前言
许多院校都是有自身的教务管理系统和学员管理信息系统,这种系统软件依照等保2.0的需求是需要开展等保测评的。而一些院校有着自身的网络服务器或是云服务平台的,依照等保2.0也是要开展等保测评的。结合互联网技术发展趋势,APP/线上教育等都融进教育工作上,做等保能够得到更快的体验。APP信息保护安全隐患层出不穷,老师学生信息保护急缺维护。
根据国家信息安全等级保护相关文件,对照国家信息系统安全保护等级的定义,教育信息系统安全保护等级的描述如下:
第一级:单位内部一般性信息系统。受到破坏后,会对教师、学生个人合法权益和教育组织内部工作管理造成一定损害,但不损害国家安全、社会秩序和公共利益。
第二级:单位内部重要信息系统。受到破坏后,会对教师、学生群体的合法权益和教育组织内部工作管理造成严重损害,或者对社会秩序和公共利益造成一定损害,但不损害国家安全。
第三级:单位内部或全国/地区范围统一运行的重要信息系统。信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成一定损害。
第四级:全国范围统一运行的重要信息系统。信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
合规性要求:根据《网络安全法》与教育部出台的《教育移动互联网应用程序备案管理办法》,要求在线教育企业完成教育移动应用备案,同时完成ICP备案与等级保护备案。其中,对于移动安全的需求是合规性中最迫切的一个需求。
业务性要求:互联网教育与高等院校、其他教育企业等合作时需要有业务对接,此时等级保护便成为业务互信的“敲门砖”。
自身安全性要求:通过等级保护基本要求,完成安全工作所需的基本建设要求如应用安全、网络安全、系统安全、数据安全等。
等级保护工作流程:
第一步定级,需确定定级对象、确定系统等级、撰写定级报告;
第二步备案,需联系网监,填写备案表,提交材料审核;
第三步测评,需具有相应资质的测评机构开展测评工作;
第四步,需依据等保标准进行系统安全建设;
第五步,监督检查,需公安网监机关对信息系统实施监督检查。
在这一过程中,教育机构需历经定级、备案、第三方测评、整改、持续合规等不同阶段,每个阶段要求不同,各有侧重。
在定级备案阶段,由于各地执行标准不一、不同部门对业务理解各异等问题,一些教育机构会对自己到底属于二级还是三级产生疑惑。级别越高,所需要的费用也是越多的,而且还将面临更高的测评和整改成本。在备案问题上,各地所需提交的材料也会存在不同。
在测评阶段,等保2.0要求物理和环境安全、网络和通信安全、设备与计算安全、应用和数据安全,进场测评的方式主要为主机漏洞扫描、渗透测试和访谈检查。此外,等保2.0既有技术要求,又有管理要求。其中三级技术要求,控制点 34 个,测评项 96 个;三级管理要求,控制点 37 个,要求项 115 个,不可轻视。
等保2.0中提出了等保高危风险项,如果缺失高危风险项则会导致不合规。在测评中会遇到的常见问题如下:
1、身份鉴别:建议访问网站系统时强制跳转HTTPS安全协议,禁用HTTP协议。
2、安全审计:建议开启日志审计功能,对重要的用户行为和重要安全事件进行审计。
3、数据保密性:建议对重要数据采用经国家密码主管部门认可的密码技术,保证其在存储过程中数据的保密性。
4、数据备份恢复:建议对数据每天至少完全备份一次,保存半年以上,此外,还应定期对备份文件进行恢复测试,确保备份文件有效。
5、渗透测试高危问题
6、App移动端高危问题
7、漏洞扫描高危问题
END
原文始发于微信公众号(安信安全):教育行业过等保有哪些要求?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论