数据泄露风险防控自查报告

数据泄露风险防控自查报告第一章风险背景与自查动因1.1业务场景某互联网医疗平台（以下简称“本公司”）2023年日均活跃用户420万，累计存储病历影像3.7PB，涉及81类个人敏感信息字段。2024年2月，同业X公司因S3存储桶public-read权限被爬虫拖库1.8亿条记录，导致股价两日下跌17%。董事会于2024年3月5日下达《关于立即开展数据泄露风险防控自查的紧急通知》，要求两周内完成“零死角”排查并输出可落地的整改路线图。1.2自查范围本次自查覆盖“采集-传输-存储-使用-共享-销毁”全生命周期，物理边界包括：a)生产VPC（10个可用区、317台ECS、48套RDS、19套Redis、6套MongoDBAtlas）；b)办公网（总部、两座异地研发中心、一座呼叫中心）；c)第三方通道（6条专线、11家云短信、4家支付、2家CDN、1家邮件营销）。1.3参考依据《个人信息保护法》第38-42条、《数据安全法》第21/27/30条、《网络安全审查办法》2022版、ISO/IEC27001:2022、GB/T35273-2020、GDPRArt.32、HIPAA§164.312、本公司《数据分类分级管理制度》V3.4。第二章组织与职责2.1临时自查指挥部总指挥：CTO（拥有预算签字权）副总指挥：法务总监、安全总监成员：运维、研发、测试、DBA、客服、采购、内审、HR、行政9条线38名骨干职责：1)每日19:00例会，使用Jira看板跟踪217项任务；2)对拒不配合的部门可直接上报CEO进行人事冻结；3)拥有临时关停系统权限，可先斩后奏。2.2三道防线第一道：各业务线数据Owner（共51人），负责资产清单、权限最小化、整改落地；第二道：信息安全部11人，负责技术检测、渗透验证、日志审计；第三道：内审部3人，负责抽样复核、出具独立意见、向审计委员会汇报。第三章资产梳理与分类分级3.1梳理方法采用“工具+人工”双轨：a)工具：使用自研爬虫“ShadowMap”调用阿里云、AWS、腾讯云API，拉取全部ECS/RDS/OSS/S3列表，再调用nmap、Masscan做端口存活探测，输出CSV；b)人工：各业务线Owner依据《数据资产登记表》模板（含28项字段：系统名称、域名、IP、端口、数据类型、量级、敏感度、责任人、备份周期、加密算法、是否跨境、是否含未成年人数据等）进行二次确认，误差率要求<1%。3.2分类分级结果共发现1,932个数据资产，其中：L4级（绝密）：病历影像、支付卡号，共47个系统；L3级（机密）：身份证、手机号、医生执业证，共236个系统；L2级（内部）：订单日志、设备指纹，共1,098个系统；L1级（公开）：商品科室介绍，共551个系统。3.3关键发现a)测试环境MongoDB仍含1.3TB真实病历，未脱敏；b)日志服务器/var/log目录权限755，任意员工可读；c)3年前下线系统“old-pay”在AWS上仍保留40GBRDS快照，含6万信用卡号。第四章技术脆弱性扫描4.1自动化扫描使用TenableNessus10.5+自定义插件38条，覆盖配置核查、CVE漏洞、弱口令、SSL最佳实践；扫描窗口00:00-05:00，并发30任务，耗时3夜。4.2渗透测试由安全部2名高级渗透工程师执行黑盒+灰盒测试，模拟“外部攻击者”“离职员工”双视角，历时5天，产出57个漏洞，其中高危9个：1)生产KubernetesDashboard使用默认token，可直通kube-system；2)客服系统存在SQL注入，可dump出110万条通话记录；3)管理后台/admin未限制源IP，可在公网直接爆破。4.3基线核查采用CISBenchmarkv2.0.0对CentOS7、MySQL8、Redis6、K8s1.27进行100%逐项比对，不符合项312条，TOP3：a)密码复杂度8位未强制特殊字符；b)Redis绑定0.0.0.0；c)MySQL未启用audit_log。第五章权限与访问控制5.1账号梳理对接公司统一身份系统“AuthCenter”，拉取2023.1.1-2024.3.10区间账号4,217个，发现：a)僵尸账号182个（>90天未登录）；b)共享账号38个（多人共用Jenkins管理员）；c)特权账号65个（可跨库查询L4数据）。5.2最小化整改立即执行：1)僵尸账号一律禁用+邮件通知+30天后删除；2)共享账号拆分，启用个人AK/SK，强制MFA；3)特权账号缩权：将跨库查询改为视图脱敏，仅允许7名DBA在堡垒机+工单场景下使用，每次授权4小时，过期自动回收。5.3堡垒机升级原jumpserver版本1.4.8存在RCE，升级至3.8.2，并开启会话录像100%落盘，保存180天；命令审计规则新增47条正则，禁止scp、rsync上传含.sql文件到本地。原jumpserver版本1.4.8存在RCE，升级至3.8.2，并开启会话录像100%落盘，保存180天；命令审计规则新增47条正则，禁止scp、rsync上传含.sql文件到本地。第六章数据加密与脱敏6.1传输加密全部L3/L4系统强制TLS1.3，禁用弱cipher套件（RC4/3DES），HSTS预加载365天；对旧版IoT设备无法升级处，使用边缘网关TLS1.2代理并做白名单。6.2存储加密a)RDS：开启TDE（AES-256），主密钥托管于KMS，轮换周期90天；b)OSS/S3：启用SSE-KMS，Bucket策略显式deny掉s3:GetObject当请求缺少aws:SecureTransport；b)OSS/S3：启用SSE-KMS，Bucket策略显式deny掉s3:GetObject当请求缺少aws:SecureTransport；c)本地磁盘：LUKS+v2.4.3，密码托管于HashiCorpVault，拆分为5份Shamir密钥，任何3份可解密。6.3脱敏流程建立“脱敏工厂”服务：1)源库拉取→2)规则引擎（内置38种算法，如身份证replace(7,8,'****')、病历号哈希加盐）→3)生成测试库→4)对比行数、字段分布、索引→5)出具《脱敏验收报告》。1)源库拉取→2)规则引擎（内置38种算法，如身份证replace(7,8,'****')、病历号哈希加盐）→3)生成测试库→4)对比行数、字段分布、索引→5)出具《脱敏验收报告》。要求：测试库与生产库同构，数据量压缩到15%，敏感字段熵值<0.3，确保无法逆向。第七章日志、监控与应急响应7.1日志集中化使用Kafka+Logstash+Elasticsearch集群（12节点），日志保留策略：L4系统3年，L3系统1年，L2/L1系统180天；索引分片按50GB/天滚动，冷热分层，冷数据存至OSS低频，保存费用下降62%。7.2监控告警接入Prometheus+Grafana，关键指标：a)异常登录（异地IP、夜间02:00-06:00、连续失败5次）；b)数据导出量（单账号1小时内>10万行）；c)特权命令（kubectlexec、mysqldump）。c)特权命令（kubectlexec、mysqldump）。告警通道：飞书+电话，P1级别5分钟内未认领即升级至CTO。7.3应急预案修订《数据泄露事件应急预案》V5.0：1)事件分级：P1（>100万敏感记录）、P2（10-100万）、P3（<10万）；2)报告时限：P1事件30分钟内报董事会、2小时内报监管；3)技术封控：立即切断涉事系统公网SLB、冻结AK/SK、快照保全磁盘；4)溯源取证：使用Volatility对内存dump，使用Timesketch做时序分析；5)公关话术：由法务统一口径，禁止员工擅自发微博/脉脉；6)善后补偿：P1事件启动1,000万元用户补偿基金，提供2年免费信用监测。第八章第三方与跨境数据8.1第三方清单共47家，其中11家云短信、4家支付通道、2家CDN、1家邮件营销、29家技术外包。8.2合规评估使用自研问卷68项+SOC2TypeII报告交叉验证，发现：a)邮件营销商未提供删除接口，违反《个人信息保护法》第47条；b)印度外包公司办公网与生产网混用，存在横向移动风险。8.3整改措施1)立即终止与邮件营销商合同，迁移至具备ISO27701的新供应商；2)印度外包公司必须在30天内完成网络隔离并通过渗透复测，否则下架2个核心项目；3)全部47家第三方重新签署《数据处理协议》V4.0，新增“泄露通知24h、违约金30%合同金额”条款。8.4跨境数据本公司使用AWSus-west-2做异地灾备，每日增量80GB。已完成：a)网信办安全评估申报（编号：2024-03-BJ-0182）；b)签署SCC标准合同条款2022版；c)启用AES-256端到端加密，密钥仅在中国KMS托管，满足GDPRArt.46要求。第九章自查问题清单与整改闭环9.1问题分级高危18项、中危41项、低危93项，合计152项。9.2整改计划使用Excel+Jira双轨跟踪，字段：问题编号、描述、责任人、计划完成时间、复测人、状态。示例：DC-2024-00391：测试库含1.3TB真实病历未脱敏，责任人张某，计划2024-04-15完成，复测人李某，状态“进行中”。9.3验收标准高危项100%关闭、中危项90%关闭、低危项80%关闭方可视为自查通过；所有复测必须由安全部独立执行，并输出《复测报告》签字确认。第十章制度修订与培训10.1制度更新本次共修订7份制度：a)《数据分类分级管理制度》V4.0：新增L4级字段9项，明确“影像DICOM文件内嵌患者姓名”纳入绝密；b)《账号权限管理细则》：将MFA从“推荐”改为“强制”，违规者绩效-20%；c)《开发测试环境数据使用规定》：禁止拉取>1万条L3/L4数据，违者按《员工手册》第5.2条解除劳动合同。10.2培训实施2024年3月20-24日完成5场线下+3场线上直播，覆盖100%技术序列员工，课后考试92分及格，未通过17人全部补考通过；客服、行政等非技术序列完成30分钟微课，考试通过率98%。第十一章量化指标与考核11.1核心指标a)敏感数据资产发现率≥99.5%；b)高危漏洞修复周期≤7天；c)特权账号实时在线≤5个；d)日志审计可用性≥99.9%；e)第三方合规评估通过率100%。11.2考核机制以上指标纳入2024年OKR，权重占技术序列绩效30%，未达标部门季度奖金一票否决；连续两次未达标，部门负责人降职或调岗。第十二章持续改进12.1红蓝对抗每季度组织一次红蓝对抗，红队由外部厂商+内部安全部组成，蓝队为业务运维；对抗范