信息安全的自查报告.docxVIP

信息安全的自查报告

本次信息安全自查工作覆盖人员安全、网络安全、系统安全、应用安全、数据安全、物理安全及应急响应七大领域，通过技术扫描、人工核查、日志审计、渗透测试等多种手段结合，形成以下具体排查结果。

在人员安全管理方面，重点核查了员工账号生命周期管理、权限分配及安全意识培训情况。用户账号审计显示，当前域环境下共有活跃用户账号237个，其中5个账号连续90天无登录记录，涉及离职员工3人、调岗未交接2人；权限分配检查发现，12个部门存在横向越权现象，市场部3名员工持有财务部服务器访问权限，客服团队全员共享5个具有数据库查询权限的通用账号；安全意识培训方面，2023年累计开展8次专项培训，但抽查20名员工模拟钓鱼邮件测试显示，3人点击恶意链接，2人下载伪装附件，培训转化率需进一步提升。通过对人力资源部《员工入职离职流程》文档核查，发现IT资产回收环节未纳入离职审批必经节点，导致2名已离职员工仍持有VPN接入权限。

网络安全架构层面，采用Nessus漏洞扫描与Wireshark流量分析相结合的方式进行深度检测。边界防护方面，主防火墙配置存在3条冗余ACL规则，允许192.168.0.0/24网段直接访问DMZ区服务器，违反最小权限原则；IDS系统日志显示，近30天内检测到172次来自外部的端口扫描行为，其中19次涉及高危端口（3389、22）探测，但未触发自动阻断机制。内部网络划分存在明显缺陷，开发测试区与办公区未实现VLAN隔离，导致测试环境中Redis未授权访问漏洞（CVE-2022-0543）扩散至办公网段；无线网络安全审计发现，3个AP仍在使用WPA加密协议，2个guestSSID未启用流量隔离，存在数据泄露风险。网络设备加固情况不佳，12台接入层交换机默认管理账号未修改，核心路由器SNMP服务使用community字符串弱口令，存在被远程控制隐患。

系统安全防护检查覆盖服务器、终端及移动设备三类资产。服务器方面，通过OpenVAS扫描发现，15台WindowsServer2016存在MS17-010永恒之蓝漏洞未修复，3台Linux服务器存在Sudo权限提升漏洞（CVE-2021-3156）；终端安全管理工具覆盖率达85%，但存在7台研发用计算机未安装EDR软件，且有12台终端关闭了WindowsDefender实时保护功能；移动设备管理（MDM）平台显示，35台企业配发手机中，8台未开启应用安装白名单，2台ROOT权限已破解，存在恶意软件植入风险。账号密码策略执行存在疏漏，域控制器组策略虽配置密码复杂度要求，但本地管理员账号中有6个使用Admin@123等弱口令，通过LC5密码破解工具验证，2分钟内成功破解4个。

应用安全测试采取黑盒渗透与代码审计双轨并行模式。Web应用方面，对CRM系统、OA平台等6个核心业务系统开展渗透测试，发现OA系统存在SQL注入漏洞（风险等级高危），可通过构造恶意Payload获取数据库管理员权限；文件上传功能未限制可执行文件类型，成功上传伪装成.jpg的webshell脚本；API接口安全测试显示，3个对外接口未实施流量限流，2个接口缺乏有效的身份认证机制。代码审计聚焦自研ERP系统源代码，检测出12处安全缺陷，其中包括5处跨站脚本漏洞（XSS）、3处不安全的直接对象引用，以及2处硬编码密钥问题。移动应用安全检测发现，企业内部通讯APP存在数据传输未加密、本地缓存敏感信息明文存储等问题，通过AndroidStudio反编译验证，可直接获取用户通话记录与聊天日志。

数据安全防护体系检查涵盖数据分类分级、全生命周期保护及合规性评估。数据资产梳理显示，现有系统存储敏感数据总量约12TB，其中客户身份证号、银行卡信息等核心数据约3.2TB，但仅45%完成加密存储；数据传输过程中，财务系统与银行对接接口仍使用TLS1.0加密协议，存在被降级攻击风险；数据备份机制检查发现，核心数据库每日全量备份执行成功率92%，但近3个月未开展恢复演练，上次演练中出现2个表空间数据校验失败问题。合规性方面，对照《数据安全法》要求，数据出境申报存在遗漏，海外分公司服务器存储的20万条境内用户数据未办理安全评估；个人信息保护方面，用户协议中未明确告知数据留存期限，隐私政策更新未履行通知义务，违反《个人信息保护法》第四十七条规定。

物理安全环境检查涉及机房管理、办公区域及监控系统。机房准入控制存在漏洞，门禁系统记录显示，7次非授权人员尾随进入，且3个服务器机柜未张贴资产标签；温湿度监控系统数据显示，近1个月出现5次温度超标（超过28℃），空调冗余度不足，主空调故障时备用系统需手动切换，存在20分钟以上宕机风险；办公区域安全检查发现，3个楼层打印机默认开启共享功能，可访问历史打印记录，包含27份含合同编号的敏感