信息系统用户权限管理自查报告

信息系统用户权限管理自查报告第一章自查背景与目标1.1背景某省属国有大型交通投资集团（以下简称“集团”）2023年7月上线新一代业财一体化信息系统（以下简称“新系统”），覆盖18家二级子公司、312个成本中心、4类外部金融机构接口。上线6个月后，集团审计部在2024年1月例行审计中发现：①同一用户同时拥有“付款审批”与“银企直联付款发送”两项互斥权限的账号27个；②已离职3个月以上仍具备生产环境有效账号19个；③供应商主数据维护员可越权查看全部员工薪酬数据；④无日志追踪的特殊批量账号3个，可绕过二次认证直接导出完整科目余额表。1.2目标在2024年3月31日前完成全集团用户权限基线核查、差异整改、制度修订、技术加固、长效机制落地，确保2024年二季度接受省国资委网络安全现场检查时“零失分”。第二章自查范围与依据2.1范围系统边界：新系统生产环境、灾备环境、测试环境、沙箱环境；用户范围：自然人账号2847个、系统接口账号126个、机器人账号41个；数据范围：权限对象1635个、角色模板198套、授权日志1.2亿条。2.2依据《网络安全法》第21、22条；《数据安全法》第27条；《个人信息保护法》第51条；GB/T22239-2019《信息安全技术网络安全等级保护基本要求》；集团《信息系统账号生命周期管理办法》（2022修订版）；集团《权限最小化实施细则》（2023试行版）。第三章组织与职责3.1自查领导小组组长：集团首席信息官（CIO）副组长：审计部总经理、信息中心总经理成员：财务部、人力资源部、法务部、各二级公司信息化分管领导职责：决策、资源调配、重大问题仲裁。3.2执行小组①权限治理组：信息中心6人，负责技术扫描、数据核对、权限回收；②业务复核组：各二级公司业务骨干38人，负责确认权限必要性；③合规检查组：审计部3人、法务1人，负责抽样、出具整改意见书；④监督组：纪委办公室2人，负责约谈、问责。第四章自查流程与方法4.1流程总览准备→扫描→核对→整改→复核→固化→报告。4.2技术扫描工具：SAPGRCAC12.0、自研Python脚本（调用SAPRFC接口）、Tableau2023.1。步骤：①导出所有角色、参数文件、用户主数据到自建PostgreSQL；②运行SoD（职责分离）规则库67条，生成冲突矩阵；③调用SAP标准函数BAPI_USER_GETLIST比对HR离职状态接口；④使用Tableau建立“超级用户地图”可视化，标红越权路径。4.3人工核对抽样策略：①高风险角色100%核对；②中风险角色按30%随机抽样；③低风险角色按10%随机抽样。核对方法：①线上视频会议“逐权确认”，屏幕共享勾选“必要/可收回”；②线下签字确认《权限必要性确认表》，留存影像。4.4整改措施A.立即停用：对审计发现的27个SoD冲突账号，执行事务码SU10批量锁定，邮件+短信通知到人；B.限时回收：对19个离职账号，T+1内禁用，T+3内删除；C.权限瘦身：对供应商主数据维护员，收回HR薪酬组织级别对象P_ORGIN的08infotype权限；D.特殊账号：3个批量账号纳入“特权账号管理”堡垒机，强制二次认证、双人授权、录像留存180天；E.配置加固：启用SAP参数login/min_password_diff至5次、login/password_max_idle_productive至8小时；F.接口治理：对126个接口账号启用OAuth2.0+JWT，有效期由365天缩短至90天，刷新令牌单次有效。4.5复核复核比例：高风险100%、中风险50%、低风险20%。复核通过标准：①无SoD冲突；②无僵尸账号；③日志审计开关全部开启；④角色命名符合“公司码_模块_级别_序号”四级规范；⑤所有特权操作已录屏。4.6固化①制度修订：新增《权限最小化实施细则》第5.3条“财务付款类角色不得同时拥有银行接口发送权限”；②流程固化：将“离职账号删除”节点嵌入HR离职流程，未关闭账号财务无法结清最后一月工资；③技术固化：在SAP生产客户端部署增强点EXIT_SAPLSUSF_001，调用HR接口实时校验在职状态，若已离职则拒绝登录并自动触发SNOW工单。第五章制度与规范5.1账号生命周期制度账号申请→部门负责人审批→信息中心开设→权限配置→用户签收→定期复核→变更→禁用→删除→归档。时限要求：①开设：需求提出后2个工作日内完成；②禁用：离职、调岗当日17:00前完成；③删除：禁用后30天内完成；④归档：删除后12年内不可销毁，满足《会计档案管理办法》。5.2权限最小化制度①角色模板由集团统一维护，二级公司不得自建；②所有授权必须基于“岗位-任务”矩阵，矩阵外权限一律驳回；③临时权限不得超过15天，超期自动回收；④所有授权日志保留3年，支持秒级检索。5.3职责分离矩阵财务模块：A.供应商主数据维护≠付款审批B.付款审批≠银企直联发送C.资产卡片创建≠资产折旧过账采购模块：D.采购订单创建≠采购订单审批E.采购审批≠收货过账人力资源：F.员工入职创建≠薪酬发放审批违反上述任意一条即触发SoD告警，工单自动升级至审计部。5.4违规问责①私自开设账号：扣减年度绩效20%，通报批评；②造成资金损失：按损失额1–5倍赔偿，情节严重者移交纪委；③逾期不整改：每超1日扣减单位信息化考核1分，累计超10分取消当年度评优。第六章技术加固清单6.1身份认证①生产环境全面启用多因素认证（MFA），支持国密SM2硬件令牌；②对接集团统一身份平台（基于OIDC协议），实现单点登录（SSO），密码策略由统一平台统一下发；③特权账号强制使用堡垒机，会话最长60分钟，超时自动断开。6.2授权管理①引入动态权限管理（DPMS），根据“时间+地点+风险评分”动态降权；②对财务敏感事务启用“双人授权”电子签，CA证书+UKey强制校验；③建立“权限沙箱”，所有新授权先在沙箱运行5个工作日，无异常再推送生产。6.3日志与审计①启用SAPSecurityAuditLog，记录RFC调用、事务码执行、表级导出；②日志统一发送到集团SIEM，保存180天，原始日志加密写入WORM存储，防止篡改；③配置实时告警：同一账号5分钟内登录IP超过3个即触发封锁并短信通知安全运营中心。6.4数据脱敏①开发环境使用生产脱敏数据，脱敏算法：姓名哈希、身份证后6位随机、银行卡号保留前6后4；②接口返回默认脱敏，需完整数据时走“敏感数据申请”流程，审批链路至集团总法律顾问。第七章实施进度与里程碑2024-02-01项目启动会2024-02-05完成技术扫描、差异清单2024-02-15完成高风险账号整改2024-02-29完成制度修订并发布2024-03-15完成复核、漏洞扫描复测2024-03-20完成培训、考试覆盖率100%2024-03-31出具正式自查报告、递交省国资委第八章培训与宣贯8.1培训对象全体最终用户2847人、信息化关键用户198人、审计与风控人员42人。8.2培训内容①权限最小化原则；②SoD冲突案例；③账号申请与回收流程；④违规案例剖析。8.3培训形式线上直播+线下小班，线上2小时，线下4小时（含上机）。8.4考核题库300题，随机30题，≥90分合格，不合格补考1次，再不合格暂停系统权限。第九章常见问题与排错9.1用户反馈“账号被误锁”排错：①检查SUIM锁定日志，确认锁定原因；②若属DPMS风险评分误报，由安全运营中心人工复核后10分钟内解锁；③向用户推送“账号解锁指引”邮件，内含自助申诉链接。9.2角色导入失败排错：①检查角色名称是否含特殊字符；②检查是否存在重复对象；③使用事务码PFCG→Utilities→MassCompare进行一致性比对；④仍失败则提交SNOW工单，附上报错截图。9.3堡垒机无法跳转排错：①确认本地3389/22端口未被占用；②检查堡垒机证书是否过期；③重新下载安装最新版JumpClient；④若使用MAC系统，需在“安全性与隐私”中允许系统扩展。第十章自查成果与量化指标10.1账号治理累计回收冗余权限4312条，SoD冲突账号由27个降至0，离职僵尸账号由19个降至0。10.2制度落地新增条款8条、修订条款12条、废止模糊条款3条，实现100%线上审批。10.3技术加固启用MFA覆盖率100%，堡垒机纳管率100%，日志留存合规率100%，接口令牌有效期缩短75%。10.4风险评分使用NIST800-30方法评估，权限相关风险值由4.8（高）降至1.6（低）。10.5审计结论集团审计部出具《专项审计意见》认为：用户权限管理有效性“可信赖”，满足省国资委考核要求。第十一章后续持续改进11.1季度复审每季度末月20日自动运行SoD扫描脚本，结果推送审计部、财务部、被审计单位三方会签。11.2年度演练每年11月组织“权限滥用”红蓝对抗演练，模拟账号被盗、越权导出、批量转账场景，演练报告在15日