教育是民生之本�、強國之基��,在加快教育發(fā)展的同時���,教育的安全性也不容忽視�。尤其是隨著互聯(lián)網(wǎng)的發(fā)展,線上教育越來越成為很多家長和學(xué)生的選擇�,如果教育行業(yè)信息系統(tǒng)被入侵,導(dǎo)致學(xué)校����、學(xué)生���、重要教育資料被泄露,后果將不堪設(shè)想���。也因此�����,自國家開展等級保護以來�����,教育行業(yè)的等級保護一直都是公安機關(guān)和主管單位關(guān)注的重點����。
目前教育行業(yè)關(guān)于等級保護的相關(guān)標(biāo)準(zhǔn)有:
1�、《教育部辦公廳關(guān)于印發(fā)〈教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)〉的通知》(教技廳函[2014]74 號):依據(jù)國家信息安全等級保護相關(guān)政策和標(biāo)準(zhǔn)�����,結(jié)合教育行業(yè)信息化工作的特點和具體實際�����,對教育行業(yè)信息系統(tǒng)進行分類,提出安全等級保護的定級思路��,給出建議等級����,明確工作流程。
2�、教育部等八部門關(guān)于引導(dǎo)《規(guī)范教育移動互聯(lián)網(wǎng)應(yīng)用有序健康發(fā)展的意見》:提出2019年底要完成教育移動應(yīng)用(APP)備案工作,2020年底���,建立健全教育移動應(yīng)用管理制度����、規(guī)范和標(biāo)準(zhǔn)���,形成常態(tài)化的監(jiān)管機制���,初步建成科學(xué)高效的治理體系。
3�、《教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》:目的是更好落實教育移動應(yīng)用備案工作,提出要分階段完成教育移動應(yīng)用備案工作,設(shè)置ICP備案和等級保護備案緩沖期���。
教育行業(yè)安全防護如此重要���,信息安全等級保護又不得不做,教育行業(yè)的公司�、學(xué)校等又要如何落實等級保護呢?作為等保標(biāo)準(zhǔn)制定的參與者���,自2108年開始就為全國企業(yè)提供等級保護一站式服務(wù)��,以助力客戶合規(guī)����、快速地落實等級保護工作�����。下面是做過的其中一個在線教育系統(tǒng)等級保護案例����,一起來看看吧���!
1.協(xié)助教育企業(yè)成功定級備案
該在線教育企業(yè)之前并沒有做過等級保護�����,也因此���,企業(yè)對等級保護相關(guān)標(biāo)準(zhǔn)��、流程�、需要材料等一竅不通�����?��;诖?����,派出了專業(yè)的等保技術(shù)團隊���,為該教育企業(yè)提供了等級保護備案代辦服務(wù)。同時��,我們還為該企業(yè)提供了免費的咨詢服務(wù)。整個過程下來�,該企業(yè)不僅成功備案,對等級保護也更加了解�。
2.為企業(yè)提供定制化等保合規(guī)整改建設(shè)服務(wù)
要想落實等級保護,該教育企業(yè)不僅要備案�,還要通過等級測評。等級測評的主要內(nèi)容就是檢查該在線教育信息系統(tǒng)中是否存在高風(fēng)險項�����,信息系統(tǒng)安全防護工作做得如何����。也因此,企業(yè)要想通過等級測評����,就必須對自己的信息系統(tǒng)進行整改,把信息系統(tǒng)中存在的高風(fēng)險項解決���,提供信息系統(tǒng)的安全性�����。
基于此�,我們對該教育企業(yè)的在線教育系統(tǒng)做了差距測評,并根據(jù)測評中檢測出來的風(fēng)險�,提供了整改建議���,幫助企業(yè)落實了等級保護整改工作�����。最終�����,該教育企業(yè)成功通過等級測評�����。
下面是該教育企業(yè)信息系統(tǒng)中存在的一些安全問題:
安全通信網(wǎng)絡(luò):未基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序��、系統(tǒng)程序�、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證��。
安全區(qū)域邊界:
1)阿里云審計記錄采用阿里云OSS存儲并定期備份���,目前審計記錄僅保存2個月�;
2)未基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序�����、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證��。
安全計算環(huán)境(網(wǎng)絡(luò)):
1)阿里云控制臺:采用阿里云OSS存儲�����,但未保存6個月��;
2)阿里云控制臺:通過阿里云安全中心發(fā)現(xiàn)漏洞����,但未定期漏掃,無修復(fù)和評估方案����;
3)阿里云控制臺:未基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序�、重要配置參數(shù)和應(yīng)用程序等進行可信驗證;
安全管理制度:未定期對安全管理制度的合理性和適用性進行論證和審定���。
安全計算環(huán)境(DB):阿里云RDS-SQLServer版�;未開啟ssl傳輸。
安全管理制度:未定期對安全管理制度的合理性和適用性進行論證和審定�。
安全運維管理:未制定辦公環(huán)境管理制度對不隨意放置含有敏感信息的紙檔文件和移動介質(zhì)等作出規(guī)定。
3.協(xié)助企業(yè)部署安全產(chǎn)品
該教育企業(yè)表示�����,其系統(tǒng)部署在阿里云中����,也因此��,客戶還需要我們指導(dǎo)其購買和部署阿里云安全產(chǎn)品及提供技術(shù)支持服務(wù)�。作為阿里云戰(zhàn)略級合作伙伴,對阿里云相關(guān)產(chǎn)品和產(chǎn)品優(yōu)惠極為了解����,在的幫助下,該教育企業(yè)在較短時間內(nèi)就完成了阿里云安全產(chǎn)品的購買及部署�,省錢又省心。
等保測評咨詢
