“超星”变“操心”，数据何时能安心？

由于新冠疫情爆发，从某种程度上促进了互联网+教育不断深入和发展，在疫情期间，基于互联网+的教育各类移动应用有力的支持了我国大部分师生的教学工作和学习，学校教学工作大量地应用了各类在线教育移动应用，已经成为学校教学方式的重要途径之一，为广大学校师生带来了便利。移动应用一般都由供应商自行开发和运行维护，部分移动应用在使用之初，会对师生信息进行采集用于验证，后台应用数据库会留存大量的师生个人敏感信息，一旦系统被发现有可利用的漏洞，很容易造成数据泄露。

网络攻击一方面导致师生的个人信息泄露，另外一方面还会存在诱发其他的一连串连锁反应的可能性。通过攻击和学校有合作关系的第三方供应商获得进入学校内部系统的机会，比直接攻击学校系统获得成功的概率要高出很多，第三方供应商往往是疏于自身的安全防护，很容易被攻破。这也是这两年，黑客组织为了提高网络攻击效率，实现最大化经济利益价值，对攻击思路进行调整，该攻击方式被称之为供应链攻击或者是第三方攻击。

国家一贯重视网络安全和个人隐私安全，近几年随着《网络安全法》、《数据安全法》、《个人信息保护法》等一系列法律出台，在国家层面对网络安全和数据安全提出了更高要求。《网络安全法》和《数据安全法》中明确了提供网络服务的网络经营者和利用互联网开展数据处理活动的数据处理者均是属于责任主体，必须遵照法律履行网络安全保护义务，维护网络数据的完整性、保密性和可用性，承担社会责任。

围绕国家法律要求和实际情况，面对因为供应商自身安全能力薄弱所引发的安全事件对学校造成影响的问题，应站在预防和应急的角度，学校在重视和建设自身校园网络安全体系的同时，也要关注和要求与自己有关联关系的第三方供应商所具备的安全能力，尽可能地避免安全事件所造成的连锁反应，最大程度保障数据安全和信息安全，安恒信息建议采取以下两个方面的具体措施：

1.学校建立教育移动应用的选用制度，在学校选择供应商时，需要对方提供所需业务系统安全能力方面的证明，例如移动应用程序是否依照教育部发布的《教育移动互联网应用程序备案管理方法》的要求进行ICP备案和信息系统网络安全等级保护定级备案，如果移动应用程序会对师生个人信息进行采集和存储，在移动应用的其他方面（技术、功能）相同的条件下，建议优先选择通过信息系统安全等级保护（三级）备案的供应商。

2.在合同签署时，以附件的形式要求供应商在合同中承诺不过度采集跟个人信息相关的数据，落实网络安全防护责任，在技术和组织层面实现网络安全保障能力。例如要求供应商开展常态化的安全检查工作，如新业务上线评估、基线核查、代码审计、渗透测试、安全加固等，并向学校提交第三方机构的检查报告。

1.督促师生尽快修改现有校内和校外应用账号的密码，不少师生的网络安全意识较为薄弱，为图方便，在很多情况下都是多个应用不同账户同一个密码，甚至是多个应用同一套账号密码。这样存在着极大的隐患，一旦泄露，其他应用账号都会面临威胁，所以账号密码的修改工作迫在眉睫。

2.督促供应商即刻开展网络安全应急响应处置工作，迅速定位事件源头，尽快处置风险，降低安全事件所造成的损失，并要求供应商提交处置结果报告用以证明安全问题已经消除。

3.个人信息敏感信息的泄露会威胁师生的个人隐私，同时也有可能会对学校的业务系统安全造成威胁。黑客组织通过撞库的方式拿到校内的账号密码以正常身份绕过学校的网络安全防御体系，在内部扫描学校资产，发现可利用的漏洞，拿走有价值的信息，或者植入木马程序进行控制用于其他目的，例如挖矿、勒索等。学校应该迅速组织技术力量进行内部检查，通过流量分析和业务主机检查的方式发现异常行为并及时进行处置，消除影响。