论文部分内容阅读
2019年政府工作报告中指出发展“互联网 教育”。教育行业机构多、系统多、数据多、影响面广,伴随信息化发展,教育信息系统面临着网络攻击、数据/个人信息泄露、勒索病毒入侵等网络风险,因此全面推进传统教育、在线教育、教育App的网络安全保障工作,提升教育行业整体安全防护水平至关重要。白皮书聚焦我国教育行业网络安全问题,对教育行业网络安全存在的风险原因进行了研究,并提出教育行业网络安全防护能力提升的相关建议。
教育行业网络安全问题分析
教育行业网络安全形势严峻,网络攻击面广泛、校园网用户群体安全防护能力不一、内外部威胁升级、教育DDoS频发以及信息泄露风险增强等因素导致教育行业网络面临的主要威胁现已发展到新阶段。中国软件评测中心网络空间安全测评工程技术中心对教育行业重要信息系统进行检查、等级保护测评、网络安全风险评估、漏洞监测挖掘,总结出教育行业仍存在的主要安全问题。首先,对教育信息系统的网络安全重视与投入不足,等级保护工作落实情况不佳;其次,教育信息泄露风险难以管控,网络安全管理不到位;此外,在线教育平台安全防护力度不够,防护能力薄弱。
网络安全重视力度不足
从全国总体来看,当前教育行业的网络安全投入普遍偏低,管理不善,存在未定期进行信息系统网络安全测评、网络安全设备应用率低、未定期进行漏洞扫描等问题。
中国软件评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和App的网络安全评估数据,针对2019年具有典型性、代表性的一些教育机构(以下简称样本机构)的测评数据进行了抽样分析,大部分样本机构主要依靠防火墙设备和漏洞扫描设备作为基本的安全防护设备,防火墙设备和漏洞扫描设备应用率为100%,IDS/IPS使用率为90.32%,堡垒机使用率为87.10%。分析数据可知样本机构不同程度进行了网络安全测评并上线了安全设备,但仍然存在安全问题,除防火墙等常规安全设备外,态势感知系统、上网行为管理系统、异地容灾备份设备的应用率分别为61.29%、54.84%、38.71%,安全网闸、防病毒网关、安全审计系统等设备也未见上线应用,样本机构在信息系统建设过程中,对网络安全的软硬件投入不足,新型网络安全设备应用率较低,防护类型单一。
调研数据显示,样本机构中仅29%的机构在信息系统建设与上线过程中进行了第三方网络安全验收测试。同时,聘任专业网络安全人员作为安全顾问的机构占比只有29%。通过调研管理制度发现教育行业人员对网络安全重视力度不够,存在“得过且过,形式上通过”的现象。
等级保护落实情况不佳
自2017年《中华人民共和国网络安全法》颁布以来,网络安全正式进入法制时代,履行网络安全等级保护制度成为网络运营者的基本义务。然而目前教育行业的等级保护制度还需进一步推进。迄今为止还有一定数量的高校、培训机构、在线教育平台未做过等级保护测评,而做过等级保护测评的机构中有相当比例存在一些测评项不达标、存在中危漏洞、测评分数不够高等情况。教育行业亟需加快落实步伐,进一步梳理信息系统,开展等级保护测评和系统安全加固工作。
中国软件评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和App的网络安全评估数据,针对2019年具有典型性、代表性的一些教育机构等级保护测评数据进行分析,样本采集空间覆盖了多个教育领域从业机构,包括重点高校、普通职业院校、小初高学校、培训机构、在线教育平台等,样本采集时间覆盖了2019年等级保护2.0实施之前到等级保护2.0标准正式实施。
针对被抽样的样本数据进行整理分析,进行网络安全等级保护测评后只有35%的机构的信息系统达到良,55%的机构的信息系统测评结果为基本符合,其余10%测评结果为中。
从技术层面、管理层面的测评项符合率分析,符合率平均值为72.52%,部分符合率平均值为8.31%,测评项的不符合率超过了10%,平均值达到11.65%,说明被抽样教育机构在落实等级保护制度过程中,仍然有部分指标项不符合。
针对测评结果的问题项进行分析,被抽样机构信息系统中,平均每家机构的问题总数在整改后达到约38个,其中高风险级别的问题0个,中风险级别的问题整改后还有约29个,低风险级别的问题整改后约9个。在信息系统初测时问题项更多,经过运营方、开发方、测评方对重要问题提出整改方案,整改后仍然存在约38个问题项,因此信息系统的等级保护安全防护工作仍需加强。
针对以上高、中、低级别的风险通过雷达图进行综合分析可知,信息系统主要脆弱性的风险级别被判定为中风险级别,其问题量占比较高,由此可以预测教育领域其他信息系统的风险评估结果中,大部分将集中在中风险区间。
对被抽样的信息系统测评结果中具体的安全防护措施落实情况进行分析,结果显示技术方面和管理方面的安全防护措施仍然不足。一是存在弱口令问题;二是存在未合理进行权限划分的问题;三是存在未定期审计日志的问题;四是存在未聘请安全顾问、未委托第三方机构进行安全验证测试的问题。
安全风险管控手段落后
近年来,国内外教育行业已经发生多起数据库泄露事件,相关人员隐私权益遭受严重损害,涉案企业、机构声誉大打折扣,教育行业信息泄露原因多样导致风险难以管控。
一是相关标准规范制定滞后。随着教育信息化的快速发展,教育机构、在线教育平台等掌握的隐私信息爆发式增加,在个人数据保护、教育信息防泄露等方面的标准规范和测评规范需要及时跟进。《中华人民共和国网络安全法》规定网络产品、服务具有收集用户信息功能的,其提供者应当向用戶明示并获得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息,并规定了相应法律责任。GB/T35273-2020《信息安全技术个人信息安全规范》正式发布并规范了互联网信息化进程中的公民个人信息保护原则和要求。作为推荐性国家标准,其只是在企业的网络安全合规建设、信息保护与权限采集过程中起到参考作用。2020年5月25日,十三届全国人大三次会议上全国人大委员会工作报告中指出将制定个人信息保护法、数据安全法。其实2019年12月实施的等保2.0标准已经把大数据安全纳入监管体系,2019年5月国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》也在个人隐私、App过度索取权限等涉及隐私泄露等问题方面做出了明确规定。2020年5月28日通过的《中华人民共和国民法典》第六章“隐私权与个人信息保护”明确了隐私权、个人信息的定义,以及个人信息主体的权利和信息处理者的安全和保密义务等内容。我国正在逐步建立个人数据保护相关的基础法律体系,因此需要同步制定适用于教育行业的细化法规、标准、规范体系。 二是管理措施不够完善。教育机构各类业务系统的快速增加,各类隐私信息分布存储在各个业务系统和办公终端上,导致业务分散且增加了管理难度,相应管理措施很难实时掌握敏感信息状态。
三是数据库防护手段薄弱。当前教育行业相关单位的主要安全防护手段以网络各区域实施访问控制策略为主,以防火墙、入侵防御相关设备策略为辅来实现访问控制与数据保护。但针对数据库本身漏洞的防御能力低,数据库产品暴露0-day漏洞、受SQL注入攻击等情况可能成为安全短板,给黑客可乘之机。
四是大量数据以明文形式存储。随着教育行业信息化程度的提高,学籍、身份、健康、成绩等大量敏感信息集中存储在数据库系统中。数据明文存储机制使得敏感数据面临被篡改、被窃取的威胁,安全风险大大增加。
五是监控手段不足。敏感、隐私信息在教育机构各类业务系统中相互频繁调用,没有有效的监控手段,导致非法调用、越权使用、违规批量下载等行为严重失控,如果教育机构在数据管理过程中不进行主动脱敏,则敏感信息泄露的风险进一步增加。
网络安全管理监督缺位
当前教育行业存在不同程度的网络安全管理制度不完善、机构安全管理职责不明确、人员网络安全意识薄弱、事前和事中监督缺位严重等问题。
网络安全管理制度包括信息安全管理总体方针策略、安全管理活动制度规范、日常管理操作规程表单等,是信息系统的建设、开发、运维、升级和改造等环节遵守的行为规范总体。未制定网络安全管理制度或信息安全管理制度不完善,将无法对信息安全管理过程中的行为进行规范和约束,增加了由于人员操作失误造成信息安全事故的风险。同时,教育机构如无完整的网络安全事件应急响应预案,或者未形成应急演练机制,则应对重大安全事件的能力和业务恢复能力都无法得到验证。网络安全管理机构职责不明确将导致网络安全管理制度无法有效落实,无法使网络安全管理制度产生相应的效力,增加网络安全事件发生的风险,同时也是网络安全事件发生后管理职责不明、责任划分不清、风险溯源困难的原因。
网络安全管理人员安全意识薄弱是造成信息泄露事件、运维过程中产生重大失误、系统攻击面增加的重要原因。网络安全管理人员的安全意识和业务能力没有保障,则人为操作失误带来的风险的可能性增加。
事前和事中监督形同虚设,存在缺位现象。一旦遭遇网络安全事件,用“事后监督”来弥补,但是事后监督存在滞后性、被动性,无法充分保证网络运营和教育数据资源流通的全流程安全。教育行业中态势感知系统、上网行为管理系统、第三方网络安全验收测试、专业网络安全顾问等安全防护与管理措施缺位,进一步导致对教育信息系统缺少刚性监督,无法保证安全管理机构、安全管理制度、安全管理人员等措施的实效。
在线教育防护能力薄弱
在线教育平台的迅速崛起和发展对教育行业引入了新的网络安全风险,从侧面反映出在线教育平台的安全防护力度依然不够。
在线教育平台依托云计算资源是一种广泛采用的服务方式,云计算环境使得教育数据面临的安全威胁更为复杂。一是外部威胁层出不穷,云平台、租户都可能成为入侵对象且威胁类型多样(如拒绝服务攻击、端口扫描、木马后门、强力攻击、缓冲区溢出攻击、IP碎片攻击、蠕虫病毒等);二是云平台存在虚拟机滥用、租户隔离失效、数据被泄露、篡改或丢失、应用程序接口安全以及代码级安全等问题;三是在云服务模式下安全责任划分不清晰、业务权限不透明、难以进行数据审计追责等问题,云平台和租户要时刻保持“在线教育上云无法做到绝对安全”这种意识。
同时,在线教育平台和教育信息系统运营机构在数据安全管理方面存在盲区。在线教育平台通过账号注册采集、检索与审计、网络爬虫等技术可以获取学生基本信息、家庭信息、学习信息、恋爱社交信息及其他敏感数据。一些在线学习App推出课程订阅与资料采购服务,需要进行实名身份认证,个人基本信息、金融支付信息、物流收货信息是必须采集项。目前没有源码审计、白盒审查之外的方法可以判别应用是否访问通讯录、聊天记录、个人浏览记录等信息,但毫无疑问这些都属于敏感个人信息。在线教育平台在进行用户数据提取与业务处理过程中存在着数据安全管理盲区。一是数据收集过程中存在过度问题;二是数据处理使用过程中未有效通过技术和管理并重的方式进行数据安全保护,例如关键信息未脱敏公布;三是平台、师生用户的主观信息保护意识不强。
教育行业网络安全保障建议
根据纵深防御思想以及等级保护中一个中心、三重防护的理念,结合教育行业网络安全总体形势和在线教育平台及App安全保障需求,建议从以下几方面保障教育行业网络安全。
切实做好基础设施安全防护
教育信息系统、在线教育平台运营者需重视网络基础设施的安全防护。物理安全是系统安全的基础,保障系统物理安全工作的重点是保护机房安全。无论是教育机构自建机房还是云平台托管机房,其安全运营维护需要关注以下几点。一是使用专用的物理空間建设机房;二是确保机房附近没有水源,防止用水设备故障影响机房设备正常运行;三是为机房设置门禁系统并避免闲杂人员访问,控制、鉴别和记录进入的人员;四是做好防雷击、防静电、防火、防水和防潮措施,防止机房和空调系统的水蒸气结露和地下积水的转移与渗透;五是确保机房具备冗余供电措施,建设灾备机房并实时备份数据。
持续推进三重防护安全建设
教育信息系统、在线教育平台运营者需严格按照“一个中心,三重防护”的安全建设理念,持续推进网络三重防护建设。网络三重防护包括安全通信网络、安全区域边界、安全计算环境,涵盖了交换机等网络设备、防火墙等安全设备、服务器等计算存储设备、操作系统与中间件等软件基础设施、数据库与业务系统等上层应用。
建设安全通信网络。安全通信网络是系统网络架构的部署形式,设计合规的网络架构是保证网络、通信传输、可信验证等安全要求达标并保护信息系统安全的前提。从网络规划阶段就应重视网络架构安全设计。 建设安全区域边界。安全区域边界是系统实现边界防护、访问控制、安全审计、入侵防范和恶意代码防范、可信验证的重要基础,使用安全设备提高网络安全防护能力也是教育信息系统安全运行的必要措施。网络中应部署IDS/IPS、防毒墙、WAF、资源监控系统、垃圾邮件检测系统、上网行为管理系统、堡垒机、日志服务器等安全设备,并定期更新安全设备的规则库和系统版本。
建设安全计算环境。安全计算环境包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等防护内容。基于教育行业网络安全风险点以及中国软件评测中心网络空间安全测评工程技术中心对样本机构的脆弱性分析,建议重点关注登录口令复杂度、账户权限分离、安全审计等内容。
设备和软件安全的第一道防线是身份鉴别,黑客攻击系统的一般方法首先是猜测或爆破登录口令然后再进行其他破坏操作,建议从以下几方面加强用户口令安全:一是严格按照网络安全等级保护标准要求,为设备和软件配置符合标准规范的口令并定期更新;二是避免存在设备出厂默认口令;三是避免使用共享賬号,严格落实账号权限分离策略;四是使用双因素身份鉴别方式;五是安全审计功能目的在于进行网络安全事件溯源、安全事件处理、系统故障修复、运维记录审计、事件预防与事后惩戒等。要保护审计进程和审计记录,使用网络审计和数据库审计系统对日常操作行为进行审计。
重点提升信息泄露防护能力
教育信息系统、在线教育平台运营者需从技术、管理层面同时发力提升信息泄露防护能力。师生群体以及其他线上教育参与者需要增强数据安全保护思想意识。
提升数据安全保护技术能力。运营重要信息系统,掌握大量教育数据的机构可提升以数据安全为核心的防护技术能力,保证教育信息安全,避免数据泄露事件频发。一是针对运营的海量教育数据建立一个统一的大数据处理平台,对产生的数据进行保护、挖掘、分析以及利用,对数据特征进行识别;二是通过高强度、安全可靠的透明加密为重要信息提供有力保护,保证敏感关键信息无论何时何地都是加密状态,可信环境内,加密文档可正常使用,在非可信环境内无法访问加密文档;三是建立全面的信息防泄露溯源追责机制,通过防泄露技术进行技术防护,通过完整的文档、操作审计发现风险触发点,做到事中研判防御,事后溯源追责。
同时,广泛调研国内大数据关键技术发展情况,实现教育领域大数据安全技术可控是保护数据安全的重要手段之一。在教育行业信息系统的建设、运营、大数据中心搭建、教育机构门户运维等工程中支持国内研发的产品应用,为大数据关键技术发展提供更稳定安全的环境。
健全数据安全保护制度体系。针对教育行业个人信息保护工作不佳,数据泄露事件时有发生的情况,应当从立法、立标、树规、贯标等方面对信息安全技术防护体系进行管理上的补充,提升“三分靠技术,七分靠管理”的安全意识。
目前数据安全与个人信息保护相关法规正在研制出台中,数据安全合规性需求将进一步加大。针对数据安全保护、信息泄露事件的监管将进入法制时代,基础法规的颁布需要行业领域内制定具体的标准规范进行贯彻,通过国家标准或行业标准对教育行业关键信息、敏感数据进行分类分级管理。可以用数据标签对创建数据、应用数据、存储数据、传输数据和销毁数据提供技术上和操作上的规范要求。对于关系到教育行业发展以及系统用户个人信息的重要数据,需严格控制其存储位置、传输和使用方式。
增强数据安全保护思想意识。在教育行业中的数据泄露问题处理方面,尤其需要增强用户的网络信息安全意识。针对受教育群体而言,他们是教育信息系统、在线教育平台、App、微服务等应用程序的前端用户,需要提升应用使用安全意识,形成安全习惯。一是开启个人电脑的防火墙,安装木马和病毒查杀软件,养成定期进行PC端、移动端病毒查杀与漏洞扫描的习惯;二是更换手机时及时删除个人信息,注销使用过的教育平台账号时需要将历史记录,敏感信息进行清除;三是谨慎使用公共WiFi,尤其是一些无密免费WiFi;四是不轻易填写在线调查问卷;五是与同学和亲友等熟人交往时保持一定程度的警惕,严格遵循敏感信息最少化、密钥信息不泄露的原则,谨防社会工程学攻击。
全面建设安全管理监督体系
建立应急响应预案机制。教育机构要严格落实《中华人民共和国网络安全法》要求,形成网络安全事件应急响应机制,重视并建立教育系统网络安全应急预案,进行预案培训与演练。教育领域内高校、培训机构、在线教育平台等机构根据自身组织特点差异及时修订并优化应急响应预案,形成网络安全应急保障协调联动机制,提升应急处置能力,保证发生安全事件时系统运维人员能有步骤有策略地应对,降低机构和社会损失。
完善信息安全管理体系。针对网络安全管理制度不完善、机构安全管理职责不明确、人员网络安全意识薄弱等问题,针对性地制定机构内部制度体系,使安全管理工作步入常态化、规范化。对于科研高校等非市场化经营的机构而言,在没有进行ISO27001信息安全管理体系认证的情况下,要对已有信息安全管理体系进行整改完善,一是建设符合ISO27001标准的信息安全管理体系,包括总体方针策略、各类网络安全活动制度、日常管理操作规程、制度落实的记录表单等;二是教育机构结合自身教学业务特色,充分借鉴ISO27001标准中PDCA循环思想,在人、技术、操作三个层面建立可持续优化的安全防护体系。
加强网络安全人员管理。教育机构要加强网络安全人员管理,建立内部运维管理团队,提高人员网络安全专业技能和网络安全防护意识。一是完善岗位设置,在人力资源充足的条件下尽量避免网络管理员、安全管理员、安全审计员这三个岗位兼任;二是加强人员培训,根据业务需求为不同人员提供与其岗位对应的技能培训;三是强化人员考核,通过考核督促相关人员主动提高专业技能,并提高培训效果;四是把控外包风险,服务外包形式的前提要有自己的专业人员领导,因此要把控外包给第三方公司所存在的安全风险;五是进行专业人才培养,解决教育行业信息化进程中网络安全人才缺乏难题。 全面开展在线教育系统
等保测评
通过等保备案、测评工作,规范在线教育平台建设,提升安全防護能力。在线教育平台及教育行业大数据平台运营方(学校、培训机构、云厂商)应该按照《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)的规定,严格落实国家网络安全基本要求,教育领域信息系统作为关键信息基础设施,需严格按网络安全等级保护制度进行保护。网络安全测评机构作为大数据安全保障的主力军,需要对教育大数据平台运营者进行全流程的安全咨询、测试、评估、认证、培训。
通过开展等保备案、测评工作,做好在线教育平台个人信息保护工作。在线教育平台和应用开发方应在技术层面深入分析大数据平台基于开源软件、按需搭建的架构,对于此类情况的应用应重点进行安全防护,并进行网络安全风险评估,大数据平台应用、接口、App应进行源代码安全审查与渗透测试,查补漏洞防止发生信息泄露事件;在管理层面要提升数据治理能力,做好多源数据汇集与敏感数据脱敏等工作,防止在数据开放、共享过程中存在泄露、滥用等安全问题。
引导规范教育App
合规性备案
教育App、在线教育平台运营者需严格进行App合规性备案,行业监管机构和安全服务商应引导教育机构完成教育App合规性备案工作。
2019年8月,教育部、中央网信办、工业和信息化部、公安部等八部门联合印发《关于引导规范教育移动互联网应用有序健康发展的意见》,将教育App进行分类。2019年11月,教育部办公厅印发了《教育移动互联网应用程序备案管理办法》,该办法高度重视教育移动应用备案工作,要求分阶段完成教育移动应用备案工作,并将2019年12月1日至2020年1月31日列为ICP备案和等级保护备案缓冲期。教育移动应用提供者未在1月31日前完成ICP备案和等级保护备案的,其教育移动应用备案将被撤销并予以通报。截至2020年4月底,教育移动互联网应用程序备案管理系统累计公布了1431家企业的3180个教育App备案。2020年5月,教育部科技司发布了《关于做好教育App的ICP备案和信息系统网络安全等级保护定级备案工作的公告》,公告表示教育App的ICP备案和信息系统网络安全等级保护定级备案时间因新冠肺炎疫情影响而延期至2020年6月30日。7月1日起,将对未按时完成备案的教育App提供者进行通报,并限时1个月整改。对于7月31日前未完成整改的,将撤销其教育App备案。同时,ICP备案以工信部网站查询截图为准,网络安全等级保护定级备案以公安机关的备案证明为准。
教育、互联网电信主管部门高度关注教育移动互联网应用程序App备案工作。教育App应用程序量大、用户规模众多、处理数据广泛,因此提升行业整体网络安全防护能力的必要条件是补齐木桶原理中的每一环节短板,后续需要监管机构和App开发运营机构共同发力,引导规范教育移动互联网应用程序App的合规性备案工作,同时进行App应用符合性评估,充分保证App安全。
教育行业网络安全问题分析
教育行业网络安全形势严峻,网络攻击面广泛、校园网用户群体安全防护能力不一、内外部威胁升级、教育DDoS频发以及信息泄露风险增强等因素导致教育行业网络面临的主要威胁现已发展到新阶段。中国软件评测中心网络空间安全测评工程技术中心对教育行业重要信息系统进行检查、等级保护测评、网络安全风险评估、漏洞监测挖掘,总结出教育行业仍存在的主要安全问题。首先,对教育信息系统的网络安全重视与投入不足,等级保护工作落实情况不佳;其次,教育信息泄露风险难以管控,网络安全管理不到位;此外,在线教育平台安全防护力度不够,防护能力薄弱。
网络安全重视力度不足
从全国总体来看,当前教育行业的网络安全投入普遍偏低,管理不善,存在未定期进行信息系统网络安全测评、网络安全设备应用率低、未定期进行漏洞扫描等问题。
中国软件评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和App的网络安全评估数据,针对2019年具有典型性、代表性的一些教育机构(以下简称样本机构)的测评数据进行了抽样分析,大部分样本机构主要依靠防火墙设备和漏洞扫描设备作为基本的安全防护设备,防火墙设备和漏洞扫描设备应用率为100%,IDS/IPS使用率为90.32%,堡垒机使用率为87.10%。分析数据可知样本机构不同程度进行了网络安全测评并上线了安全设备,但仍然存在安全问题,除防火墙等常规安全设备外,态势感知系统、上网行为管理系统、异地容灾备份设备的应用率分别为61.29%、54.84%、38.71%,安全网闸、防病毒网关、安全审计系统等设备也未见上线应用,样本机构在信息系统建设过程中,对网络安全的软硬件投入不足,新型网络安全设备应用率较低,防护类型单一。
调研数据显示,样本机构中仅29%的机构在信息系统建设与上线过程中进行了第三方网络安全验收测试。同时,聘任专业网络安全人员作为安全顾问的机构占比只有29%。通过调研管理制度发现教育行业人员对网络安全重视力度不够,存在“得过且过,形式上通过”的现象。
等级保护落实情况不佳
自2017年《中华人民共和国网络安全法》颁布以来,网络安全正式进入法制时代,履行网络安全等级保护制度成为网络运营者的基本义务。然而目前教育行业的等级保护制度还需进一步推进。迄今为止还有一定数量的高校、培训机构、在线教育平台未做过等级保护测评,而做过等级保护测评的机构中有相当比例存在一些测评项不达标、存在中危漏洞、测评分数不够高等情况。教育行业亟需加快落实步伐,进一步梳理信息系统,开展等级保护测评和系统安全加固工作。
中国软件评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和App的网络安全评估数据,针对2019年具有典型性、代表性的一些教育机构等级保护测评数据进行分析,样本采集空间覆盖了多个教育领域从业机构,包括重点高校、普通职业院校、小初高学校、培训机构、在线教育平台等,样本采集时间覆盖了2019年等级保护2.0实施之前到等级保护2.0标准正式实施。
针对被抽样的样本数据进行整理分析,进行网络安全等级保护测评后只有35%的机构的信息系统达到良,55%的机构的信息系统测评结果为基本符合,其余10%测评结果为中。
从技术层面、管理层面的测评项符合率分析,符合率平均值为72.52%,部分符合率平均值为8.31%,测评项的不符合率超过了10%,平均值达到11.65%,说明被抽样教育机构在落实等级保护制度过程中,仍然有部分指标项不符合。
针对测评结果的问题项进行分析,被抽样机构信息系统中,平均每家机构的问题总数在整改后达到约38个,其中高风险级别的问题0个,中风险级别的问题整改后还有约29个,低风险级别的问题整改后约9个。在信息系统初测时问题项更多,经过运营方、开发方、测评方对重要问题提出整改方案,整改后仍然存在约38个问题项,因此信息系统的等级保护安全防护工作仍需加强。
针对以上高、中、低级别的风险通过雷达图进行综合分析可知,信息系统主要脆弱性的风险级别被判定为中风险级别,其问题量占比较高,由此可以预测教育领域其他信息系统的风险评估结果中,大部分将集中在中风险区间。
对被抽样的信息系统测评结果中具体的安全防护措施落实情况进行分析,结果显示技术方面和管理方面的安全防护措施仍然不足。一是存在弱口令问题;二是存在未合理进行权限划分的问题;三是存在未定期审计日志的问题;四是存在未聘请安全顾问、未委托第三方机构进行安全验证测试的问题。
安全风险管控手段落后
近年来,国内外教育行业已经发生多起数据库泄露事件,相关人员隐私权益遭受严重损害,涉案企业、机构声誉大打折扣,教育行业信息泄露原因多样导致风险难以管控。
一是相关标准规范制定滞后。随着教育信息化的快速发展,教育机构、在线教育平台等掌握的隐私信息爆发式增加,在个人数据保护、教育信息防泄露等方面的标准规范和测评规范需要及时跟进。《中华人民共和国网络安全法》规定网络产品、服务具有收集用户信息功能的,其提供者应当向用戶明示并获得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息,并规定了相应法律责任。GB/T35273-2020《信息安全技术个人信息安全规范》正式发布并规范了互联网信息化进程中的公民个人信息保护原则和要求。作为推荐性国家标准,其只是在企业的网络安全合规建设、信息保护与权限采集过程中起到参考作用。2020年5月25日,十三届全国人大三次会议上全国人大委员会工作报告中指出将制定个人信息保护法、数据安全法。其实2019年12月实施的等保2.0标准已经把大数据安全纳入监管体系,2019年5月国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》也在个人隐私、App过度索取权限等涉及隐私泄露等问题方面做出了明确规定。2020年5月28日通过的《中华人民共和国民法典》第六章“隐私权与个人信息保护”明确了隐私权、个人信息的定义,以及个人信息主体的权利和信息处理者的安全和保密义务等内容。我国正在逐步建立个人数据保护相关的基础法律体系,因此需要同步制定适用于教育行业的细化法规、标准、规范体系。 二是管理措施不够完善。教育机构各类业务系统的快速增加,各类隐私信息分布存储在各个业务系统和办公终端上,导致业务分散且增加了管理难度,相应管理措施很难实时掌握敏感信息状态。
三是数据库防护手段薄弱。当前教育行业相关单位的主要安全防护手段以网络各区域实施访问控制策略为主,以防火墙、入侵防御相关设备策略为辅来实现访问控制与数据保护。但针对数据库本身漏洞的防御能力低,数据库产品暴露0-day漏洞、受SQL注入攻击等情况可能成为安全短板,给黑客可乘之机。
四是大量数据以明文形式存储。随着教育行业信息化程度的提高,学籍、身份、健康、成绩等大量敏感信息集中存储在数据库系统中。数据明文存储机制使得敏感数据面临被篡改、被窃取的威胁,安全风险大大增加。
五是监控手段不足。敏感、隐私信息在教育机构各类业务系统中相互频繁调用,没有有效的监控手段,导致非法调用、越权使用、违规批量下载等行为严重失控,如果教育机构在数据管理过程中不进行主动脱敏,则敏感信息泄露的风险进一步增加。
网络安全管理监督缺位
当前教育行业存在不同程度的网络安全管理制度不完善、机构安全管理职责不明确、人员网络安全意识薄弱、事前和事中监督缺位严重等问题。
网络安全管理制度包括信息安全管理总体方针策略、安全管理活动制度规范、日常管理操作规程表单等,是信息系统的建设、开发、运维、升级和改造等环节遵守的行为规范总体。未制定网络安全管理制度或信息安全管理制度不完善,将无法对信息安全管理过程中的行为进行规范和约束,增加了由于人员操作失误造成信息安全事故的风险。同时,教育机构如无完整的网络安全事件应急响应预案,或者未形成应急演练机制,则应对重大安全事件的能力和业务恢复能力都无法得到验证。网络安全管理机构职责不明确将导致网络安全管理制度无法有效落实,无法使网络安全管理制度产生相应的效力,增加网络安全事件发生的风险,同时也是网络安全事件发生后管理职责不明、责任划分不清、风险溯源困难的原因。
网络安全管理人员安全意识薄弱是造成信息泄露事件、运维过程中产生重大失误、系统攻击面增加的重要原因。网络安全管理人员的安全意识和业务能力没有保障,则人为操作失误带来的风险的可能性增加。
事前和事中监督形同虚设,存在缺位现象。一旦遭遇网络安全事件,用“事后监督”来弥补,但是事后监督存在滞后性、被动性,无法充分保证网络运营和教育数据资源流通的全流程安全。教育行业中态势感知系统、上网行为管理系统、第三方网络安全验收测试、专业网络安全顾问等安全防护与管理措施缺位,进一步导致对教育信息系统缺少刚性监督,无法保证安全管理机构、安全管理制度、安全管理人员等措施的实效。
在线教育防护能力薄弱
在线教育平台的迅速崛起和发展对教育行业引入了新的网络安全风险,从侧面反映出在线教育平台的安全防护力度依然不够。
在线教育平台依托云计算资源是一种广泛采用的服务方式,云计算环境使得教育数据面临的安全威胁更为复杂。一是外部威胁层出不穷,云平台、租户都可能成为入侵对象且威胁类型多样(如拒绝服务攻击、端口扫描、木马后门、强力攻击、缓冲区溢出攻击、IP碎片攻击、蠕虫病毒等);二是云平台存在虚拟机滥用、租户隔离失效、数据被泄露、篡改或丢失、应用程序接口安全以及代码级安全等问题;三是在云服务模式下安全责任划分不清晰、业务权限不透明、难以进行数据审计追责等问题,云平台和租户要时刻保持“在线教育上云无法做到绝对安全”这种意识。
同时,在线教育平台和教育信息系统运营机构在数据安全管理方面存在盲区。在线教育平台通过账号注册采集、检索与审计、网络爬虫等技术可以获取学生基本信息、家庭信息、学习信息、恋爱社交信息及其他敏感数据。一些在线学习App推出课程订阅与资料采购服务,需要进行实名身份认证,个人基本信息、金融支付信息、物流收货信息是必须采集项。目前没有源码审计、白盒审查之外的方法可以判别应用是否访问通讯录、聊天记录、个人浏览记录等信息,但毫无疑问这些都属于敏感个人信息。在线教育平台在进行用户数据提取与业务处理过程中存在着数据安全管理盲区。一是数据收集过程中存在过度问题;二是数据处理使用过程中未有效通过技术和管理并重的方式进行数据安全保护,例如关键信息未脱敏公布;三是平台、师生用户的主观信息保护意识不强。
教育行业网络安全保障建议
根据纵深防御思想以及等级保护中一个中心、三重防护的理念,结合教育行业网络安全总体形势和在线教育平台及App安全保障需求,建议从以下几方面保障教育行业网络安全。
切实做好基础设施安全防护
教育信息系统、在线教育平台运营者需重视网络基础设施的安全防护。物理安全是系统安全的基础,保障系统物理安全工作的重点是保护机房安全。无论是教育机构自建机房还是云平台托管机房,其安全运营维护需要关注以下几点。一是使用专用的物理空間建设机房;二是确保机房附近没有水源,防止用水设备故障影响机房设备正常运行;三是为机房设置门禁系统并避免闲杂人员访问,控制、鉴别和记录进入的人员;四是做好防雷击、防静电、防火、防水和防潮措施,防止机房和空调系统的水蒸气结露和地下积水的转移与渗透;五是确保机房具备冗余供电措施,建设灾备机房并实时备份数据。
持续推进三重防护安全建设
教育信息系统、在线教育平台运营者需严格按照“一个中心,三重防护”的安全建设理念,持续推进网络三重防护建设。网络三重防护包括安全通信网络、安全区域边界、安全计算环境,涵盖了交换机等网络设备、防火墙等安全设备、服务器等计算存储设备、操作系统与中间件等软件基础设施、数据库与业务系统等上层应用。
建设安全通信网络。安全通信网络是系统网络架构的部署形式,设计合规的网络架构是保证网络、通信传输、可信验证等安全要求达标并保护信息系统安全的前提。从网络规划阶段就应重视网络架构安全设计。 建设安全区域边界。安全区域边界是系统实现边界防护、访问控制、安全审计、入侵防范和恶意代码防范、可信验证的重要基础,使用安全设备提高网络安全防护能力也是教育信息系统安全运行的必要措施。网络中应部署IDS/IPS、防毒墙、WAF、资源监控系统、垃圾邮件检测系统、上网行为管理系统、堡垒机、日志服务器等安全设备,并定期更新安全设备的规则库和系统版本。
建设安全计算环境。安全计算环境包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等防护内容。基于教育行业网络安全风险点以及中国软件评测中心网络空间安全测评工程技术中心对样本机构的脆弱性分析,建议重点关注登录口令复杂度、账户权限分离、安全审计等内容。
设备和软件安全的第一道防线是身份鉴别,黑客攻击系统的一般方法首先是猜测或爆破登录口令然后再进行其他破坏操作,建议从以下几方面加强用户口令安全:一是严格按照网络安全等级保护标准要求,为设备和软件配置符合标准规范的口令并定期更新;二是避免存在设备出厂默认口令;三是避免使用共享賬号,严格落实账号权限分离策略;四是使用双因素身份鉴别方式;五是安全审计功能目的在于进行网络安全事件溯源、安全事件处理、系统故障修复、运维记录审计、事件预防与事后惩戒等。要保护审计进程和审计记录,使用网络审计和数据库审计系统对日常操作行为进行审计。
重点提升信息泄露防护能力
教育信息系统、在线教育平台运营者需从技术、管理层面同时发力提升信息泄露防护能力。师生群体以及其他线上教育参与者需要增强数据安全保护思想意识。
提升数据安全保护技术能力。运营重要信息系统,掌握大量教育数据的机构可提升以数据安全为核心的防护技术能力,保证教育信息安全,避免数据泄露事件频发。一是针对运营的海量教育数据建立一个统一的大数据处理平台,对产生的数据进行保护、挖掘、分析以及利用,对数据特征进行识别;二是通过高强度、安全可靠的透明加密为重要信息提供有力保护,保证敏感关键信息无论何时何地都是加密状态,可信环境内,加密文档可正常使用,在非可信环境内无法访问加密文档;三是建立全面的信息防泄露溯源追责机制,通过防泄露技术进行技术防护,通过完整的文档、操作审计发现风险触发点,做到事中研判防御,事后溯源追责。
同时,广泛调研国内大数据关键技术发展情况,实现教育领域大数据安全技术可控是保护数据安全的重要手段之一。在教育行业信息系统的建设、运营、大数据中心搭建、教育机构门户运维等工程中支持国内研发的产品应用,为大数据关键技术发展提供更稳定安全的环境。
健全数据安全保护制度体系。针对教育行业个人信息保护工作不佳,数据泄露事件时有发生的情况,应当从立法、立标、树规、贯标等方面对信息安全技术防护体系进行管理上的补充,提升“三分靠技术,七分靠管理”的安全意识。
目前数据安全与个人信息保护相关法规正在研制出台中,数据安全合规性需求将进一步加大。针对数据安全保护、信息泄露事件的监管将进入法制时代,基础法规的颁布需要行业领域内制定具体的标准规范进行贯彻,通过国家标准或行业标准对教育行业关键信息、敏感数据进行分类分级管理。可以用数据标签对创建数据、应用数据、存储数据、传输数据和销毁数据提供技术上和操作上的规范要求。对于关系到教育行业发展以及系统用户个人信息的重要数据,需严格控制其存储位置、传输和使用方式。
增强数据安全保护思想意识。在教育行业中的数据泄露问题处理方面,尤其需要增强用户的网络信息安全意识。针对受教育群体而言,他们是教育信息系统、在线教育平台、App、微服务等应用程序的前端用户,需要提升应用使用安全意识,形成安全习惯。一是开启个人电脑的防火墙,安装木马和病毒查杀软件,养成定期进行PC端、移动端病毒查杀与漏洞扫描的习惯;二是更换手机时及时删除个人信息,注销使用过的教育平台账号时需要将历史记录,敏感信息进行清除;三是谨慎使用公共WiFi,尤其是一些无密免费WiFi;四是不轻易填写在线调查问卷;五是与同学和亲友等熟人交往时保持一定程度的警惕,严格遵循敏感信息最少化、密钥信息不泄露的原则,谨防社会工程学攻击。
全面建设安全管理监督体系
建立应急响应预案机制。教育机构要严格落实《中华人民共和国网络安全法》要求,形成网络安全事件应急响应机制,重视并建立教育系统网络安全应急预案,进行预案培训与演练。教育领域内高校、培训机构、在线教育平台等机构根据自身组织特点差异及时修订并优化应急响应预案,形成网络安全应急保障协调联动机制,提升应急处置能力,保证发生安全事件时系统运维人员能有步骤有策略地应对,降低机构和社会损失。
完善信息安全管理体系。针对网络安全管理制度不完善、机构安全管理职责不明确、人员网络安全意识薄弱等问题,针对性地制定机构内部制度体系,使安全管理工作步入常态化、规范化。对于科研高校等非市场化经营的机构而言,在没有进行ISO27001信息安全管理体系认证的情况下,要对已有信息安全管理体系进行整改完善,一是建设符合ISO27001标准的信息安全管理体系,包括总体方针策略、各类网络安全活动制度、日常管理操作规程、制度落实的记录表单等;二是教育机构结合自身教学业务特色,充分借鉴ISO27001标准中PDCA循环思想,在人、技术、操作三个层面建立可持续优化的安全防护体系。
加强网络安全人员管理。教育机构要加强网络安全人员管理,建立内部运维管理团队,提高人员网络安全专业技能和网络安全防护意识。一是完善岗位设置,在人力资源充足的条件下尽量避免网络管理员、安全管理员、安全审计员这三个岗位兼任;二是加强人员培训,根据业务需求为不同人员提供与其岗位对应的技能培训;三是强化人员考核,通过考核督促相关人员主动提高专业技能,并提高培训效果;四是把控外包风险,服务外包形式的前提要有自己的专业人员领导,因此要把控外包给第三方公司所存在的安全风险;五是进行专业人才培养,解决教育行业信息化进程中网络安全人才缺乏难题。 全面开展在线教育系统
等保测评
通过等保备案、测评工作,规范在线教育平台建设,提升安全防護能力。在线教育平台及教育行业大数据平台运营方(学校、培训机构、云厂商)应该按照《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)的规定,严格落实国家网络安全基本要求,教育领域信息系统作为关键信息基础设施,需严格按网络安全等级保护制度进行保护。网络安全测评机构作为大数据安全保障的主力军,需要对教育大数据平台运营者进行全流程的安全咨询、测试、评估、认证、培训。
通过开展等保备案、测评工作,做好在线教育平台个人信息保护工作。在线教育平台和应用开发方应在技术层面深入分析大数据平台基于开源软件、按需搭建的架构,对于此类情况的应用应重点进行安全防护,并进行网络安全风险评估,大数据平台应用、接口、App应进行源代码安全审查与渗透测试,查补漏洞防止发生信息泄露事件;在管理层面要提升数据治理能力,做好多源数据汇集与敏感数据脱敏等工作,防止在数据开放、共享过程中存在泄露、滥用等安全问题。
引导规范教育App
合规性备案
教育App、在线教育平台运营者需严格进行App合规性备案,行业监管机构和安全服务商应引导教育机构完成教育App合规性备案工作。
2019年8月,教育部、中央网信办、工业和信息化部、公安部等八部门联合印发《关于引导规范教育移动互联网应用有序健康发展的意见》,将教育App进行分类。2019年11月,教育部办公厅印发了《教育移动互联网应用程序备案管理办法》,该办法高度重视教育移动应用备案工作,要求分阶段完成教育移动应用备案工作,并将2019年12月1日至2020年1月31日列为ICP备案和等级保护备案缓冲期。教育移动应用提供者未在1月31日前完成ICP备案和等级保护备案的,其教育移动应用备案将被撤销并予以通报。截至2020年4月底,教育移动互联网应用程序备案管理系统累计公布了1431家企业的3180个教育App备案。2020年5月,教育部科技司发布了《关于做好教育App的ICP备案和信息系统网络安全等级保护定级备案工作的公告》,公告表示教育App的ICP备案和信息系统网络安全等级保护定级备案时间因新冠肺炎疫情影响而延期至2020年6月30日。7月1日起,将对未按时完成备案的教育App提供者进行通报,并限时1个月整改。对于7月31日前未完成整改的,将撤销其教育App备案。同时,ICP备案以工信部网站查询截图为准,网络安全等级保护定级备案以公安机关的备案证明为准。
教育、互联网电信主管部门高度关注教育移动互联网应用程序App备案工作。教育App应用程序量大、用户规模众多、处理数据广泛,因此提升行业整体网络安全防护能力的必要条件是补齐木桶原理中的每一环节短板,后续需要监管机构和App开发运营机构共同发力,引导规范教育移动互联网应用程序App的合规性备案工作,同时进行App应用符合性评估,充分保证App安全。