2025年开展重点领域网络与信息安全检查的自查报告.docxVIP

2025年开展重点领域网络与信息安全检查的自查报告

为落实《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规要求，按照《2025年重点领域网络与信息安全检查工作方案》（X网安〔2025〕X号）部署，我单位于2025年6月1日至6月30日开展了覆盖全业务链的网络与信息安全自查工作。本次自查以“查隐患、补短板、强能力”为目标，成立专项工作组，制定《自查操作手册》，通过技术检测、资料核查、现场访谈等方式，对关键信息基础设施、重要信息系统、数据资源、云平台及第三方服务、物联网与工业控制系统等5大领域开展深度排查，现将具体情况报告如下：

一、自查工作组织与实施情况

为确保自查工作全面、深入、有序推进，我单位成立了由分管信息化工作的副总经理任组长，信息中心、安全合规部、业务部门负责人为成员的自查领导小组，下设技术组、文档组、协调组3个专项工作组。技术组由2名注册信息安全专业人员（CISP）、3名网络安全工程师组成，负责漏洞扫描、渗透测试、日志分析等技术检测；文档组由安全合规部2名专员牵头，联合各部门资料员，重点核查制度文件、操作记录、培训档案等管理资料；协调组由信息中心综合岗人员担任，负责跨部门沟通、进度跟踪及问题汇总。

自查工作分三阶段实施：6月1日-6月5日为准备阶段，完成《自查操作手册》编制，明确23项检查要点、7类技术检测工具（含漏洞扫描器、日志审计系统、流量分析工具等）及责任分工；6月6日-6月25日为实施阶段，技术组对12个关键系统开展72小时连续监测，完成237个终端设备、5个云平台租户的安全检测，文档组核查制度文件86份、操作记录1200余条；6月26日-6月30日为整改与总结阶段，针对发现的问题建立“一患一档”，制定整改计划，召开专题会议审议自查报告。

二、重点领域检查具体情况

（一）关键信息基础设施安全

我单位关键信息基础设施主要涉及金融业务核心交易系统（以下简称“交易系统”）、能源管理调度平台（以下简称“调度平台”）两类。经检查，交易系统采用双活数据中心架构，部署了防火墙、入侵检测系统（IDS）、Web应用防火墙（WAF），边界防护策略按最小权限原则配置，核心业务端口仅开放给授权IP。但发现以下问题：一是IDS规则库未按月更新，6月15日捕获的1起SQL注入攻击因规则库滞后未触发告警；二是交易日志留存仅满足6个月要求，但部分操作日志（如参数修改日志）未单独归档，存在追溯困难；三是系统管理员账号采用“用户名+数字”弱密码策略（如admin123），未强制启用多因素认证（MFA）。

调度平台连接23个分布式能源站点，采用物理隔离与逻辑隔离结合的防护方式，工业控制协议（Modbus/TCP）流量经加密传输。检查发现：1个站点的RTU（远程终端单元）设备未安装最新安全补丁（CVE-2025-1234，高危漏洞），存在被植入恶意代码风险；平台运维终端未启用安全基线配置，5台终端安装了非必要软件（如游戏客户端），增加了病毒感染途径；应急处置预案中未明确极端情况下（如调度指令被篡改）的人工接管流程。

（二）重要信息系统安全

本次检查覆盖OA系统、ERP系统、生产管理系统等8个重要信息系统。OA系统作为内部协同核心平台，用户规模达1500人，采用LDAP统一身份认证，会话超时设置为30分钟。检查发现：3个部门的OA账号存在“一人多号”现象（因员工离职未及时注销），其中2个账号近3个月有登录记录；附件上传功能未限制文件类型，测试中可上传.exe文件，存在恶意脚本执行风险。

ERP系统承载采购、库存、财务等核心业务数据，部署于本地私有云，数据库为Oracle19c，启用了行级访问控制。但检查发现：开发环境与生产环境未完全隔离，1名开发人员账号同时拥有开发环境读写权限和生产环境查询权限；数据库审计日志仅记录增删改操作，未记录查询操作，无法追踪敏感数据（如客户财务信息）的访问轨迹；系统升级时未进行充分的安全测试，6月10日升级后，采购模块出现SQL注入漏洞（已临时修复）。

生产管理系统连接200余台工业设备，采用OPCUA协议通信，设备状态数据每5秒采集一次。检查发现：2台设备的通信证书已过期（有效期至2025年5月31日），导致数据传输时降级为明文；系统未对设备异常状态（如连续30秒无数据上报）设置自动告警，需人工巡检发现，增加了生产中断风险。

（三）数据安全管理

我单位数据资产主要包括用户个人信息（姓名、手机号、地址等）、业务敏感数据（交易记录、客户信用评分）、生产运行数据（设备参数、能耗指标）三类，总存储量约120TB，其中结构化数据占比75%，非结构化数据占比25%。数据分类分级方面，已制定《数据分类分级指南》，将数据分为“核心”“重要”“一般”三级，