邮件安全、移动APP防护、办公/营业终端防护

邮件安全

操作建议：

1.应要求禁止在邮件标题、正文、附件中携带账号、口令等敏感信息，所有涉及到敏感信息的文件必须加密；

2.邮箱客户端(如FoxmajL Outlook)开启本地账号访问口令密码策略；邮箱密码定期强制更换，且密码复杂度达到规定要求；

3.各单位需全面排查邮件类业务，对冗余邮箱、冗余账号、弱口令等检查清理。邮件系统及帐号的口令爆破；(同第10条)

4.部署邮件安全网关，加强邮件安全检测能力、动态异常检测能力和审计能力。监测邮箱账号的异常登录访问行为，如防范撞库攻击、暴力破解，识别和阻断针对邮件服务器的攻击。

5.加强员工安全意识培训，禁止点击来路不明邮件中的链接或打开附件：设置防病毒软件自动查毒；

6.将邮件服务器Web登录界面移至内网，外网仅开放pop 3、smtp端口

7.提示：

a.要做好员工被钓鱼后的心理准备和深层防御准备(信息泄露与横向攻击)。(难免有些员工将系统地址与账户密码以明文形式存储在文档中，或习惯性的使用浏览器记住密码功能。）

b.定向钓鱼概念：针对安全意识不强的员工，发送特质的钓鱼邮件，如给法务人员发律师函、给人力资源发简历、给销售人员发采购需求等。

移动APP防护

操作建议：

1.控制内外部移动应用APP数量，对应用业务逻辑进行自查，消除安全隐患。

2.强化对移动引用APP后台系统的防护，加强访问权限控制，同事也应限制APP后台系统对其他资产的访问权限，做适当隔离。

3.开展移动应用APP后台业务逻辑和中间件的安全风险及漏洞的梳理排查；包括再用的旧版本；

4.移动应用APP启动和更新时，进行真实性和完整性校验。

5.对客户端程序增加夹克、混淆等措施，加强抗逆向分析、抗反汇编等防护能力。

6.客户端必要时需使用安全键盘。

7.提示：本项工作设计的APP数量及范围，PM应提前估算成本并与销售及客户沟通。当防守范围内无APP或APP接入路径时，可略过。

办公/营业终端防护

操作建议：

1.加强终端管理，包括办公PC、客服终端、营业终端、开发终端等。对办公终端进行统一安全管控，消除典型高危Windows漏洞及弱口令；

2.营业终端、无人值守终端等，应安装防病毒软件、限制USB口使用、限定只能访问特定站点；

3.办公网络应做好准入控制策略，严格审核完毕终端接入情况，做好第三方运维人员终端的安全管控；

4.办公终端应统一安装网络版的防病毒软件，并在本阶段做一次全盘病毒查杀；

5.禁止重要系统的维护终端设备出现外连行为，或禁止访问互联网；

6.提示：由于终端并非全时在线，对终端的在线检查工作应分几次持续进行，避免遗漏。