致: 各相关部门及单位
自: 信息安全委员会
日期: 2023年10月27日
根据年度网络安全工作部署,我委于近期组织对全公司网络与信息系统进行了全面安全隐患排查。现将排查结果及整改建议通报分析如下。
一、 排查基本情况概述
本次排查覆盖核心业务系统、办公网络、数据中心及全部对外服务窗口,采用技术扫描、人工审查、渗透测试及配置核查相结合的方式,重点检查了网络边界安全、系统漏洞、权限管理、数据防护及安全策略落实情况。排查时段为2023年9月15日至10月15日。
二、 主要安全隐患通报
经查,目前主要存在以下四类安全隐患:
1. 系统漏洞与补丁滞后问题:部分老旧业务服务器(如人力资源管理系统V2.1、档案查询系统)操作系统已停止官方支持,且未安装近一年来的安全补丁,存在已知高危漏洞(如CVE-2023-XXXXX)被利用的风险。部分中间件版本陈旧,易受攻击。
2. 网络访问控制策略宽松:内部网络不同安全区域(如研发网与办公网)之间访问控制列表(ACL)设置存在冗余策略,部分非必要端口长期开放。远程办公VPN接入存在共享账号现象,且登录日志审计不完整。
3. 权限管理存在隐患:多个业务系统存在大量僵尸账号及离职员工未及时回收的访问权限。部分数据库账户采用默认或弱口令,且存在过度授权情况(如测试账户拥有生产环境数据删除权限)。
4. 数据安全防护不足:核心业务数据的备份策略不完整,未定期开展恢复演练。部分部门通过公共网络传输敏感业务数据时未加密或使用弱加密协议。终端计算机防病毒软件病毒库更新不及时。
三、 整改建议与分析
针对上述隐患,提出以下整改建议:
立即整改项(限两周内完成):关停非必要开放的高风险端口,立即修订VPN使用规范,强制禁用共享账号,并启用双因素认证。全面清查并禁用所有系统的僵尸账户及离职人员权限,强制修改所有默认及弱口令账户密码。
短期整改项(限一个月内完成):制定老旧系统升级或替换的明确计划表,在升级前采取临时加固措施(如部署虚拟补丁、加强网络隔离)。全面审查并收紧所有网络区域的访问控制策略,遵循最小权限原则。统一部署并强制执行终端安全管控策略,确保防病毒软件及操作系统补丁及时更新。
中长期整改项(限三个月内完成):建立常态化的漏洞扫描与补丁管理流程,纳入运维考核。完善数据全生命周期安全管理规范,实施强制的数据传输加密,并建立定期、异地的数据备份与恢复演练机制。在全公司范围组织开展网络安全意识专项培训。
四、 责任落实与后续安排
请各部门负责人对照本通报,切实承担起本单位网络安全主体责任。相关技术细节及具体漏洞列表已通过保密渠道分发至各技术责任人。信息安全委员会将于整改期限结束后组织复查,对未完成整改或整改不力的单位进行通报批评,并纳入年度绩效考核。
落款:
信息安全委员会(盖章)
2023年10月27日