关于对弱口令等网络安全风险进行自查整改的通知
时间:2021-04-15 11:30来源:未知 作者:admin 点击:
次
全院各单位(部门)、二级学院:
接上级网络安全部门的通知,为加强信息系统(网站)安全,提升我院各业务系统(网站)或平台的网络安全保障能力,请各单位(部门)、二级学院根据通报的以下网络安全风险开展自查整改,将自查及整改结果电子档(格式见附件1)于2021年4月22日前通过电子邮件(邮址:304618477@qq.com)发给李卫东老师,纸质档由分管安全工作的领导签字并盖章后送至三教3612办公室。
1.弱口令
风险等级:高
风险描述:未对密码设置策略进行强制要求,用户使用弱口令、通用口令,账户被黑客破解并控制,造成信息泄露,发布欺骗信息、恶意文件、钓鱼邮件等问题,产生严重的后果及影响。
修复建议:设定强制密码策略,密码至少由数字、字母、符号等三种字符组合、长度不少于12 位;定期更换密码;禁用长期未登录账户和已离职人员账户;增加多因素验证机制。
2.木马后门植入
风险等级:高
风险描述:木马植入是攻击者通过技术手段将木马程序上传于服务器中,对被感染木马病毒的计算机实施操作并取得网站或服务器管理员权限,一般木马植入会伴随系统本身存在的漏洞、脆弱性配置、弱口令等其他威胁。
修复建议:定期开展木马查杀,删除被植入的后门木马,并通过检查日志文件查明入侵途径及影响危害。及时修复网站或服务器漏洞,对服务器上传文件类型进行检验和限制。
3.数据库身份验证
风险等级:高
风险描述:数据库未设置身份验证,造成默认用户或空密码,外部人员无需认证便可以任意访问内部数据,造成用户名、密码等敏感信息泄露。
修复建议:在数据库配置中开启认证机制并设置强口令,对访问数据库IP 进行白名单限制。
4.FTP 匿名访问
风险等级:高
风险描述:目标服务器对外开放了FTP 服务,并未对FTP设置权限认证,导致任意用户未经过认证便可访问相关服务,造成敏感信息泄露。
修复建议:对外开放服务设定权限验证,对长期未使用、未维护的系统进行关闭处理,定期检查防火墙映射关系,及时发现对外开放的高危端口。
5.补丁升级
风险等级:高
风险详情:应用程序、WEB 中间件版本过低或已安装版本存在安全漏洞时,黑客可通过程序缺陷进行命令执行、拒绝服务攻击、反序列化等多种攻击获取网站服务器权限。
修复建议:关注厂商发布的更新动态,及时安装补丁和升级软件版本。
如有任何技术疑问,请及时向智网中心进行咨询。电话:027-87194313。
特此通知。
智慧学习与网络信息中心
2021年4月15日
(责任编辑:admin) |
------分隔线----------------------------
