疫情期間在線教育app風(fēng)聲水起,但你的教育app等保備案了嗎?
疫情期間,在線教育,直播教育站在前線,讓學(xué)生的學(xué)習(xí)進(jìn)度不受疫情影響,安心在家學(xué)習(xí)。在線教育app火氣來了,但是從19年開始,教育app等級保護(hù)備案開始逐步推廣,等保備案成為教育類必備資質(zhì),面臨數(shù)據(jù)泄露、網(wǎng)站癱瘓、頁面篡改、郵件攻擊、勒索病毒…… 在線教育最大的技術(shù)風(fēng)險是什么?信息安全。
近年來,信息安全問題屢見不鮮,在線教育行業(yè)監(jiān)管趨嚴(yán)。2019 年 11 月,教育部辦公廳印發(fā)《教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》,明確指出:2020 年 2 月 1 日起,未完成 ICP 備案和等級保護(hù)備案的教育移動應(yīng)用備案將被撤銷,并予以通報;2 月 1 日起,網(wǎng)絡(luò)安全等級保護(hù) 2.0 全面實施。
找不到合適的機構(gòu)來做等保合規(guī)項目怎么辦?等保流程復(fù)雜,測評機構(gòu)沒能及時申請到備案怎么辦?備案需要整改的項目又要怎么辦?
在線教育安全合規(guī)正當(dāng)時,為了向行業(yè)普及等保 2.0 標(biāo)準(zhǔn)和等保安全備案的必要性,華為云舉辦「在線教育機構(gòu)為何需要等保備案」沙龍活動,邀請教育部管理信息中心和中國軟件測評中心的專家對相關(guān)政策和等保 2.0 標(biāo)準(zhǔn)進(jìn)行權(quán)威解讀,答疑解惑。
1、邁入等保 2.0 時代, 從口頭警告到真金白銀
等保備案是網(wǎng)絡(luò)安全等級保護(hù)定級備案的簡稱,是網(wǎng)絡(luò)安全等級保護(hù) 2.0 時代的資質(zhì)審查報備。對在線教育機構(gòu)而言,等保證明及測評報告,既是對產(chǎn)品專業(yè)性、安全性、合規(guī)性的認(rèn)定,也是業(yè)務(wù)開展過程中的重要資質(zhì)證明。
教育部教育管理信息中心網(wǎng)絡(luò)安全處處長邵云龍重點介紹了與等保 1.0 相比,等保 2.0 標(biāo)準(zhǔn)的一變化,即從口頭警告到真金白銀的常態(tài)化執(zhí)法?!毒W(wǎng)絡(luò)安全法》第五十九條明確規(guī)定,網(wǎng)絡(luò)運營者不履行相關(guān)網(wǎng)絡(luò)安全保護(hù)義務(wù)規(guī)定的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。邵云龍指出,隨著《教育部等八部門關(guān)于引導(dǎo)規(guī)范教育移動互聯(lián)網(wǎng)應(yīng)用有序健康發(fā)展的意見》提出建立備案制度,安全性評估、ICP 備案、等保備案及測評成為備案前置條件,教育部正啟動專項行動,加強統(tǒng)籌管理,治理應(yīng)用亂象,通過主動監(jiān)測、社會監(jiān)督、大數(shù)據(jù)監(jiān)管來監(jiān)督措施落地。
中國軟件評測中心網(wǎng)絡(luò)安全中心副主任張德馨,則通過解讀安全等保 2.0 新政策,指出相比等保 1.0 標(biāo)準(zhǔn),等保 2.0 標(biāo)準(zhǔn)在保持等級保護(hù)「五個級別」不變、五個「規(guī)定動作」不變、等級保護(hù)工作相關(guān)參與主體「主體職責(zé)」不變的基礎(chǔ)上,除從口頭警告變?yōu)檎娼鸢足y的常態(tài)化執(zhí)法,還有「四大變化」。
第一變,從等保 2.0 的發(fā)布背景來看,已從國務(wù)院的條例上升到了國家法律的要求。等保 2.0 源自 2017 年所頒布的《中華人民共和國網(wǎng)絡(luò)安全法》。2019 年,國家又陸續(xù)頒布了《網(wǎng)絡(luò)安全等級保護(hù)條例》及等級保護(hù)新標(biāo)準(zhǔn)體系,法規(guī)命名也從信息安全改為網(wǎng)絡(luò)安全。可見,法規(guī)體系層級更高,網(wǎng)絡(luò)安全日益重要。
第二變,是體系框架和保障思路的變化。原來等保 1.0 沒有完整的體系思路,以防為主。而今等保 2.0 變成了事前、事中、事后,防不住要審計,出現(xiàn)問題還可以事后溯源。保障思路上,由 1.0 防御審計的被動保障向感知預(yù)警、動態(tài)防護(hù)、安全檢測、應(yīng)急響應(yīng)的主動保障體系轉(zhuǎn)變,增加了風(fēng)險評估、安全監(jiān)測、通報預(yù)警、態(tài)勢感知等新的安全要求。
第三變,是定級備案方面的變化。首先是定級對象的變化。等保 1.0 定級的對象是信息系統(tǒng),等保 2.0 則對定級對象進(jìn)行了更明確的規(guī)定。由于等級保護(hù)對象及范圍的全覆蓋性,大部分企業(yè)的內(nèi)部網(wǎng)站及信息系統(tǒng),對外的網(wǎng)站、應(yīng)用程序都會被納入等級保護(hù)的范圍。并且,以前是自主定級,等保二級不要專家評審,現(xiàn)在則需專家評審;
第四變,是測評整改方面的變化。測評次數(shù)上,等保 2.0 要求第三級及以上網(wǎng)絡(luò)運營者每年開展一次網(wǎng)絡(luò)安全等級測評。對四級網(wǎng)絡(luò)來說,測評周期下調(diào)會帶來部分便利,但并不意味著安全防護(hù)和檢查要求降低;測評實施內(nèi)容上,等保 2.0 標(biāo)準(zhǔn)拆分成一個通用要求和五個安全擴展要求。不管等級保護(hù)對象的形態(tài)如何,必須首先使用安全測評通用要求部分進(jìn)行測評。對于使用特定技術(shù)或特定形態(tài)的等級保護(hù)對象,再使用相對應(yīng)的安全測評擴展要求部分進(jìn)行測評;測評結(jié)論上,等保 1.0 標(biāo)準(zhǔn)中 60 分以上算及格,而今 70 分才算及格;控制點和要求項也發(fā)生了變化,與等保 1.0 相比,等保 2.0 控制點基本持平,要求項大量減少,對冗余項進(jìn)行了刪減。
2、二級還是三級,白名單或黑名單,等保煩惱多多
除了《網(wǎng)絡(luò)安全法》等法律法規(guī)對教育 App 及時等保備案、合法合規(guī)的要求,法律驅(qū)動之外,等保的急迫性與重要性也有在線教育機構(gòu)自身業(yè)務(wù)發(fā)展的內(nèi)需原因。
2019 年初起,教育部辦公廳發(fā)布《關(guān)于嚴(yán)禁有害 APP 進(jìn)入中小學(xué)校園的通知》,隨后廣東省發(fā)布《校園學(xué)習(xí)類 APP 管理暫行辦法》,將等保二級列為進(jìn)校必備條件。后為了保證學(xué)習(xí)類 APP 管理辦法盡快實行,將必備調(diào)整為鼓勵,并且對已完成等保的 APP 優(yōu)先推薦。并且規(guī)定,2020年 1 月 1 日之后申報廣東省校園學(xué)習(xí)類 APP 白名單的,應(yīng)通過網(wǎng)絡(luò)安全等保測評與備案。由此可見,等級保護(hù)對于市場拓展、業(yè)務(wù)發(fā)展,必不可少。
此外,以等保為契機,統(tǒng)一系統(tǒng)化進(jìn)行安全規(guī)劃和建設(shè),可提高在線教育機構(gòu)的整體安全保障水平,有效應(yīng)對和解決信息系統(tǒng)面臨的威脅和存在的問題,優(yōu)化安全資源分配,將有限的財力、物力、人力投入到重點地方,發(fā)揮最大的安全經(jīng)濟效益。
另外,教育 APP 的安全問題,教育部門高度重視,尤其是教育 APP 存儲大量學(xué)生信息,一旦遭受攻擊或信息泄露,無論是對企業(yè)自身還是教育用戶都有嚴(yán)重危害。種種事件,前車之鑒,也倒逼著教育企業(yè)及時開展等級保護(hù)工作。因而《教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》才會明確要求所有教育移動應(yīng)用在 2020 年 1 月 31 日前完成對現(xiàn)有教育移動應(yīng)用的備案工作,并結(jié)合實際建立本地區(qū)、本單位的備案信息動態(tài)更新機制,確保數(shù)據(jù)準(zhǔn)確性。對備案工作落實不到位的教育行政部門和學(xué)校予以約談、通報;對存在違法違規(guī)或違反《意見》要求且整改不及時的,將列入教育移動應(yīng)用提供者黑名單,向教育系統(tǒng)通報,并撤銷涉事教育移動應(yīng)用備案;涉事單位六個月內(nèi)不得再提交備案申請。
但在落實上述政策時,出現(xiàn)了執(zhí)行標(biāo)準(zhǔn)不一、不同部門對業(yè)務(wù)理解各異等問題,讓在線教育機構(gòu)頗為煩惱。舉例來說,依據(jù)等級保護(hù) 2.0 要求, 等級保護(hù)對象受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害,定級為三級,原定級為二級。有教育機構(gòu)表示,企業(yè)自主定級為二級,但相關(guān)部門定級為三級,對二級網(wǎng)絡(luò)來說,每年僅需向公安機關(guān)提交一份自查報告,定為三級意味著企業(yè)要面臨更高的測評、整改成本,對用戶規(guī)模以千萬到億計數(shù)的大公司尚能承擔(dān),小公司卻叫苦不迭。除定級問題外,提供者備案需提交的材料各地要求也有出入。等級保護(hù) 2.0 基本要求,既有技術(shù)要求,又有管理要求。其中三級技術(shù)要求,控制點 34 個,測評項 96 個;三級管理要求,控制點 37 個,要求項 115 個,不可輕視。
3、快速、省心、優(yōu)質(zhì),等保三大訴求如何解?
據(jù)悉,等級保護(hù)工作流程,共分五步。第一步,系統(tǒng)定級,需確定定級對象、確定系統(tǒng)等級、撰寫定級報告;第二步系統(tǒng)備案,需聯(lián)系網(wǎng)監(jiān),填寫備案表,提交材料審核;第三步建設(shè)整改,需依據(jù)等保標(biāo)準(zhǔn)進(jìn)行自查和建設(shè);第四步,等級測評,需具有相應(yīng)資質(zhì)的測評機構(gòu)開展測評工作;第五步,監(jiān)督檢查,需公安網(wǎng)監(jiān)機關(guān)對信息系統(tǒng)實施監(jiān)督檢查。教育 App 提供企業(yè)要完成等保認(rèn)證,需歷經(jīng)定級、備案、評估、整改、第三方測評、持續(xù)合規(guī)等不同階段,每個階段要求不同,各有側(cè)重,可謂費時費力。
活動現(xiàn)場,不少在線教育機構(gòu)代表人紛紛表示,由于缺乏對等保 2.0 要求的深入了解,不知道如何著手,拖延等保整改周期,造成了人力和時間的浪費。此外,很多企業(yè)沒有專業(yè)的安全技術(shù)人員,選擇合適的等保整改建設(shè)方案成為極大的挑戰(zhàn)。加之等保咨詢和測評機構(gòu)繁多,服務(wù)范圍和質(zhì)量參差不齊,難以建立互信、可靠、長期的合作關(guān)系,所以急需快速、省心、優(yōu)質(zhì)的網(wǎng)絡(luò)安全等級保護(hù)專業(yè)服務(wù)。
面對重重?fù)?dān)憂,華為云安全專家李戩以華為云安全等保服務(wù)為例,詳述了如何構(gòu)建教育行業(yè)網(wǎng)絡(luò)安全的堅實后盾。
華為云的安全等保服務(wù),是圍繞等級保護(hù) 2.0 的要求,專為華為云及華為客戶解決等級保護(hù)咨詢、等保備案指導(dǎo)、等保差距測評、安全整改、等保驗收測評等問題的綜合一體化解決方案。
華為云的一站式等保服務(wù)
基于對等級保護(hù)要求的全方位理解,該整體方案具有四大突出優(yōu)勢:一是華為云安全等保服務(wù)可提供全棧安全產(chǎn)品,從網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)安全等全方位提供安全能力;二是傳統(tǒng)的安全整改往往存在采購時間長、整改繁瑣、實施緩慢等通病,華為云的安全等保服務(wù)可大大縮短安全整改時間;三是華為云與測評機構(gòu)合作,可提供快速、方便的一站式等保服務(wù);四客戶通過華為云的等保云安全綜合解決方案,可快速滿足等級保護(hù)的要求。
華為云安全等保服務(wù)最大的特點在于性價比,恰好滿足了在線教育機構(gòu)快速、省心、優(yōu)質(zhì)的三大訴求。
如何快速?通過一站式專業(yè)服務(wù)。華為云依托自身多年的行業(yè)、產(chǎn)品和服務(wù)經(jīng)驗,拉通業(yè)界優(yōu)質(zhì)資源,極大的縮短過等保的總時間,可迅速獲證;如何省心?華為云提供保姆式服務(wù),提供專業(yè)的整改解決方案+優(yōu)質(zhì)的云安全產(chǎn)品+貼心的服務(wù)能力+權(quán)威的測評認(rèn)證;如何優(yōu)質(zhì)?華為云是等級保護(hù)標(biāo)準(zhǔn)制定的參與者之一,與等保規(guī)則的制定者簽訂戰(zhàn)略合作協(xié)議,強強聯(lián)合,在定級、備案、建設(shè)整改、第三方測評、監(jiān)督檢查及 App 安全認(rèn)證咨詢業(yè)務(wù)等方面,均可提供優(yōu)質(zhì)服務(wù)。
目前,以性價比著稱的華為云等保安全服務(wù),團隊 15+ 專家獲得權(quán)威資質(zhì),已服務(wù)全國 200+ 客戶,遍布 30+ 重點省市,在 9+ 行業(yè)得到普遍認(rèn)可,成功為 20 多家在線教育機構(gòu)完成等保。華為云高等級保護(hù)服務(wù)系統(tǒng)高分通過公安部網(wǎng)絡(luò)安全等級 4 級測評,重點滿足關(guān)鍵應(yīng)用高性能、高可靠、高安全的要求。
2020 年 1 月 20 日消息,教育部發(fā)布《教育 App 備案名單公告》。根據(jù)《教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》,各省教育行政部門持續(xù)推進(jìn)教育 App 備案,在 2019 年 12 月 25 日至 2020 年 1 月 14 日期間完成了對 605 家企業(yè)的 1300 個教育 App 備案工作。名單顯示,新東方旗下有新東方在線中小學(xué)、彩虹糖閱讀、新東方微課堂等 10 款教育 App 通過審核,據(jù)鯨媒體此前報道,2019 年 12 月 16 日,教育部公布了首批 152 個教育 App 備案名單。2020 年 1 月 2 日,公布了第二批 476 個教育 App 備案名單。
教育之本,民生之計。對在線教育而言,等級保護(hù)是基本制度,是重要支撐,是必備資質(zhì),更是國家法規(guī)、市場拓展、業(yè)務(wù)需求的明確剛需!
標(biāo)簽: 教育app等保備案