网络信息安全十六不准

1、附：网络信息安全十六不准解读十六不准要求解读账号口令类1.不准设置弱口令，且不能在互联 网上的外部网站或应用（如论坛、 微博、即时通信软件等）使用与公 司设备、系统上相同的账号或口令。应用系统、个人终端电脑、服务器、网络设备、安全设备、邮箱等密码设置需满足密码复杂度要求 并定期更换：密码长度不低于8位.且包含大写字母、小写字母、教字、符号至少三种组合，不能 应用与本人相关的姓名、生日、电话、门牌号等信息作为密码，不能选取常见的英文单词、汉语拼 音作为密码，至少每3个月更换1次密码。同时，对于互联网上的外部网站或应用（如论坛、微博、 即时通信软件等），不能使用与公司设备、系统上相同的账号或口令。

2、2.不准将账号与口令明文保存于 个人终端电脑、服务器上，不能在 个人终端电脑、办公桌上粘贴含有 账号与口令的便签，且本人使用的 账号与口令不能告知他人。攻击者在通过渗透远程控制个人终端电脑或服务器后，会在受控终端上收集敏感信息，若是账号 与口令明文保存在终端上，会被攻击者恶意获得，登录相关的系统或数据库，从而窃取更多的信息。若攻击者通过伪装身份成功进入办公区，其会进行敏感信息收集，个人终端电脑、办公桌上贴有 账号与口令的话，会被攻击者收集利用。本人使用的账号与口令不能告知他人，也不能与他人共用同一账号。邮件安全类3.不准使用非工作邮箱代收、发工 作邮件，且不能使用工作邮箱注册 公共网站的服务并

3、使用工作邮箱发 送私人邮件。使用非工作邮箱代收、发工作邮件，在攻击者暴力破解非工作邮箱后，容易泄露公司敏感信息。若使用工作邮箱注册公共网站的服务并使用工作邮箱发送私人邮件，会使得工作邮箱域名泄露（工作邮箱组成：用户名域名），攻击者会根据邮箱用户名设置格式（如名字拼音，名字拼音简 写等），形成邮箱字典，从而向工作邮箱发送钓鱼邮件，达到攻击目的。4.不准点击来路不明邮件中的链 接或打开附件，且不要点击来路不 明的短信链接、不要扫描无法确定 其安全性的二维码。攻击者会仿冒成熟人、领导、同事发送钓鱼邮件，利用钓鱼邮件收集个人信息及公司敏感信息。 钓鱼邮件中通常会附带恶意链接、包含恶意代码的office

4、文档附件，并诱导用户点击恶意链接、执 行office文档中的宏，通过恶意链接提示用户填写、提交敏感信息，通过执行office文档中的宏， 运行宏病毒，向受害用户电脑植入木马程序，实现远程控制和信息窃取。攻击者会通过诱导用户点击短信链接、扫描二维码等实施攻击，获得敏感信息。信息保护类5.不准将系统设计文档、网络拓扑 等敏感信息存放于服务器上。攻击者在通过渗透远程控制服务器后，会在受控服务器上收集信息，若系统设计文档、网络拓扑等 敏感信息存储在服务器上，被攻击者获取，攻击者会利用这些敏感信息进行内网横向、纵向渗透， 进而达到攻击目标系统的目的。6.不准将网站或系统源代码上传 至互联网上网络或系统源

5、代码上传至互联网，会使得攻击者在获得源代码后挖掘到系统安全漏洞，如文件上传、 sql注入、xss等危害非常大的漏洞，且可能还会获得数据库、用户名、密码等敏感信息，从而实施 进一步的攻击。7.不准使用来路不明的U盘，日常 使用U盘中文件使用完毕后须及时 删除。攻击者往往会在U盘中植入病毒或木马程序，若U盘未经确认来源就使用，会增大终端感染病 毒、木马程序的风险。 对于日常使用的U盘，应加强已使用文件删除措施，在U盘上文件使 用完毕后，须及时进行删除，避免在攻击者得到U盘后，通过U盘获得敏感信息。8.不准未进行电脑锁屏就离开工 位若攻击者通过伪装进行公司办公区，其会进行公司敏感信息收集，若是有员工

6、离开了工位，办公电 脑却未锁屏，会使攻击者轻松访问到这台电脑，获取到这台电脑上的敏感信息，从而利用这些信息 实施进一步的攻击。9.不准将敏感文件随便放置于办 公桌面上若攻击者通过伪装进入公司办公区，其会进行公司敏感信息收集，若是有员工桌面上放置了敏感文 件，会使攻击者无需获得授权便访问到公司敏感信息，从而造成进一步的危害。办公安全类10.不准将终端同时跨接内外网， 且不能私自在办公网络及其他内网 中搭建无线热点。若将终端同时跨界内外网，且在使用外网过程中终端感染恶意程序，如病毒、木马等，会使内网 环境得到威胁，攻击者可使用病毒、木马等实施内网攻击，达到其目的。在办公网络及其他内 网中搭建无线热

7、点，会使攻击者通过无线热点顺藤摸瓜攻击办公网络或内网。11.不准使用公共场所的网络设备 处理工作事宜、登录工作邮箱，慎 用公共场合wifi以及无密码的wifi。若使用公共场所的网络设备处理工作事宜、登录工作邮箱，会在公共场所网络设备留下痕迹，被 攻击者取得敏感信息，从而被实施进一步的攻击。 攻击者通常会通过wifi实施wifi钓鱼，获得 敏感信息，因此，慎用公共场合wifi以及无密码的wifi。12.不准在连接办公wifi时，使用 wifi万能钥匙。wifi万能钥匙具有共享用户所登录WiFi网络密码等信息的功能，若手机或电脑在连接办公wifi时， 安装有wifi万能钥匙，则办公wifi账号、密

8、码会被泄露，会使攻击者有机可乘进入公司办公网络， 实施进一步的渗透攻击。13.不准未经申请、审批、登记的 外部人员进入办公楼宇、营业厅的 工作专用区域等非开放的办公区域 及机房等重要场所。攻击者往往伪装成警察、维修人员、保洁人员、领导、同事、新员工、求职面试人员、技术顾问等 混入工作区域，窃取公司敏感信息，因此需加强重要场所外部人员进入管控工作，未经申请、审批、 登记的外部人员一律不得进入办公楼宇、营业厅的工作专用区域等非开放的办公区域及机房等。系统安全类14.不准允许来路不明的人员远程 控制公司内各类设备或执行其告知 的各项指令攻击者往往会伪装成技术专家、工程师，诱导企业员工信任并授权其远程控制公司内各类设备或是 相信其远程指导并执行其告知的各项指令，从而达到其攻击的目的。因此，在授权他人远程控制公 司内各类设备或是听取他人指导执行其告知的各项指令时，需再三确认其身份，确保其身份可信！15.不准设置公司内业务系统为自 动登录，且不能设置浏览器保存密在攻击者控制个人终端电脑后，若公司内业务系统可自动登录或是浏览器保存了系统密码，会使用 的攻击者登录公司内业务系统，实施进一步