信息化系统自查报告及整改措施

信息化系统自查报告及整改措施第一章项目背景与自查动因1.1项目概况××市××局“智慧××”信息化系统（以下简称“本系统”）于2021年3月上线，覆盖行政审批、数据共享、移动办公、视频会议、电子档案五大子系统，注册用户2.3万人，日均并发峰值4200。系统采用“市-县-所”三级部署，核心数据库为Oracle19c，中间件为WebLogic14c，应用层基于SpringCloud微服务架构，硬件托管于××市政务云（华为Stack8.2）。1.2自查触发点2024年2月，省大数据局下发《2024年政务信息化系统风险排查专项行动方案》，要求3月底前完成“全覆盖、穿透式”自查。与此同时，本单位在2月8日内部攻防演练中发现“普通用户可越权下载电子档案全文”的高危漏洞。双重压力之下，局党组决定成立“信息化系统自查整改专班”，由分管副局长挂帅，信息中心主任任组长，抽调业务、安全、审计、法规、财务、人事六条线骨干共18人，实行“清单式管理、销号式整改”。第二章自查范围与方法2.1范围界定本次自查以“系统+数据+制度+人员”四维模型为边界，时间跨度2021.3.15—2024.2.29，对象涵盖：a.所有生产环境组件（含虚拟化、容器、裸金属、网络、存储、安全设备）；b.全部在跑数据（含业务数据、日志数据、备份数据、测试数据残留）；c.现行24项制度（含8项安全制度、5项运维制度、6项数据制度、5项外包制度）；d.全部运维、开发、外包、驻场、实习人员共97人。2.2方法设计采用“文件审查+技术检测+现场访谈+逆向追溯”四轴联动：1.文件审查：对照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》等12份国家标准、6份省级规范、4份行业指南，逐条勾选符合性；2.技术检测：委托××测评中心（具有国家网络安全等级保护测评资质）进行三级等保工具集扫描+人工渗透+基线核查，共投入人力42人天；3.现场访谈：使用NISTSP800-30风险访谈模板，对关键岗位人员半结构化访谈，每人30分钟，全程录音并转写；4.逆向追溯：随机抽取3个月（2023.11、12、2024.1）的全部运维工单，对其中“变更、故障、发布”三类工单做全流程逆向追踪，验证闭环。第三章发现问题汇总3.1高危（红色）问题序号问题描述风险等级涉及模块发现方式是否复现1未授权用户可越权下载档案全文高电子档案渗透测试是2生产库与测试库共用同一存储池高数据层基线核查是3运维堡垒机未启用双因子高运维域现场查看是3.2中危（橙色）问题序号问题描述风险等级涉及模块发现方式是否复现4日志留存不足6个月中日志审计工具扫描是5备份数据未做定期恢复演练中备份系统文件审查否3.3低危（黄色）问题序号问题描述风险等级涉及模块发现方式是否复现6部分测试账号未回收低身份管理工具扫描是7机房温湿度记录缺失低物理环境现场查看否第四章根因分析4.1技术根因a.权限模型缺陷：电子档案模块采用“角色+数据范围”二维授权，但未将“档案密级”字段纳入动态鉴权，导致普通角色在“数据范围”匹配时即可下载绝密档案；b.存储隔离缺失：KVM虚拟化平台未开启CephQoS，导致测试库可跨池读取生产卷；c.堡垒机版本老旧：2019年采购的堡垒机固件停在V2.1.6，官方已停止维护，无法升级支持FIDO2。4.2管理根因a.制度真空：2022年修订的《数据备份管理办法》仅规定“定期”演练，未明确“季度”频次；b.外包边界模糊：驻场外包人员拥有AD域管账号，但合同中未约定“最小权限”条款；c.意识缺位：2023年仅组织1次社会工程学培训，覆盖率38%，未纳入年度绩效考核。第五章整改目标与原则5.1目标2024年5月31日前，高危问题清零，中危问题关闭率≥90%，低危问题关闭率≥80%，系统通过三级等保测评复测，风险综合评级由“高”降至“中”。5.2原则“三不”原则：不新增系统、不降低业务可用性、不扩大外包范围；“三先”原则：先止血、再加固、后优化；“五到位”原则：责任到位、资金到位、人员到位、测试到位、审计到位。第六章整改措施（含实施流程）6.1高危问题整改6.1.1电子档案越权下载步骤1：立即下线“档案打包下载”接口（2024.3.800:30-02:00发布窗口）；步骤2：在权限服务新增“密级”属性，采用ABAC模型，策略规则写入OpenPolicyAgent；步骤3：联调测试，使用JMeter构造200并发、覆盖4类密级、3类角色、5种数据范围，全部用例228个，通过率100%；步骤4：灰度发布，先开放20%流量，观察24小时错误率<0.1%，再全量；步骤5：出具《代码安全审计报告》，由××安全公司签字盖章，归档。6.1.2生产测试存储混用步骤1：采购独立Ceph池专用SSD，预算48万元，走政采云电子卖场竞价；步骤2：凌晨02:00-04:00使用rsync+lvmsync迁移测试卷，耗时1小时48分，业务无感知；步骤3：在/etc/ceph/ceph.conf新增[test]段，设置crush-failure-domain=host，隔离规则即时生效；步骤4：回收原池500GB空间，写入速度下降3.2%，在可接受范围；步骤5：输出《存储隔离验收单》，由信息中心、业务处室、财务三方签字。6.1.3堡垒机双因子步骤1：紧急采购8台FIDO2Key（型号：FeitianK44），单价198元；步骤2：升级固件至V3.2.1，官方ReleaseNote验证支持WebAuthn；步骤3：在AD组策略新建“堡垒机双因子”OU，将97名运维人员全部纳入；步骤4：采用“T+1”批次切换，每批次≤10人，现场协助绑定，留存纸质登记；步骤5：使用Nmap脚本检测3389、22端口，确认仅堡垒机IP可访问，关闭率100%。6.2中危问题整改6.2.1日志留存不足措施：将日志服务器扩容至36TB，采用NAS+对象混合存储，策略设定“热存30天、温存90天、冷存180天”，通过Logstash+Lifecycle自动转储；每季度由法规处抽查10%日志完整性，缺失率<1%。6.2.2备份恢复演练措施：修订《数据备份管理办法》第3.2条，明确“每季度末月25日开展演练”，RTO≤2小时、RPO≤15分钟；演练脚本固化到AnsiblePlaybook47个任务，演练报告由第三方审计师签字，抄送财务处备案。6.3低危问题整改6.3.1测试账号回收措施：在IAM系统新增“账号生命周期”模块，设置“测试账号30天未登录自动冻结、60天自动删除”；冻结前7天邮件+短信双通道提醒，2024.4.15前完成历史账号清理，共删除213个。6.3.2机房温湿度记录措施：采购2台RS485接口温湿度传感器，接入Zabbix6.4，设置触发器：温度>26℃或湿度>70%RH即短信告警；历史数据保存3年，报表每月自动推送至后勤科。第七章配套制度修订清单制度名称修订条款核心变化生效日期责任处室数据备份管理办法3.2；4.5明确季度演练、RTO/RPO指标2024.4.1信息中心外包驻场安全规范5.1；7.3增加“最小权限”+“双因子”2024.4.1法规处权限管理实施细则2.4；3.6引入ABAC、密级属性2024.3.25业务处日志审计操作规程全文新增分层存储、抽查比例2024.4.5审计科第八章应急预案更新8.1场景设定针对“电子档案越权漏洞被批量利用”场景，设定IV级（重大）事件。8.2流程图事件发现→10分钟内电话报告值班经理→30分钟内技术封控（下线接口、WAF拦截）→2小时内应急溯源（保存镜像、提取日志）→6小时内业务恢复→24小时内出具事件报告→72小时内完成整改复查。8.3演练记录2024.3.2014:00-16:30组织红蓝对抗，红队使用Python脚本模拟批量下载，蓝队通过WAF自定义规则拦截，平均响应时间7分钟，达到预案目标。第九章资金与人员安排9.1资金项目金额（万元）列支渠道支付节点存储扩容48信息化专项2024.4.30前堡垒机升级2运维费2024.3.31前安全测试外包15安全专项2024.5.15前应急演练3运维费2024.6.30前合计：68万元，已纳入2024年部门预算，财审会通过。9.2人员设立“红色攻坚小组”共18人，其中：技术线10人：OracleDBA2人、中间件工程师2人、安全工程师3人、网络工程师2人、系统运维1人；管理线8人：项目经理1人、业务代表2人、法规审计2人、财务1人、纪检1人、外包监理1人。采用“每日站会+每周里程碑”模式，使用Jira看板管理，任务颗粒度≤0.5人天。第十章验收与审计10.1验收标准a.高危漏洞复测报告：由××测评中心出具，结论“关闭”；b.制度发布盖章扫描件：上传至OA系统，受控；c.应急演练报告：得分≥90分；d.资金支付率≥95%；e.用户满意度调查：样本量≥10%，满意度≥85%。10.2审计安排局纪检办牵头，2024年6月开展专项审计，重点审查采购流程、变更记录、权限回收、资金支付四环节，对发现的违规违纪问题“零容忍”，一经查实，移交派驻纪检监察组。第十一章持续改进机制11.1双循环模型建立“内循环+外循环”：内循环：每月1次漏洞扫描→每季度1次等保符合性检查→每半年1次全面风险评估；外循环：每年聘请第三方机构进行“回头看”，对上一年整改项抽样20%再评估。11.2量化指标指标目标值权重考核部门高危漏洞关闭率100%30%信息中心平均漏洞修复时长≤15天20%安全科备份演练成功率100%20%审计科制度更新及时率100%15%法规处培训覆盖率≥90%15%人事科考核结果与