信息系统用户密码管理自查报告

信息系统用户密码管理自查报告第一章自查背景与目标1.1背景某省属国有大型交通投资集团（以下简称“集团”）现有在运信息系统87套，覆盖财务、人力、工程、票务、OA、视频会议六大业务域。2023年11月，集团审计部在年度合规抽检中发现：①财务共享平台仍有132个账号使用初始密码“123456Aa”；②工程管理系统存在45个“僵尸”账号，最后登录时间为2021年；③人力系统近30天内有18次弱口令暴力破解告警，来源IP归属地均为境外。董事会要求信息管理中心（以下简称“中心”）30日内完成全集团密码管理专项自查并提交可落地的整改报告，确保2024年春运前高危漏洞清零。1.2目标a.100%清理初始密码、弱口令、僵尸账号；b.建立“制度—技术—运营”三位一体密码治理体系，2024年起实现密码违规事件≤1件/年；c.满足《网络安全法》第21条、《数据安全法》第27条、《个人信息保护法》第51条及GB/T39786-2021《信息安全技术信息系统密码应用基本要求》四级合规要求。第二章自查范围与依据2.1范围系统层：87套信息系统、3套移动APP、2套小程序、1套工业互联网平台。账号层：终端用户账号28493个、接口账号1206个、第三方运维账号312个。基础层：AD域控3套、LDAP2套、Kerberos1套、堡垒机4套、VPN2套、云桌面1800席。2.2依据法律法规：《网络安全法》《数据安全法》《个人信息保护法》《密码法》《关键信息基础设施安全保护条例》。标准规范：GB/T39786-2021、GB/T22239-2019、GB/T25070-2019、ISO/IEC27001:2022、NISTSP800-63B。内部制度：《集团信息安全管理办法》（2022修订版）、《账号与权限管理细则》《IT外包运维安全协议模板》。第三章组织与分工3.1领导小组组长：集团副总经理（分管信息化）副组长：信息管理中心主任、审计部经理成员：财务部、工程部、人力部、票务部、法务部、各二级公司信息化分管领导3.2执行小组中心安全运营室牵头，下设四个专业组：A.制度组：负责制度修订、合规对标、培训材料；B.技术组：负责扫描脚本、比对规则、加密改造；C.数据组：负责账号清单、日志取证、证据固化；D.监督组：负责进度跟踪、质量抽检、问责通报。3.3外部支持聘请第三方测评机构A公司（具备网络安全等级保护测评资质）进行盲测验证；邀请省公安厅网络安全总队专家开展现场督导。第四章自查流程与方法4.1整体流程（T+30日）Day1-3资产梳理→Day4-7制度修订→Day8-20技术检测与整改→Day21-25复测与取证→Day26-27培训与宣贯→Day28-30报告输出与董事会汇报。4.2资产梳理工具：Nmap、Masscan、ARL灯塔、CMDB导出脚本。输出：《系统资产清单》《账号基线表》《密码策略矩阵》。关键动作：①以IP为维度，扫描TCP1-65535端口，确认存活资产；②对接HR系统工号库，建立“人—账号—系统”三级映射；③标记四类高风险账号：初始密码、半年未改密、特权账号、多人共享。4.3制度修订新增条款：a.用户密码长度≥12位，必须包含大小写字母、数字、特殊字符中至少3类；b.密码最长有效期90天，历史5次内不重复；c.禁止键盘序、姓名拼音、生日、企业简称等8类弱模式；d.特权账号必须采用双人共管+硬件密码模块（国密SM4）加密存储；e.违规连续3次锁定30分钟，累计5次提交审计部约谈。修订流程：起草→会签（5部门）→法务合规→OA公示7天→正式发布。4.4技术检测4.4.1弱口令扫描工具：Hydra9.5、Hashcat6.2、自研“JT-PwdScan”脚本。字典：TOP10000、集团历史泄露密码、社工库融合字典。并发：≤4线程，扫描时段限定02:00-05:00，避开业务高峰。结果：发现弱口令账号1847个，其中财务共享132个、票务系统218个、VPN63个。4.4.2哈希离线破解方法：①导出/etc/shadow、ADNTDS.dit、MySQLuser.MYD；②使用hashcat-m1000-a3?a?a?a?a?a?a?a?a掩码跑8位纯字母；③对未破解值≥48小时即标记为“安全”。破解率：8位纯字母100%、9位含特殊字符0.7%，10位及以上0%。4.4.3僵尸账号识别规则：①最后登录>180天；②账号状态为enable；③无审批流中的“休眠备案”。SQL：SELECTusername,MAX(login_time)ASlast_loginFROMaccess_logGROUPBYusernameHAVINGDATEDIFF(NOW(),MAX(login_time))>180;结果：共1002个僵尸账号，已通知业务部门二次确认。4.5整改实施步骤1：立即冻结弱口令账号，邮件+短信双通道通知用户改密；步骤2：对财务、资金、招标3类系统强制启用短信动态令牌；步骤3：特权账号导入堡垒机，统一托管，自动代填，用户不可见密码；步骤4：僵尸账号公示5个工作日，无异议后批量禁用并转冷备LDAPOU；步骤5：所有整改结果在ServiceNow建单，状态未关闭即视为逾期，每日17:00通报。4.6复测与取证复测比例：100%覆盖高危系统，30%抽样普通系统；复测工具同4.4，确保“漏洞复现率=0”；取证要求：截图带水印、哈希值存证、电子签名入链（集团司法区块链）。第五章技术加固方案5.1统一身份认证改造建设基于OIDC+SAML2.0的集团级IDaaS，所有系统限期90日内接入。技术选型：认证层：Keycloak+MySQL主从；密码存储：PBKDF2-HMAC-SHA256，迭代次数≥310000；硬件加密：服务器配置国密PCI-E密码卡，SM4-CBC加密静态数据。5.2多因素认证（MFA）策略：①普通用户：TOTP（GoogleAuthenticator）+短信备份；②特权用户：FIDO2USBKey+指纹；③外包运维：短期证书+堡垒机短信+人脸识别。上线顺序：财务→人力→工程→票务→OA→其余。5.3密码保险箱部署CyberArkPrivilegedCloud，采用“隔离网段+IP白名单+SM2国密隧道”方式同步。功能：自动改密、密码回收、会话录像、风险analytics。范围：数据库root、网络设备enable、云平台AK/SK、第三方APIKey。5.4API接口账号治理规范：①接口账号命名统一“api_系统简称_随机6位”；②采用OAuth2.0ClientCredentials，token有效期≤2小时；③强制JWT+RS256，签名私钥托管在HSM；④调用频率限制：生产≤200次/分钟，测试≤30次/分钟。5.5日志与监测日志标准：遵循GB/T36627-2018《信息安全技术网络安全审计要求》，保留≥180天；监测规则：a.同一账号5分钟内失败≥10次，触发“暴力破解”告警；b.异地登录：IP归属地切换>300公里且时间差<2小时，触发“账号疑似盗用”告警；c.特权账号在非工作时间（22:00-07:00）登录，触发“高危操作”告警。响应SLA：P115分钟、P230分钟、P32小时。第六章培训与宣贯6.1培训对象全员：28493名终端用户；重点：财务资金、招投标、数据库运维、外包团队。6.2培训形式线上：企业微信直播+考试（题库随机30题，≥90分合格）；线下：分4期小班实操，每期40人，现场发放FIDO2USBKey并指导激活。6.3培训内容①密码管理“五不要”：不要共享、不要明文、不要复用、不要存储浏览器、不要贴在显示器；②社工案例：2023年某央企“假猎头”套取简历→撞库→入侵邮箱→盗取标书；③实操演示：手机丢失后如何通过备用邮箱+客服电话挂失TOTP。6.4考核与奖惩考核指标：培训覆盖率≥98%，考试通过率≥95%；奖励：考试满分员工抽100名送100元话费；惩罚：未参加考试账号强制冻结，需书面说明+部门负责人签字解冻。第七章运维与持续改进7.1密码健康度评分算法：Score=100–(弱口令×10)–(重复×5)–(超期×3)–(未启用MFA×15)；每月自动计算，纳入部门KPI，权重10%。7.2红蓝对抗每季度开展1次，蓝队使用开源工具+自研脚本模拟攻击，红队防守并溯源；对抗结果在集团网络安全例会通报，攻击成功率>5%即启动专项整改。7.3外部审计每年聘请两家不同机构交叉测评，对比结果差异>3%需书面解释；对测评提出的中高危漏洞，整改闭环率必须100%，否则扣减年度信息化预算5%。7.4制度迭代建立“制度版本库”，任何条款变更须走“申请—评估—测试—发布”四步；评估周期：重大变更≤30天，轻微优化≤90天；所有历史版本保存10年，满足审计追溯。第八章问责与处罚8.1问责条款a.初次违规：个人书面检查+部门内通报；b.累计2次：扣当月绩效20%，强制再培训；c.累计3次：暂停系统权限30天，年度考核不得高于“合格”；d.造成损失：按《员工手册》及《劳动合同》追偿，涉嫌犯罪的移送公安机关。8.2处罚案例2023-12-05，财务部员工张某将财务共享密码“Gj@2023”写在便利贴并丢失，被保洁员拍照上传至微信群，导致凭证被非法下载31份。处理：①张某记过处分，扣发年度奖金30%；②财务部经理诫勉谈话，部门年度KPI扣3分；③信息管理中心对财务共享系统立即强制启用MFA，相关费用3.7万元由财务部承担。第九章自查成果与数据9.1整改前后对比初始密码：1847→0弱口令率：6.48%→0%僵尸账号：1002→0MFA覆盖率：11.2%→100%密码平均长度：8.3位→14.7位暴力破解告警：日均11次→0次（连续30天）9.2合规达标GB/T39786-2021四级条款共52项，符合52项，符合率100%；《网络安全法》21条、36条、59条检查点全部通过；省公安厅现场检查评分97.5分（满分100），位列全省国企第一梯队。9.3成本投入人力：1240人日；资金：软件采购68万元、硬件密码卡24万元、培训与宣贯9万元；合计101万元，占年度信息化预算4.1%，低于行业平均5.6%。第十章经验总结与后续计划10.1经验a.“一把手”工程是推进关键，董事会亲自督办可压缩50%阻力；b.技术措施必须配套制度先行，否则出现“改了又被业务要求改回”的倒退；c.外包团队是盲区，必须纳入统