网络访问行为管控自查报告

网络访问行为管控自查报告第一章背景与目标1.1业务场景某互联网金融集团（以下简称“公司”）拥有3条核心业务线：支付、信贷、理财。2023年7月，监管下发《非银支付机构网络支付业务管理办法（修订稿）》并同步启动“清网2023”专项行动，要求30日内完成网络访问行为管控自查。公司信息安全部牵头，联合合规、风控、运维、研发、内审5个一级部门，对1万余台办公终端、2千余台生产服务器、47套业务系统、8个云账号进行全量排查，目标为：①梳理全部网络访问路径，形成“谁—从哪—到哪—干什么—留什么”五元组台账；②关闭100%违规出口，封堵100%未备案应用，确保“零未授权、零匿名、零绕过”；③建立可持续的“周扫描、月演练、季审计”长效机制，满足监管“回头看”要求。1.2自查范围时间范围：2023-07-0100:00:00至2023-07-3123:59:59资产范围：办公网、生产网、测试网、DMZ、多云VPC、第三方专线、VPN、堡垒机、CI/CD流水线、容器集群、IoT摄像头、打印机等112类资产行为范围：HTTP/HTTPS、SSH、RDP、SFTP、SMTP、SMTPS、POP3、IMAP、MySQL、Redis、MongoDB、Kafka、MQTT、DNS、ICMP、GRE、VXLAN、Geneve等20种协议第二章组织与职责2.1三级责任矩阵决策层：风控委员会（主任委员由CFO兼任）——对结果负最终责任管理层：信息安全部（部长任项目经理）——制定方案、分配资源、把控进度执行层：A.网络组——负责流量镜像、策略下发、封禁操作B.系统组——负责服务器基线、补丁、堡垒机账号C.应用组——负责API白名单、密钥轮换、日志埋点D.合规组——负责制度修订、监管对接、材料盖章E.内审组——负责抽样复核、出具独立意见2.2日报机制每日18:00前，各组在Jira看板更新“完成度、阻塞项、风险级、需协调”四字段；19:00项目经理召开15分钟站会，红色问题立即升级至风控委员会。第三章法律法规与内部制度清单3.1外部法规《网络安全法》第21、24、34条《数据安全法》第27、30条《个人信息保护法》第38、51条《非银支付机构条例》第43、56条《关键信息基础设施安全保护条例》第12、19条等保2.0《GB/T22239-2019》三级要求《信息安全技术网络安全等级保护测评要求》GB/T28448-20193.2内部制度《网络访问授权管理规定》V5.3（2023-06-30发布）《互联网出口备案细则》V4.1《第三方专线接入安全规范》V3.2《违规外联事件应急预案》V6.0《员工信息安全手册》V7.4（含20条网络行为红线）制度要点摘录：①任何终端不得安装“双网卡、翻墙、匿名代理”软件，违者第一次扣40%季度绩效，第二次解除劳动合同；②生产网SSH端口仅允许堡垒机IP访问，禁止direct-SSH；③所有外联需求须提前3个工作日通过OA提交《网络访问申请单》，经信息安全部、合规部、业务VP三级审批后方可开通；④发生违规外联事件，30分钟内完成封禁，2小时内提交《事件报告》，24小时内完成RCA并上报监管。第四章技术实施流程4.1资产发现与拓扑还原Step1被动发现——在核心交换配置ERSPAN，将南北向、东西向流量镜像至科来网络分析系统（V13.1），运行7×24小时，自动识别11,847台活跃IP，生成《存活资产表》。Step2主动扫描——使用Nmap7.93全端口扫描+Masscan速率8kpps，交叉验证，补充312台未镜像资产。Step3拓扑绘制——利用SolarWindsNPM自动关联交换机ARP、MAC、LLDP、CDP，输出Visio拓扑图87张，精确到接入交换机端口。4.2流量分类与基线建模Step1协议识别——基于Suricata6.0.8深度包检测，对20种协议打标签，去重后会话数4.7亿条。Step2行为聚类——使用自研Python脚本（DBSCAN算法，ε=0.05，MinPts=10）对五元组聚类，形成1,932条“正常基线”。Step3异常打分——对超出3σ的会话标记为“异常”，共8,432条，占比0.018%。4.3策略梳理与最小权限收敛Step1策略导出——从8台防火墙（华为USG、山石SG、PaloAlto）、4台云安全组、21台KubernetesCalico导出策略19,735条。Step2策略冗余分析——使用RedSeal平台，发现冗余规则3,214条、隐藏规则667条、any-any规则92条。Step3收敛方案——遵循“默认拒绝、按业务白名单”原则，将any-any规则全部替换为指定端口+指定IP；对92条高危规则先封禁再发业务确认，7日内无申诉即正式下线。4.4违规出口封禁Step1出口梳理——发现17条未备案互联网出口（含4G网卡、家用宽带、VPN云节点）。Step2封禁操作——①在AD组策略中禁用USBModem驱动；②在DNS服务器上将17个域名重定向到；③在边界防火墙新增deny规则，屏蔽443端口非白名单IP；④在终端部署SymantecDLP14.5，检测“翻墙”关键字进程，发现即杀进程并弹窗告警。Step3效果验证——封禁后24小时再次抓包，确认0条违规会话。4.5堡垒机与账号收口Step1账号梳理——通过Ansible批量采集Linux/etc/passwd、WindowsSAM、MySQLuser表，共发现19,823个账号。Step2账号合并——使用HR工号作为唯一主键，合并后剩余4,127个真人账号，其余为废弃或共享账号。Step3堡垒机迁移——将1,892台Linux、816台Windows纳入JumpServer2.28，关闭原22、3389端口；开启MFA（TOTP+企业微信）。Step4权限复核——基于“一月一复核”原则，部门经理每月15日前在OA完成《账号复核表》，连续3个月无登录即自动禁用。4.6日志集中与留存Step1日志源接入——使用Kafka集群（3节点×64核×256GB）统一采集417种日志，日增量3.2TB。Step2日志解析——编写217条Logstashgrok规则，确保五元组、User-Agent、SQL语句、返回码、响应时长100%解析。Step3留存策略——①网络原始流量pcap：7天在线+180天冷存（GlacierDeepArchive）；②解析后日志：30天热存（SSD）+1年冷存（OSS低频）；③审计日志：3年不可删，使用WORM桶，LegalHold锁定。4.7自动化巡检与持续合规Step1脚本开发——基于Python3.10+Django4.1开发《NetGuard》系统，每日02:00自动执行：①策略一致性校验（防火墙vs云安全组）；②端口开放对比（昨日vs今日）；③账号存活探测（LDAP状态）；④漏洞扫描（OpenVAS22.4）。Step2告警阈值——端口新增≥1、高危漏洞≥1、账号未复核≥5%，即触发企业微信机器人+短信。Step3演练——每月最后一个周五15:00进行“红蓝对抗”演练：红队使用Kali2023.2模拟外网攻击，蓝队30分钟内完成封禁、溯源、报告。第五章数据佐证与整改结果5.1关键指标违规出口：17→0（降幅100%）any-any策略：92→0（降幅100%）未备案应用：34→0（降幅100%）堡垒机覆盖率：62%→100%账号总量：19,823→4,127（降幅79.2%）平均权限粒度：/16网段→/32IP（提升精度）日志解析延迟：T+3小时→T+5分钟高危漏洞（CVSS≥7）：127→0（7月31日23:59全部闭环）5.2监管验收2023-08-02，北京金融局现场检查6人组，随机抽检120条策略、30台服务器、10条日志，符合率100%，无书面整改意见。第六章常见问题与排错指南（面向初学者）6.1目的让零经验运维也能在30分钟内完成“发现—定位—封禁—验证”闭环。6.2前置条件①已拥有防火墙管理员账号；②已安装Wireshark3.6及以上；③已开通Kafka日志只读权限；④已下载公司《网络访问申请单》模板。6.3详细步骤Step1发现异常打开Kafka消费组consumer-group.sh，过滤topic=netflow，执行`kafka-console-consumer.sh--bootstrap-serverkafka01:9092--topicnetflow--from-beginning|grep-E'dport=22|dport=3389'|jq'.'>suspect.json`若1分钟内出现非堡垒机IP，记录其sip、sport、dip、dport、timestamp五元组。Step2定位源主机登录SolarWinds，在IPAM搜索dip，找到对应交换机端口、VLAN、工位编号；若dip为公网地址，则登录防火墙，使用命令`showsessionallfilterdestination`获取源NAT后内网地址。Step3临时封禁登录防火墙WebUI，进入Policy→Security，新建一条deny规则，放在最顶，源地址=sip，目的地址=dip，服务=SSH或RDP，立即生效；同步在JumpServer告警群发送“临时封禁sip通知”。Step4通知责任人打开OA→新建《网络访问申请单》，在“备注”粘贴五元组截图，@部门经理，要求30分钟内说明用途；若超时未回复，升级至信息安全部总监。Step5验证效果在源主机执行`sshuser@dip-v`应提示Connectiontimedout；在防火墙CLI执行`showlogtrafficruleequal<rule-id>`应看到deny计数增加。Step6记录闭环在Jira新建issue，类型=“违规外联”，填写五元组、封禁规则ID、责任人、处理结果，状态置为Done；同步把pcap上传至证据服务器/evidence/YYYYMM/目录。6.4常见问题Q1：防火墙规则已deny，但session仍存在？A：老session未被清除，手动在CLI执行`clearsessionallfiltersourcesipdestinationdip`Q2：Kafka无数据？A：检查Logstash是否掉线，执行`systemctlstatuslogstash`若异常，重启并观察/var/log/logstash/logstash-plain.logQ3：SolarWinds无法显示接入端口？A：交换机未开启LLDP，登录交换机执行`lldprun`并重新发现