2025年下半年风险隐患排查网络安全排查情况报告

2025年下半年风险隐患排查网络安全排查情况报告一、总则1.1编制目的为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规要求，切实履行网络安全主体责任，全面排查公司网络系统存在的安全风险隐患，及时采取针对性整改措施，防范网络安全事件发生，保障公司核心业务系统稳定运行及敏感数据安全，特编制本报告。1.2编制依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》GB/T22080-2016《信息技术安全技术信息安全管理体系要求》GB/T22081-2016《信息技术安全技术信息安全控制实用规则》公司内部《网络安全管理办法》《数据安全保护制度》1.3排查范围本次排查覆盖公司全部网络资产，包括但不限于：核心业务系统（含交易系统、客户管理系统、财务管理系统等）办公网络及终端设备数据中心服务器及存储设备网络安全设备（防火墙、入侵检测系统、入侵防御系统、数据防泄漏系统等）第三方接入系统及外包服务供应商网络接口二、排查工作概况2.1组织机构公司成立专项网络安全排查工作组，具体组成如下：组长：分管网络安全的副总经理副组长：信息科技部总经理、安全管理部总经理成员：信息科技部网络运维组、终端运维组、应用运维组、安全管理部合规组、各业务部门网络安全联系人2.2排查周期本次排查周期为2025年7月1日至2025年9月30日，分为三个阶段：筹备阶段（7月1日-7月10日）：制定排查方案、确定排查指标、部署扫描工具实施阶段（7月11日-9月20日）：开展自动化扫描、人工核查、渗透测试、访谈调研分析总结阶段（9月21日-9月30日）：梳理隐患、评估风险、编制报告2.3排查方法本次排查采用多种方法结合的方式，确保隐患排查全面覆盖：自动化漏洞扫描：使用Nessus10.8、OpenVAS22.04工具对服务器、终端、应用系统进行漏洞扫描弱口令检测：使用专用弱口令扫描工具对系统账号、数据库账号进行检测渗透测试：聘请具备等保测评资质的第三方机构对核心业务系统进行模拟黑客攻击测试人工核查：查阅网络安全制度、运维记录、日志文件，检查设备配置及物理环境访谈调研：与各部门网络安全联系人、运维人员开展访谈，了解日常网络安全管理情况2.4排查覆盖范围本次排查共覆盖以下网络资产：服务器：128台（含物理服务器42台、云服务器86台）终端设备：2156台（含办公电脑1892台、移动终端264台）应用系统：37个（含核心业务系统9个、办公系统15个、辅助系统13个）安全设备：16台/套（防火墙8台、入侵检测系统3台、入侵防御系统2台、数据防泄漏系统1套、日志审计系统1套、漏洞扫描系统1套）三、排查发现的网络安全风险隐患3.1技术类风险隐患3.1.1网络架构隐患核心交换机存在12个未启用的冗余端口未关闭，可能被非法接入或利用作为攻击入口部分VLAN划分不合理，办公区与核心业务区VLAN未实现完全隔离，存在横向渗透风险办公网络未启用零信任访问控制，员工可通过任意终端访问内部办公系统，未做到最小权限管控3.1.2终端安全隐患126台办公终端未安装2025年第三季度操作系统安全补丁，其中32台存在CVE-2025-1234远程代码执行高危漏洞45台移动终端未启用全磁盘加密，若设备丢失可能导致存储的敏感数据泄露89台终端存在弱口令（如123456、admin@123等），占总终端数量的4.13%17台终端安装了未授权的第三方软件，其中3台检测到潜在恶意代码3.1.3应用系统隐患7个应用系统存在弱口令问题，其中2个核心业务系统的数据库管理员账号使用弱口令3个办公系统未开启操作日志审计功能，无法追溯异常操作行为5个应用系统存在SQL注入漏洞，其中1个核心交易系统的漏洞可直接获取客户敏感信息2个应用系统的会话超时设置过长（超过24小时），存在会话劫持风险3.1.4安全设备隐患2台防火墙的规则配置存在37条冗余规则，部分过期规则未删除，可能影响防护效率1台入侵检测系统的攻击特征库未及时更新，滞后于最新ransomware攻击特征数据防泄漏系统仅覆盖核心业务系统，办公区终端的数据传输未纳入监控范围日志审计系统的日志存储期限仅为30天，未达到国家要求的6个月存储标准3.2管理类风险隐患3.2.1制度流程隐患4个业务部门未制定针对性网络安全应急预案，仅参照公司总预案，缺乏具体处置流程网络安全事件报告流程未明确分级上报要求，存在重大事件延误处置的风险未建立供应商网络安全评估机制，3家外包服务供应商未签订网络安全保密协议3.2.2人员管理隐患15名新入职员工未参加网络安全岗前培训直接上岗，对网络安全规范不了解3名离职员工的系统账号、邮箱账号未及时注销，存在账号被冒用的风险部分员工存在随意接入非公司授权网络的行为，3个月内检测到12次个人热点接入办公终端的记录未建立网络安全考核机制，员工的网络安全行为未纳入绩效评估范围3.2.3运维管理隐患网络设备的配置备份不及时，最近一次核心交换机配置备份为2025年5月，若设备故障可能导致配置丢失安全设备的运维记录不完整，部分防火墙规则变更未留下操作记录未定期开展网络安全应急演练，最近一次演练为2024年12月，超过1年未开展针对性演练3.3数据类风险隐患3.3.1数据存储隐患部分敏感数据（客户身份证号、银行卡号、财务数据）未加密存储，直接存储在普通硬盘中数据备份仅采用本地备份方式，未建立异地灾备机制，若本地数据中心发生故障可能导致数据丢失备份数据未定期进行恢复测试，无法确保备份数据的可用性3.3.2数据传输隐患2个辅助业务系统仍使用HTTP明文传输数据，存在数据被窃取、篡改的风险员工通过个人邮箱传输敏感数据的行为未被有效监控，3个月内检测到5次违规传输记录3.3.3数据销毁隐患12台退役旧硬盘仅采用格式化处理，未进行物理销毁或消磁处理，存在数据恢复的风险未建立数据销毁记录台账，无法追溯数据销毁的时间、方式及责任人四、网络安全风险评估4.1风险等级划分标准本次评估按照隐患的影响范围、危害程度、处置难度将风险分为三个等级：高风险：可能导致核心业务中断、敏感数据大规模泄露，影响范围覆盖公司全部业务，处置难度高，需立即整改中风险：可能导致部分业务中断、局部数据泄露，影响范围为单个部门或业务模块，处置难度中等，需限期整改低风险：对业务影响较小，仅涉及个别终端或设备，处置难度低，可逐步整改4.2风险隐患等级评估结果隐患编号隐患类别隐患描述风险等级影响范围R-2025-001技术类核心业务系统数据库管理员账号使用弱口令高核心交易业务、客户敏感数据R-2025-002技术类核心交易系统存在SQL注入漏洞高核心交易业务、客户敏感数据R-2025-003数据类敏感数据未加密存储高客户敏感数据、财务数据R-2025-004技术类126台终端未安装高危安全补丁中办公业务、局部终端安全R-2025-005技术类防火墙存在冗余规则未删除中网络防护效率R-2025-006管理类新员工未参加网络安全岗前培训中人员安全意识R-2025-007技术类核心交换机冗余端口未关闭低网络架构安全R-2025-008管理类未建立供应商网络安全评估机制低第三方合作安全R-2025-009数据类旧硬盘未物理销毁低退役设备数据安全五、整改措施及责任分工5.1技术类隐患整改措施隐患编号整改措施责任部门整改期限验收标准R-2025-001立即重置核心业务系统数据库管理员账号为强口令，启用账号多因素认证信息科技部应用运维组2025年10月7日账号弱口令检测通过，多因素认证功能正常启用R-2025-002委托第三方机构修复SQL注入漏洞，修复后进行渗透测试验证信息科技部应用运维组、第三方服务商2025年10月15日漏洞扫描结果为无高危漏洞，渗透测试未发现可利用漏洞R-2025-004批量推送2025年第三季度操作系统安全补丁，启用终端自动更新功能信息科技部终端运维组2025年10月25日所有终端补丁安装率达到100%，自动更新功能正常启用R-2025-005清理防火墙冗余规则，建立规则定期审计机制（每月审计一次）信息科技部网络运维组2025年10月20日冗余规则清理完毕，规则审计台账完整R-2025-007关闭核心交换机所有未启用的冗余端口，启用端口安全功能信息科技部网络运维组2025年10月10日冗余端口全部关闭，端口安全功能正常生效5.2管理类隐患整改措施隐患编号整改措施责任部门整改期限验收标准R-2025-006组织未培训的新员工参加网络安全补训，完善新员工岗前培训流程（必须包含网络安全内容）安全管理部合规组、人力资源部2025年10月15日所有未培训员工完成补训，新员工岗前培训流程更新完毕R-2025-008建立供应商网络安全评估机制，与所有外包服务供应商签订网络安全保密协议安全管理部合规组、采购部2025年11月10日评估机制文件发布，所有供应商签订保密协议G-2025-001修订网络安全事件报告流程，明确分级上报要求（一般事件2小时内上报、重大事件30分钟内上报）安全管理部合规组2025年10月30日流程文件发布，各部门联系人完成培训G-2025-002组织各业务部门制定针对性网络安全应急预案，开展应急演练安全管理部合规组、各业务部门2025年11月30日所有部门应急预案编制完成，完成至少1次应急演练5.3数据类隐患整改措施隐患编号整改措施责任部门整改期限验收标准R-2025-003对存储的敏感数据进行加密处理，启用数据库透明数据加密功能信息科技部数据运维组2025年10月20日敏感数据加密率达到100%，加密功能正常生效D-2025-001建立异地灾备机制，完成核心数据的异地备份及恢复测试信息科技部数据运维组2025年12月30日异地备份系统部署完成，恢复测试成功率达到100%D-2025-002对12台退役旧硬盘进行物理销毁，建立数据销毁记录台账安全管理部合规组、信息科技部2025年10月15日旧硬盘销毁完毕，记录台账完整可追溯六、后续网络安全工作规划6.1建立常态化风险排查机制每月开展一次常规网络安全排查，重点检查终端补丁安装、弱口令、防火墙规则等内容每季度开展一次全面网络安全排查，覆盖所有网络资产及管理流程每年聘请第三方机构开展一次渗透测试及等保测评，确保符合国家及行业标准6.2强化人员网络安全能力建设每季度开展一次全员网络安全培训，内容包括安全意识、合规操作、应急处置等每年组织一次网络安全知识竞赛，提升员工参与度建立网络安全考核机制，将员工网络安全行为纳入绩效评估范围6.3升级网络安全技术防护体系2026年上半年部署零信任访问控制系统，实现办公系统的最小权限管控2026年完成数据防泄漏系统扩容，覆盖所有终端设备及数据传输通道定期更新安全设备特征库及规则配置，确保防护能力与最新攻击技术同步6.4完善网络安全管理制度体系2025年11月前完成《网络安全应急预案》《供应商网络安全管理办法》等制度的修订建立网络安全合规审