2025年校园网络信息安全自查报告.docxVIP

2025年校园网络信息安全自查报告

第一章项目背景与目标

1.1背景

2024年12月，教育部、工信部、公安部联合下发《教育行业网络与数据安全“强基”行动方案（2025—2027年）》，首次将“校园网零事故”纳入省级政府考核。我校（华东某“双一流”高校，以下简称“A校”）2024全年共发生高危告警312起、中危告警1847起，其中2起造成教学系统中断37分钟，直接经济损失约18.6万元。为落实上级文件，校党委常委会2025年1月8日决议：以“零重大安全事故、零数据泄露、零监管问责”为年度目标，开展一次全场景、全要素、全覆盖的网络信息安全自查。

1.2目标

a.合规：100%对标《网络安全法》《数据安全法》《个人信息保护法》《GB/T222392019信息安全技术网络安全等级保护基本要求》（等保2.0）及教育行业标准《JY/T。

b.风险：高危漏洞闭环率≥99%，剩余风险评分≤30分（CVSSv3.1）。

c.能力：建立7×24小时“1530”应急指标（1分钟发现、5分钟定位、30分钟处置）。

d.文化：师生网络安全知识普及率≥95%，钓鱼邮件误点率≤3%。

第二章组织与职责

2.1领导机构

成立“A校网络信息安全自查专项工作组”（以下简称“工作组”），党委书记任组长，分管信息化副校长与分管保卫副校长任副组长，成员包括信息化办公室、保卫处、教务处、研究生院、学工部、财务处、国资处、后勤集团、附属医院信息科等19个部门。

2.2执行机构

a.管理办公室：设在信息化办公室，负责总体统筹、进度控制、考核通报。

b.技术支撑中心：由网络中心、大数据中心、安全运维公司（乙方：杭州安恒信息技术股份有限公司）联合组成，负责漏洞扫描、渗透测试、日志审计、应急响应。

c.合规审计组：由校审计处+第三方律所（上海锦天城）组成，负责制度符合性审查、个人信息跨境传输评估。

d.宣传教育组：由党委宣传部+校团委+学生网络安全社团组成，负责线上课程、线下演练、钓鱼测试。

2.3职责边界

采用RACI表（Responsible负责、Accountable问责、Consulted咨询、Informed知情）细化到每个控制点，示例：

控制点“VPN账号生命周期管理”——信息化办公室(R)、网络中心(A)、人事处(C)、用户本人(I)。

第三章自查范围与对象

3.1网络边界

出口链路4条（教育网IPv4/IPv6、电信100G、移动40G、联通40G），核心交换4台（华为CE16800），汇聚交换46台，接入交换1892台，AP8734台，物联网网关312台。

3.2业务系统

共备案信息系统187个，其中三级等保系统11个（教务、研究生、财务、一卡通、人事、科研、MOOC、云桌面、智慧图书馆、医院HIS、邮件系统），二级系统45个，一级系统131个。

3.3数据资产

结构化数据：MySQL、Oracle、SQLServer共1386库，数据量约89TB；非结构化数据：NAS5.4PB、对象存储3.1PB；个人信息字段约2.3亿条（含毕业生历史）。

3.4终端资产

办公电脑15612台、教学电脑4830台、服务器2467台、虚拟机22934台、IoT终端（门禁、摄像头、水表、电表）18392台。

3.5人员范围

在职教职工4507人、学生46219人、外包驻场人员312人、临时访客日均2100人。

第四章自查方法与工具

4.1技术检测

a.漏洞扫描：使用绿盟RSASV6.0、Nessus10.7，每周一次；配置核查使用安恒玄武HV3，基于CISBenchmarkv2.0。

b.渗透测试：由乙方红队8人+校内蓝队6人，采用“黑盒+灰盒”模式，模拟APT28、勒索软件、钓鱼WiFi、BadUSB、近场NFC攻击，持续21天。

c.基线核查：对WindowsServer2022/2019、CentOS7/8、Ubuntu20.04、EulerOS、麒麟V10、华为欧拉、统信UOS进行脚本化基线检查，脚本开源地址：/acyber/ACISBaseline。

d.代码审计：对11个三级系统采用FortifySCA22.1+SonarQube10.0，共扫描代码行数1274万行，发现高危缺陷312个。

e.流量分析：使用科来网络回溯系统TSA9.0，对出口100G镜像流量保存7天，基于Zeek6.0脚本检测隐蔽隧道、DNS渗出、DGA域名。

4.2管理访谈

采用“文件检查+现场走访