2025年下半年安全大检查网络安全排查情况报告

2025年下半年安全大检查网络安全排查情况报告一、排查概况1.1排查目的为落实《网络安全等级保护条例》及等保2.0相关要求，全面排查公司网络安全风险隐患，消除安全漏洞，保障核心业务系统稳定运行，防范数据泄露及网络攻击事件，确保公司网络安全合规，特组织本次网络安全专项排查。1.2排查范围本次排查覆盖公司全领域网络安全相关对象，具体包括：核心业务系统：OA办公系统、ERP企业资源计划系统、CRM客户关系管理系统、生产调度管理系统网络基础设施：防火墙、核心交换机、接入路由器、入侵检测系统（IDS）、入侵防御系统（IPS）、VPN网关服务器集群：Windows应用服务器、Linux数据库服务器、存储服务器、备份服务器终端设备：办公电脑、笔记本电脑、移动终端（平板、手机）、物联网设备数据资产：核心业务数据、客户敏感数据（姓名、身份证号、银行卡号）、内部管理数据管理体系：网络安全管理制度、应急响应预案、运维操作规范、人员安全培训记录1.3排查依据本次排查严格遵循国家法规、行业标准及公司内部制度，具体依据如下：国家法规：《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络安全等级保护条例》行业标准：《信息安全技术网络安全等级保护基本要求》GB/T22239-2019、《信息安全技术网络安全等级保护测评要求》GB/T28448-2019内部制度：《公司网络安全管理办法》《数据安全分级分类管理制度》《网络安全应急响应预案》1.4排查时间本次排查分为三个阶段，具体时间安排：部门自查阶段：2025年9月15日-2025年9月30日现场排查阶段：2025年10月8日-2025年10月22日问题复核阶段：2025年10月23日-2025年10月31日1.5排查方式本次排查采用多种方式结合的综合性检测模式：部门自查：各业务部门填写《网络安全自查表》，提交至信息科技部汇总技术检测：使用专业漏洞扫描工具（Nessus、AWVS）对网络设备、服务器、应用系统进行扫描，开展模拟渗透测试文档审核：查阅网络安全制度、运维操作记录、应急演练报告、培训记录等文档人员访谈：与运维人员、安全员、核心业务系统操作人员进行访谈，验证制度落实情况终端抽查：随机抽查10%的办公终端，检查杀毒软件安装、系统补丁更新、设备加密等情况1.6组织架构本次排查由公司网络安全委员会牵头，成立专项排查工作组：组长：XXX（公司分管网络安全副总经理）副组长：XXX（信息科技部经理）成员：信息科技部网络安全工程师、信息科技部系统管理员、法务部合规专员、各业务部门安全联络员二、排查发现的主要问题2.1技术类风险问题2.1.1网络设备安全漏洞部分核心防火墙存在规则配置冗余，未清理三年以上未使用的访问规则，易导致规则冲突及攻击面扩大3台接入路由器存在弱口令风险，账号密码使用默认组合（admin/admin），未启用强口令策略入侵检测系统（IDS）攻击特征库未及时更新，最后一次更新为2025年8月，未覆盖2025年9月新增的12类高危攻击特征部分VPN网关未启用MFA多因素认证，仅通过账号密码即可远程接入公司网络2.1.2服务器安全隐患4台Windows应用服务器未安装KB5049473安全补丁，存在CVE-2025-30167远程代码执行漏洞，攻击者可利用该漏洞获取服务器管理员权限2台Linux数据库服务器的SSH服务允许密码登录，未启用密钥认证，存在暴力破解风险核心数据库服务器仅配置本地磁盘备份，未建立异地灾备机制，若本地服务器故障将导致数据丢失部分服务器的系统日志保留时间仅为60天，未达到等保2.0要求的180天留存期限2.1.3终端设备安全不足15%的办公终端未安装企业版杀毒软件，员工自行使用个人免费版杀毒软件，病毒库更新不及时22台移动终端（笔记本、平板）未启用设备全磁盘加密，若设备丢失将导致存储的内部数据泄露部分员工使用非公司配发的U盘接入办公网络，未经过安全检测，存在恶意软件传播风险2.1.4应用系统安全缺陷OA办公系统存在越权访问漏洞，普通员工可通过构造URL查看部门经理的审批记录及内部公告草稿CRM客户关系管理系统的用户登录日志仅保留30天，未达到等保2.0要求的90天留存期限部分业务系统的验证码长度为4位，且仅包含数字，易被暴力破解工具突破生产调度系统的API接口未进行权限校验，未授权用户可通过API接口获取生产数据2.2管理类风险问题2.2.1制度落实不到位3个业务部门未按规定每月开展网络安全自查，自查记录缺失，未提交2025年9月自查报告部分运维人员操作服务器时未填写《运维操作审批单》，存在无审批违规操作记录公司网络安全管理制度未根据2025年新发布的《网络安全等级保护条例》进行修订，部分条款不符合最新监管要求2.2.2应急响应机制不完善公司2024年12月开展的应急演练未覆盖勒索病毒攻击场景，应急预案中未明确勒索病毒事件的处置流程应急联络方式存在更新不及时的情况，2名业务部门安全联络员的手机号码已更换，未同步至公司应急联络清单未定期组织应急响应培训，运维人员对网络攻击事件的处置流程不熟悉，处置效率低2.2.3运维管理不规范服务器运维操作记录仅保留纸质版，未进行电子化归档，不利于追溯及审计未定期对运维人员的系统权限进行审核，2名已离职的运维人员权限未及时收回，存在权限滥用风险网络设备配置变更后未进行备份，若设备故障无法快速恢复配置2.3数据安全类风险问题2.3.1数据存储安全风险客户敏感数据（身份证号、银行卡号）未进行加密存储，直接以明文形式存储在数据库中备份数据存储在与生产服务器同机房的存储设备中，未实现异地灾备，若机房发生火灾、洪水等灾害将导致数据全部丢失部分历史数据未进行分级分类管理，闲置数据未及时清理，增加数据泄露风险2.3.2数据传输安全风险内部办公网络中，OA系统与ERP系统之间的数据传输使用HTTP明文协议，未启用HTTPS加密，存在数据被窃听的风险部分员工通过个人微信、QQ传输公司内部数据，未使用公司统一的加密传输工具2.3.3数据访问安全风险部分员工的系统权限超过其工作职责范围，普通业务员可查看全公司的客户数据，未遵循最小权限原则未对数据访问行为进行审计，无法追溯敏感数据的访问记录，若发生数据泄露无法定位责任人2.4人员安全意识类风险问题2025年上半年网络安全培训覆盖率仅为85%，12名新入职员工未参加入职网络安全培训部分员工存在违规操作行为，包括安装非授权软件（盗版软件、娱乐软件）、点击陌生邮件附件、使用弱口令（如123456、abc123）3名员工使用个人邮箱传输公司敏感数据，未使用公司统一的加密邮箱系统三、风险等级评估本次排查发现的风险问题按照影响程度、发生概率分为高、中、低三个等级，具体评估如下：风险等级涉及问题类别具体问题描述影响程度发生概率高风险技术类、数据安全类1.核心服务器存在CVE-2025-30167远程代码执行漏洞；2.客户敏感数据明文存储；3.核心数据库未建立异地灾备核心业务中断、数据泄露、监管处罚、品牌声誉受损较高（≥60%）中风险技术类、管理类1.部分网络设备存在弱口令；2.IDS攻击特征库未及时更新；3.应急演练未覆盖勒索病毒场景；4.运维权限未及时收回业务受影响、合规风险、局部数据泄露中等（30%-60%）低风险人员意识类、技术类1.部分终端使用个人杀毒软件；2.防火墙规则配置冗余；3.员工安装非授权软件局部故障、操作风险、轻微合规问题较低（≤30%）四、整改措施及责任分工4.1技术类问题整改措施问题类型具体整改内容责任部门/人整改期限网络设备1.清理防火墙冗余规则，关闭未使用的端口；2.重置所有网络设备口令，启用强口令策略（长度≥12位，包含大小写、数字、特殊字符）；3.每周更新IDS攻击特征库；4.对VPN网关启用MFA多因素认证信息科技部网络工程师2025年11月15日服务器1.为Windows服务器安装KB5049473安全补丁；2.对Linux服务器SSH服务启用密钥认证，禁用密码登录；3.建立核心数据库异地灾备机制，备份至公司云存储中心；4.将服务器系统日志保留期限调整为180天信息科技部系统工程师、数据库管理员2025年11月20日终端设备1.为所有办公终端安装企业版杀毒软件，卸载个人版；2.为所有移动终端启用全磁盘加密；3.通过终端管理系统禁止非公司配发U盘接入网络各部门安全联络员、信息科技部终端管理员2025年11月25日应用系统1.修复OA系统越权访问漏洞，将CRM系统登录日志保留期限调整为90天；2.将业务系统验证码长度调整为6位，启用图形验证码；3.对生产调度系统API接口添加权限校验信息科技部应用系统工程师2025年12月10日4.2管理类问题整改措施问题类型具体整改内容责任部门/人整改期限制度落实1.督促未提交自查报告的部门在2025年11月10日前提交补报，后续每月5日前提交当月自查报告；2.所有运维操作必须填写《运维操作审批单》，未审批不得操作；3.根据《网络安全等级保护条例》修订公司网络安全管理制度各部门安全联络员、信息科技部经理2025年11月30日应急响应1.2025年12月组织一次勒索病毒攻击场景的应急演练，更新应急预案；2.每季度更新应急联络清单，确保联络畅通；3.每季度组织一次应急响应培训网络安全委员会、信息科技部安全工程师2025年12月31日运维管理1.将运维操作记录进行电子化归档，存储至公司文档管理系统；2.立即收回离职运维人员的系统权限，每季度开展一次权限审核；3.网络设备配置变更后24小时内完成备份，存储至异地备份服务器信息科技部运维人员2025年11月20日4.3数据安全类问题整改措施问题类型具体整改内容责任部门/人整改期限数据存储1.使用AES-256加密算法对客户敏感数据进行加密存储；2.建立异地灾备机制，将备份数据同步至公司云存储中心；3.对历史数据进行分级分类管理，清理闲置数据信息科技部数据安全工程师2025年12月15日数据传输1.对OA系统与ERP系统之间的传输协议升级为HTTPS；2.禁止员工使用个人微信、QQ传输内部数据，统一使用公司加密传输工具信息科技部应用系统工程师、各部门经理2025年11月15日数据访问1.按照最小权限原则重新配置员工系统权限，普通业务员仅能查看本人负责的客户数据；2.启用数据访问审计功能，记录所有敏感数据的访问行为，留存期限为180天信息科技部系统工程师2025年11月30日4.4人员意识类问题整改措施问题类型具体整改内容责任部门/人整改期限培训覆盖1.组织未参加培训的新入职员工进行补训，2025年11月30日前完成；2.每季度组织一次全员网络安全培训，覆盖率达到100%；3.每季度组织一次网络安全知识考试，不合格员工重新培训信息科技部安全工程师、人力资源部2025年11月30日操作规范1.通过终端管理系统监控员工软件安装行为，禁止安装非授权软件；2.对使用个人邮箱传输敏感数据的员工进行批评教育，明确禁止此类行为；3.强制员工启用强口令策略，每90天更换一次密码各部门经理、信息科技部终端管理员2025年11月15日五、整改验收要求5.1验收标准所有高、中风险问题100%整改完成，低风险问题整改完成率不低于95%整改后的系统、设备符合等保2.0基本要求，通过第三方漏洞扫描工具检测，无高危漏洞网络安全管理制度修订完成，符合最新监管要求员工网络安全意识达标，网络安全知识考试合格率不低于90%所有整改措施有完整的记录文档，包括整改前后的检测报告、操作记录、培训记录等5.2验收方式技术检测：使用专业漏洞扫描工具对网络设备、服务器、应用系统进行复测，开展模拟渗透测试文档审核：查阅整改报告、操作记录、制度文件、培训记录等文档人员访谈：与运维人员、安全员、员工进行访谈，验证制度落实及安全意识情况终端抽查：随机抽查20%的办公终端，验证终端安全配置情况5.3验收时间2025年12月1日-2025年12月15日5.4验收组织由公司网络安全委员会牵头，邀请第三方网络安全测评机构参与验收，确保验收结果客观公正。六、后续工作安排6.1建立常态化排查机制每季度开展一次网络安全专项排查，重点检查核心系统、网络设备、数据资产的安全状况每年组织一次全面的网络安全等级保护测评，确保公司系统符合等保要求建立漏洞闭环管理机制，对发现的漏洞进行跟踪整改，确保100%闭环6.2强化人员安全意识每季度组织一次网络安全培训，内容包括网络攻击案例、操作规范、应急处置流程等每年组织一次网络安全应急演练，覆盖勒索病毒、数据泄露、网络中断等主要场景每季度组织一次网络安全知识考试，考试结果与员工绩效考核挂钩6.3完善安全管理体系根据国家监管要求及业务变化，每半