关于网络安全隐患排查自查报告

关于网络安全隐患排查自查报告本次排查覆盖2024年1月1日至2024年6月30日全量信息资产，共梳理核心业务系统7套，分别为客户管理系统、订单交易系统、财务报销系统、供应链管理系统、仓储管理系统、支付结算系统、售后管理系统，非核心办公系统12套，包含内部OA系统、人力管理系统、考勤系统、培训系统等，办公终端372台，其中台式机227台、笔记本145台，服务器49台，含云服务器21台、物理服务器28台，网络设备21台，包含核心交换机3台、接入交换机12台、防火墙4台、路由器2台，物联网终端136台，覆盖办公区智能摄像头、智能门禁、会议室投屏设备等，涉及存量用户数据12.7万条，业务经营数据4.2TB。排查由信息技术部牵头，各业务部门配备1名网络安全联络员全程配合，采用人工台账核对、自动化工具漏洞扫描、白帽渗透测试、岗位人员访谈、应急场景模拟结合的方式开展全维度排查，累计调用漏洞扫描工具扫描资产1279次，渗透测试时长累计72小时，访谈各岗位工作人员49名，资产排查覆盖度达到100%，无遗漏资产。排查过程中累计发现各类隐患37项，其中高危隐患11项、中危隐患16项、低危隐患10项。技术层面，核心业务系统共发现高危漏洞7个，客户管理系统存在SQL注入漏洞4个，攻击者可通过前端查询接口构造恶意语句绕过身份验证直接获取后台用户数据表读写权限，涉及12.7万条客户姓名、手机号、住址、身份证号等敏感信息，经测试最长仅需12分钟即可导出全量用户数据；订单交易系统存在未授权访问漏洞2个，外部人员无需登录凭证即可直接调用订单批量导出接口，已验证单次可导出近30天1.2万条含交易金额、支付凭证、收货地址的交易数据；财务报销系统12个管理员账户均使用初始密码“123456”，未启用定期强制修改机制，也未配置登录失败锁定策略，可通过暴力破解方式获取管理员权限。非核心办公系统中内部OA系统存在无限制文件上传漏洞，未对上传文件后缀、内容做校验，可上传webshell恶意脚本直接获取服务器控制权，排查过程中调取近3个月系统日志发现3条异常脚本上传记录，经核实为内部测试人员调试操作，未造成数据泄露或系统损坏。服务器层面，49台服务器中有17台未安装近6个月发布的高危安全补丁，其中3台对外提供服务的云服务器将3389远程桌面端口、22SSH端口全放开至公网，未配置IP白名单访问限制，近3个月累计收到暴力破解尝试1247次，最多单次尝试密码字典规模达2万条，存在被入侵的极高风险。网络设备层面，2台核心交换机仍在使用2020年的老旧固件版本，已知存在CVE-2023-1234远程代码执行漏洞，且所有网络设备未配置统一日志留存机制，现有本地日志仅留存7天，达不到网络安全等级保护2.0要求的6个月日志留存标准，发生安全事件后无法追溯溯源。物联网终端层面，136台办公区智能摄像头、智能门禁均使用出厂默认密码，其中8台摄像头为方便外地人员查看办公环境直接接入公网，未做任何访问限制，存在被非法入侵偷拍、篡改门禁权限的风险。数据安全层面，用户敏感数据存储未做加密脱敏处理，客户管理系统中12.7万条客户手机号、身份证号、银行卡号均明文存储在业务数据库中，数据库自动备份文件存放在第三方公共云盘，仅设置了普通访问密码，无对称加密措施，调取访问日志发现近半年有5次非公司办公IP访问备份文件的记录，暂未发现文件下载痕迹。数据传输环节，核心业务系统前端与后台数据交互未全量启用HTTPS协议，仍有13个接口使用HTTP明文传输，敏感数据传输过程中存在被中间人嗅探窃取的风险。数据销毁环节，2023年以来累计报废的12块存储硬盘仅做了普通格式化处理，未进行物理消磁或碎盘处理，存储的2021年至2022年的经营数据、用户数据存在被技术恢复泄露的风险。权限管理环节，梳理全量系统账号时发现32名已离职人员的系统账号未及时注销，其中2名原核心系统管理员账号仍持有系统最高权限，近1个月有2次异地登录记录，经核实为离职人员误登录操作，未造成数据损失或系统改动。管理层面，全员网络安全培训覆盖率仅为62%，其中销售、行政、售后等非技术部门人员培训参与率不足40%，上半年共监测到12起员工点击钓鱼邮件事件，其中3起员工输入了个人办公账号密码，未造成系统入侵，也未对涉事人员做任何追责处理，员工安全防范意识薄弱。应急管理层面，现有网络安全应急预案仅为框架性文件，未针对核心系统故障、数据泄露、勒索病毒攻击等场景制定专项处置流程，上半年开展的1次网络安全应急演练参与人员仅为信息技术部成员，所有业务部门均未参与，演练后也未做复盘优化，现有安全防护设备仅配备了基础下一代防火墙，未部署入侵检测系统、数据防泄漏系统，无法对异常访问行为、数据外发行为做到实时告警和阻断。第三方服务商管理层面，3家为公司提供系统运维、云服务的外包单位未签订正式的网络安全保密协议，外包人员的系统访问权限未做到一人一号，存在3个共用运维账号，近半年有7次外包人员非工作时间访问核心系统的记录，均未提前提交审批备案，存在数据泄露风险。针对排查发现的所有隐患，已按照“高危隐患立即整改、中危隐患7日内整改、低危隐患15日内整改”的原则制定了整改台账，明确了整改责任人和整改时限。技术整改方面，截至排查结束当日，已完成3套核心系统7个高危漏洞的补丁修复，部署Web应用防火墙对SQL注入、未授权访问、恶意文件上传等攻击行为做实时拦截，所有系统管理员账号已强制修改为8位以上包含大小写字母、数字、特殊符号的复杂密码，启用每90天强制修改机制和登录失败5次锁定24小时的策略，关闭所有云服务器不必要的公网端口，配置IP白名单仅允许公司办公网段和指定运维IP访问远程管理端口，完成核心交换机固件版本升级，部署统一日志服务器实现所有设备、系统日志留存180天以上，所有智能摄像头、智能门禁已修改复杂密码，全部切换至内部专网，关闭公网访问权限。数据安全整改方面，已完成全量客户敏感数据的AES256加密脱敏存储，对数据库备份文件采用加密压缩后存储至内部私有云，关闭公共云盘备份端口，删除公共云盘所有存量备份文件，完成13个HTTP接口的HTTPS证书部署实现全量数据加密传输，报废的12块硬盘已全部送至指定机构做物理碎盘处理，梳理全量系统账号权限，完成32个离职人员账号的注销，启用账号权限季度复核机制，每季度末对全量账号权限做逐一核对，及时清理冗余权限和离职人员账号。管理整改方面，已制定下半年全员网络安全培训计划，每月开展1次覆盖所有部门的安全培训，每季度开展1次钓鱼邮件模拟测试，对点击钓鱼邮件、泄露账号密码的人员按情节严重程度给予通报批评、绩效扣除等处罚，纳入个人年度绩效考核。已修订完善网络安全应急预案，补充核心系统故障、数据泄露、勒索病毒攻击等5类专项场景的处置流程，明确各业务部门的应急处置职责，每季度开展1次跨部门联合应急演练，演练结束后24小时内完成复盘优化，年内完成入侵检测系统、数据防泄漏系统的采购部署，实现异常访问行为、数据外发行为的实时告警和阻断。已补签所有外包单位的网络安全保密协议，明确外包单位的安全责任和违约处罚条款，清理所有外包人员共用账号，做到一人一号，所有外包人员访问核心系统必须提前提交审批