关于违反网络信息安全保护规定的自查报告及整改措施.docxVIP

关于违反网络信息安全保护规定的自查报告及整改措施

第一章事件回溯与事实认定

1.1触发场景

2024年3月11日10:42，公司运维部员工王某在腾讯云CVM（实例ID：ins-7avx3q9g）执行“tar-czvf/tmp/backup.tar.gz/data/”时，因参数错误将备份文件生成在/tmp目录，权限设为655。10:47，该实例的Web目录被植入博彩暗链，URL为“/static/js/jquery.min.php”。10:55，腾讯云触发“主页篡改”高危告警，并同步到安全运营中心（SOC）。11:05，SOC值班员李某确认告警属实，启动《信息安全事件应急预案V3.4》，事件编号：ISMS-2024-03-11-01。

1.2影响面量化

①涉及系统：官网主站、移动端H5、API网关，共3个业务系统；

②涉及数据：MySQL库“db_product”中“user”表被导出，记录数2847316条，含手机号、MD5密码、盐值；

③对外暴露时长：暗链存活2小时18分，被百度快照缓存；

④监管通报：3月12日09:30，省网信办下发《责令整改通知书》（文号：粤网安责改〔2024〕15号），要求15日内提交书面报告并完成整改。

1.3根因定位

采用“5Whys+鱼骨图”双工具交叉验证，结论如下：

①直接原因：/tmp/backup.tar.gz权限过宽，被攻击者通过WebShell读取，导致数据库账号泄露；

②间接原因：

a.账号管理——数据库账号“web_rw”拥有SELECT、FILE权限，未按最小权限原则回收；

b.访问控制——腾讯云安全组开放0.0.0.0/0:3306，未限制源IP；

c.备份策略——未加密、未脱敏、未隔离存储；

d.监控盲区——Web目录完整性监控（WIM）未覆盖/static/js/子目录；

e.人员意识——王某未执行“备份加密”SOP，也未在Jira创建变更单。

第二章合规差距对照

2.1法律法规清单

①《网络安全法》第21、22、34条；

②《数据安全法》第27、29条；

③《个人信息保护法》第51、64条；

④《网络数据安全管理条例（征求意见稿）》第38条；

⑤行业规范：《互联网个人信息保护指南》T/ISC-0011-2021。

2.2条款映射与违规点

①未分类分级：用户手机号属于“敏感个人信息”，未按“二级”标准加密存储；

②未落实日志留存：Web访问日志仅保存7天，低于“六个月”法定要求；

③未建立数据出境评估：官网部署在香港可用区，未向省级网信部门报备；

④未履行事件报告义务：事发24小时内未向属地公安网安支队报告。

2.3量化罚则

依据《个人信息保护法》第66条，可处5000万元以下或者上一年度营业额5%以下罚款；公司2023年营收3.2亿元，理论顶格罚款1600万元。

第三章自查组织与过程

3.1自查组构成

组长：CTO张某（拥有CISSP、CISP-DSO双证）；

副组长：法务总监刘某；

成员：安全部6人、运维部4人、研发部3人、QA2人、外部顾问（广州竞远）2人；

独立审计：由集团内审部派员1人，全程旁站。

3.2时间排期

3月13日09:00启动，3月20日18:00完成，共8天；

每日输出《日报》，含进度、风险、阻碍；

3月21日出具《自查报告（终稿）》，经管理层评审后加盖公章。

3.3工具与方法

①自动化：使用阿里云Prowler3.5.0、开源ScoutSuite5.12，对全量云资源进行配置核查；

②手工：基于《OWASPTop102021》做渗透测试，使用BurpSuite2024.2，验证暗链入口；

③访谈：对12名相关员工半结构化访谈，每人30分钟，形成《访谈纪要》签字确认；

④文档审查：调阅变更单、权限申请单、会议纪要共87份，发现缺失率23%。

3.4发现清单（节选）

①堡垒机日志未接入SOC，导致溯源断链；

②数据库脱敏脚本“mask_user.py”自2023年8月起未运行，cron被注释；

③生产Kubernetes集群使用默认token，可横向移动；

④微信小程席接口未做签名验签，可遍历订单；

⑤代码仓库GitLab15.3.0存在CVE-2023-7028，可接管账号。

第四章风险评估与分级

4.1评估模型

采用GB/T20984-2022《信息安全风险评估规范》，计算公式：

风险值=资产价值×威胁可能性×脆弱性严重性×现有控制有效性?1

4.2顶级风险（风险值≥15）

①数据库明文泄露（风险值18）；

②生产网段任意节点可横向移动（风险值17）；

③暗链反复植入（风险值16）。

4.3风险处置优先级

使