教育是民生之本，关乎国家发展大计。网络安全等级保护制度是由《中华人民共和国网络安全法》规定的法定职责，也是各行各业必须贯彻执行的基本制度。教育行业做等保既是法律法规的要求，也是顺应时代发展的需要。

不论是线上教育还是线下教育，都应该积极主动做好网络安全等级保护工作。

线上教育做等保是守护网络安全，防范安全风险的必然。线下教育机构，一般除了会有自己的官方网站外，有的还拥有自己的服务器或云平台。高校在加快智慧校园建设过程中，还会有自己的教务系统和学生信息管理系统。如果不对这些进行等保测评，极易造成网页篡改、数据信息泄漏和黑客攻击等安全问题，不仅会受到行政处罚，严重的甚至需要承担刑事责任。

2020年4月，广州警方在工作中发现，广州某学校对其所属两个办公系统进行网络安全等级保护备案之后，并未依法完成等级保护测评工作，未完成法定网络安全等级保护义务。同时该校作为此二系统的网络安全主责单位，却对系统的安全情况不知悉，也未对系统安全风险及时排查整改。针对该校的违法行为，广州警方对其作出行政处罚，并责令其限时完成等级保护测评。

教育行业做等保，除了需要增强相关人员的网络安全意识外，也需要有专业的人员负责等保工作，定期检查动态更新防护能力，从而保障信息系统的安全稳定运行。但是，由于缺乏对等保2.0的了解，不知从哪里着手怎么办？备案需要整改的项目要怎么办？找不到合适的机构来做等保合规项目怎么办？葫芦娃集团凭借多年行业经验，带你探究教育行业的等保究竟该如何做。

现实中，教育行业过等保的需求有三个：

1.合规性需求

根据《网络安全法》与教育部出台的《教育移动互联网应用程序备案管理办法》，要求在线教育企业完成教育移动应用备案，同时完成ICP备案与等级保护备案。其中，对于移动安全的需求是合规性中最迫切的一个需求。

2.业务性需求

互联网教育与高等院校、其他教育企业等合作时需要有业务对接，此时等级保护便成为业务互信的“敲门砖”。

3.自身安全性需求

通过等级保护基本要求，完成安全工作所需的基本建设要求如应用安全、网络安全、系统安全、数据安全等。

等级保护工作流程，共分五步。第一步定级，需确定定级对象、确定系统等级、撰写定级报告；第二步备案，需联系网监，填写备案表，提交材料审核；第三步测评，需具有相应资质的测评机构开展测评工作；第四步，需依据等保标准进行系统安全建设；第五步，监督检查，需公安网监机关对信息系统实施监督检查。

在这一过程中，教育机构需历经定级、备案、第三方测评、整改、持续合规等不同阶段，每个阶段要求不同，各有侧重。

在定级备案阶段，由于各地执行标准不一、不同部门对业务理解各异等问题，一些教育机构会对自己到底属于二级还是三级产生疑惑。级别越高，所需要的费用也是越多的，而且还将面临更高的测评和整改成本。在备案问题上，各地所需提交的材料也会存在不同。

在测评阶段，等保2.0要求物理和环境安全、网络和通信安全、设备与计算安全、应用和数据安全，进场测评的方式主要为主机漏洞扫描、渗透测试和访谈检查。此外，等保2.0既有技术要求，又有管理要求。其中三级技术要求，控制点 34 个，测评项 96 个；三级管理要求，控制点 37 个，要求项 115 个，不可轻视。

等保2.0中提出了等保高危风险项，如果缺失高危风险项则会导致不合规。在测评中会遇到的常见问题如下：

1）身份鉴别：建议访问网站系统时强制跳转HTTPS安全协议，禁用HTTP协议。

2）安全审计：建议开启日志审计功能，对重要的用户行为和重要安全事件进行审计。

3）数据保密性：建议对重要数据采用经国家密码主管部门认可的密码技术，保证其在存储过程中数据的保密性。

4）数据备份恢复：建议对数据每天至少完全备份一次，保存半年以上，此外，还应定期对备份文件进行恢复测试，确保备份文件有效。

5）渗透测试高危问题

6）App移动端高危问题

7）漏洞扫描高危问题

等保流程复杂，但等保工作不能间断。教育行业有大量的学生信息，一旦遭受攻击或信息泄露，将产生巨大的危害。所以教育行业应当高度重视等级保护工作，及时发现系统内部的安全隐患与不足之处,并通过安全整改提升系统的安全防护能力,降低被攻击的风险。葫芦娃集团能根据各个应用场景提供一站式解决方案，切实解决教育行业面临的各种问题，守护网络安全。

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络，如有侵权请及时告知我们处理。