2025關(guān)于校園網(wǎng)絡(luò)安全自查報告五篇第一篇制度類《2025年××大學(xué)網(wǎng)絡(luò)安全等級保護內(nèi)部管理制度（修訂版）》一、立法與上位法依據(jù)1.1直接引用《網(wǎng)絡(luò)安全法》第21、22、24、34條；《數(shù)據(jù)安全法》第27—31條；《個人信息保護法》第38—42條；《密碼法》第12—16條；《教育部辦公廳關(guān)于加強教育系統(tǒng)數(shù)據(jù)安全的通知》（教技廳函〔2023〕7號）。1.2校內(nèi)轉(zhuǎn)化原則“就高不就低、就嚴(yán)不就寬、就新不就舊”，凡上位法修訂，校內(nèi)制度30日內(nèi)同步升級。二、組織與職責(zé)矩陣2.1網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組（一級）組長：校黨委書記；副組長：分管信息化副校長；成員：黨辦、校辦、宣傳部、保衛(wèi)處、財務(wù)處、審計處、國資處、研究生院、教務(wù)處、學(xué)生處、團委、圖書館、校醫(yī)院、后勤集團、各二級學(xué)院黨委書記。職責(zé)：年度預(yù)算審批、重大事件追責(zé)、跨部門協(xié)調(diào)。2.2網(wǎng)絡(luò)安全與信息化辦公室（二級，簡稱“網(wǎng)信辦”）編制11人，含3名網(wǎng)絡(luò)安全工程師、2名數(shù)據(jù)合規(guī)崗、1名密碼管理崗、1名應(yīng)急值守崗、2名滲透測試崗、2名安全審計崗。職責(zé)：制度起草、技術(shù)防護、監(jiān)測預(yù)警、應(yīng)急演練、等級保護測評、密碼測評、數(shù)據(jù)出境評估、人員培訓(xùn)、年度考核。2.3二級單位安全員（三級）每個二級學(xué)院、部門設(shè)1名正式編制安全員，享受科級經(jīng)濟待遇；年度KPI與學(xué)院績效掛鉤，權(quán)重不低于15%。2.4班級/實驗室/課題組安全聯(lián)絡(luò)員（四級）共1270名，納入學(xué)生綜合素質(zhì)測評，計0.5學(xué)分/年。三、資產(chǎn)分類分級與臺賬制度3.1資產(chǎn)五分類（1）核心信息基礎(chǔ)設(shè)施：校園一卡通主系統(tǒng)、教務(wù)選課核心庫、研究生招生系統(tǒng)、財務(wù)工資系統(tǒng)。（2）重要業(yè)務(wù)系統(tǒng)：科研管理系統(tǒng)、人事系統(tǒng)、VPN、郵件系統(tǒng)、站群CMS。（3）一般業(yè)務(wù)系統(tǒng)：OA、網(wǎng)盤、視頻會議、云打印。（4）教學(xué)科研終端：教師筆記本、研究生工位機、實驗室服務(wù)器。（5）IoT資產(chǎn)：門禁、攝像頭、智能路燈、空調(diào)集中控制面板。3.2分級標(biāo)準(zhǔn)依據(jù)泄露、篡改、可用性丟失后對學(xué)校聲譽、財務(wù)、法律的影響，劃分為P1（極重要）、P2（重要）、P3（一般）。3.3臺賬8要素資產(chǎn)編號、名稱、IP/MAC、責(zé)任人、開放端口、上線時間、上次漏洞掃描日期、下次巡檢日期。3.4動態(tài)更新新增資產(chǎn)3日內(nèi)錄入；下線資產(chǎn)24小時內(nèi)注銷；變更24小時內(nèi)同步；每月1日自動比對CMDB與DHCP日志，差異率>2%即觸發(fā)通報。四、賬號與權(quán)限管理細(xì)則4.1賬號生命周期開戶：人事處/教務(wù)處源頭推送→網(wǎng)信辦創(chuàng)建→短信初始密碼→首次登錄強制綁定企業(yè)微信+國密SM2雙因子。變更：崗位調(diào)整由人事處觸發(fā)，2小時內(nèi)同步降權(quán)。凍結(jié)：連續(xù)180天未登錄自動凍結(jié)；離職30分鐘注銷。4.2最小權(quán)限與RBAC角色顆粒度細(xì)化到42類，如“學(xué)院教務(wù)員（僅查詢本學(xué)院成績）”“科研秘書（僅導(dǎo)出本學(xué)院縱向項目）”。4.3高權(quán)賬號雙人保管核心系統(tǒng)root、administrator、sa口令分兩段，A段由安全工程師保管，B段由審計崗保管，使用時雙人輸入，全程錄屏。4.4審計日志保留36個月，采用WORM存儲，哈希每日上鏈（長安鏈校內(nèi)部署版）。五、數(shù)據(jù)安全與出境管理5.1數(shù)據(jù)五分類A類：國家敏感數(shù)據(jù)（如國家社科重大招標(biāo)評審材料）；B類：學(xué)校核心數(shù)據(jù)（一卡通消費明細(xì)）；C類：個人信息（學(xué)生父母手機號）；D類：教學(xué)資源（PPT、MOOC視頻）；E類：公開數(shù)據(jù)（官網(wǎng)新聞）。5.2出境評估流程發(fā)起人填報《數(shù)據(jù)出境評估表》→二級安全員初審→網(wǎng)信辦技術(shù)審查（含加密算法、接收方所在國法律）→校法律顧問出具意見→黨委書記辦公會審批→教育部備案。5.3加密要求A、B類數(shù)據(jù)使用國密SM4CBC+SM3HMAC；C類數(shù)據(jù)使用SM4GCM；傳輸通道強制TLS1.3+SM2雙證書。六、密碼與密鑰管理6.1密碼設(shè)備2025年新增18臺國密SSLVPN、3臺服務(wù)器密碼機、200把USBKey（SKF接口）。6.2密鑰生命周期生成→備份→分發(fā)→使用→更新→歸檔→銷毀，全程在密碼機內(nèi)完成，明文不可出機。6.3密鑰分割與托管主密鑰采用3of5門限分割，分別由3名校領(lǐng)導(dǎo)+2名密碼工程師保管，任何3人可重構(gòu)，防止單點綁架風(fēng)險。七、漏洞與補丁管理7.1掃描頻率核心系統(tǒng)每日、重要系統(tǒng)每周、一般系統(tǒng)每月；新漏洞公告6小時內(nèi)完成首次掃描。7.2漏洞評級采用CVSS3.1+校園場景修正，≥7.0為高危，≥9.0為緊急。7.3修復(fù)時限緊急24小時、高危72小時、中危14天、低危90天；超期未修復(fù)由網(wǎng)信辦直接下線系統(tǒng)并通報紀(jì)委。八、日志與監(jiān)測8.1日志源網(wǎng)絡(luò)：核心、匯聚、出口5臺設(shè)備共280個端口鏡像；主機：WindowsSysmon、Linuxauditd；應(yīng)用：Java應(yīng)用通過Log4j2輸出JSON。8.2留存期限網(wǎng)絡(luò)6個月、主機12個月、應(yīng)用24個月；采用冷熱分層，SSD保存30天熱數(shù)據(jù)，后轉(zhuǎn)對象存儲。8.3SOC規(guī)則內(nèi)置480條檢測規(guī)則，含35條教育行業(yè)專屬規(guī)則，如“教務(wù)系統(tǒng)凌晨26點批量導(dǎo)出成績≥500條”。九、應(yīng)急預(yù)案與演練9.1事件分級Ⅳ級（一般）：單臺終端感染；Ⅲ級（較重）：系統(tǒng)中斷3060分鐘；Ⅱ級（嚴(yán)重）：核心系統(tǒng)中斷14小時或1萬條個人信息泄露；Ⅰ級（特別嚴(yán)重）：國家敏感數(shù)據(jù)泄露或業(yè)務(wù)中斷4小時以上。9.2響應(yīng)時限Ⅳ級30分鐘、Ⅲ級15分鐘、Ⅱ級10分鐘、Ⅰ級5分鐘；書面報告2小時內(nèi)報教育部。9.3演練計劃每學(xué)期一次桌面推演、每年一次實戰(zhàn)演練；2025年6月與省公安廳網(wǎng)安總隊聯(lián)合舉行“護網(wǎng)2025”紅藍對抗，藍方42人、紅方18人，持續(xù)36小時。十、獎懲與追責(zé)10.1獎勵發(fā)現(xiàn)重大漏洞（CVE≥9.0）獎勵200010000元；入選國家信息安全漏洞庫（CNVD）原創(chuàng)漏洞額外加50%獎金。10.2處罰未按期修復(fù)漏洞：每超1天扣單位年度績效0.5%；造成Ⅰ級事件：主要責(zé)任人降職、賠償直接經(jīng)濟損失10%，并移交公安機關(guān)。十一、附表（節(jié)選