敲响“两高一弱”安全警钟！企业如何高效实现安全风险治理.docxVIP

腾讯云“两高一弱”

安全防治方案

目录Menu

○“两高一弱”的背景概述

“两高一弱”检查范围及细节

●云上“两高一弱”的防治思路及方

案

“两高一弱”治理背景概

述

“两高一弱”检查背景

攻防对抗力量不对等，网络安全防护进行常态化防御阶段，要求组织具备实战化防御能力，其中攻击失陷大多源于两高一弱的安全风险，国家监管推进落实“两高一弱”专项治理。

2023年

2023年

随着公安部于2023年11月30日举办的

“公安心向党护航新征程”主题发布，

各个行业须高度重视“两高一弱“(高

危端口、高危漏洞和弱口令)问题。

2024年

2024年

2024年夏天，根据公安部“重点行业发布’两高一弱’风险隐患排查整治管理工作的

通知”,重点行业已全面开展“两高一弱”风险排查整治工作。

未来两高一弱将成为监管机关检查和企业安全风险治理建设的常态化工作。

“两高一弱”检查形式

检查对象：关键信息基础设施单位、政府、金融、交通、能源、央国企等重点行业单位，由当地执法机构进行抽查以及监督检查

检查内容：要求各单位机构要利用资产测绘和风险监测验证技术，结合“两高一弱”技术要求和实际情况，自主发现、整改本机构的主机、系

统、网络、物联网设备等IT资产，尤其是关键信息基础设施、重要网络系统、门户网站、物联网设备系统存在的“两高一弱”问题隐患。

检查形式：要严防问题隐患整改不到位或者反弹，针对性加强复

测复核的给“回头看”措施，自2024年7月起，每月月底，将按时

上报整改进展情况，以保障工作的有效推进与成果的持续巩固

两高一弱-检查要求及细节

高危漏洞

高危漏洞指存在严重安全风险的软件或系统漏洞，主要为CVE漏洞、攻击者经常攻击使用的漏洞等，本次专项整治包括但不限于以下远程代码执行、数据泄露、拒绝服务、提权攻击、跨站脚本攻击等漏洞。

资产类似包括：办公系统、操作系统、中间件、数据库、第三方组件、开发框架、网络设备、网络安

全产品、摄像头、联网电子屏系统、工控设备等。

高危端口

高危端口指存在互联网上暴露了易被攻击者攻击利用的特定端口，本次专项整治包括

高危端口指存在互联网上暴露了易被攻击者攻击利用的特定端口，本次专项整治包括但不限于核心业务系统、网站门户、大数据系统、数据库等涉及到数据安全、易被远程攻击利用的、不应该暴露在互联网上的端口。

特别值得注意的：本次不仅是要求端口号，同时还有端口涉及到的业务。

特别值得注意的：本次不仅是要求端口号，同时还有端口涉及到的业务。

弱口令

弱口令是指容易被破解或猜测的密码，通常因为缺乏足够的复杂性和安全性而容易被攻击者猜解，成为网络攻击的主要突破口。

弱口令常见特征

弱口令常见特征

(一

(一)

(二)口令复杂度不够(只包含数字或者字母):例abcdefg等

(三)口令缺少特殊字符(口令组成缺少特殊字符):例如缺少!、@、#、$、、^等

(三)

(四)口令包含易被推测的字段(键盘上相邻按键的字符):例如qweasdzxc等

(四)

网络应用或设备的默认口令：例如root、password、administor、admin等。特

(五)别值得注意的：·对密码复杂度提出明确要求。·未明确范围，理论上所有系统、中间件、业务账户口令都应该按照以上要求

(五)

两高一弱--执法案例

案例①

公安机关网安部门接报案，某单位数据遭泄露，调查发现，该单位为方便系统日常维护，将信息管理系统外联互联网，外联软件设置了弱口令导致被黑客破解，该单位未建立全流程数据安全管理制度、未落实网络安全等级保护制度、未履行数据安全保护义务，违反了《中华人民共和国网络安全法》相关规定，宁德市公安机关对该单位处以行政处罚。

案例②

公安机关网安部门接到通报，某公司系统被黑客实施攻击并上传木马。调查中发现，在前期的“两高一弱”专项治理工作中，该公司因存在“重应用，轻防护”的思想，对网络安全工作不重视、安全防护意识淡薄，未严格按照法律要求履行网络安全主体责任，导致系统漏洞被黑客利用进行攻击，部分信息系统和数据遭到破坏。公安机关网安部门开展“一案双查”,依据《中华人民共和国网络安全法》第二十一条、第二十五条、第五十九条之规定，责令该公司限期整改，并给予警告。

在此背景下，建立一套行之有效的“两高一弱”场景解决方案对各单位安全运营人员而言迫在眉睫

“两高一弱”安全防治思路及方

案

云上“两高一弱”的防治难点

资产分散，管理效率低

多个业务团队管理多个云账号，资产管理工作量大，效率低

①

②

业务调整频繁，风险变化快

云上业务资产变化快，两高一弱情况也在不

断变化，难以掌控

漏洞问题是整治难点

漏洞问