小学网络信息安全自查报告及整改方案.docxVIP

小学网络信息安全自查报告及整改方案

第一章自查背景与目标

1.1背景

2024年3月，XX市XX小学（含本部与两个教学点，共42个教学班、1638名学生、112名教职工）接到市教育局《关于开展基础教育阶段网络信息安全专项检查的通知》。学校信息化领导小组对照《网络安全法》《数据安全法》《未成年人保护法》《个人信息保护法》《教育系统网络安全责任制实施办法》等上位法，决定用两周时间完成一次“拉网式”自查，目标是在4月30日前把“高危风险清零、中危风险降级、低危风险备案”，确保不影响5月即将上线的“智慧作业”试点。

1.2目标量化

①高危漏洞：0个；②弱口令账号：0个；③非法外联终端：0个；④敏感个人信息明文存储：0个；⑤重要数据异地备份：100%；⑥教职工网络安全培训覆盖率：100%；⑦学生网络安全主题班会覆盖率：100%；⑧整改进度可视化：每日更新甘特图，校长晨会通报。

第二章自查范围与工具

2.1范围

边界：教育城域网出口、校园有线网、无线网、4G/5G物联网、教室班班通、教师个人终端、学生机房、创客空间、监控专网、校园一卡通、家校沟通APP、微信公众号、企业微信、教学资源云平台、区统一身份认证、区教育局邮件系统。

2.2工具

①网络侧：Nmap、Masscan、OpenVAS、Wireshark；②主机侧：Nessus、360天擎EDR、火绒终端；③Web侧：AWVS、Xray、BurpSuite社区版；④配置核查：CIS-CAT、Windows基线核查脚本、LinuxBash脚本；⑤日志：ELK（Elasticsearch+Logstash+Kibana）+Syslog-ng；⑥流量：Panabit流量审计；⑦备份：Rsync+Hashdeep校验；⑧取证：FTKImager、Autopsy。

第三章自查过程与发现

3.1组织架构

组长：校长（第一责任人）；副组长：分管信息化副校长；成员：信息中心3人、教导处2人、德育处1人、总务处1人、年级组长6人、家委会代表2人。下设“技术组”“制度组”“培训组”“应急组”。

3.2资产梳理

用Nmap全网存活探测，发现应备案资产287个，实际登记243个，漏登44个（含3台无人值守广告屏、8台教师自带路由器、12台学生参赛笔记本、21台物联网插座）。

3.3漏洞扫描

OpenVAS扫描发现：高危漏洞17个（其中MS17-0103台、Redis未授权2台、MySQL弱口令4台、ThinkPHP5RCE1台、海康摄像头弱口令7台）；中危52个；低危108个。

3.4配置核查

Windows终端：未关闭SMBv1的占比38%；未启用BitLocker的占比91%；Linux教学服务器：/etc/shadow中仍存在MD5哈希4个；交换机：管理口仍使用默认community串7台。

3.5数据安全

教务系统导出Excel“学生花名册”含身份证号、家长手机号，存放在教师个人百度网盘；德育处心理健康问卷存储在本地D盘，未加密；监控录像保存90天，但硬盘无冗余RAID，一旦损坏无法恢复。

3.6人员管理

112名教职工中，43人存在“123456”“生日+姓名拼音”类弱口令；学生机房管理员账号与供应商共用；信息中心2名实习老师尚未签署保密协议。

3.7应急演练

过去一年未开展真实攻防演练；应急预案停留在纸质版，未随人员变动更新；应急联系人电话已变更2人。

3.8合规性

未在公安机关完成“二级等级保护”备案；未签订教育APP三方安全责任协议；未建立“学生个人信息影响评估”记录。

第四章风险评估与定级

采用GB/T20984-2022《信息安全风险评估规范》，从资产价值、威胁、脆弱性、已有控制措施四维度打分：

①教务系统（含成绩、学籍）风险值=9×8×7=504，属于“极高风险”；

②校园监控网风险值=7×6×8=336，属于“高风险”；

③教师个人终端风险值=5×7×9=315，属于“高风险”；

④学生创客物联网风险值=6×5×7=210，属于“中等风险”。

第五章整改原则与总体策略

5.1原则

“先断网、再加固、再上线”“先核心、后边缘”“制度同步、培训同步、演练同步”。

5.2策略

①技术：漏洞修补+配置基线+网络隔离+多重备份+EDR；②管理：一把手责任制+最小权限+双人双岗+日志留存6个月；③法律：完成等保二级+数据出境评估+隐私政策公示；④教育：师生分层培训+家校联合提醒+每月钓鱼邮件测试。

第六章整改任务分解与时间表

6.1高危漏洞（T+0～T+3天）

责任人：信息中心李某；步骤：

1)17:30对3台存在MS17-010的机房教学服务器立即断网；

2)18:00使用WSUS离线补