信息系统安全评估报告

信息系统安全评估报告本次信息系统安全评估覆盖省政务服务一体化平台承载的政务服务事项办理、数据共享交换、电子证照生成调用、统一身份认证4类核心业务模块，以及支撑系统运行的2个省级中心机房节点、17个市级接入节点、321个部门专网对接链路，评估周期为2024年4月1日至2024年6月30日，评估依据包括《网络安全等级保护基本要求》（GB/T22239-2019）、《政务信息系统安全管理办法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等现行法规与技术标准，综合采用漏洞扫描、渗透测试、配置核查、日志审计、人员访谈、制度文档核验、应急演练验证7类技术与管理结合的评估手段，累计完成124台物理服务器、372台云主机、189套业务组件、42条跨部门数据接口的全量检测，同步覆盖系统运维、开发、管理三类共127名在岗人员的安全履职情况核查，所有检测过程均在业务低峰期开展，全程未对政务服务正常运行造成影响。本次评估建立覆盖技术与管理双维度的量化评分体系，技术维度设置物理安全、网络安全、主机安全、应用安全、数据安全5个评估子域，权重分别占总评分的10%、20%、15%、25%、20%，管理维度覆盖安全管理制度、管理机构设置、人员安全管理、系统建设管控、系统运维流程5个模块，权重占总评分的10%，风险等级按照危害程度划分为高危、中危、低危、信息类四个层级，其中高危风险指可直接导致系统核心业务中断、敏感数据大规模泄露、被非授权获取最高控制权限的安全缺陷，风险赋值9-10分；中危风险指可导致局部业务异常、部分非核心数据泄露、需结合特定场景条件才能利用的安全缺陷，风险赋值4-8分；低危风险指仅存在安全配置瑕疵、难以直接被利用、不会造成实质业务影响的配置偏差，风险赋值1-3分；信息类提示指不构成直接安全风险但存在优化空间的配置项，不参与风险分值核算。评估过程中首先完成全量资产账实核验，经核对系统登记的资产台账与实际在位设备情况，资产台账偏差率为2.3%，偏差来源主要为2台2022年上线的备份存储服务器未及时更新至资产管理系统，3台2024年3月已下线的负载均衡设备未完成资产台账核销，资产全生命周期管理流程中台账更新平均滞后时长为12天，最长滞后时长达47天，存在影子资产未纳管导致的安全监测盲区。物理环境安全检测覆盖两个省级中心机房的访问控制、环境防护、电力保障、应急设施等内容，其中承担主业务运行的A中心机房部署人脸识别+门禁卡双因子访问认证系统，人员进出记录完整，机房整体防火、防水、防雷、温湿度调控系统运行基本稳定，但存在多处防护短板：机房视频监控系统存在3处覆盖盲区，分别位于地下UPS供电间北侧通道、涉密存储介质保管柜转角、运维人员临时操作区东侧，盲区覆盖总面积约7.2平方米，当前监控录像存储时长为87天，未达到政务核心系统要求的90天存储标准；消防系统采用烟感报警+七氟丙烷气体灭火配置，季度消防演练记录完整，但2个烟感探测器因表面积灰导致响应延迟，触发报警的烟雾浓度阈值较出厂标定值高32%，存在火情预警不及时的隐患；电力供应采用双回路市电+2组UPS后备电源+柴油发电机的冗余配置，UPS满载续航时长为4.2小时，满足3小时的最低保障要求，但柴油发电机2024年5月的月度带载测试记录缺失，现场模拟市电中断场景测试显示，发电机自动启动耗时为18秒，符合响应时效要求，但储油罐当前存油量仅能支撑7.5小时连续运行，未达到省级核心节点12小时续航的保障标准。承担同城灾备功能的B中心机房物理防护存在更突出的风险：机房3号机柜区域的楼板承重检测值为7.2kN/㎡，低于核心设备部署要求的8kN/㎡标准，该机柜当前承载3台全闪存存储设备、2台核心交换机，设备总重量超出当前承重阈值约120公斤，长期运行存在楼板变形、设备坠落的风险；机房空调冷凝水排水管存在1处慢漏点，渗漏位置距离网络配线架仅0.8米，渗漏点周边未设置积水检测告警装置，一旦漏水量扩大将直接导致网络设备短路。网络层面安全检测覆盖架构合理性、边界防护能力、传输加密配置、接入安全管控等内容，当前系统按照业务属性划分核心业务区、DMZ区、数据交换区、运维管理区、办公接入区5个安全域，安全域之间通过下一代防火墙配置访问控制策略，但策略梳理发现存在21条过度宽松的访问规则，其中7条规则配置为任意源地址到任意目的地址的全端口放行，相关规则均为2023年系统扩容时为临时调试开通，调试工作完成后未及时清理，形成可被攻击者横向移动的网络通道；网络边界部署的入侵防御系统（IPS）规则库版本为2024年3月15日发布版本，较当前最新规则版本滞后47天，未开启针对Log4j2远程代码执行、SpringBoot框架漏洞、ApacheShiro反序列化等高频高危漏洞的虚拟补丁防护，攻击抗性测试显示，当发起1300次/秒的SYN洪水攻击时，核心业务区政务服务事项申报接口的响应时延从正常状态下的230ms上升至3.8s，请求丢包率达到17.2%，当前配置的抗DDoS防护能力仅能抵御2Gbps以下的流量攻击，未达到省级政务平台10Gbps的防护阈值；跨节点传输安全检测显示，17个市级接入节点中有3个节点与省级中心的通信链路未启用IPSec加密，链路传输的明文内容包含市级上报的办事群众身份证号、手机号等敏感个人信息，通过链路抓包可直接获取完整明文数据包；无线网络安全检测发现，运维管理区内部署的12个无线AP中有2个未开启无线客户端隔离功能，WiFi接入采用WPA2-PSK认证方式，接入密码设置为“GZ2024@fw”，长度与字符组合复杂度不符合安全要求，且近12个月未更换过接入密码，现场暴力破解测试显示，可在17分钟内破解获取接入密码，进而非法访问运维区内网资源。主机层面安全检测覆盖服务器操作系统配置、账号权限管理、恶意代码防护、漏洞修复情况等内容，本次检测的124台物理服务器、372台云主机中，有18台运行WindowsServer2012R2操作系统、7台运行CentOS6操作系统，上述操作系统均已过官方安全补丁支持周期，占服务器总量的5.04%，过保服务器累计存在237个未修复的公开披露漏洞，其中高危漏洞42个，包括MS17-010永恒之蓝漏洞、CVE-2021-41773Apache路径遍历漏洞等可被直接利用获取服务器最高控制权限的风险；账号配置核查显示，31台服务器存在多余管理员账号，其中12台服务器的administrator/root超级管理员账号未配置登录失败处理策略，连续登录失败10次以上未触发账号锁定机制，79台服务器的135、139、445等默认共享端口未做源地址访问限制，42台服务器开启了不必要的Telnet、FTP服务，相关服务的认证与数据传输均采用明文方式，账号与传输内容可被链路嗅探获取；恶意代码防护方面，所有服务器均部署了终端检测与响应（EDR）系统，但27台服务器的EDR客户端运行异常、处于离线状态，病毒库版本滞后超过30天，通过投放120个主流恶意样本（含勒索病毒、挖矿程序、木马后门）开展防护有效性测试，EDR系统的整体样本检出率为82.5%，针对2024年新出现的“银狐”变种木马、“永恒之石”勒索病毒的检出率仅为57%，无法有效抵御新型恶意代码攻击；全量漏洞扫描累计发现主机层面高危漏洞79个、中危漏洞214个、低危漏洞327个，其中41%的高危漏洞补丁发布时间超过90天未完成修复，核心原因为业务系统厂商未建立补丁兼容性测试与灰度发布机制，担心补丁安装引发业务运行异常，长期拖延漏洞修复进度。应用层面安全检测覆盖189套业务组件、42条跨部门数据接口的身份认证、权限控制、输入校验、逻辑安全等内容，Web应用漏洞扫描发现，政务服务事项申报系统存在3个SQL注入漏洞，分别位于办事材料上传接口、办件进度查询接口、企业信息填报接口，通过构造恶意SQL语句可直接读取后台数据库中存储的2021年以来累计1.2亿条办件记录，涉及办事群众姓名、身份证号、手机号、家庭住址等敏感个人信息；统一身份认证系统存在认证逻辑绕过漏洞，通过篡改登录请求中的用户身份标识字段，可无需密码验证直接登录任意实名认证用户账号，模拟测试中成功登录3个实名认证测试账号，可查看账号名下的全部办事记录、电子证照信息；电子证照系统存在任意文件上传漏洞，证照审核人员的文件上传功能未做文件后缀白名单校验与文件内容检测，可上传jsp、php格式的网页木马文件进而获取服务器控制权限；数据接口安全检测显示，42条跨部门数据接口中有11条接口未配置身份鉴权机制，仅通过公开的接口URL即可直接调用获取数据，8条接口未配置调用频率限制，单IP每秒可发起1000次以上接口请求，存在被爬虫程序批量拉取全量数据的风险，6条接口的返回数据存在过度输出问题，例如调用不动产信息查询接口时，除返回查询所需的不动产登记证明信息外，额外返回权利人的婚姻状况、银行贷款记录、家庭成员身份信息等非必要字段，超出业务办理的最小数据需求；渗透测试过程中，累计获取12个业务系统的后台管理员权限，其中7个系统的管理员账号采用弱口令设置，包括“admin123”“fwpt@2020”等常见弱密码，3个系统存在会话固定漏洞，用户登录成功后系统未重新生成会话标识，攻击者可通过诱导用户点击恶意链接获取合法用户会话凭证；业务逻辑漏洞检测发现，政务服务事项办理的材料审核流程存在水平越权漏洞，普通办事账号通过修改请求中的办件编号参数即可查看其他用户提交的涉密申报材料，在线缴费模块存在金额校验绕过漏洞，修改支付请求中的金额参数可将应缴纳的200元行政审批费用修改为0.01元完成支付，测试过程中该操作未触发任何后端校验拦截机制。数据安全层面检测覆盖分类分级工作开展情况、数据全生命周期防护能力、个人信息保护合规性等内容，当前系统累计存储数据集127个，仅32个数据集完成分类分级标识，剩余95个数据集未按照《政务数据分类分级指南》要求划定核心数据、重要数据、一般数据等级，涉及人口基础信息库、法人单位信息库、电子证照库等核心数据资源，数据安全防护策略未按照数据等级差异化配置；数据全生命周期各环节均存在防护短板，数据采集环节，12个线上办事场景存在超范围采集个人信息问题，例如办理社保查询事项时强制要求用户提供婚姻状况、学历信息，办理公积金提取事项时强制申请获取用户通讯录、地理位置权限，违反个人信息收集的“最小必要”原则；数据存储环节，核心数据库中存储的身份证号、银行卡号、手机号等敏感字段未采用加密存储，全部以明文形式存放，数据库备份数据存储在与生产系统同一机房的存储设备中，未实现异地容灾备份，且备份数据本身未做加密处理，近一年的备份恢复测试显示，累计3份历史备份数据因存储介质损坏无法正常恢复，数据恢复成功率为92.7%，未达到核心系统99.9%的恢复成功率要求；数据使用环节，运维人员访问核心数据库未配置双人审批流程，通过堡垒机访问数据库的操作日志仅记录登录时间与账号信息，未留存具体的SQL操作语句，无法追溯数据批量导出、删除等高危操作，日志审计显示，近3个月共有17次通过运维账号批量导出数据的操作记录，均未匹配对应的审批流程，涉及导出数据量共计127万条；数据销毁环节，2024年二季度共报废存储硬盘47块，其中19块硬盘仅做简单格式化处理，未采用消磁、物理粉碎等不可恢复的销毁方式，随机抽取3块格式化后的硬盘开展数据恢复测试，可成功恢复出2023年存储的电子证照、办事记录等敏感数据；个人信息保护层面，系统对外展示的办事记录查询、电子证照展示页面未配置个人信息脱敏展示规则，身份证号、手机号字段全部明文展示，存在被周边人员偷窥、屏幕截图导致信息泄露的风险，针对用户提出的个人信息查询、更正、删除申请，平均响应时长为7.2个工作日，但仍有12%的申请因内部流程流转不畅导致处理时长超过15个工作日，未建立个人信息保护影响评估（PIA）工作机制，2024年以来上线的8个新业务功能均未在上线前开展个人信息保护影响评估，未针对数据泄露事件制定专门的个人信息告知与应急处置流程。安全管理层面检测覆盖制度体系建设、机构人员配置、系统建设管控、运维流程落地等内容，当前单位已制定网络安全相关管理制度37份，但其中12份制度的最近一次修订时间为2019年，未结合等保2.0标准、《数据安全法》《个人信息保护法》的新要求更新条款内容，缺少数据分类分级管理、供应链安全管理、个人信息保护、零信任安全架构建设等专项管理制度，现有制度的落地执行稽核记录缺失，2024年以来未开展过全单位范围的制度执行情况检查；安全管理机构设置方面，虽已成立网络安全和信息化工作领导小组，但小组成员因岗位调整发生变动后未及时更新正式任职文件，当前在岗专职网络安全管理人员共4人，仅占运维团队总人数的8%，人员配比未达到省级政务系统要求的10%最低配比，关键岗位存在权限交叉问题，其中1名运维人员同时持有系统管理员与审计管理员账号权限，可同时修改系统配置并删除操作审计日志，违反“三权分立”的权限分离原则；人员安全管理方面，2024年以来新入职的17名技术与运维人员未开展岗前网络安全培训，未签订网络安全保密协议，近12个月未组织全员开展网络安全意识培训与考核，人员访谈结果显示，32%的运维人员无法准确识别钓鱼邮件的典型特征，27%的人员曾使用个人U盘在内网服务器上拷贝数据，存在恶意代码摆渡传入的风险，针对外包开发人员的权限管理存在漏洞，7名驻场外包人员的系统账号在阶段性项目结束后未及时回收，其中2个账号在2024年5月仍有活跃登录记录；系统建设管理方面，近1年上线的12个业务系统均未在上线前委托第三方机构开展安全测评，仅由开发团队完成功能测试后即上线运行，软件供应链安全检测缺失，对系统引入的217个第三方开源组件未开展常态化漏洞排查，累计发现高危开源组件漏洞34个，包括Log4j2、Fastjson等存在已知远程代码执行风险的组件版本，等级保护备案方面，政务服务一体化平台2023年完成等保三级备案，但2024年系统扩容后新增的数据共享交换模块未同步开展等保测评与备案信息变更；系统运维管理方面，日常漏洞扫描频率为每季度1次，未达到核心系统每月1次的漏洞扫描要求，2024年以来仅开展1次应急演练，演练场景仅覆盖服务器硬件宕机故障，未覆盖勒索病毒攻击、数据泄露、DDoS攻击等高频安全事件场景，现行应急预案最近一次修订时间为2022年，预案中列明的3名应急联系人已离职，联系电话未及时更新，运维过程中的外部人员访问机房、系统的审批记录存在补填情况，27%的外部人员访问审批单是在访问结束后3个工作日内补填的，未落实事前审批要求；备份与恢复管理方面，系统当前执行每天增量备份、每周全量备份的策略，但未定期开展备份恢复有效性演练，2024年以来仅开展1次恢复测试，且测试范围仅覆盖非核心业务数据，核心业务数据库的恢复流程未做实际验证，灾备节点的业务切换演练从未开展，无法确认灾备系统的实际可用性。结合各维度评分权重核算，本次评估中物理安全维度得分82.3分，网络安全维度得分61.7分，主机安全维度得分58.2分，应用安全维度得分49.6分，数据安全维度得分47.9分，安全管理维度得分63.4分，系统整体安全得分为58.7分，安全防护能力等级为“待改进”，存在较多高危与中危风险，无法满足核心政务系统的安全保障要求。从风险可能造成的实际影响分析，首先是核心业务中断风险，当前网络层抗DDoS防护能力不足、主机层存在可被直接利用的高危漏洞、灾备切换能力未经验证等问题，一旦发生大规模网络攻击或漏洞被恶意利用，可能导致核心业务中断时长超过4小时，对照《政务服务平台服务规范》要求，省级政务平台年度核心业务累计中断时长不得超过43分钟，若发生4小时以上的业务中断，将直接影响全省日均12万件政务服务事项的正常办理，损害企业与群众的办事体验，造成恶劣社会影响；其次是大规模数据泄露风险，应用层存在的SQL注入、未鉴权接口、越权访问漏洞，数据存储层敏感字段明文存储、运维操作无审计、数据销毁不彻底等问题，可被攻击者利用非法获取、售卖系统存储的1.2亿条办事记录、3.7亿条人口基础数据、2.1亿条电子证照数据，违反《数据安全法》《个人信息保护法》的强制性要求，可能触发最高为上一年度营业额5%的行政处罚，同时严重损害政府部门的公信力；第三是合规性处罚风险，当前系统等保三级要求项不符合率达37.2%，未落实数据分类分级、个人信息保护、安全审计等法定安全义务，在2024年网信部门、公安部门组织的常态化网络安全检查中，存在被通报批评、责令限期整改甚至临时关停系统的风险；第四是恶意代码入侵风险，当前系统存在的弱口令、未修复高危漏洞、任意文件上传等问题，可被攻击者利用植入挖矿程序、勒索病毒，导致系统文件被恶意加密、服务器计算资源被非法占用，参考近年国内政务系统遭遇勒索攻击的处置案例，此类攻击导致的系统恢复平均成本超过200万元，平均业务恢复周期达15天。针对上述发现的安全风险，按照风险危害程度、整改实施难度设置三个整改优先级，明确整改时限与落地要求，确保风险闭环管控。第一优先级为立行立改项，需在评估完成后30天内全部整改到位，具体包括：全面清理网络边界的宽松访问控制策略，下线所有临时开通的全端口放行规则，将入侵防御系统规则库升级至最新版本，开启高危漏洞虚拟补丁防护，临时将抗DDoS防护能力扩容至10Gbps，对3个未启用传输加密的市级接入链路立即配置IPSec加密策略；完成所有弱口令账号的整改，为所有服务器账号配置登录失败锁定策略，关闭过保服务器上的非必要服务，组织开发团队24小时内完成SQL注入、任意文件上传、身份认证绕过等高危应用漏洞的代码修复，部署Web应用防火墙临时防护规则阻断漏洞利用路径；补全柴油发电机月度带载测试记录，补充储油罐存油量至满足12小时连续运行标准，调整机房监控摄像头角度消除覆盖盲区，扩容监控存储容量将录像存储时长提升至90天以上；清理服务器冗余管理员账号，回收所有离职人员、外包人员的闲置系统账号，完成所有离线EDR客户端的联调上线，将病毒库升级至最新版本；为所有公开API接口增加身份鉴权机制，配置接口调用频率限制规则，修复在线缴费模块金额篡改、办件材料越权访问等业务逻辑漏洞；为前端展示页面的敏感个人信息字段配置脱敏展示规则，对近3个月未审批的数据导出操作开展全量核查，追溯数据流向，对未规范销毁的存储硬盘重新开展消磁或物理粉碎处理；完成安全管理关键岗位的权限调整，落实系统管理员、安全管理员、审计管理员的三权分离要求，杜绝权限交叉。第二优先级为短期整改项，需在评估完成后90天内落地，具体包括：建立资产全生命周期管理机制，实现资产上线、变更、下线流程的台账实时更新，将资产台账偏差率控制在0.5%以内；完成B中心机房的机柜承重改造，修复空调冷凝水渗漏点，在易漏水区域配置积水检测告警装置，更换响应延迟的烟感探测器；按照零信任架构理念重新梳理安全域访问控制规则，对所有运维访问、用户访问开展持续身份校验，改造无线网络配置，启用AP客户端隔离功能，采用WPA3认证方式，每90天定期更换无线接入密码；建立安全补丁兼容性测试与灰度发布机制，在测试环境完成所有高危漏洞补丁的兼容性验证后，分批完成生产环境的补丁修复，制定过保服务器迁移替换计划，90天内完成50%过保服务器向国产云操作系统平台的迁移；完成所有中危、低危Web应用漏洞的修复，建立应用上线前安全检测机制，所有新上线业务必须经过漏洞扫描、渗透测试合格后方可发布；全面完成数据分类分级工作，为所有数据集标注安全等级，对核心数据库的敏感字段采用国密SM4算法进行加密存储，建立异地灾备备份机制，将核心数据备