2.业务系统网络安全检查报告-分包系统

附件

2.业务系统网络安全检查报告-分包系统技安全字［2019］第026号经济管理部技术中心根据《关于开展网络安全漏洞排查整改专项工作的通知》和《关于加强网络安全建设并配合公安部网络安全执法检查的通知》对集团公司及所属各单位网站和信息系统开展安全漏洞扫描和渗透测试网络安全漏洞概况中铁建工集团分包管理系统（域名http//fb.crceg.cn）1个高危漏洞和3个低危漏洞概括如下（漏洞详情见附件1）1）用户弱口令（高危）2）信息泄漏（低危）3）明文传输（低危）4）不安全的HTTP方法（低危）网络安全整改建议软件开发公司对软件进行安全加固

1、建议数据返回包中不要包含系统或中间件的版本信息

2、建议对登录页面使用https传输或将用户输入的用户名，密码字段进行加密后再传输

3、建议不要使用open等不安全的HTTP方法

4、建议登录界面增加验证码校验，并对认证失败次数过多的用户进行封禁，防止口令爆破

5、建议软件配置账号密码采用强密码认证（密码要求为八位以上包含大小写字母，数字，特殊字符），用户第一次登陆，默认密码必须修改后，才能登录系统

6、建议软件配置用户修改或忘记密码，增加手机短信验证，保证账号口令修改为员工操作，账号口令不被非法修改、登录系统、泄露数据.

7、建议软件配置用户异常报警功能，账号异常登录等操作行为产生报警日志，通过短信或邮件通知用户，用户及时处理，避免发生数据泄露等安全事件

8、建议软件配置日志审计功能，对用户和应用系统重要安全事件进行审计，包括但不限于用户弱口令识别、用户登录、修改用户权限、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等，日志记录留存不少于6个月技术中心2019年12月9日。