學(xué)校網(wǎng)絡(luò)和數(shù)據(jù)安全自查報告(一)第一章總體情況與自查背景1.1學(xué)校概況××市××區(qū)××中學(xué)（含附屬實驗小學(xué)）現(xiàn)有教學(xué)班62個，師生共計3180人。校園網(wǎng)采用“雙核心萬兆、千兆到桌面”星型拓撲，出口總帶寬4G，教育城域網(wǎng)2G、電信互聯(lián)網(wǎng)2G互為備份。數(shù)據(jù)中心虛擬化率92%，運行教務(wù)、學(xué)籍、財務(wù)、一卡通、視頻監(jiān)控、智慧課堂等18個關(guān)鍵業(yè)務(wù)系統(tǒng)。1.2自查動因2024年3月，省教育廳下發(fā)《關(guān)于開展教育信息系統(tǒng)網(wǎng)絡(luò)和數(shù)據(jù)安全專項檢查的通知》，要求“凡網(wǎng)必查、凡數(shù)必核”。學(xué)校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組（下稱“網(wǎng)信小組”）決定以“零事故、零失陷、零通報”為目標，用四周時間完成對標自查、即查即改、復(fù)核銷號。1.3自查范圍（1）物理環(huán)境：中心機房、弱電間、UPS間、運營商接入間；（2）網(wǎng)絡(luò)基礎(chǔ)設(shè)施：核心、匯聚、接入、安全、無線、出口鏈路；（3）主機與終端：物理服務(wù)器38臺、虛擬機312臺、教師筆記本460臺、學(xué)生機房PC480臺、辦公PC350臺；（4）應(yīng)用系統(tǒng)：統(tǒng)一身份認證、教務(wù)、學(xué)籍、成績、綜合素質(zhì)評價、一卡通、圖書、視頻監(jiān)控、網(wǎng)站群、釘釘、企業(yè)微信；（5）數(shù)據(jù)資產(chǎn)：結(jié)構(gòu)化數(shù)據(jù)2.3TB、非結(jié)構(gòu)化數(shù)據(jù)18TB，含學(xué)生人臉、家長身份證、成績、資助、體檢、心理測評等敏感信息；（6）管理體系：制度、機構(gòu)、人員、經(jīng)費、應(yīng)急預(yù)案、演練記錄。第二章自查依據(jù)與評分規(guī)則2.1法律法規(guī)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《密碼法》《未成年人保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《教育系統(tǒng)網(wǎng)絡(luò)安全管理辦法》《信息安全等級保護2.0》等。2.2標準規(guī)范GB/T222392019、GB/T284482019、GB/T250702019、GB/T352732020、GB/T209882007、GB/T222402020、JR/T01672020、ISO/IEC27001:2022。2.3評分模型采用“百分制+風(fēng)險等級”雙軌：技術(shù)檢測70分、管理核查30分；得分≥90且高危風(fēng)險清零為“優(yōu)秀”，80–89為“良好”，70–79為“合格”，＜70為“不合格”。第三章組織與分工3.1領(lǐng)導(dǎo)機構(gòu)網(wǎng)信小組組長：書記、校長雙組長制；副組長：分管信息化副校長；成員：教務(wù)處、政教處、總務(wù)處、財務(wù)室、信息中心、年級組、家委會代表。3.2執(zhí)行機構(gòu)成立“網(wǎng)絡(luò)和數(shù)據(jù)安全自查工作專班”，下設(shè)綜合協(xié)調(diào)組、技術(shù)檢測組、管理核查組、整改督導(dǎo)組、宣傳教育組。3.3外部支撐委托××網(wǎng)絡(luò)安全技術(shù)有限公司（具備國家網(wǎng)絡(luò)安全服務(wù)資質(zhì)二級）提供滲透測試、基線核查、APP合規(guī)檢測、數(shù)據(jù)分類分級咨詢。3.4時間排期第1周：動員培訓(xùn)、資產(chǎn)梳理、工具部署；第2周：技術(shù)檢測、差距分析；第3周：管理核查、風(fēng)險評級、整改方案；第4周：整改實施、復(fù)核驗證、報告輸出。第四章資產(chǎn)梳理與分類分級4.1梳理方法采用“自動發(fā)現(xiàn)+人工復(fù)核”雙輪驅(qū)動：（1）部署OpensourceNAC系統(tǒng)，通過SNMP、LLDP、ARP掃描，24小時完成全網(wǎng)IPMAC端口廠商OS綁定；（2）信息中心3名老師、2名廠商工程師逐臺核對標簽、責(zé)任人、維保信息；（3）對2.3TB結(jié)構(gòu)化數(shù)據(jù)采用數(shù)據(jù)資產(chǎn)測繪工具（××DMAP），基于正則、關(guān)鍵字、機器學(xué)習(xí)算法識別敏感字段；（4）輸出《××中學(xué)數(shù)據(jù)資產(chǎn)清單V1.2》，共梳理出業(yè)務(wù)系統(tǒng)18個、數(shù)據(jù)庫42個、數(shù)據(jù)表836張、敏感字段占比37.4%。4.2分類分級結(jié)果依據(jù)教育部《教育數(shù)據(jù)分類分級指南（試行）》定為三級：核心數(shù)據(jù)（L3）：學(xué)籍、成績、資助、心理、人臉、家長身份證；重要數(shù)據(jù)（L2）：圖書借閱、一卡通消費、門禁刷卡、課堂行為抓拍；一般數(shù)據(jù)（L1）：網(wǎng)站新聞、校本資源、公開課件。4.3資產(chǎn)責(zé)任人制度“誰主管誰負責(zé)、誰運維誰負責(zé)、誰使用誰負責(zé)”三責(zé)并行，簽訂《數(shù)據(jù)安全責(zé)任狀》62份，納入年終績效考核，占比15%。第五章技術(shù)檢測詳細過程5.1網(wǎng)絡(luò)邊界安全5.1.1拓撲核查發(fā)現(xiàn)出口區(qū)域存在教育城域網(wǎng)與互聯(lián)網(wǎng)雙鏈路未做策略路由隔離，存在教育網(wǎng)被橫向穿透風(fēng)險。5.1.2防火墻策略使用××FirewallAudit工具拉取策略2852條，發(fā)現(xiàn)冗余策略312條、anyany策略6條、空策略88條；高危：TCP3389、22、3306全端口開放至any。5.1.3整改步驟（1）立即刪除anyany策略；（2）基于“默認拒絕”原則重構(gòu)策略≤300條；（3）啟用NAT64，IPv6業(yè)務(wù)區(qū)獨立網(wǎng)段；（4）部署IPS+防病毒+沙箱聯(lián)動，策略更新周期≤24h。5.2漏洞掃描與滲透測試5.2.1掃描范圍內(nèi)外網(wǎng)資產(chǎn)全量IP段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16及公網(wǎng)映射地址。5.2.2掃描工具Nessus10.5、AWVS15、Goby2.0、Nuclei3.2、手工+MSF。5.2.3結(jié)果匯總高危漏洞17個：WebLogic反序列化（CVE202014882）、ConfluenceOGNL（CVE202226134）、WindowsSMBv3（CVE20201472）；中危漏洞92個；低危漏洞234個。5.2.4滲透利用測試組利用Confluence漏洞獲取WebShell，進一步橫向移動拿到教務(wù)數(shù)據(jù)庫sa權(quán)限，可批量導(dǎo)出2018–2023年全校成績。5.2.5整改措施（1）漏洞分級：紅色（24h）、橙色（72h）、黃色（7d）；（2）關(guān)閉Confluence公網(wǎng)映射，打補丁至7.18.3；（3）WebLogic升級至14.1.1，啟用KRB5認證；（4）數(shù)據(jù)庫區(qū)部署數(shù)據(jù)庫防火墻，禁止DBA賬號遠程登錄；（5）配置VLAN隔離，教務(wù)數(shù)據(jù)庫僅允許中間件服務(wù)器TCP1433白名單訪問。5.3終端與服務(wù)器基線5.3.1核查工具使用××BaselineV3.0，對標等保2.0三級基線模板。5.3.2抽樣比例服務(wù)器100%、教師筆記本30%（138臺）、學(xué)生機房PC10%（48臺）。5.3.3不合格項Windows未啟用BitLocker占比62%、Linux系統(tǒng)umask022占比55%、MySQLroot空口令1例、Tomcat后臺弱口令8例、RDP暴力破解閾值未配置。5.3.4加固流程（1）域控推送GPO，強制BitLocker+TPM+PIN；（2）Linux/etc/profile追加umask027；（3）MySQLroot改用16位隨機口令，禁止遠程；（4）Tomcat禁用manager、hostmanager；（5）RDP失敗5次鎖定30min，啟用NLA。5.4無線安全5.4.1現(xiàn)狀部署AP236顆，采用WPA2PSK，口令為“××2022!”，8個月未更換，曾在家長群泄露。5.4.2檢測結(jié)果抓包發(fā)現(xiàn)WPA2四次握手包，利用hashcat（RTX4090）18分鐘跑出口令；進一步獲取教師辦公網(wǎng)段訪問權(quán)限。5.4.3整改步驟（1）升級WPA3SAE，關(guān)閉TKIP，僅啟用AESCCMP；（2）啟用802.1X+PEAPmschapv2，對接AD，賬號密碼與教師域賬號一致；（3）IoT（班班通、空調(diào)、攝像頭）獨立SSID，采用PSK+MAC白名單+VLAN隔離；（4）每季度強制更換PSK，口令≥16位含大小寫+符號。5.5數(shù)據(jù)安全與備份5.5.1備份策略原采用定時腳本+移動硬盤，未做加密、未做異地。5.5.2改進方案（1）采購國產(chǎn)備份一體機，采用源端AES256加密，備份窗口22:00–04:00；（2）“321”原則：3份副本、2種介質(zhì)、1份異地；（3）核心數(shù)據(jù)庫采用CDP持續(xù)保護，RPO≤15min；（4）每月第1個周六做恢復(fù)演練，演練報告由信息中心、教務(wù)處聯(lián)合簽字。5.6個人信息合規(guī)5.6.1合規(guī)檢測使用××合規(guī)檢測引擎掃描“智慧校園”APP（安卓+IOS），發(fā)現(xiàn)超范圍收集“通話記錄”“應(yīng)用列表”，隱私政策未明示“人臉數(shù)據(jù)保存期限”。5.6.2整改措施（1）APP發(fā)版V2.3.7，刪除READ_PHONE_STATE、QUERY_ALL_PACKAGES權(quán)限；（2）人臉特征值僅本地化存儲，服務(wù)器不保存，學(xué)期結(jié)束即刪除；（3）隱私政策增加“人臉數(shù)據(jù)保存期限：不超過學(xué)期結(jié)束后30天”，字體加粗；（4）家長端新增“撤回同意”按鈕，點擊后24小時內(nèi)完成后臺刪除。第六章管理核查與制度完善6.1機構(gòu)與人員原信息中心3人，無專職安全崗?，F(xiàn)增設(shè)“網(wǎng)絡(luò)安全專責(zé)”1名（納入編制），享受區(qū)級骨干教師同等待遇；同步配備“數(shù)據(jù)安全員”1名（兼職），由教務(wù)副主任兼任。6.2制度清單本次修訂并發(fā)布以下制度，全部上墻、上網(wǎng)、上會：（1）《××中學(xué)校網(wǎng)絡(luò)和數(shù)據(jù)安全管理辦法》；（2）《××中學(xué)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（2024版）》；（3）《××中學(xué)數(shù)據(jù)分類分級管理制度》；（4）《××中學(xué)個人信息保護實施細則》；（5）《××中學(xué)賬號口令管理辦法》；（6）《××中學(xué)機房安全管理制度》；（7）《××中學(xué)信息系統(tǒng)建設(shè)安全準入細則》；（8）《××中學(xué)網(wǎng)絡(luò)安全教育培訓(xùn)與考核制度》。6.3應(yīng)急預(yù)案6.3.1事件分級特別重大（Ⅰ級）：國家秘密、大規(guī)模個人信息泄露；重大（Ⅱ級）：核心系統(tǒng)癱瘓>6h；較大（Ⅲ級）：局部系統(tǒng)異常<6h；一般（Ⅳ級）：單點故障。6.3.2響應(yīng)流程“153060”原則：1分鐘發(fā)現(xiàn)、5分鐘通報、30分鐘遏制、60分鐘出具初步報告。6.3.3演練記錄2024年4月12日組織“勒索病毒攻擊”實戰(zhàn)演練，模擬財務(wù)室PC感染LockBit3.0，演練用時58分鐘完成隔離、溯源、樣本提取、通報區(qū)教育局、公安網(wǎng)安大隊。6.4教育培訓(xùn)（1）教職工：每學(xué)期2學(xué)時，采用“線上直播+線下實操”，內(nèi)容含釣魚郵件識別、弱口令危害；（2）學(xué)生：信息科技課嵌入“網(wǎng)絡(luò)安全微課”，初一、初二每學(xué)年2課時；（3）家長：通過企業(yè)微信推送“網(wǎng)絡(luò)安全家長課堂”，每季度1期；（4）考核：教職工安全知識在線考試合格率≥95%，不合格需補考并扣減績效500元。6.5經(jīng)費保障2024年網(wǎng)絡(luò)安全專項預(yù)算68萬元，含滲透測試12萬、備份一體機28萬、WAF/IPS續(xù)保8萬、培訓(xùn)演練5萬、應(yīng)急獎勵基金5萬、等保測評10萬。經(jīng)費納入?yún)^(qū)教育局年度預(yù)算盤子，實行“?？顚Ｓ?、超支不補、結(jié)余收回”。第七章整改臺賬與復(fù)測驗證7.1臺賬格式采用“編號風(fēng)險描述風(fēng)險等級整改措施責(zé)任人完成時限復(fù)核人狀態(tài)”八字段，Excel+水印+只讀加密。7.2示例條目編號：H017風(fēng)險描述：統(tǒng)一身份認證系統(tǒng)存在SQL注入，可繞過登錄獲取jwt密鑰。風(fēng)險等級：高危整改措施：升級至最新版shiro1.12.0，啟用預(yù)編譯，jwt密鑰≥256位隨機，定期輪換。責(zé)任人：張××完成時限：20240420復(fù)核人：李××狀態(tài)：已關(guān)閉（復(fù)測通過）7.3復(fù)測方法（1）技術(shù)復(fù)測：由外部支撐單位采用“盲測+復(fù)現(xiàn)”方式，100%覆蓋高危漏洞；（2）管理復(fù)核：由區(qū)教育局、公安網(wǎng)安大隊聯(lián)合現(xiàn)場檢查，采用人員訪談、記錄抽檢、配置抽檢；（3）復(fù)核結(jié)論：高危17項全部清零，中危92項已關(guān)閉88項，4項降級為低危，低危234項已關(guān)閉227項，剩余7項納入2024年度常態(tài)化加固計劃。第八章量化評價與對比分析8.1自查評分技術(shù)檢測70分得分65.3，管理核查30分得分27.8，總分93.1，達到“優(yōu)秀”。8.2同比改進與2023年區(qū)教育網(wǎng)安抽測相比：（1）高危漏洞：由45個降至0個，降幅100%；（2）平均修復(fù)時長：由45天降至1.8天；（3）備份恢復(fù)演練：由0次增至4次；（4）教職工安全培訓(xùn)覆蓋率：由62%升至100%；（5）個人信息合規(guī)檢測評分：由58分升至91分。第九章后續(xù)工作計劃9.1等保測評2024年7月啟動三級等保測評，預(yù)計9月完成，目標“符合”以上。9.2數(shù)據(jù)安全成熟度2024年10月對標《GB/T379182019數(shù)據(jù)安全成熟度模型》，目標達到“三級（充分定義）”。9.3零信任試點2024年下學(xué)期選取“智慧課堂”平臺作為零信任試點，采用SDP架構(gòu)，做到“身份可信、設(shè)備可信、行為可信”。9.4創(chuàng)新研究與××理工大學(xué)共建“教育數(shù)據(jù)安全聯(lián)合實驗室”，申報省教育廳重點課題《基于同態(tài)加密的中小學(xué)成績隱私計算研究》，2025年12月前產(chǎn)出論文2篇、發(fā)明專利1項。第十章經(jīng)驗總結(jié)與示范價值10.1主要經(jīng)驗（1）“書記、校長雙組長”高位推動，是快速調(diào)集人財物的前提；（2）“153060”應(yīng)急指標寫入績效考核，是提升響應(yīng)速度的硬抓手；（3）“經(jīng)費單列+超支不補”機制，是避免“有錢