2025年第一小学学校网络安全自查报告.docxVIP

2025年第一小学学校网络安全自查报告

2025年第一小学网络安全自查工作严格依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》及教育部《教育行业网络安全等级保护管理指引》等法律法规要求，围绕学校网络基础设施、信息系统运行、数据安全管理、终端设备防护、人员安全意识及应急响应体系六大核心领域展开全面排查。本次自查覆盖校园网核心机房、32个教室网络终端、12个功能室（含计算机教室、科学实验室、多媒体会议室）、5个行政部门业务系统及家校通等第三方合作平台，通过技术检测、日志分析、现场核查、人员访谈等方式，累计发现问题17项，完成整改12项，剩余5项制定明确整改计划。现将具体自查情况报告如下：

一、网络基础设施安全状况

校园网采用“核心-汇聚-接入”三层架构，核心设备部署于独立机房（面积20㎡，配备恒温恒湿空调、气体灭火装置、双路供电系统），包含H3CS12508核心交换机2台（主备冗余）、H3CSecPathF1000-E-G2防火墙2台（负载均衡）、深信服AF-1000-B1200入侵防御系统1台、华为5520S日志审计服务器1台。经检测，核心交换机启用STP生成树协议防止环路，配置端口安全（限制单端口最大连接数8个），ACL访问控制列表按教学、行政、访客划分3个安全区域，策略规则每月由网络中心审核更新；防火墙策略设置严格，仅开放80/443（业务系统）、3389（远程维护，仅允许固定IP访问）、53（DNS）等必要端口，入侵防御系统规则库更新至2025年6月最新版本，近3个月拦截恶意访问事件217起（主要为校外IP尝试暴力破解教务系统）；日志审计服务器完整采集网络设备、安全设备及业务系统日志，存储周期180天，经核查未发现日志篡改或缺失情况。

汇聚层设备为H3CS5130-52S-EI交换机12台，部署于各楼层弱电间，均启用802.1X认证，教师办公终端需通过账号密码+动态令牌双因素认证接入网络；接入层设备包括教室及功能室部署的TP-LinkTL-WDR5620无线路由器32台、H3CMagicB50无线AP15个，无线SSID按“教学网”“访客网”分离，教学网采用WPA3加密，访客网通过短信认证限制访问权限（仅开放互联网，禁止访问校内业务系统）。检测发现2间教室无线路由器（编号WL-07、WL-19）固件版本为2023年12月发布，存在CVE-2024-1235弱加密漏洞，已列入7月30日前固件升级计划，由网络中心负责实施。

二、信息系统运行安全状况

学校现有业务系统7个，包括智慧校园3.0管理平台（含教务、人事、资产管理模块）、财务综合管理系统（金蝶EAS教育版）、家校通沟通平台（腾讯教育云服务）、图书管理系统（超星汇文）、监控管理系统（海康威视iVMS-8700）、录播系统（奥威亚AV-9000）、电子班牌系统（互视达HSD-8601）。其中，智慧校园平台、财务系统、监控系统为等保三级系统，其余为等保二级系统。

通过启明星辰天镜漏洞扫描系统对所有系统进行全面检测，共发现漏洞23个，其中中危漏洞15个（主要为系统未及时更新补丁，如智慧校园平台存在Spring框架CVE-2025-0001漏洞），低危漏洞8个（如电子班牌系统SSL证书即将过期）。针对中危漏洞，已协调软件供应商在3个工作日内完成补丁升级并复测；低危漏洞中，电子班牌SSL证书已于6月10日更新，图书管理系统存在的SQL注入风险通过启用Web应用防火墙（WAF）进行流量清洗，6月15日验证修复完毕。

访问控制方面，所有系统均启用基于角色的访问控制（RBAC），管理员、教师、学生权限严格分离（如财务系统仅允许财务处3人具有录入权限，校长具有审批权限）；智慧校园平台采用“账号+密码+手机验证码”三重认证，近3个月强制修改弱密码账号21个（主要为部分教师使用“123456”“a123456”等简单密码）；家校通平台与学校统一身份认证（CAS）系统对接，禁止第三方平台直接存储师生账号密码，接口调用采用OAuth2.0授权，权限最小化原则落实（仅开放家长查看学生考勤、作业通知权限，无数据修改权限）。

三、数据安全管理状况

学校数据主要分为四类：学生信息（姓名、身份证号、联系方式、学业成绩等）、教师信息（工号、薪资、职称）、财务数据（收支明细、票据）、教学资源（课件、录播视频）。其中，学生和教师信息属于《个人信息保护法》规定的敏感个人信息，财务数据为重要业务数据，均存储于本地服务器（戴尔PowerEdgeR750，RAID5+热备盘）及腾讯云教育专线上（经教育部备案的合规云平台）。

存储安全方面，敏感数据采用AES-256加密存储（密钥由校办公室、网络中心、财务处三方分段保管），教学资源存储于NAS（群晖