网络病毒防护工作落实自查报告

网络病毒防护工作落实自查报告第一章自查背景与目标1.1背景2024年3月，集团信息安全部在例行红队演练中发现：子公司A、B、C三家单位共17台终端存在高危漏洞，其中3台已出现横向移动痕迹。董事会要求30天内完成“网络病毒防护工作落实自查”，并出具可落地的整改报告，作为年度KPI考核依据。1.2目标①零病毒存活：自查截止日（2024-04-30）24:00前，全集团Windows、Linux、macOS终端与服务器病毒检出率为0。②制度闭环：补齐缺失的4项制度，修订2项过时制度，新增1项应急响应预案，全部通过法务合规性审查。③工具落地：100%终端安装EDR3.2.15版，100%服务器接入CWPP统一管控，100%业务系统接入API级沙箱。④人员达标：IT条线人员安全考试通过率≥90%，普通员工钓鱼邮件演练误点率≤5%。第二章自查范围与依据2.1范围资产：总部及7家子公司，共3180台终端、842台物理服务器、1968台云主机、45套容器集群、19条跨省专线。系统：WindowsServer2012-2022、CentOS7/8、Ubuntu20.04/22.04、macOS12-14、麒麟V10、统信UOS。数据：生产数据库113套，代码仓库39个，备份系统8套，AD域控12套。2.2依据《网络安全法》第21、25条，《数据安全法》第27条，《个人信息保护法》第51条，《关键信息基础设施安全保护条例》第15-19条，GB/T22239-2019《信息安全技术网络安全等级保护基本要求》，ISO/IEC27001:2022，集团《信息安全管理办法（2023修订）》。第三章组织与职责3.1领导小组组长：集团CIO李XX副组长：信息安全部总经理王XX、运维中心总监张XX成员：各子公司IT部经理、法务、审计、人力、采购负责人3.2执行小组终端组：负责EDR部署、补丁、基线（组长赵XX）服务器组：负责CWPP、容器安全、漏洞扫描（组长钱XX）制度组：负责制度修订、培训、合规审查（组长孙XX）数据组：负责备份校验、加密、日志留存（组长周XX）3.3外部支撑国家互联网应急中心（CNCERT）省级分中心、奇安信、绿盟、安恒、AWS/阿里云安全管家。第四章自查方法与流程4.1资产清点①使用Nmap+Masscan组合，对全网IPv4/IPv6地址段进行存活探测，输出CSV。②对接CMDB，通过RESTAPI拉取已录入资产，与扫描结果做Diff，人工复核未入库资产。③对容器集群，运行kubectlgetall--all-namespaces-ojson，提取镜像名、标签、PodIP。④最终形成《资产清单v4.7》，字段：资产编号、名称、IP、MAC、OS、责任人、安全等级、所属域、补丁策略、备份策略。4.2病毒查杀①离线工具：KasperskyRescueDisk2024、ESETSysRescueLive，制作U盘启动盘，对疑似感染主机进行冷启动查杀。②在线工具：EDR3.2.15全量扫描+快速扫描双模式，设置CPU占用≤30%，业务时段采用错峰扫描。③脚本工具：Linux下使用ClamAV1.0.5，命令freshclam&&clamscan-r/--infected--log=/var/log/clamav.log。④结果判定：检出率≥1即视为病毒存活，立即进入“隔离—溯源—处置”流程。4.3漏洞扫描①主机层：使用Nessus10.6.0，策略模板“AdvancedScan”，插件版本20240418，扫描端口1-65535。②Web层：使用AWVS14.4，对全部HTTP/HTTPS资产进行爬虫+POC检测，重点检测Log4j、Fastjson、Shiro相关CVE。③数据库：使用NessusDC、Scuba、Pentera，检测弱口令、CVE-2022-22963、CVE-2023-32315。④容器：使用Trivy0.49，扫描镜像漏洞，输出JSON后导入Elasticsearch，建立Kibana仪表盘。⑤扫描窗口：每日0:00-5:00，带宽限制50Mbps，禁止对支付网关、POS网段扫描。4.4日志审计①采集：Windows事件ID4624/4625/4672，Sysmon1/3/7/11，Linuxauditd、auditbeat，容器stdout/stderr。②存储：日志保留180天，冷热分层，热数据SSD保留7天，冷数据压缩后存入S3Glacier。③规则：使用SIGMA规则库20240415版，重点检测Mimikatz、BloodHound、Rubeus、Kerberoasting。④告警：高危告警5分钟内推送飞书，中危30分钟内推送邮件，低危次日汇总。4.5钓鱼演练①模板：伪造“工资补贴通知”“OA账户异常”，发件人域名使用近似域。②样本：邮件内含HTML附件，点击后跳转至内部培训页面并记录MAC地址。③指标：误点率=（填写账号密码人数/收到邮件人数）×100%。④复盘：演练结束后2小时内召开复盘会，对误点人员安排30分钟一对一再培训。第五章发现问题与风险评级5.1病毒类①子公司A财务科终端FA-2023-047感染Emotet，已横向感染3台，风险等级“极高”。②子公司B工厂MES服务器MB-2019-012检出Rootkit“HiddenWasp”，风险等级“极高”。5.2漏洞类①域控DC-03未打补丁KB5034437（CVE-2024-21412），可被远程执行代码，风险等级“极高”。②官网Nginx1.18.0存在CVE-2021-23017，可被DoS，风险等级“高”。5.3制度类①《移动存储介质管理办法》缺失，导致U盘随意插拔。②《数据备份验证规定》未明确恢复演练频次，2023年整年未演练。5.4配置类①196台CentOS7默认仍启用SELinux=disabled。②45台MySQL5.7root口令强度不足8位且未过期策略。第六章整改措施与实施步骤6.1病毒清除①隔离：Emotet主机FA-2023-047立即断网，接入VLAN999（隔离区），关闭SMB、RDP、WMI服务。②溯源：提取NTUSER.DAT、SOFTWARE、hives，使用RegRipper3.0分析Run键值；提取网络连接，使用Wireshark过滤“ip.addr==/24”。③清除：使用WindowsDefenderOffline+Malwarebytes5.1双重扫描，确认无残留后，重装系统并加入新域。④加固：启用WindowsDefenderExploitGuard，ASR规则“Blockexecutablefilesfromrunningunlesstheymeetaprevalence,age,ortrustedlistcriterion”。⑤复盘：24小时内输出《Emotet事件报告》，提交CIO签字，抄送审计部。6.2漏洞修复①域控补丁：使用WSUS独立分组“DC-Critical”，补丁KB5034437于2024-04-2002:00-04:00安装，安装前在测试域控DC-test运行sfc/scannow确认无文件损坏。②Nginx升级：使用源码编译方式，参数--with-http_v2_module--with-http_ssl_module--with-http_stub_status_module，版本1.26.0，升级后使用nginx-t校验，回滚方案保留旧二进制文件/opt/nginx-1.18.0.bak。③MySQL弱口令：使用ansible-playbook批量修改，剧本mysql_secure_installation.yml，变量mysql_root_password="{{vault_mysql_pass}}"，执行后使用mysql-uroot-p-e"select1;"验证。6.3制度修订①新增《勒索病毒专项应急预案》启动条件：单台主机加密文件≥100个或业务中断≥15分钟。应急流程：a)发现人5分钟内电话通知SOC（400-123-4567）。b)SOC10分钟内确认，启动I级响应，通知集团应急群。c)30分钟内完成全网EDR“一键隔离”脚本，脚本路径/opt/edr/scripts/isolate_all.sh。d)2小时内完成业务切换至异地容灾，RPO≤30分钟。e)24小时内向市网信办、公安局网安支队报告。②修订《移动存储介质管理办法》准入：U盘必须贴有RFID标签，标签写入UUID，与员工工号绑定。杀毒：插入后强制调用EDR扫描，CPU占用>50%时暂停业务进程。审计：插入/拔出事件写入Windows事件ID2100/2101，日志保存180天。罚则：未经审批插入U盘导致病毒事件，责任人扣当月绩效50%，部门负责人扣30%。6.4技术加固①零信任接入：全部终端安装ZscalerClientConnector4.2，策略“NeverTrust,AlwaysVerify”，访问ERP需通过SPA单包认证。②微隔离：使用IllumioASP23.4，标签化规则“Env=Prod&App=ERP”仅允许443端口入站，阻断445、135、139。③备份加密：Veeam12.3开启内置加密算法AES-256，密钥长度256位，密钥托管在HSM（ThalesLuna7）。④日志防篡改：使用WORM存储DellEMCPowerProtectDD，锁定周期1年，任何账户含域管均无法提前删除。第七章培训与考核7.1培训计划①新人入职：必修《信息安全基础》2学时，含病毒防护、钓鱼识别、U盘使用，未通过考试账号不激活。②老员工：每季度一次“10分钟微课”，飞书推送，内容更新至2024年Q2勒索病毒案例。③高层：每半年一次“桌演+沙盘”，模拟勒索病毒攻击，董事会成员扮演决策层，时长3小时。7.2考核指标①终端EDR安装率≥99%，未达标每台扣责任KPI1分。②漏洞闭环周期：极高危≤3天、高危≤7天、中危≤30天，逾期每单扣0.5分。③钓鱼误点率：普通员工≤5%，每超标1%扣部门绩效1%。④制度合规：内审发现制度缺失，每条扣2分。第八章工具与预算8.1工具清单EDR：奇安信天擎3.2.15，授权3180点，已采购。CWPP：腾讯云主机安全旗舰版，授权1968点，新增预算48万元。漏洞扫描：续签NessusProfessional50IP×3年，9.8万元。日志分析：Elasticsearch8.12集群5节点，裸金属服务器已利旧，无新增费用。8.2预算明细2024年病毒防护专项预算共计198万元，已批复。其中工具费128万元、培训费15万元、应急演练费10万元、外部咨询费45万元。第九章验收与持续改进9.1验收标准①病毒复检：由第三方安恒进行为期5天的抽检，抽检比例10%，零检出即为通过。②制度评审：法务、审计、信息安全部三方会签，制度条款可执行率≥95%。③渗透测试：红队使用APT28模拟攻击包，持续7天，未被植入任何后门。9.2持续改进①每月召开“病毒防护例会”，跟踪CVE发布，48小时内完成影响评估。②建立“白名单更新”流程，新业务上线前提交可执行文件SHA256，纳入EDR白名单库。③引入AI威胁