1.业务系统网络安全检查报告-成本系统

附件1业务系统网络安全检查报告-成本系统技安全字［2019］第025号经济管理部技术中心根据《关于开展网络安全漏洞排查整改专项工作的通知》和《关于加强网络安全建设并配合公安部网络安全执法检查的通知》对集团公司及所属各单位网站和信息系统开展安全漏洞扫描和渗透测试n中铁建工集团成本系统（域名http//cm.crceg.cn89）存在1个高危漏洞概括如下（漏洞详情见附件1）1）弱口令（高危）网络安全整改建议1）系统管理人员a）排查系统弱口令账户，通知系统相关使用人员修改弱口令2）系统管理人员协调软件开发公司对系统做安全加固a）建议登录界面增加验证码校验,并对认证失败次数过多的用户进行封禁，防止口令爆破b）建议软件配置账号密码采用强密码认证（密码要求为八位以上包含大小写字母，数字，特殊字符），用户第一次登陆，默认密码必须修改后，才能登录系统，增加手机短信验证，保证账号密码不被非法修改、登录系统3）系统使用人员a）提高自身安全意识，修改自己的账户口令，口令应在8位或8位以上，至少包含大小写字母，数字，特殊字符中的两种b）密码中不应该包含用户名或生日等特征性较强的字符c）定期更换密码，建议每3个月更换一次密码，新密码不应该与旧密码相同，不要一个密码多处使用信息系统弱口令问题看似容易整改的小问题，实则是关乎信息系统数据安全和企业网络安全的大问题，同时这也是国家互联网应急中心监测的重点，非常容易被扫描识别，一经发现就会启动通报机制，从国资委到股份公司再到集团公司都会受到影响，直接影响集团公司在股份公司的年度绩效各单位务必要引起高度重视，全面加强针对“弱口令”问题的安全教育和宣贯，通知到各类信息系统的所有用户，立即强化口令，确保登陆用户密码必须超过八位，并包含数字、字母和特殊字符同时，各类信息系统必须抓紧配置禁止弱口令规则，尽快完成整改技术中心2019年n月27日。