学校网络安全实施方案

学校网络安全实施方案第一章总体目标与适用范围1.1目标本方案以“零重大安全事故、零敏感数据泄露、零业务中断”为年度核心指标，通过技术、管理、运营三位一体手段，确保校园网、教学系统、科研平台、办公终端、物联网设备在365×24小时环境下持续可信运行。1.2适用范围覆盖××大学三校区、两所附属医院、一个异地灾备中心，资产清单含18000台终端、1200台虚拟服务器、370台物理服务器、53类物联网终端（门禁、摄像头、闸机、水电表）、2套私有云、1套混合云。1.3合规基线以《网络安全法》《数据安全法》《个人信息保护法》《密码法》《教育系统网络安全管理办法》为刚性底线；同步对标教育部《教育行业网络安全等级保护指南》第三级要求；对科研涉密项目追加《国家保密法》及《军工保密资格认定办法》条款。第二章组织与职责2.1网络安全领导小组校长任组长，分管信息化副校长任常务副组长，成员含党办、校办、宣传部、人事处、财务处、国资处、科研院、学生处、保卫处、校医院、后勤集团、图书馆、信息中心。领导小组每月召开一次例会，遇重大事件2小时内启动应急会商。2.2信息中心（执行层）编制8+2+1模式：8名正式编制、2名外包驻场、1名公安网安派驻民警；设网络、主机、应用、数据、物联网、攻防、审计、合规8个岗位，一人一岗，禁止兼岗。2.3三级联络员制度各部门设A、B角联络员，A角为行政副职，B角为技术骨干；信息中心建立“联络员—安全员—分管领导”三级钉钉群，确保通知10分钟内签收。2.4考核与问责年度绩效考核权重占部门总分15%；出现一次及以上Ⅲ级事件，部门不得评优；出现Ⅱ级事件，分管领导年度绩效降一档；出现Ⅰ级事件，启动问责程序，移交校纪委。第三章资产与风险管理3.1资产发现采用“主动扫描+流量监听+人工申报”三源融合：①部署3台RogueScanner，每24小时全网ARP探测；②核心交换镜像流量到NTA，基于DHCP指纹、TLS指纹识别无代理设备；③建立“资产申报”微信小程序，教职工30秒内可完成自助登记，未申报设备上线即触发准入隔离。3.2资产分级按“业务影响度×数据敏感度×恢复难度”三维量化，得分≥80为S级（核心），60–79为A级（重要），40–59为B级（一般），＜40为C级（可容忍）。S级资产必须纳入异地灾备，RPO≤15分钟。3.3漏洞管理①漏洞来源：教育部通报、CNVD、CNNVD、厂商公告、HackerOne众测、校内SRC；②评级：采用CVSS3.1+教育行业威胁情报修正，≥7.0为高危；③时限：高危7天、中危30天、低危90天；超期未修复由信息中心直接下线隔离；④复测：修复后24小时内由攻防岗完成复测，未通过则reopen并升级通报。3.4供应链管控所有软硬件采购合同必须附加《网络安全补充条款》，明确厂商提供≤6个月的安全更新周期；上线前由合规岗执行“源代码托管+固件MD5校验+SBOM清单”三件套；开源组件须通过SPDX格式备案，禁止Struts2、Fastjson等已知高风险组件入库。第四章网络边界与访问控制4.1物理隔离校园网划分为教学区、办公区、学生宿舍区、数据中心区、物联网区、财务专网、科研涉密网七大片；科研涉密网采用独立光纤、独立机房、独立UPS，与其他区域物理隔离，禁止任何双网卡终端跨接。4.2逻辑隔离数据中心区采用VXLAN+EVPN技术细分为128个微段；默认DENYALL，策略由零信任平台动态下发；策略变更走工单，双人复核，历史版本可回滚。4.3边界防火墙出口部署双活IPS/IDS，型号为FortiGate6000E，签名库24小时内更新；开启SSL解密，解密流量池使用国密SM2证书；对境外IP默认拒绝，确需访问走VPN+MFA。4.4零信任远程访问①组件：CASB+SDP+IDaaS，厂商经过公安三所检测；②认证：统一身份认证平台对接人事系统，教职工每180天、学生每90天强制改密；③条件准入：终端必须补丁≥90%、杀毒库≤7天、磁盘加密开启、GEO地理位置在中国境内；任一条件不符即降权至仅访问WebMail。4.5物联网专网NBIoT与WiFi6双栈；所有摄像头必须支持802.1X+国密证书；默认关闭UPnP、Telnet、SSH；出厂口令首次即强制失效，采用随机16位口令+二维码贴纸贴于设备背面，由后勤集团统一保管。第五章数据安全全生命周期5.1分类分级将数据分为核心数据、重要数据、一般数据、公开数据四级；核心数据包括：全校人事薪酬、科研涉密、高考录取、学生心理健康、财务预算、源代码、密钥；重要数据包括：普通教务、一卡通消费、视频监控、论文库。5.2加密①传输：HTTPS强制HSTS，TLS1.3优先，禁止TLS1.0/1.1；②存储：核心数据使用SM4GCM加密，密钥托管在HSM（渔翁SJJ1318），管理员三把钥匙，任意两把才能解锁；③备份：备份文件同样加密，备份服务器放置于异地机房，离线磁带库使用AES256，密钥分片由三位主管分别持有。5.3脱敏与匿名化测试环境必须使用脱敏库；脱敏算法：姓名→随机中文+数字，身份证→保留出生年月+后4位随机，手机号→保留前三后四中间打；脱敏过程由DataMask工具自动完成，脱敏后哈希校验确保不可逆。5.4数据出境任何科研合作需出境数据，必须走“学院申请—科研院审核—网信办安全评估—校领导审批—教育部备案”五环节；未备案出境即视为Ⅰ级事件。5.5数据销毁报废硬盘使用消磁机（intimus20000）消磁后，再物理粉碎至≤3mm；消磁过程全程录像，录像保存3年；云硬盘销毁调用CSPAPI，采用NISTSP80088Purge方式，输出销毁报告PDF。第六章身份与权限管理6.1一人一号教职工使用工号，学生使用学号，禁止共享；发现共享账号，首次停用7天，二次停用30天，三次移交人事或学工部门处分。6.2最小权限采用RBAC+ABAC混合模型：RBAC解决组织角色，ABAC解决动态环境；例如财务系统，角色为“会计”，属性为“工作时间+校园网段+补丁合规”，夜间22:00后自动降权。6.3高权账号管理员账号分“超级、一般、应急”三档；超级管理员共5人，使用物理智能卡+指纹双因子；所有高权操作走“堡垒机”（齐治JumpServer），命令行全程录像，录像保存180天；高危命令（rmrf、fdisk、dropdatabase）自动阻断并弹窗复核。6.4离职离岗人事处发函至信息中心，账号须在离职当日18:00前完成锁定；锁定后数据转交部门负责人，30天后彻底删除；关键系统须修改该账号所知晓的共有口令。第七章终端与服务器安全7.1标准化镜像信息中心统一发布Windows11、Ubuntu22.04、macOS13三款镜像，内置EDR（火绒安全企业版）、补丁管理、DLP客户端、VPN组件；教职工禁止私自重装系统，确需特殊软件走“软件白名单”申请。7.2补丁管理WSUS+SCCM统管Windows；Linux采用本地APTCacherNG缓存源；补丁发布后24小时内下载，72小时内完成≥95%装机率；未打补丁终端自动VLAN隔离，访问仅允许补丁服务器。7.3服务器基线采用CISBenchmarkv1.8，结合教育行业实际裁剪；每台云主机启动即调用AnsiblePlaybook，自动完成180条基线核查；核查失败项目>5项即判定不合规，自动关闭公网弹性IP。7.4恶意代码防范EDR策略：①开启勒索病毒诱捕，在C:\诱饵目录写入canary文件，被加密立即断网；②禁止PowerShell执行策略为Bypass；③对Office宏采用“禁用所有宏并发出通知”；④每周五14:00进行全网快速扫描，平均时长<20分钟。第八章应用安全与开发全生命周期8.1安全开发流程立项阶段即引入安全需求，使用OWASPSAMM2.0模型；每个迭代必须完成“威胁建模→代码审计→SAST→DAST→渗透测试”五环，任何一环不通过不得上线。8.2代码审计采用GitLabEE+SonarQube+Fortify组合；高危漏洞密度>0.3/千行，必须返工；审计报告纳入git仓库的security.md，永久可追溯。8.3开源治理使用DependencyTrack，对Maven、npm、PyPI、GoModules进行SBOM采集；发现CVE≥7.0的组件，必须在72小时内升级或打补丁；无法升级需走“例外审批”，由CISO签字并设定最长6个月整改期。8.4生产环境WAF采用长亭雷池，开启30类基础规则+10类教育行业自定义规则；对选课、缴费、成绩查询三大场景启用CC防御，阈值设置为单IP60秒内>100次即封禁10分钟；对SQL注入、SSRF、弱口令爆破启用自动阻断并写入黑名单。第九章日志、审计与威胁检测9.1日志集中所有网络设备、安全设备、操作系统、数据库、应用系统日志统一发送到日志中台（ElasticStack8.x），保留180天，核心系统365天；日志传输使用TLS双向认证，防止中间人伪造。9.2格式规范采用CEF+JSON双格式，必须包含字段：事件时间（UTC+8）、源IP、目的IP、事件类型、结果、账号、设备名、日志级别；缺失字段>2项即判定为不合格日志，由审计岗发工单限期整改。9.3威胁狩猎建立8条自定义规则：①同一账号5分钟内源IP跨度>2个省份；②非工作时间创建高权账号；③数据库导出>1000行且源IP非应用服务器；④大量DNS隧道长度>63字节；⑤物联网摄像头流量>1Mbps且目的IP为境外；⑥选课系统接口返回包大小>50KB且耗时>3秒；⑦邮箱登录失败>20次且UserAgent含pythonrequests；⑧VPN登录成功但无二次流量>30分钟。触发规则即生成SecOps工单，SLA30分钟内响应。9.4审计报告信息中心每季度向领导小组提交《网络安全审计报告》，内容包括：资产变更、漏洞闭环、补丁合规、高危告警、事件处置、改进建议；报告同时抄送省教育厅、公安网安支队。第十章应急响应与灾难恢复10.1事件分级Ⅰ级（特别重大）：导致>5万师生信息泄露或核心系统>4小时不可用；Ⅱ级（重大）：导致>1万师生信息泄露或核心系统1–4小时不可用；Ⅲ级（较大）：导致>1000人信息泄露或系统30分钟–1小时不可用；Ⅳ级（一般）：导致<1000人信息泄露或系统<30分钟不可用。10.2应急预案预案文件编号：XXUERP2024001，版本受控，每年6月进行演练；演练采用“红蓝对抗+沙盘推演”双模式，红队由外部安全公司承担，蓝队由信息中心+学生网安社团组成；演练结束24小时内输出改进报告，10天内完成整改。10.3应急流程①发现：任何人均可通过钉钉“一键应急”小程序上报；②定级：值班工程师5分钟内完成初判，30分钟内由CISO最终定级；③通报：Ⅰ/Ⅱ级事件2小时内报告教育厅、公安、省委网信办；④遏制：对受害网段立即进行“一键断网”隔离；⑤取证：使用CrowdStrike生成内存转储，硬盘使用dd命令+写保护器；⑥根除：重装系统或补丁修复，重新基线核查；⑦恢复：先恢复备用系统，再逐步开放；⑧复盘：5个工作日内召开复盘会，输出《事件报告》和《改进清单》。10.4灾备体系RPO：核心系统≤15分钟，重要系统≤4小时，一般系统≤24小时；RTO：核心系统≤30分钟，重要系统≤2小时，一般系统≤1天；采用“双活+异地冷备”混合模式：①双活：数据库使用MySQLGroupReplication，延迟<1秒；②冷备：夜间00:30执行快照，通过10G专网传至120公里外灾备机房，机房为TierIII标准，配备柴油发电机72小时燃料。第十一章安全培训与意识提升11.1分层培训①领导层：每年一次，内容以合规、问责、案例为主，时长2小时；②技术岗：每年不少于40学时，含CISSP、CISP、RHCE、云安全认证；③教工：新入职必修“网络安全入职第一课”2小时，之后每年在线学习+考试，题库随机50题，80分合格；④学生：新生入学教育加入“防诈骗、防信息泄露”2小时；学生社团“蓝盾”每年举办一次CTF比赛，获奖可抵学分。11.2钓鱼演练每学期一次，使用KnowBe4平台，模拟邮件+短信+二维码三通道；点击率>10%的部门，需额外参加线下补习；连续两次点击率>15%，部门年终绩效降档。11.3安全文化图书馆大厅设置“网络安全文化周”展区；食堂电视循环播放“弱口令危害”短视频；宿舍楼下张贴“扫码送礼品100%是诈骗”海报；官方微信公众号每周推送“安全小贴士”。第十二章供应商与外包管理12.1准入评估所有供应商必须填写《网络安全调查表》，内容包括：等保级别、近3年安全事件、源代码是否托管、漏洞响应时间、是否具备ISO27001；评分<70分禁止入围。12.2合同约束合同中必须明确：①保密条款，违约金不低于合同总额30%；②安全事件必须在2小时内通知校方；③提供远程支持时，必须通过校方堡垒机，