教育是民生之本、强国之基,在加快教育发展的同时,教育的安全性也不容忽视。尤其是随着互联网的发展,线上教育越来越成为很多家长和学生的选择,如果教育行业信息系统被入侵,导致学校、学生、重要教育资料被泄露,后果将不堪设想。也因此,自国家开展等级保护以来,教育行业的等级保护一直都是公安机关和主管单位关注的重点。 目前教育行业关于等级保护的相关标准有: 1、《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函[2014]74 号):依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议等级,明确工作流程。 2、教育部等八部门关于引导《规范教育移动互联网应用有序健康发展的意见》:提出2019年底要完成教育移动应用(APP)备案工作,2020年底,建立健全教育移动应用管理制度、规范和标准,形成常态化的监管机制,初步建成科学高效的治理体系。 3、《教育移动互联网应用程序备案管理办法》:目的是更好落实教育移动应用备案工作,提出要分阶段完成教育移动应用备案工作,设置ICP备案和等级保护备案缓冲期。 教育行业安全防护如此重要,信息安全等级保护又不得不做,教育行业的公司、学校等又要如何落实等级保护呢?作为等保标准制定的参与者,等保测评网自2108年开始就为全国企业提供等级保护一站式服务,以助力客户合规、快速地落实等级保护工作。下面是等保测评网做过的其中一个在线教育系统等级保护案例,一起来看看吧! 1.等保测评网协助教育企业成功定级备案 该在线教育企业之前并没有做过等级保护,也因此,企业对等级保护相关标准、流程、需要材料等一窍不通。基于此,等保测评网派出了专业的等保技术团队,为该教育企业提供了等级保护备案代办服务。同时,我们还为该企业提供了免费的咨询服务。整个过程下来,该企业不仅成功备案,对等级保护也更加了解。 2.等保测评网为企业提供定制化等保合规整改建设服务 要想落实等级保护,该教育企业不仅要备案,还要通过等级测评。等级测评的主要内容就是检查该在线教育信息系统中是否存在高风险项,信息系统安全防护工作做得如何。也因此,企业要想通过等级测评,就必须对自己的信息系统进行整改,把信息系统中存在的高风险项解决,提供信息系统的安全性。 基于此,我们对该教育企业的在线教育系统做了差距测评,并根据测评中检测出来的风险,提供了整改建议,帮助企业落实了等级保护整改工作。最终,该教育企业成功通过等级测评。 下面是该教育企业信息系统中存在的一些安全问题: 安全通信网络:未基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。 安全区域边界: 1)阿里云审计记录采用阿里云OSS存储并定期备份,目前审计记录仅保存2个月; 2)未基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。 安全计算环境(网络): 1)阿里云控制台:采用阿里云OSS存储,但未保存6个月; 2)阿里云控制台:通过阿里云安全中心发现漏洞,但未定期漏扫,无修复和评估方案; 3)阿里云控制台:未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证; 安全管理制度:未定期对安全管理制度的合理性和适用性进行论证和审定。 安全计算环境(DB):阿里云RDS-SQLServer版;未开启ssl传输。 安全管理制度:未定期对安全管理制度的合理性和适用性进行论证和审定。 安全运维管理:未制定办公环境管理制度对不随意放置含有敏感信息的纸档文件和移动介质等作出规定。 3.等保测评网协助企业部署安全产品 该教育企业表示,其系统部署在阿里云中,也因此,客户还需要我们指导其购买和部署阿里云安全产品及提供技术支持服务。等保测评网作为阿里云战略级合作伙伴,对阿里云相关产品和产品优惠极为了解,在等保测评网的帮助下,该教育企业在较短时间内就完成了阿里云安全产品的购买及部署,省钱又省心。