2026年学校网络安全工作方案.docxVIP

2026年学校网络安全工作方案

第一章形势与目标

1.12026年威胁画像

勒索即服务（RaaS）平台把攻击门槛降到“脚本少年”级别；生成式AI可在30分钟内产出针对本校邮件风格的钓鱼稿件；IPv6单栈部署后，旧有的NAT日志盲区让内网横向移动更难被看见；教育类App收集的面部与指纹数据已在暗网明码标价。

1.2学校新特点

智慧教室终端突破1.2万台，平均在线时长11小时；全校SaaS应用增至73个，账号体系各自为政；科研算力集群与教学网络物理隔离名存实亡；师生自带终端比例92%，传统“围墙式”防御失效。

1.3年度目标

“零重大事件、零数据泄露、零监管通报”为底线；实现“攻击可防、风险可视、事件可追、责任可定”；关键业务恢复时间≤30分钟；师生网络安全素养问卷平均分≥90；全年攻防演练平均防守得分≥85分。

第二章治理与组织

2.1三层决策链

党委网络安全领导小组（书记任组长）→网络安全与信息化办公室（CIO统筹）→业务单位安全联络员（AB角制度）。每月第一周召开“风险圆桌”，采用“红绿灯”指标，红灯事项48小时内必须降级。

2.2责任矩阵

采用RACI表细化到“系统-模块-数据”级，例如：科研系统PII数据，科研处Responsible、信息中心Accountable、财务部门Consulted、审计处Informed。

2.3考核机制

安全权重占部门年度绩