三合小学网络信息安全自查报告及整改方案

三合小学网络信息安全自查报告及整改方案第一章现状与风险画像1.1资产清单教学区：智慧黑板42块、教师笔记本96台、学生机房PC120台、Pad205台、NAS2台、核心交换机2台、POE接入交换机28台、无线AP68个、门禁/监控/广播终端117个。行政区：服务器虚拟化集群（5台DellR740，运行VMware7.0）承载学籍、成绩、财务、OA、邮件、门户网站共12套业务系统；数据库11套，其中MySQL8套、SQLServer3套；堡垒机1台、日志审计1台、防火墙2台、IPS1台、上网行为管理1台。互联网出口：教育城域网200M+电信500M双链路，教育网地址段/16，电信公网地址段218.28.x.x/28。1.2自查周期与团队2024年3月1日至3月31日，由“三合小学信息化中心”牵头，成员：中心主任王颖、网络管理员李浩、系统管理员张倩、应用管理员赵雪、安全运维外包工程师2人、法律顾问1人。工具：Nessus10.5、Goby2.3、Nmap7.93、Wireshark4.0、OSSEC3.6、自研脚本Python3.11。1.3风险分级结果紧急（P0）7项：①门户网站存在Struts2S2-062远程代码执行；②财务系统数据库root空口令；③核心交换机Telnet弱口令；④教师邮箱暴力破解成功37个；⑤学生机房PC永恒之蓝MS17-010未打补丁；⑥NAS开放匿名FTP，存放2019级—2023级学生学籍扫描件；⑦校外维保U盘插拔无登记，存在横向移动风险。高危（P1）12项：服务器未启用多因素认证、VPN使用默认SSL证书、日志留存不足6个月、无线PSK半年未更换、机房UPS无网络监控、出口防火墙规则冗余、备份未加密离线存放、第三方公司远程桌面端口3389暴露在公网、教师个人网盘同步教学资料、学生Pad越狱比例18%、教室摄像头默认口令、门禁控制器固件2017版。中危（P2）21项、低危（P3）35项，详见附件《三合小学风险评估表（2024版）》。第二章合规差距分析2.1法律法规对标《网络安全法》第21、25、34条：未建立“主要负责人为第一责任人”制度，未在30日内向市教育局、市公安局报备P0漏洞。《数据安全法》第27条：学生敏感数据未分类分级，未建立数据出境评估流程。《个人信息保护法》第51条：未制定“最小必要”收集清单，家长consent电子签名缺失。《密码法》第14条：核心交换机、VPN、堡垒机未采用国家密码管理局批准的SM2/SM3/SM4算法。《未成年人保护法》第64条：未对学生进行“网络素养+防沉迷”专项课时。2.2教育行业标准对标《教育部办公厅关于加强教育系统数据安全管理的通知》（教科信厅〔2022〕1号）：缺失“数据安全官”岗位；缺失“教育系统网络安全事件应急预案”备案；缺失“重要数据目录”上报。《GB/T22239-2019网络安全等级保护2.0》：门户网站、学籍系统、财务系统应定为三级，目前未做定级、未做测评、未做整改。2.3行政处罚风险量化依据《网络安全法》第59条：对直接负责主管人员处1万—10万元罚款；对单位处5万—50万元罚款；情节特别严重可暂停业务。法律顾问出具《行政处罚风险意见书》：若P0漏洞被通报，预计罚款区间20万—40万元，并取消年度评优资格。第三章整改目标与原则3.1整改目标2024年6月30日前，P0级隐患清零；2024年9月30日前，通过等级保护三级测评；2024年12月31日前，建立“数据安全+个人信息保护”双合规体系，行政处罚风险降至“零”。3.2原则“三同步”：同步规划、同步建设、同步运行；“最小必要”：数据收集、权限分配、端口开放均按最小必要；“可审计”：任何运维、访问、变更必须留痕，日志保存≥180天；“零信任”：默认不信任，持续认证，动态授权；“学生优先”：任何技术措施不得影响未成年人身心健康。第四章组织与制度重塑4.1网络安全领导小组组长：校长刘卫民（第一责任人）副组长：分管信息化副校长陈芳成员：教务处、德育处、总务处、家委会代表、辖区派出所网安大队联络员职责：审定制度、批准预算、决策应急响应、向市教育局零报告。4.2信息化中心编制调整增设“安全合规岗”1人（事业编），薪酬按市人社局专业技术十级；增设“数据安全官”1人（兼职），由学籍管理员兼任，接受市教育局数据安全官培训并取证。4.3制度清单（节选可执行条款）《三合小学网络信息安全管理办法（2024修订）》第8条账号管理：所有信息系统禁止共享账号，教师离职、岗位变更，账号须在24小时内冻结，冻结记录保存≥3年。第14条漏洞管理：发现漏洞30分钟内报告信息化中心，P0级漏洞2小时内临时处置、24小时内永久修复，修复后48小时内由第三方复测。第22条数据出境：任何云盘、在线问卷、境外AI工具，须填写《数据出境评估表》，经数据安全官、法律顾问、校长三级审批。第35条学生个人信息：采集字段仅限“姓名、性别、出生日期、监护人手机号、学籍号”，其余字段须报市教育局备案并获家长电子签名。《三合小学网络安全事件应急预案（2024版）》事件分级：特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）。响应时限：Ⅰ级15分钟内口头报告市教育局、市公安局；30分钟内发布校内公告；1小时内完成现场取证、断网、隔离。应急演练：每学期至少1次，场景含“勒索病毒加密财务数据库”“学生信息批量泄露”“网站被篡改发布违法信息”。《三合小学关键信息基础设施安全保护细则》界定范围：门户网站、学籍系统、财务系统、核心交换机、出口防火墙。检测评估：每年至少1次渗透测试、1次代码审计、1次红队演练；测评机构须具备国家网络安全等级保护测评机构资质，报告在7日内上传“江苏省教育系统网络安全工作平台”。第五章技术整改实施路线图5.1门户网站Struts2漏洞整改步骤1：3月31日22:00—24:00，通过WAF临时拦截OGNL表达式，添加规则“SecRuleARGS"@rx\$\{.*\}"id:900001,deny,status:403”；步骤2：4月1日08:00—12:00，备份/var/www/html，升级Struts2至2.5.33；步骤3：14:00—15:00，使用Struts2官方struts-secure-6.3.0.jar替换旧依赖；步骤4：15:00—16:00，运行自动化测试脚本（Selenium+Python）遍历238个接口，确认无异常；步骤5：16:30，邀请外部渗透公司“南京安恒”复测，出具《复测报告》并盖章；步骤6：17:00，向市教育局、市公安局提交《漏洞整改完成报告》。5.2财务系统数据库root空口令整改步骤1：3月30日19:00，修改f，添加“skip-grant-tables=0”，重启MySQL8.0.34；步骤2：19:30，新建本地账号“finance_admin@localhost”，认证插件改为caching_sha2_password，口令长度20位，含大小写+数字+特殊字符；步骤3：19:45，回收root远程登录，仅允许；步骤4：20:00，启用TLS1.3，强制客户端SSL连接；步骤5：20:15，使用mysqldump全量备份，备份文件使用SM4加密，密钥托管至堡垒机；步骤6：20:30，通过Zabbix创建触发器，监控异常登录，短信告警至李浩、张倩。5.3核心交换机弱口令整改设备型号：H3CS6800-54QF步骤1：4月2日09:00，通过Console口登录，创建新用户“h3cadmin”，角色level-15，口令12位随机；步骤2：09:15，删除默认用户“admin”；步骤3：09:20，启用SSHv2，关闭Telnet；步骤4：09:25，配置公钥认证，导入RSA-4096密钥对；步骤5：09:30，设置登录失败5次锁定300秒；步骤6：09:35，启用SNMPv3，用户“snmpmonitor”，认证算法SM3，加密算法SM4；步骤7：09:40，配置日志主机指向日志审计平台（IP0），levelinformational；步骤8：09:45，使用Nmap扫描22端口，确认仅允许运维网段/24访问。5.4学生机房MS17-010补丁整改步骤1：4月3日08:00，使用WSUS离线包“2017-03SecurityMonthlyQualityRollup”批量推送；步骤2：08:30，通过PsExec脚本远程执行：psexec\\pc-suffix-ckb4012215.msu/quiet/norestart；步骤3：10:00，对未成功120台中的18台，使用PXE启动，Ghost镜像重装Windows1022H2；步骤4：11:00，启用WindowsDefender实时保护，关闭445端口入站；步骤5：11:30，使用Metasploit复测，确认ms17-010exploit失败；步骤6：12:00，填写《补丁安装确认单》，班主任、信息教师、信息化中心三方签字。5.5NAS匿名FTP整改设备：群晖DS920+，DSM7.2步骤1：4月1日20:00，关闭FTP服务，启用SFTP；步骤2：20:15，创建本地用户“nas_backup”，加入sftp-users组，禁止shell；步骤3：20:30，设置共享文件夹“student_files”仅允许nas_backup读写，禁止匿名；步骤4：20:45，启用AES-256加密传输，关闭SMB1；步骤5：21:00，使用syno-acl工具批量移除匿名权限；步骤6：21:15，通过find命令检索出含“身份证”“户口本”关键词文件，移动至加密文件夹，使用AES-256加密；步骤7：21:30，向市教育局提交《敏感数据清理报告》。第六章数据安全与个人信息保护专项6.1数据分类分级一级（核心）：学籍、成绩、健康、家庭住址、监护人身份证；二级（重要）：教师教案、课件、课题成果；三级（一般）：校园新闻、公开通知。6.2数据资产地图使用DataGrip建立可视化ER图，含字段级标识，敏感字段标红，输出PDF312页，经数据安全官签字确认。6.3加密与脱敏传输：所有Web系统强制HTTPS，TLS1.3，HSTS31536000；存储：MySQL采用InnoDB透明加密，密钥托管至KMS（自建HashiCorpVault）；脱敏：对外公示的成绩单，姓名脱敏为“张”，身份证号脱敏为“3203***1234”。6.4备份与恢复3-2-1策略：3份副本、2种介质、1份异地；本地：NAS每日22:00增量，周日全量；异地：使用rsync+SM4加密，同步至市教育局机房，带宽限速50Mbps；演练：每学期末随机抽取1套系统，执行RTO≤30分钟、RPO≤10分钟恢复演练，演练报告上传省平台。第七章终端与无线安全7.1教师笔记本统一安装Windows11教育版，启用BitLocker，TPM2.0，恢复密钥托管至AD；禁用USB存储，启用“仅允许白名单VID/PID”策略，白名单由信息化中心维护；启用MicrosoftDefenderforEndpoint，高级威胁防护策略由云端统一下发。7.2学生PadMDM采用“lightspeedSystems”，强制iOS17以上；应用白名单：仅允许“希沃白板”“一起中学”“钉钉”及系统自带应用；越狱设备：发现即自动隔离网络，通知班主任，家长到校签字后重装系统。7.3无线网更换为WPA3-Enterprise，认证服务器FreeRADIUS3.2，后端对接AD；证书采用SM2双证，由江苏CA签发；GuestSSID与教学SSID物理隔离，Guest限速10Mbps，每日18:00自动断网。第八章监测、预警与应急响应8.1日志集中使用Graylog5.0，日均日志量18GB，保留180天；关键字段：src_ip、dst_ip、user、event_id、result；日志完整性：使用SHA-256哈希链，每1小时生成MerkleTree，防止篡改。8.2威胁情报订阅国家互联网应急中心“教育行业威胁情报”，每日08:00自动推送；与市公安局网安支队建立API接口，IP信誉库实时同步。8.3安全运营中心（SOC）自建开源SOC：TheHive+Cortex+MISP；剧本：①门户网站被篡改→WAF拦截→TheHive建单→Cortex运行“website_defacement”分析→触发钉钉群机器人→李浩手机；SLA：P015分钟内响应，P130分钟内响应。8.4应急演练案例（2024年4月15日）场景：勒索病毒加密财务数据库；时间：14:00—15:30；过程：①14:00Zabbix告警磁盘IO异常；②14:02SOC发现文件后缀.locked；③14:03启动应急预案Ⅱ级；④14:05断开财务VLAN；⑤14:10使用NetFlow定位感染源5；⑥14:15关机隔离；⑦14:20从异地备份恢复，RPO=8分钟；⑧15:00业务恢复；⑨15:30出具演练报告，总结3项改进：备份脚本增加校验、终端防火墙默认阻断445、财务客户端启用AppLocker。第九章培训与意识提升9.1学生课堂每学期4课时，使用“江苏省中小学网络安全教材”，配套实验：①识别钓鱼二维码；②设置强口令；③隐私保护漫画创作。9.2教师培训年度学时：8学时，纳入继续教育课时；内容：等级保护2.0、个人信息保护法、钓鱼邮件演练；考核：线上答题90分合格，不合格补考，补考仍不合格年度考核不得评优。9.3家长讲堂每学期1次线下家长会，播放“守护孩子上网”宣传片；发放《家庭网络安全手册》纸质版，回收签收率100%；建立“家长志愿者”群，协助监督学生在家上网行为。第十章预算与采购10.1资金来源市财政信息化专项30万元、省教育厅网络安全补助10万元、学校公用经费10万元，合计50万元。10.2采购清单①等级保护测评服务8万元；②堡垒机（2台双机热备）12万元；③SSLVPN升级支持SM2证书5万元；④MDM许可证扩容3万元；⑤数据备份专用硬盘（企业级16TB×6）2万元；⑥安全培训与演练服务4万元；⑦应急备机（DellR7401台）10万元；⑧预留不可预见6万元。10.3采购流程4月20日发布招标公告→5月10日开标→5月15日公示→5月20日签订合同→6月30日前完成交付并验收，验收报告由第三方审计机构出具。第十一章进度与考核11.1甘特图（摘要）3月31日—4月5日：P0漏洞清零；4月6日—4月30日：制度发布、设备采购、等级保护差距整改；5月1日—5月31日：渗透测试、制度宣贯、数据分类分级；6月1日—6月30日：等级保护测评、复测、拿证；7月1日—9月30日：总结提升、评优评先、预算执行审计。11.2考核指标量化KPI：①P0漏洞数量=0；②等保测评得分≥80分；③数据泄露事件=0；④钓鱼邮件点击率≤5%；⑤应急演练RTO≤30分钟；⑥预算执行率≥95%。11.3奖惩完成KPI：信息化中心年度绩效+20%，评优指标单列；未完成：校长约谈，扣减次年信息化经费10%，相关责任人年度考核不得评优。第十二章后续持续改进12.1季度复盘每季度末月25日，召开“网络安全复