服务进程异常、重要进程状态异常、数据库非法登录或数据非授权导出、网站页 面被篡改等情况，对网络安全设备日志应进行汇总和集中研判。（四）核心业务系统公网防护要求各单位核心业务系统除部署上述安全防护能力外，应完成以下增强性防护工 作：各单位应根据业务系统的实际应用发布情况，建设基于用户行为分析和 判断的防护手段。对非正常时间段的访问IP、请求次数频繁等特征的访问行为进 行综合分析，对于存在异常行为的IP地址及时进行处置。各单位要加强业务系统APT的检测与防护，利用静态检测和虚

51、拟执行等 技术加强对未知恶意软件的分析能力，针对“水坑”攻击、C&C链接等攻击行为 进行监测和防护，达到防止敏感数据外泄的目的。网网“安全防护”内网或私网网络安全加固整改方案一、工作目标内网或私网网络安全性得到大幅度提升。内网或私网网内资产得到进一步清 查，90%以上明确网络安全责任人，90%以上消除内网或私网内部同时暴露在互 联网上的系统与“三无七边”系统。关闭不必要的端口、严格系统访问控制措施， 内网或私网网内的威胁监测处置能力得到进一步强化。二、适用范围各单位使用的内网或私网网络。三、具体安排（一）网络层面的防护清查内网或私网网内的所有系统和资产，重点检查DCN网内资产。暴露面的清查与整改，检查内网或私网内部是否存在暴露在互联网的系 统，是否具备同时向内网或私网/公网提供服务的系统或主机。划分安全域隔离，以路由器为边缘做隔离，以系统为维度进行最小化访 问控制。对于“三无七边”的网站与系统，进一步执行关停并转等整改措施，原 则上无责任人的系统必须关停。检查内网或私网网内的FW/IPS/防病毒等防护手段是否具备，缺乏相应 防护手段的必须建设对应的机制完善。通过防火墙限制内网服务器