近期，國(guó)鐵集團(tuán)信息技術(shù)中心發(fā)布了《關(guān)于開(kāi)展網(wǎng)絡(luò)安全自查的通知》(科技網(wǎng)安函[2022]40號(hào)), 決定在全路范圍內(nèi)開(kāi)展一次網(wǎng)絡(luò)安全防護(hù)情況自查工作。為落實(shí)好《通知》有關(guān)工作要求，為深入貫徹落實(shí)習(xí)近平總書(shū)記關(guān)于維護(hù)網(wǎng)絡(luò)安全、強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的系列重要指示精神，全力做好黨的二十大等重大活動(dòng)網(wǎng)絡(luò)安保工作，有效備戰(zhàn)國(guó)家級(jí)網(wǎng)絡(luò)攻防演練，現(xiàn)將有關(guān)自查情況報(bào)告如下。

一、自查工作組織開(kāi)展情況

接到通知后，領(lǐng)導(dǎo)高度重視，安排了公司副總經(jīng)理牽頭，組織信息技術(shù)部門(mén)人員成立了安全保障團(tuán)隊(duì)；同時(shí)下發(fā)的安全公告和工作安排，各部門(mén)也積極響應(yīng)配合落實(shí)。

二、自查工作實(shí)施情況

1.檢查運(yùn)維終端IP地址安全管理，并與使用人員簽訂安全責(zé)任承諾書(shū)。

2.檢查對(duì)外開(kāi)放場(chǎng)所和外來(lái)人員的管控，防止其私自接入網(wǎng)絡(luò)。

3.排查內(nèi)部服務(wù)網(wǎng)，與國(guó)鐵集團(tuán)、相關(guān)鐵路局、其它路內(nèi)外單位網(wǎng)絡(luò)邊界訪問(wèn)策略，禁止開(kāi)放any全通策略，嚴(yán)格按照最小化原則開(kāi)放訪問(wèn)策略。

4.檢查外部服務(wù)網(wǎng)，與國(guó)鐵集團(tuán)、相關(guān)鐵路局、其它路內(nèi)外單位網(wǎng)絡(luò)邊界訪問(wèn)策略，禁止開(kāi)放any全通策略，嚴(yán)格按照最小化原則開(kāi)放訪問(wèn)策略。

5.檢查互聯(lián)網(wǎng)邊界訪問(wèn)策略，禁止開(kāi)放any全通策略，嚴(yán)格按照最小化原則開(kāi)放訪問(wèn)策略，特別是禁止高風(fēng)險(xiǎn)端口暴露互聯(lián)網(wǎng)，如：遠(yuǎn)程管理TCP:3389/22/23、數(shù)據(jù)庫(kù)TCP:1433/1521/3306、redis,TCP:6379、文件打印和共享TCP：139/445。

6.檢查辦公終端出現(xiàn)一機(jī)兩網(wǎng)的情況。

7.檢查網(wǎng)絡(luò)區(qū)域邊界、業(yè)務(wù)訪問(wèn)路徑關(guān)鍵節(jié)點(diǎn)是否采取了全面的網(wǎng)絡(luò)監(jiān)測(cè)和審計(jì)措施。

8.檢查操作系統(tǒng)、WEB組件、應(yīng)用程序和數(shù)據(jù)庫(kù)，是否存在第三方廠商或CVE/CNVD/CNNVD發(fā)布的0day/Nday漏洞。

9.核查近兩年來(lái)互聯(lián)網(wǎng)漏洞服務(wù)平臺(tái)、CNCERT、安全檢查及內(nèi)外部攻防演練發(fā)現(xiàn)的安全漏洞是否逐一整改加固。

10.檢查堡壘機(jī)、VPN、統(tǒng)一身份認(rèn)證平臺(tái)是否存在僵尸賬戶(hù)；檢查高權(quán)限賬戶(hù)是否采取雙因素認(rèn)證或登錄限制措施。

11.檢查運(yùn)維終端在運(yùn)維管理過(guò)程中是否使用堡壘機(jī)登錄，嚴(yán)格禁止使用跳板機(jī)登錄，禁止使用第三方遠(yuǎn)程軟件從互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維管理。

12.檢查外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)與國(guó)鐵集團(tuán)連接的所有運(yùn)維主機(jī)的終端安全防控軟件、防病毒等安裝情況；是否采取網(wǎng)絡(luò)準(zhǔn)入措施；是否記錄相關(guān)日志，確保運(yùn)維終端的使用定位到人。

13.檢查所有運(yùn)維終端，禁止瀏覽器、本地主機(jī)文件留存賬號(hào)和口令等敏感信息。

14.梳理涉及核心敏感數(shù)據(jù)（如：公民個(gè)人信息、業(yè)務(wù)生產(chǎn)敏感數(shù)據(jù)、運(yùn)行管理數(shù)據(jù)、其他重要數(shù)據(jù)等）的業(yè)務(wù)系統(tǒng)，是否采取加密存儲(chǔ)、傳輸?shù)劝踩胧?；是否部署了?shù)據(jù)行為操作審計(jì)措施。

15.檢查所有辦公終端，禁止瀏覽器、本地主機(jī)文件留存賬號(hào)和口令等敏感信息。

16.加強(qiáng)全員安全意識(shí)教育培訓(xùn)，禁止向任意第三方透露系統(tǒng)賬號(hào)口令，防止被社工釣魚(yú)。

17.檢查操作系統(tǒng)、WEB應(yīng)用、網(wǎng)絡(luò)/安全設(shè)備、集權(quán)類(lèi)設(shè)備/平臺(tái)是否存在弱口令/空口令/默認(rèn)口令和口令復(fù)用情況，建議重要系統(tǒng)的賬號(hào)，特別是特權(quán)賬號(hào)采取雙因素認(rèn)證措施，口令+短信/動(dòng)態(tài)驗(yàn)證碼，如：統(tǒng)一登錄類(lèi)的平臺(tái)。

三、自查結(jié)果

1.運(yùn)維終端IP地址已經(jīng)安全管理，并與使用人員簽訂安全責(zé)任承諾書(shū)。

2.對(duì)外開(kāi)放場(chǎng)所和外來(lái)人員已經(jīng)管控，防止其私自接入網(wǎng)絡(luò)。

3.內(nèi)部服務(wù)網(wǎng)，與國(guó)鐵集團(tuán)、相關(guān)鐵路局、其它路內(nèi)外單位網(wǎng)絡(luò)邊界訪問(wèn)策略，已經(jīng)禁止開(kāi)放any全通策略，嚴(yán)格按照最小化原則開(kāi)放訪問(wèn)策略。

4.外部服務(wù)網(wǎng)，與國(guó)鐵集團(tuán)、相關(guān)鐵路局、其它路內(nèi)外單位網(wǎng)絡(luò)邊界訪問(wèn)策略，已經(jīng)禁止開(kāi)放any全通策略，嚴(yán)格按照最小化原則開(kāi)放訪問(wèn)策略。

5.互聯(lián)網(wǎng)邊界訪問(wèn)策略，已經(jīng)禁止開(kāi)放any全通策略，嚴(yán)格按照最小化原則開(kāi)放訪問(wèn)策略，特別是禁止高風(fēng)險(xiǎn)端口暴露互聯(lián)網(wǎng)，如：遠(yuǎn)程管理TCP:3389/22/23、數(shù)據(jù)庫(kù)TCP:1433/1521/3306、redis,TCP:6379、文件打印和共享TCP：139/445。

6.辦公終端沒(méi)有出現(xiàn)一機(jī)兩網(wǎng)的情況。

7.網(wǎng)絡(luò)區(qū)域邊界、業(yè)務(wù)訪問(wèn)路徑關(guān)鍵節(jié)點(diǎn)已經(jīng)采取了全面的網(wǎng)絡(luò)監(jiān)測(cè)和審計(jì)措施，相關(guān)安全防護(hù)升級(jí)計(jì)劃今年已經(jīng)開(kāi)始相關(guān)采購(gòu)。

8.操作系統(tǒng)、WEB組件、應(yīng)用程序和數(shù)據(jù)庫(kù)，不存在第三方廠商或CVE/CNVD/CNNVD發(fā)布的0day/Nday漏洞。

9.近兩年來(lái)互聯(lián)網(wǎng)漏洞服務(wù)平臺(tái)、CNCERT、安全檢查及內(nèi)外部攻防演練發(fā)現(xiàn)的安全漏洞已經(jīng)逐一整改加固。

10.堡壘機(jī)、VPN、統(tǒng)一身份認(rèn)證平臺(tái)相關(guān)安全防護(hù)升級(jí)計(jì)劃今年已經(jīng)開(kāi)始相關(guān)采購(gòu)。

11.運(yùn)維終端在運(yùn)維管理過(guò)程中已經(jīng)使用堡壘機(jī)登錄，嚴(yán)格禁止使用跳板機(jī)登錄，禁止使用第三方遠(yuǎn)程軟件從互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維管理，相關(guān)安全防護(hù)升級(jí)計(jì)劃今年已經(jīng)開(kāi)始相關(guān)采購(gòu)。

12.外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)與國(guó)鐵集團(tuán)連接的所有運(yùn)維主機(jī)已經(jīng)安裝終端安全防控軟件、防病毒軟件；已經(jīng)采取網(wǎng)絡(luò)準(zhǔn)入措施；記錄相關(guān)日志，確保運(yùn)維終端的使用定位到人。

13.所有運(yùn)維終端，禁止瀏覽器、本地主機(jī)文件留存賬號(hào)和口令等敏感信息。

14.梳理涉及核心敏感數(shù)據(jù)（如：公民個(gè)人信息、業(yè)務(wù)生產(chǎn)敏感數(shù)據(jù)、運(yùn)行管理數(shù)據(jù)、其他重要數(shù)據(jù)等）的業(yè)務(wù)系統(tǒng)，已經(jīng)采取加密存儲(chǔ)、傳輸?shù)劝踩胧幌嚓P(guān)安全防護(hù)升級(jí)計(jì)劃今年已經(jīng)開(kāi)始相關(guān)采購(gòu)。

15.所有辦公終端，已經(jīng)禁止瀏覽器、本地主機(jī)文件留存賬號(hào)和口令等敏感信息。

16.已經(jīng)加強(qiáng)全員安全意識(shí)教育培訓(xùn)，禁止向任意第三方透露系統(tǒng)賬號(hào)口令，防止被社工釣魚(yú)。

17.操作系統(tǒng)、WEB應(yīng)用、網(wǎng)絡(luò)/安全設(shè)備、集權(quán)類(lèi)設(shè)備/平臺(tái)不存在弱口令/空口令/默認(rèn)口令和口令復(fù)用情況，重要系統(tǒng)的賬號(hào)，特別是特權(quán)賬號(hào)已經(jīng)采取雙因素認(rèn)證措施，口令+短信/動(dòng)態(tài)驗(yàn)證碼。

XXXXXXXXXXXXXXXXXXXX

2022年X月X日