信息系统安全评估报告-1

信息系统安全评估报告本次评估对象为A集团面向C端用户的智慧零售核心交易信息系统，评估范围覆盖系统前端交互、后端服务、网络边界、存储节点、身份权限、运维管理6大模块，评估周期为2024年4月1日至2024年4月15日。本次评估严格遵循《中华人民共和国网络安全法》《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2019）、《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）及A集团内部信息安全管理规范，采用人工访谈、自动化漏洞扫描、模拟渗透测试、配置核查、管理文档审查5类方法开展全维度安全检测。本次评估共检测发现各类安全问题21项，其中高风险问题3项、中风险问题8项、低风险问题10项，系统整体安全得分为72分，满足网络安全等级保护三级的基础合规要求，但核心业务链存在可被利用的高危安全隐患。高风险问题1.核心支付接口缺失安全校验：交易支付回调接口未对请求来源做身份签名验证，未配置请求频次限制，经模拟渗透测试可通过构造恶意回调报文篡改订单支付状态，实现未付费获取付费商品权限，风险涉及支付网关集群10.18.12.0/24网段下3台应用服务器。2.商家后台存在越权访问漏洞：权限管理模块仅在前端做权限拦截，未在接口层增加权限校验，普通商家账号可通过修改请求参数获取平台管理员的全量订单导出权限，可导出全平台近3年所有用户的手机号、收货地址等敏感个人信息，风险涉及商家后台应用服务器10.18.15.18。3.核心数据库存在弱口令与暴露风险：用户信息核心存储库管理员账号使用弱口令Admin@1234，且3306端口对互联网开放，可通过暴力破解直接获取数据库权限，云安全流量日志已记录近7天内多次针对该端口的外部扫描行为。中风险问题1.生产环境前端JS代码未做混淆压缩，残留开发调试注释，泄露12处后端敏感接口路径与参数规则，可被攻击者用于精准打点攻击。2.网络边界访问控制策略配置冗余，共开放17个非业务必需的外网端口，其中445、135端口对外开放，存在SMB远程代码执行漏洞利用风险。3.核心服务器远程运维操作未开启全量审计，操作日志无独立留存，发生安全事件后无法追溯操作路径与责任人。4.用户敏感数据未实现全量加密存储，仅对用户密码做无盐MD5加密，弱口令可通过彩虹表直接破解，身份证号、收货地址等字段以明文形式存储。5.系统仅部署基础网络防火墙，未部署Web应用防火墙（WAF），无法防护SQL注入、XSS跨站脚本等应用层攻击，本次模拟渗透测试成功通过SQL注入获取测试库全量数据。6.第三方合作对接接口仅依靠IP白名单做权限控制，白名单未及时清理已终止合作的第三方IP，且未配置接口签名校验，存在非法接入风险。7.系统使用的3个第三方依赖组件存在公开高危漏洞，分别为ApacheStruts2S2-045、Fastjson1.2.24、SpringBootCVE-2022-22965，漏洞可被直接利用获取服务器权限。8.未建立定期漏洞扫描机制，近6个月未开展全系统系统性安全检测，仅开发人员自行修复已知问题，存量漏洞无法及时发现处置。低风险问题本次共发现低风险问题10项，包括安全培训记录不全、运维终端未统一安装杀毒软件、生产环境残留未下线测试接口、日志留存周期不足合规要求、跨域请求未做源站限制等，此类问题不会直接导致核心数据泄露或业务中断，但不符合等级保护合规要求，长期存在会放大整体安全风险。整改建议与优先级立即整改（15个工作日内完成）针对3项高风险问题逐项落实：1.为所有支付接口增加双向签名校验，配置接口限流规则，限制单IP每秒请求不超过20次；2.重构权限校验逻辑，在接口层增加全局权限拦截，避免仅依赖前端权限控制；3.立即修改核心数据库弱口令，关闭数据库外网访问权限，仅允许运维专网指定IP段接入。限期整改（30个工作日内完成）针对8项中风险问题逐项落实：1.对生产环境前端JS代码做混淆压缩，移除所有开发调试注释与敏感信息；2.重新梳理网络访问控制策略，关闭所有非业务必需的开放端口，仅保留80、443两个业务端口；3.开启所有核心节点的操作审计功能，将审计日志同步存储至独立第三方日志平台，留存周期不低于6个月；4.对全量敏感数据改造加密存储，用户密码增加加盐哈希处理，敏感字段采用国密SM4算法加密存储；5.上线Web应用防火墙并配置防护规则，定期更新攻击特征库，拦截各类应用层攻击；6.梳理第三方接口接入权限，清理过期白名单IP，增加接口签名校验机制；7.全部升级存在漏洞的第三方依赖组件，开展全系统依赖库漏洞扫描，建立依赖版本定期更新机制；8.建立每月1次的全系统漏洞扫描制度，形成“扫描-修复-验证”的闭环管理流程。持续优化（90个工作日内完