附:网络信息安全十六不准解读 十六不准要求 解读 账号口令类 1.不准设置弱口令,且不能在互联 网应用系统.个人终端电脑、服务器、网络设备.安全设备、邮箱等密码设置需满足密码复杂度要求 并定期上的外部网站或应用(如论坛、 微博.更换:密码长度不低于8位,且包含大写字母、小写字母.数字、符号至少三种组合,不能 应用与本人相即时通信软件等)使用与公 司设备、关的姓名.生日、电话、门牌号等信息作为密码,不能选取常见的英文单词、汉语拼 音作为密码,至少每3系统上相同的账号或口令。 个月更换1次密码。同时,对于互联网上的外部网站或应用(如论坛、微博. 即时通信软件等),不能使用与公司设备、系统上相同的账号或口令。 2.不准将账号与口令明文保存于 个人① 攻击者在通过渗透远程控制个人终端电脑或服务器后,会在受控终端上收集敏感信息,若是账号 与口终端电脑、服务器上,不能在 个人终令明文保存在终端上,会被攻击者恶意获得,登录相关的系统或数据库,从而窃取更多的信息。 端电脑、办公桌上粘贴含有 账号与口② 若攻击者通过伪装身份成功进入办公区,其会进行敏感信息收集,个人终端电脑.办公桌上贴有 账号与令的便签,且本人使用的 账号与口令口令的话,会被攻击者收集利用。 不能告知他人。 ③ 本人使用的账号与口令不能告知他人,也不能与他人共用同一账号。 邮件安全类 3.不准使用非工作邮箱代收、发工 作① 使用非工作邮箱代收、发工作邮件,在攻击者暴力破解非工作邮箱后,容易泄錄公司敏感信息。 邮件,且不能使用工作邮箱注册 公共② 若使用工作邮箱注册公共网站的服务并使用工作邮箱发送私人邮件,会使得工作邮箱域名泄靈 (工作网站的服务并使用工作邮箱发 送私人邮件。 邮箱组成:用户名@域名),攻击者会根据邮箱用户名设置格式(如名字拼音,名字拼音简 写等)•形成邮箱字典,从而向工作邮箱发送钓鱼邮件,达到攻击目的。 4.不准点击来路不明邮件中的链 接或① 攻击者会仿冒成熟人.领导、同事发送钓鱼邮件,利用钓鱼邮件收集个人信息及公司敏感信息。 钓鱼打开附件,且不要点击来路不 明的短邮件中通常会附带恶意链接、包含恶意代码的office文档附件,并诱导用户点击恶意链接.执 行office文信链接、不要扫描无法确定 其安全性档中的宏.通过恶意链接提示用户填写、提交敏感信息,通过执行office文档中的宏, 运行宏病毒,向受的二维码。 害用户电脑植入木马程序,实现远程控制和信息窃取。 ② 攻击者会通过诱导用户点击短信链接、扫描二维码等实施攻击,获得敏感信息。 信息保护类 5.不准将系统设计文档、网络拓扑 等攻击者在通过渗透远程控制服务器后,会在受控服务器上收集信息,若系统设计文档.网络拓扑等 敏感信息存储在服务器上,被攻击者获取,攻击者会利用这些敏感信息进行内网橫向、纵向渗透, 进而达到攻击敏感信息存放于服务器上。 目标系统的目的。 6.不准将网站或系统源代码上传 至互网络或系统源代码上传至互联网,会使得攻击者在获得源代码后挖掘到系统安全漏洞,如文件上传、 sql注入、xss等危害非常大的漏洞,且可能还会获得数据库、用户名、密码等敏感信息,从而实施 进一步的联网上 攻击。 ①攻击者往往会在U盘中植入病毒或木马程序,若U盘未经确认来源就使用,会增大终端感染病 毒、木7.不准使用来路不明的U盘,日常 使马程序的风险。 ② 对于日常使用的U盘,应加强已使用文件删除措施,在U盘上文件使 用完毕后,须用U盘中文件使用完毕后须及时 删除。 及肘进行删除,避免在攻击者得到U盘后,通过U盘荻得敏感信息。 8.不准未进行电脑锁屏就离开工 位 若攻击者通过伪装进行公司办公区,其会进行公司敏感信息收集,若是有员工离开了工位,办公电 脑却未锁屏,会使攻击者轻松访问到这台电脑,获取到这台电脑上的敏感信息,从而利用这些信息 实施进一步的攻击。 9.不准将敏感文件随便放置于办 公桌若攻击者通过伪装进入公司办公区,其会进行公司敏感信息收集,若是有员工桌面上放置了敏感文 件,面上 会使攻击者无需获得授权便访问到公司敏感信息,从而造成进一步的危害。 且不①若将终端同时跨界内外网,且在使用外网过程中终端感染恶意程序,如病毒、木马等,会使内网 环境办公安全类 10.不准将终端同时跨接内外网, 能私自在办公网络及其他内网 中搭建得到威胁,攻击者可使用病毒、木马等实施内网攻击,达到其目的。 ② 在办公网络及其他内 网中搭建无线热点,会使攻击者通过无线热点顺藤摸瓜攻击办公网络或内网。 无线热点。 11.不准使用公共场所的网络设备 处① 若使用公共场所的网络设备处理工作事宜.登录工作邮箱,会在公共场所网络设备留下痕迹,被 攻击理工作事宜、登录工作邮箱,慎 用公者取得敏感信息,从而被实施进一步的攻击。 ② 攻击者通常会通过wifi实施wifi钓鱼,获得 敏感信息,共场合wifi以及无密码的wifi。 因此,慎用公共场合wifi以及无密码的wifi。 12.不准在连接办公wifi时,使庄 wifiwifi万能钥匙具有共享用户所登录WiFi网络密码等信息的功能,若手机或电脑在连接办公wifi时, 安万能钥匙。 装有Wifi万能钥匙,则办公wifi账号、密码会被泄篦,会使攻击者有机可乘进入公司办公网络, 实施进一步的渗透攻击。 13.不准未经申请、审批、登记的 外部攻击者往往伪装成警察、维修人员、保洁人员、领导、同事、新员工、求职面试人员、技术顾问等 混入人员进入办公楼宇、营业厅的 工作专工作区域,窃取公司敏感信息,因此需加强重要场所外部人员进入管控工作,未经申请、审批. 登记的外用区域等非开放的办公区域 及机房等部人员一律不得进入办公楼宇、营业厅的工作专用区域等非开放的办公区域及机房等。 重要场所。 系统安全类 14.不准允许来路不明的人员远程 控攻击者往往会伪装成技术专家、工程师,诱导企业员工信任并授权其远程控制公司内各类设备或是 相信制公司内各类设备或执行其告知 的各其远程指导并执行其告知的各项指令,从而达到其攻击的目的。因此,在授权他人远程控制公 司内各类设备或是听取他人指导执行其告知的各项指令时,需再三确认其身份.确保其身份可信! 项指令 15.不准设置公司内业务系统为自 动在攻击者控制个人终端电脑后,若公司内业务系统可自动登录或是浏览器保存了系统密码,会使用 的攻 登录,且不能设置浏览器保存密 击者登录公司内业务系统,实施进一步的攻击,且若浏览器保存了系统密码,攻击者会使用工 码功能。 具获取到此密码,并根据此密码猜测登录其他设备或系统,使得攻击面进一步扩大。 攻击者往往通过互联网渗透攻击企业,若未经审批开通内部系统的互联网出口会加大内部系统被攻 击的风险。 16.不准未经审批开通内部系统的 互联网出口 本文来源:https://www.wddqw.com/doc/b310da16fac75fbfc77da26925c52cc58ad69054.html