《中国评测-2020年教育行业网络安全白皮书2020-.pdf》由会员分享,可在线阅读,更多相关《中国评测-2020年教育行业网络安全白皮书2020-.pdf(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、技术白皮书 教育行业网络安全白皮书 (2020 年) 中国软件评测中心网络空间安全测评工程技术中心 2020 年 9 月 微信公众号免费知识星球VIP知识星球版权声明本白皮书版权属于中国软件评测中心, 并受法律保护。 转载、摘编或利用其他方式使用本白皮书文字或观点的, 应注明“来源:中国软件评测中心”。违反上述说明的,本单位将追究其相关法律责任。编写指导:安 晖 唐 刚编写小组:李世斌 李杺恬 宁黄江白利芳 张德馨 朱信铭王 涛 黄 峥目 录 前 言 . - 1 - 一、教育行业网络安全发展环境 . - 3 - 1.1.我国稳步推进教育信息化事业发展 . - 3 - 1.2.国家规划出台教育信
2、息化网络安全政策 . - 4 - 1.3.各地贯彻落实教育信息化网络安全部署 . - 6 - 二、教育行业网络安全总体形势 . - 8 - 2.1.网络安全隐患普遍 . - 8 - 2.2.校园网络风险众多 . - 9 - 2.3.外部环境攻击严重 . - 10 - 2.4.内部环境漏洞增多 . - 11 - 2.5.教育 DDOS 攻击频发 . - 13 - 2.6.信息泄露事件高发 . - 15 - 2.7.APP网络风险突出 . - 15 - 三、教育行业网络安全问题分析 . - 17 - 3.1.网络安全重视力度不足 . - 17 - 3.2.等级保护落实情况不佳 . - 18 - 3
3、.3.安全风险管控手段落后 . - 22 - 3.4.网络安全管理监督缺位 . - 24 - 3.5.在线教育防护能力薄弱 . - 25 - 四、教育行业网络安全保障建议 . - 27 - 4.1.切实做好基础设施安全防护 . - 27 - 4.2.持续推进三重防护安全建设 . - 28 - - 1 - 前前 言言百年大计, 教育为本。 教育行业是我国最大的民生行业之一,教育事业发展是国家兴旺的不竭动力, 推进教育行业信息化建设具备重要意义。 2012 年以来我国大力开展教育信息化建设,2018 年 4 月教育部印发教育信息化 2.0 行动计划,2019 年政府工作报告中指出发展“互联网+教育
4、”。随着国家政策引导以及移动互联网、5G、大数据中心等技术应用,教育行业信息化工程及在线教育平台迅速发展起来,智慧校园、远程教育、网络云课堂等方式受到广大师生群体认可。教育行业机构多、系统多、数据多、影响面广,伴随信息化发展,教育信息系统面临着网络攻击、数据/个人信息泄露、勒索病毒入侵等网络风险,因此全面推进传统教育、在线教育、教育 App 的网络安全保障工作,提升教育行业整体安全防护水平至关重要。本白皮书聚焦我国教育行业网络安全问题,从机构、人员、系统、 应用等切入点对网络安全总体形势进行了分析并针对性提出安全保障建议。首先,从国家、地方层面对教育信息化时代的网络安全政策要求进行简要阐述;其
5、次,对当前教育行业的网络安全总体形势进行分析;然后,对教育行业网络安全存在的风险原因进行了研究;最后,提出教育行业网络安全防护能力提升的相关建议。中国软件评测中心 (工业和信息化部软件与集成电路促进中- 2 - 心),简称中国软件评测中心,是直属于工业和信息化部的一类科研事业单位。中心长期服务和支撑国家部委、地方政府以及电信和互联网、教育、卫生、广电、交通、能源、银行、证券、保险、航空等各大行业,业务范围覆盖全国 31 个省、自治区、直辖市,业务网络覆盖全国 500 多个城市,构建了基于第三方服务的科技产业链。网络空间安全测评工程技术中心是中国软件评测中心核心业务板块,致力于信息系统运行的网络
6、安全防护,支撑政府主管部门履行网络安全相关社会管理和公共服务职能, 主营信息安全风险评估、 网络安全等级保护测评、 关键信息基础设施保护评估、数据安全能力和合规性评估等网络信息安全相关业务。- 3 - 教育行业网络安全发展环境教育行业网络安全发展环境1.1.我国稳步推进我国稳步推进教育信息化教育信息化事业事业发展发展 教育信息化工程在教育领域运用现代信息技术, 促进教育改革与发展, 具备数字化、 网络化、 智能化、 多媒体化等技术特征,以及开放、共享、交互、协作等教学特点。自 1993 年美国提出建设“国家信息基础设施”(信息高速公路计划)以来,世界各国纷纷探索教育信息化发展路径, 我国的教育
7、信息化事业也取得长足进展。2010 年 7 月,中共中央国务院印发国家中长期教育改革和发展规划纲要(20102020 年),提出教育发展战略目标,研究教育信息化建设可持续发展策略。2012 年 3 月,教育部印发教育信息化十年发展规划(2011-2020 年),提出以教育信息化带动教育现代化,把教育信息化摆在支撑引领教育现代化的战略地位。2016 年 6 月,教育部印发教育信息化“十三五”规划,提出在 2020 年基本形成具有国际先进水平、信息技术与教育融合创新发展的中国特色教育信息化发展路子。2018 年 4 月,教育部印发教育信息化 2.0 行动计划,积极推进“互联网+教育”发展,加快教育
8、现代化和教育强国建设。 2019年2月, 中共中央国务院印发 中国教育现代化2035 ,提出加快信息化时代教育变革,建设智能化校园。2020 年以来,教育部已启动教育信息化中长期发展规划一一. .- 4 - (2021-2035)和教育信息化“十四五”规划编制工作。 新时代,党中央、国务院高度重视教育信息化事业发展。自2015 年起国务院关于积极推进“互联网+”行动的指导意见已提出探索新型教育服务供给方式,探索网络化教育新模式。习近平总书记指出, 实施“互联网+教育”, 促进基本公共服务均等化。李克强总理在 2019 年政府工作报告中指出, 发展“互联网+教育”,促进优质资源共享,发展更加公平
9、更有质量的教育。当前教育信息化已成为改变传统教育模式、深化教育改革的重要内容。1.2.国家国家规划出台教育信息化规划出台教育信息化网络安全网络安全政策政策 没有信息化就没有现代化,没有网络安全就没有教育安全,在教育信息化工程稳步前进的同时,国家教育主管部门在中华人民共和国网络安全法 的基本法规基础上陆续出台一系列信息化安全建设与管理的政策法规, 不断夯实教育行业网络安全保障体系。2017 年 4 月,教育部印发教育行业网络安全综合治理行动方案,指出教育行业仍存在网络安全责任不落实、管理不规范、安全隐患修复不及时、监测预警和应急响应能力不足、网络安全事件时有发生等问题。 教育部针对性开展了网络安
10、全综合治理行动,包括治理网站乱象、强化主体责任、全面监测网络安全威胁、检测应用软件安全风险、补齐等保短板、加快完成定级备案、有序推进测评整改、加强关键信息基础设施规范管理、健全网络安全事件应急响应机制等。2018 年 4 月,教育部印发教育信息化 2.0 行动计划,指- 5 - 出要建立网络安全和信息化统筹协调的领导体制, 完善网络安全监督考核机制,以中华人民共和国网络安全法等法律法规为纲,全面提高教育系统网络安全防护能力,全面落实网络安全等级保护制度,深入开展网络安全监测预警,做好关键信息基础设施保障,重点保障数据和信息安全,强化隐私保护。在此基础上,教育部于 2018、2019、2020
11、年连续部署“教育信息化和网络安全工作要点”,将网络安全工作与教育信息化并列提出,重点关注网络安全保障工作。在2020 年教育信息化和网络安全工作要点中指出,要不断完善教育网络安全支撑体系,网络安全人才培养能力和质量全面提升,教育系统网络安全防护水平不断提高, 组织开展教育系统关键信息基础设施认定和检查。2019 年 11 月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局根据关于开展 App 违法违规收集使用个人信息专项治理的公告联合制定了App 违法违规收集使用个人信息行为认定方法,为 App 违法违规收集使用个人信息行为的认定提供了参考;2019 年 11 月,教育部办公厅印发
12、教育移动互联网应用程序备案管理办法,做出现有教育移动应用的备案工作计划。国家对教育行业网络安全高度重视,无论是教育机构、基层教育机构信息化建设, 还是当前发展火热的“互联网+教育”“教育大数据”“在线教育平台”, 国家出台的基础性法律、 指导性政策、规范性标准无不强调做好教育行业的网络安全工作。- 6 - 1.3.各地贯彻落实各地贯彻落实教育信息化教育信息化网络安全网络安全部署部署 自教育部印发教育信息化 2.0 行动计划以来,各省市纷纷做出行动部署, 切实推进教育信息化进程中的网络安全保障工作。2019 年 3 月,黑龙江省教育厅印发省教育厅关于进一步加强全省教育系统 招生考试网络与信息安全
13、工作的意见,指出要建立健全网络与信息安全工作组织体系、 管理规章和责任制度;落实国家信息安全等级保护制度;有效防范、控制和抵御信息安全风险;增强安全预警、应急处置和灾难恢复能力;形成与教育信息化发展相适应的、完备的网络与信息安全保障体系。2019 年 6 月,江苏省教育厅印发江苏教育信息化 2.0 行动计划,指出要推进“互联网+教育”大平台建设,探索互联网+教育服务模式。在云计算、大数据、物联网、人工智能等新一代信息技术深度融入教育全过程中, 对教育信息化网络安全提出新要求。一是健全完善网络安全制度体系,要建立健全网络安全应急响应机制和应急预案, 建立健全网络安全监测预警和通报制度,全面落实网
14、络安全等级保护制度。 二是健全完善网络安全技术防护体系,要配备软硬件设备设施和专业化队伍,建立技防与人防相结合的综合防护体系,构建可信、可控、可查的网络环境,有效防范和抵御网络安全风险。2019 年 8 月,山东省教育厅印发了山东省教育信息化 2.0行动计划(20192022),文件指出要探索 5G 技术在无线校园建设中的推广应用,推进 IPv6 规模部署和应用,使教育信息- 8 - 教育行业网络安全总体形势教育行业网络安全总体形势教育信息化网络系统已成为当前建设教育强国的重要载体,为管理部门、学校、教师、学生及家长的使用提供了巨大便利。教育行业信息化应用系统每天产生并长期保存大量数据, 包括
15、教育资源、 科研成果、 师生信息、 教学素材、 国家教学资助信息等,因此网络安全防护工作与数据保护治理工作至关重要。 目前教育行业网络安全形势严峻,高校校园网络、培训机构业务系统受到常态化网络探测与攻击,并在开学、招聘、重大事件等时段会加剧,主要风险点包括网络安全隐患普遍、校园网风险众多、外部环境攻击严重、内部环境漏洞增多、教育 DDoS 攻击频发、信息泄露事件不断、App 风险突出等。 2.1.网络网络安全安全隐患普遍隐患普遍 随着互联网、移动互联网技术与传统教育行业深度融合,教育行业网络环境普遍存在安全隐患。 教育行业信息系统具备网络、数据、用户规模庞大的特征,使得网络安全隐患分布广泛且监
16、管防护难度增大。一是教育行业涉及人员众多,全国范围内教育机构有近 59 万个,专职教师 1800 万人,整体教育行业各级各类学生超过 3.5 亿人;二是教育信息系统数量多,教育系统网站超过20 万个, 域名的网站有近 11 万个,涉及超过 100 万人数据的系统达 500 多个;三是教育信息数据量大,教育行业政务数据资源数量达 10624 条,教师数据超过 4000 万条,累计学生数据超过 5 亿条。因此,教育行业信息系统特点可以总结为信息系二二. .- 9 - 统多、业务类型宽、用户规模大、遍布地域广、软件类型杂、数据信息量大、信息价值高、用户信息化知识水平参差不齐、网络安全意识不强、管理制
17、度执行难等,所有特征都是教育行业网络安全隐患普遍的诱发因素。2.2.校园校园网络网络风险风险众多众多 高等院校的校园网络和企业网络存在一定差异, 因此网络风险及攻击面表现形式也有所区别。一是一是校园网内网络病毒、木马程序蔓延迅速。高校校园网是普及宽带网络较早的基础设施,因此已经实现普遍的千兆/万兆宽带在园区主干互联。校园网的用户群体比较密集,局域网内部用户规模庞大,一般都是集中的教学区、学生住宿区、职工住宅区等,而高带宽和大用户量导致网络病毒、木马程序蔓延迅速,网络对严重的安全隐患表现出高敏锐性。二是二是校园网信息化运维难度大,管理流程复杂,风险管控和责任界定较难。 高校无法像企业一样向每个员
18、工落实网络安全防护职责,学生针对私人电脑进行的所有操作(例如 U 盘混用、不明网页浏览、不安全链接访问、木马病毒邮件查收等)都存在个人设备感染病毒后影响整个网络的风险。 校园中设备购置和管理情况非常复杂,除学校机房、教学设备、实验机房设备等由学校统一管理之外, 学生和教师群体的个人设备无法由学校统一管控。一般高校的在校学生都在几万人左右,学生使用自己购买的设备(笔记本电脑、移动终端等)并自我维护,这直接导致校园网络具备非常广的受攻击面,学生和设备众多,大家网络安全意- 10 - 识和防护水平各不相同, 并且发生网络安全事件后安全责任难以分清。三是三是校园网用户群体网络活跃度高,木马病毒传播来源
19、广。在开放环境下,高校学生乐衷于尝试网络新技术,因此会有更大概率面临新技术带来的安全威胁。尤其各大高校计算机、软件工程、网络安全等相关专业的学生会研究各类木马病毒,亲身实验各类攻击技术, 用个人电脑模拟攻击目标或者攻击靶场进行攻防实验,处理不当则可能对整个校园的网络造成影响和破坏。部分学生受好奇心驱使或者因科研需求,主动开发一些高危代码、制造漏洞、编制木马程序等,因而网络风险较高。四是四是高校在网络安全防护方面投入有限, 导致安全防护设备成为短板。高校是非营利事业单位,无法像商业公司一样大规模进行信息化建设与网络安全维护投入,因此高校存在一定程度的维护管理投入不足、网络安全技术手段不足、网络安
20、全制度体系不足、网络安全意识淡薄等问题。2.3.外部环境攻击严重外部环境攻击严重 信息系统外部环境威胁是指由系统安全区域边界之外引入的网络风险,如外部黑客等发起的拒绝服务攻击、端口扫描、木马后门、强力攻击、IP 碎片攻击、蠕虫病毒等。目前,教育行业网络面临严重的外部网络攻击,恶意软件表现非常活跃。深信服安全云脑检测到的 2019 年活跃的恶意程序拦截量为 181.07 亿次,在教育行业系统中挖矿类恶意软件感染占比最多 (占 54.61%) ,其次为远程控制木马(占 20.65%)及蠕虫病毒(占 15.15%)。 - 11 - (数据来源:深信服千里目安全实验室)随着数字货币价值不断攀升, 盗取
21、用户计算机处理器的计算能力进行挖矿成为网络世界主要的威胁之一。从挖矿病毒、木马攻击的行业分布来看,黑客倾向于攻击企业、政府、教育行业。 (数据来源:2019 年上半年网络安全势态分析)2.4.内部环境漏洞增多内部环境漏洞增多 信息系统内部环境威胁是指由系统安全区域边界以内引入的网络风险,如系统漏洞、网站脆弱性、管理制度缺失、安全运维能力不足等。 目前, 教育行业大量信息系统存在安全漏洞隐患。65.27% 54.61% 62.64% 66.75% 56.86% 47.92% 14.36% 20.65% 15.44% 10.59% 16.45% 15.57% 11.82% 15.15% 12.76
22、% 13.40% 17.43% 24.28% 8.01% 8.69% 7.94% 8.59% 8.88% 11.73% 0.54% 0.90% 1.22% 0.67% 0.38% 0.50% 0.00%2.00%4.00%6.00%8.00%10.00%12.00%14.00%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%企业教育服务业制造业金融医疗挖矿木马远控蠕虫感染病毒勒索软件各行业病毒种类占比各行业病毒种类占比- 12 - 在2017 年教育行业网络安全报告中将教育行业细分为 8 个领域,每个领域抽样约 100 家机构,包括重点
23、高校、职业培训、儿童早教、兴趣教育、出国留学、语言学习、教育信息化、综合服务&其他。对 800 家教育机构进行抽样分析,共发现 606 个CVE 漏洞, 19%的机构存在比较严重的安全漏洞, 漏洞类型 Top5为 OpenSSL FREAK Attack 漏洞、Microsoft Windows HTTP.sys远程执行代码漏洞、 IIS 6 远程代码执行漏洞、 OpenSSL Heartbleed心脏滴血漏洞、Ticketbleed 漏洞。该报告表示 93%的重点高校存在安全漏洞。从信息系统生命周期来看,从设计、编码到上线运行各环节都有可能造成安全漏洞, 机构应建立完善的漏洞管理体系
24、,加强人员管理、规范安全制度等全方位提升安全能力。领域评估机构数量漏洞机构占比漏洞数量重点学校100 93% 497 职业培训100 9% 11 儿童早教100 8% 15 兴趣教育100 4% 4 出国留学100 8% 22 语言学习100 9% 14 教育信息化100 15% 32 综合服务&其他 100 8% 11 总体800 19% 606 (数据来源:2017 年教育行业网络安全报告) 中国软件评测中心网络空间安全测评工程技术中心对具有代表性的一些教育行业机构进行抽样, 分析可知抽样系统中主要以中危漏洞为主,部分系统存在 1-3 个高危漏洞。如果采用不同漏洞扫描器或者进行内部
25、渗透测试, 将可能发现更多漏洞, 因此,- 13 - 教育行业网络安全形势严峻,内部环境漏洞依然众多。(数据来源:中国软件评测中心)2.5.教育教育 DDoS 攻击频发攻击频发 分布式拒绝服务攻击(DDoS)已经是当前互联网安全比较常见的威胁,DDoS 的危害在于无限制消耗系统和网络资源,使其无法为正常用户提供服务。 教育行业对系统安全可靠性要求高,需要长期稳定运行,因此 DDoS 攻击频发对教育行业影响较大。 根据 DDoS 攻击发生领域来看, 不同领域受到 DDoS 攻击占比不同,其中重点高校占比最高。2017 年教育行业网络安全报告显示教育行业有 42%的机构受到 DDoS 攻击的威胁,
26、 其中重点高校最为严重,85%都遭受到不同程度的 DDoS 网络攻击,47%的职业培训和44%的教育信息化机构遭受过 DDoS 网络攻击。 领域评估机构数量被攻击机构占比攻击事件数量重点学校100 85% 3402 职业培训100 47% 21,080 儿童早教100 31% 22,368 0123456漏洞扫描抽样结果漏洞扫描抽样结果高危漏洞数中危漏洞数低危漏洞数- 14 - 领域评估机构数量被攻击机构占比攻击事件数量兴趣教育100 34% 32,863 出国留学100 33% 14,918 语言学习100 38% 26,231 教育信息化100 44% 22,583 综合服务&其他
27、100 27% 22,552 总体800 42% 166,997 (数据来源:2017 年教育行业网络安全报告) DDoS 攻击是一种常见的攻击方式,但在一些重大活动时DDoS 攻击会出现陡增态势。在一些重大活动时,如果 DDoS 攻击引起网络中断或部分业务不可用, 则攻击造成的损失较为严重,这样的重大活动包括但不限于招生、迎新、重要领导视察、国家重大活动等,以及 2020 年的新冠疫情。2020 年新型冠状病毒疫情对国内、国际的正常社会活动产生重大影响,教育领域也是受影响最严重的领域之一, 全国科研机构、 高等学府、 大中专院校、小初高学校、各类培训机构都将教学、科研、管理等业务迁移到互联网
28、线上进行。网络罪犯、黑客等不法分子注意到在线资源需求的增长,对最重要的教育信息系统及数字服务进行了攻击。据统计,2020 年 1 月 1 日至 3 月 22 日期间,全国教育行业在线网站/系统累计遭受 9600 多万次网络攻击。据阿里云安全运营中心监测, 2020 年 1-3 月份抗击疫情期间应用层 DDoS 攻击量持续处于高位,其中在线教育领域攻击量环比增幅靠前。- 15 - 2.6.信息泄露事件高发信息泄露事件高发 教育行业的信息泄露威胁形势严峻。 一是信息泄露事件频发。近年来教育行业信息各类泄露事件对师生人员和社会造成较严重负面影响,如学生个人信息泄露导致的经济诈骗事件、高校数据库泄露电
29、子邮件元数据导致的重要信息泄露事件、 新冠疫情期间海量学生个人信息泄露导致的网络骚扰辱骂事件等。 二是教育网络运营机构和平台技术、管理环节的漏洞较多。教育行业缺乏针对海量数据进行统一处理的大数据平台, 缺乏数据挖掘、 分析、使用过程中的安全考虑, 在信息系统建设、 运行以及维护过程中,针对大数据的保护较为薄弱。此外,教育类 App 的个人信息保护仍存在不明地带,亟需建立覆盖个人信息收集、储存、传输、使用、删除、销毁等全生命周期的数据保障机制。三是教育行业师生群体个人信息保护力度不够、意识欠缺。高校的网络用户群体主要为广大师生,其受教育程度高,对信息化比较了解,上网率接近 100%,然而存在的问
30、题是,高校用户规模庞大但网络安全意识不强,安全素养和技能参差不齐,使得网络数据安全问题突出,信息泄露事件不断,这成为高校信息化中安全管理的一大难题。2.7.App 网络风险突出网络风险突出 教育类 App 的网络安全风险主要表现在技术能力不足、管理制度不完善、权限采集不合规、数据安全问题突出等方面。一是一是部分 App 技术能力不足和管理制度不完善。自“互联网+教育”理念推出及相关政策出台以来,市场上涌现出大量教育 App。然- 16 - 而部分 App 从教学模式构建到产品研发运营的周期较短,前期准备不充分,网络安全技术防护措施及安全管理制度相对不成熟。二是二是部分 App 存在违规采集用户
31、数据、过度获取移动终端系统权限的问题。这类 App 声明权限超出业务实际使用范围(如某教育App 在权限声明中提到了读取通讯录、 编辑通讯录及访问精准定位等权限,但实际上软件并不含有与此权限相关的功能)。与此同时,App 收集个人信息行为不规范, 在用户关闭电话权限的情况下仍然会收集用户的部分设备信息、 IP 地址等。 2020 年 6 月 8 日央视一套 朝闻天下报道,某教学 App 后台偷窥用户隐私,在十几分钟时间里访问手机照片文件近 25000 次。而教育行业类似的流氓 App 还有许多,在没有登录、没有授权、并非在学习和上课状态下,仍然自由访问读取手机信息, 获取手机内用户通讯录、 短
32、信、 照片库等隐私信息。三是三是 App 的数据安全、内容安全问题突出。除技术层面的数据泄露风险外,App 内容安全问题也成为突出问题,亟待解决。教育类App 在用户量激增情况下为了最大化追求商业利益,存在植入广告、推荐网络游戏、过度娱乐化、涉黄涉赌信息传播等问题。据北京阳光消费大数据研究院统计数据显示,2020 年 1 月 1 日至 5 月 26 日,共监测到有关网课、网游和网络打赏等舆情信息 2072233 条。其中,网课舆情信息 1043735 条,占比 50.37%;网游舆情信息 791746 条,占比 38.21%;网络打赏舆情信息 236752 条,占比 11.42%。可以看到移动
33、互联网技术拉动视频直播等行业兴起, 而在线教育融合网络直播后内容安全成为隐患,教育行业用户群体在面对直播平台、在线网课中植入的大量游戏、旅游、色情、暴力等诱惑时难免不会有人中招。事实上,在 2020 年上半年已经发生多起教育类平台充斥网游广告,未成年学生参与网络付费游戏与网络直播平台“打赏”的事件。 - 17 - 教育行业网络安全问题分析教育行业网络安全问题分析教育行业网络安全形势严峻,网络攻击面广泛、校园网用户群体安全防护能力不一、内外部威胁升级、教育 DDoS 频发以及信息泄露风险增强等因素导致教育行业网络面临的主要威胁现已发展到新阶段。 中国软件评测中心网络空间安全测评工程技术中心对教育
34、行业重要信息系统进行检查、等级保护测评、网络安全风险评估、漏洞监测挖掘,总结出教育行业仍存在的主要安全问题。首先,对教育信息系统的网络安全重视与投入不足,等级保护工作落实情况不佳;其次,教育信息泄露风险难以管控,网络安全管理不到位;此外,在线教育平台安全防护力度不够,防护能力薄弱。3.1.网络安全重视网络安全重视力度力度不足不足 从全国总体来看,当前教育行业的网络安全投入普遍偏低,管理不善,存在未定期进行信息系统网络安全测评、网络安全设备应用率低、未定期进行漏洞扫描等问题。中国软件评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和 App 的网络安全评估数据,针对
35、 2019 年具有典型性、代表性的一些教育机构(以下简称样本机构)的测评数据进行了抽样分析,大部分样本机构主要依靠防火墙设备和漏洞扫描设备作为基本的安全防护设备,防火墙设备和漏洞扫描设备应用率为 100%,IDS/IPS 使用率为90.32%,堡垒机使用率为 87.10%。分析数据可知样本机构不同三三. .- 18 - 程度进行了网络安全测评并上线了安全设备, 但仍然存在安全问题,除防火墙等常规安全设备外,态势感知系统、上网行为管理系统、异地容灾备份设备的应用率分别为 61.29%、54.84%、38.71%,安全网闸、防病毒网关、安全审计系统等设备也未见上线应用,样本机构在信息系统建设过程中
36、,对网络安全的软硬件投入不足,新型网络安全设备应用率较低,防护类型单一。 (数据来源:中国软件评测中心)调研数据显示, 样本机构中仅 29%的机构在信息系统建设与上线过程中进行了第三方网络安全验收测试。同时,聘任专业网络安全人员作为安全顾问的机构占比只有 29%。 通过调研管理制度发现教育行业人员对网络安全重视力度不够, 存在“得过且过,形式上通过”的现象。 3.2.等级保护等级保护落实情况不佳落实情况不佳 自 2017 年中华人民共和国网络安全法颁布以来,网络安全正式进入法制时代, 履行网络安全等级保护制度成为网络运17 27 28 31 12 19 31 54.84% 87.10% 90.
37、32% 100.00% 38.71% 61.29% 100.00% 0.00%20.00%40.00%60.00%80.00%100.00%120.00%05101520253035不同不同安全设备使用安全设备使用的系统个数的系统个数及及其其占比占比系统个数占比- 19 - 营者的基本义务。 然而目前教育行业的等级保护制度还需进一步推进。迄今为止还有一定数量的高校、培训机构、在线教育平台未做过等级保护测评, 而做过等级保护测评的机构中有相当比例存在一些测评项不达标、 存在中危漏洞、 测评分数不够高等情况。教育行业亟需加快落实步伐,进一步梳理信息系统,开展等级保护测评和系统安全加固工作。中国软件
38、评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和 App 的网络安全评估数据,针对 2019 年具有典型性、代表性的一些教育机构等级保护测评数据进行分析, 样本采集空间覆盖了多个教育领域从业机构, 包括重点高校、 普通职业院校、 小初高学校、 培训机构、在线教育平台等,样本采集时间覆盖了 2019 年等级保护 2.0 实施之前到等级保护 2.0 标准正式实施。 针对被抽样的样本数据进行整理分析, 进行网络安全等级保护测评后只有 35%的机构的信息系统达到良, 55%的机构的信息系统测评结果为基本符合,其余 10%测评结果为中。 (数据来源:中国软件评测中心)35
39、% 10% 55% 等级测评结论等级测评结论良中基本符合- 20 - 从技术层面、管理层面的测评项符合率分析,符合率平均值为 72.52%, 部分符合率平均值为 8.31%, 测评项的不符合率超过了 10%,平均值达到 11.65%,说明被抽样教育机构在落实等级保护制度过程中,仍然有部分指标项不符合。(数据来源:中国软件评测中心)针对测评结果的问题项进行分析,被抽样机构信息系统中,平均每家机构的问题总数在整改后达到约 38 个,其中高风险级别的问题 0 个,中风险级别的问题整改后还有约 29 个,低风险级别的问题整改后约 9 个。在信息系统初测时问题项更多,经过运营方、开发方、测评方对重要问题
40、提出整改方案,整改后仍然存在约 38 个问题项,因此信息系统的等级保护安全防护工作仍需加强。综合综合得分得分测评项测评项符合率符合率部分符部分符合率合率不符合不符合率率问题数问题数总计总计高风险高风险(H) 中风险中风险(M) 低 风低 风险 (险 (L) 83.96 72.52% 8.31% 11.65% 38.45 0.00 28.72 9.72 (数据来源:中国软件评测中心)72.52% 8.31% 11.65% 测评项符合率测评项符合率测评项符合率部分符合率不符合率- 21 - 针对以上高、中、低级别的风险通过雷达图进行综合分析可知,信息系统主要脆弱性的风险级别被判定为中风险级别,其问
41、题量占比较高, 由此可以预测教育领域其他信息系统的风险评估结果中,大部分将集中在中风险区间。 (数据来源:中国软件评测中心)对被抽样的信息系统测评结果中具体的安全防护措施落实情况进行分析, 从下图可以看出技术方面和管理方面的安全防护措施仍然不足。(数据来源:中国软件评测中心)0.005.0010.0015.0020.0025.0030.00高风险(高风险(H) 中风险(中风险(M) 低风险(低风险(L) 高高/中中/低风险分布雷达图低风险分布雷达图 12 29 18 9 16 9 38.71% 93.55% 58.06% 29.03% 51.61% 29.03% 0.00%10.00%20.0
42、0%30.00%40.00%50.00%60.00%70.00%80.00%90.00%100.00%05101520253035不同安全防护措施的系统个数及其占比不同安全防护措施的系统个数及其占比系统个数占比- 22 - 一是一是存在弱口令问题。 样本机构中不存在弱口令问题的系统占比只有 38.71%,这一比例偏低,意味着还有近 62%的系统存在弱口令隐患;当前各大高校信息系统大多采用安全性较弱的“学生学号+口令”的单认证方式,鲜有采用“双因素认证”等强认证方案, 高校信息系统的信息安全程度与登录口令的强度直接相关。 信息系统用户多采用易被别人猜测到或易被工具破解的弱口令,使得攻击者甚至无需
43、技术基础就可对目标系统进行攻击。一旦口令被破解,攻击者即可对目标系统进行进一步渗透。在安全测试过程中主要发现简单口令、 默认口令或空口令、 规律性口令、社会工程学弱点类口令等情况。二是二是存在未合理进行权限划分的问题。 样本机构中进行合理的权限划分的只有 58.06%,教育信息系统运营机构应进一步配备网络安全管理人员,使系统管理员、安全管理员、审计员等账号权限分离。三是三是存在未定期审计日志的问题。 样本机构中定期进行日志审计的占比 51.61%,近一半被测信息系统未定期审计系统安全日志,在信息安全事件应急响应与原因追溯方面尚需发力。四是四是存在未聘请安全顾问、 未委托第三方机构进行安全验证测
44、试的问题。样本机构中仅 29.03%的机构聘请了安全顾问和进行了安全测评, 未严格按照等保标准执行等级保护制度并进行信息系统安全防护。3.3.安全风险安全风险管控管控手段落后手段落后 近年来,国内外教育行业已经发生多起数据库泄露事件,相- 23 - 关人员隐私权益遭受严重损害,涉案企业、机构声誉大打折扣,教育行业信息泄露原因多样导致风险难以管控。一是一是相关标准规范制定滞后。随着教育信息化的快速发展,教育机构、在线教育平台等掌握的隐私信息爆发式增加,在个人数据保护、 教育信息防泄露等方面的标准规范和测评规范需要及时跟进。中华人民共和国网络安全法规定网络产品、服务具有收集用户信息功能的,其提供者
45、应当向用户明示并获得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息, 不得非法出售或非法向他人提供个人信息,并规定了相应法律责任。GB/T 35273-2020信息安全技术 个人信息安全规范正式发布并规范了互联网信息化进程中的公民个人信息保护原则和要求。 作为推荐性国家标准,其只是在企业的网络安全合规建设、信息保护与权限采集过程中起到参考作用。2020 年 5 月 25 日,十三届全国人大三次会议上全国人大委员会工作报告中指出将制定个人信息保护法、数据安全法。其实 2019 年 12 月实施的等保 2.0 标准已经把大数据安全纳入监管
46、体系,2019 年 5 月国家互联网信息办公室发布的数据安全管理办法(征求意见稿)也在个人隐私、 App 过度索取权限等涉及隐私泄露等问题方面做出了明确规定。2020 年 5 月 28 日通过的中华人民共和国民法典第六章“隐私权与个人信息保护”明确了隐私权、个人信息的定义,以及个人信息主体的权利和信息处理者的安全和保密义务等内容。 我国正在逐步建立个人数据保护相关的基础法律体系, 因此需要同步制定适用于教育行业的细化法规、标准、规范体系。- 24 - 二是二是管理措施不够完善。 教育机构各类业务系统的快速增加,各类隐私信息分布存储在各个业务系统和办公终端上, 导致业务分散且增加了管理难度, 相
47、应管理措施很难实时掌握敏感信息状态。三是三是数据库防护手段薄弱。 当前教育行业相关单位的主要安全防护手段以网络各区域实施访问控制策略为主,以防火墙、入侵防御相关设备策略为辅来实现访问控制与数据保护。 但针对数据库本身漏洞的防御能力低, 数据库产品暴露0-day漏洞、 受SQL注入攻击等情况可能成为安全短板,给黑客可乘之机。四是四是大量数据以明文形式存储。 随着教育行业信息化程度的提高,学籍、身份、健康、成绩等大量敏感信息集中存储在数据库系统中。数据明文存储机制使得敏感数据面临被篡改、被窃取的威胁,安全风险大大增加。五是五是监控手段不足。敏感、隐私信息在教育机构各类业务系统中相互频繁调用,没有有
48、效的监控手段,导致非法调用、越权使用、违规批量下载等行为严重失控,如果教育机构在数据管理过程中不进行主动脱敏,则敏感信息泄露的风险进一步增加。3.4.网络安全管理网络安全管理监督监督缺位缺位 当前教育行业存在不同程度的网络安全管理制度不完善、 机构安全管理职责不明确、人员网络安全意识薄弱、事前和事中监督缺位严重等问题。网络安全管理制度包括信息安全管理总体方针策略、 安全管理活动制度规范、 日常管理操作规程表单等, 是信息系统的建设、- 25 - 开发、运维、升级和改造等环节遵守的行为规范总体。未制定网络安全管理制度或信息安全管理制度不完善, 将无法对信息安全管理过程中的行为进行规范和约束, 增
49、加了由于人员操作失误造成信息安全事故的风险。同时,教育机构如无完整的网络安全事件应急响应预案,或者未形成应急演练机制,则应对重大安全事件的能力和业务恢复能力都无法得到验证。网络安全管理机构职责不明确将导致网络安全管理制度无法有效落实,无法使网络安全管理制度产生相应的效力,增加网络安全事件发生的风险, 同时也是网络安全事件发生后管理职责不明、责任划分不清、风险溯源困难的原因。网络安全管理人员安全意识薄弱是造成信息泄露事件、 运维过程中产生重大失误、系统攻击面增加的重要原因。网络安全管理人员的安全意识和业务能力没有保障, 则人为操作失误带来的风险的可能性增加。事前和事中监督形同虚设,存在缺位现象。
50、一旦遭遇网络安全事件,用“事后监督”来弥补,但是事后监督存在滞后性、被动性,无法充分保证网络运营和教育数据资源流通的全流程安全。教育行业中态势感知系统、上网行为管理系统、第三方网络安全验收测试、专业网络安全顾问等安全防护与管理措施缺位,进一步导致对教育信息系统缺少刚性监督,无法保证安全管理机构、安全管理制度、安全管理人员等措施的实效。3.5.在线教育防护能力薄弱在线教育防护能力薄弱 在线教育平台的迅速崛起和发展对教育行业引入了新的网- 26 - 络安全风险, 从侧面反映出在线教育平台的安全防护力度依然不够。在线教育平台依托云计算资源是一种广泛采用的服务方式,云计算环境使得教育数据面临的安全威胁更为复杂。 一是外部威胁