原创力文档- 0
- 0
- 约5.8千字
- 约 17页
- 2026-03-08 发布于四川
- 举报
2026年网络安全检查工作情况自查报告3篇
第一篇
2026年网络安全检查工作情况自查报告
——××省××厅信息中心
第一章检查背景与总体思路
1.1政策驱动
2026年3月,国家网信办、公安部、工信部联合下发《2026年关键信息基础设施安全保护专项行动方案》,首次将“数据跨境流动风险”“供应链软件物料清单(SBOM)”纳入年度必查项。我厅作为省级政务数据枢纽,承载全省社保、医保、公积金三大业务系统,日均接口调用量1.7亿次,一旦失守将直接引发社会稳定事件,故把本次自查定位为“对标专项行动、高于基线要求”。
1.2自查原则
“业务不中断、数据不出境、隐患不过夜”三条底线;
“谁主管谁负责、谁运营谁担责、谁使用谁盯责”三级责任制;
“技术归零、管理归零、责任归零”三归零闭环。
第二章组织与过程
2.1领导小组
由厅党组成员、副厅长任组长,信息中心、法规处、保密办、机关纪委四方联合,下设技术、管理、合规、应急四个分组,打破以往“IT部门单打独斗”局面。
2.2时间排期
准备阶段:4月1—10日,完成资产梳理、工具选型、规则库升级;
现场阶段:4月11—25日,对62套核心业务系统、14家第三方服务商、3朵行业云开展拉网式排查;
复核阶段:4月26—30日,引入省委网信办专家库7名成员进行“回头看”,确保问题不反弹。
2.3工具与方法
技术侧:采用自研“镜鉴”流量探针+商业版Nessus10.7+开源SBOM工具Syft1.12组合,实现二、三层流量全镜像、七层payload解码、容器依赖可视化;
管理侧:对照《GB/T39204-2022关键信息基础设施安全保护要求》新条款,设计117项打分表,其中新增“数据跨境审批留痕”权重占8%;
人员侧:对42名运维、开发、外包人员实施“背靠背”访谈,重点核查“幽灵账号”“离职未销户”两类灰色地带。
第三章发现的主要问题
3.1技术类
a)容器逃逸隐患:医保结算微服务集群使用runC1.1.4,存在CVE-2024-21626本地提权0day,已验证可获取宿主机root;
b)加密通信弱配置:社保接口TLS1.0/1.1仍开启,与省民政厅对接链路可被中间人降级;
c)SBOM缺失:14家第三方提供的.jar、.so、.dll组件无签名、无版本锁定,最大缺口涉及开源日志框架log4j-api-2.17.0,虽无直接漏洞,但无法快速定位后续风险。
3.2管理类
a)数据出境审批表缺失:2025年11月—2026年3月,省人社科研院与新加坡××大学联合建模,累计传输脱敏记录1.3亿条,未履行省级跨境评估;
b)供应商“二次转包”:公积金短信通知服务由A公司中标,实际代码编写、日志存储由B公司(无等保三级资质)完成,合同未约束安全责任;
c)特权账号未年检:数据库超级账号dbadmin自2023年以来未更换口令,且被5名外包人员共享。
3.3合规类
a)日志留存不足:WAF仅保留最近90天,低于《网络安全法》要求的6个月;
b)应急预案未覆盖“数据勒索”场景:现有演练脚本聚焦DDOS、网页篡改,缺少“加密磁盘+索要数字货币”双因子处置流程。
第四章整改与加固措施
4.1技术加固
容器层:升级runC至1.2.0,启用seccomp+AppArmor双策略,禁止容器挂载宿主机/etc/crontab;
加密层:强制TLS1.3,关闭重新协商,将RSA密钥长度从2048提升至4096;
SBOM层:在CI/CD流水线植入Syft+Grype,每次构建自动生成.json清单,并推送至“省政务软件供应链安全平台”,实现红黑榜公示。
4.2管理整改
数据出境:立即暂停科研院传输通道,补办省级评估,引入数据出境风险自评估工具,输出《××省人社数据出境白皮书》模板;
供应商:对A、B公司启动联合约谈,签订《安全责任补充协议》,B公司限期60天内通过等保三级测评,否则终止合作;
特权账号:部署CyberArk特权账号保险箱,强制MFA+14位随机口令+季度复检,外包人员使用“一事一授权”工单。
4.3合规补齐
日志:新增日志归档节点,采用冷热分层,热区90天、冷区7年,签名防篡改;
应急:修订《××厅数据勒索专项应急预案》,设置“一键断网、一键封账、一键快照”三键操作,5月12日完成实战演练,RPO控制在15分钟。
第五章经验与下一步计划
5.1经验提炼
“业务+合规”双轴驱动,比单纯技术扫描更能获得管理层资源;
SBOM不是简单物料清单,而是后续漏洞响应、license审计、供应链溯源的“总开关”,必须在预算中单列专项;
“第三方等保”不能只看中标商,要穿透到实质提供服务的底层公司。
5.22026下半年计划
6月:完成“零信任”一期,将VPN+堡垒机+特权
文档评论(0)