教育行业应该如何做等保?全流程服务,省心又省力

作者:企划组 时间:2020-09-04 阅读:1085

教育是民生之本,关乎国家发展大计。网络安全等级保护制度是由《中华人民共和国网络安全法》规定的法定职责,也是各行各业必须贯彻执行的基本制度。教育行业做等保既是法律法规的要求,也是顺应时代发展的需要。

教育行业应该如何做等保?全流程服务,省心又省力123.png 

不论是线上教育还是线下教育,都应该积极主动做好网络安全等级保护工作。

线上教育做等保是守护网络安全,防范安全风险的必然。线下教育机构,一般除了会有自己的官方网站外,有的还拥有自己的服务器或云平台。高校在加快智慧校园建设过程中,还会有自己的教务系统和学生信息管理系统。如果不对这些进行等保测评,极易造成网页篡改、数据信息泄漏和黑客攻击等安全问题,不仅会受到行政处罚,严重的甚至需要承担刑事责任。

2020年4月,广州警方在工作中发现,广州某学校对其所属两个办公系统进行网络安全等级保护备案之后,并未依法完成等级保护测评工作,未完成法定网络安全等级保护义务。同时该校作为此二系统的网络安全主责单位,却对系统的安全情况不知悉,也未对系统安全风险及时排查整改。针对该校的违法行为,广州警方对其作出行政处罚,并责令其限时完成等级保护测评。

教育行业做等保,除了需要增强相关人员的网络安全意识外,也需要有专业的人员负责等保工作,定期检查动态更新防护能力,从而保障信息系统的安全稳定运行。但是,由于缺乏对等保2.0的了解,不知从哪里着手怎么办?备案需要整改的项目要怎么办?找不到合适的机构来做等保合规项目怎么办?葫芦娃集团凭借多年行业经验,带你探究教育行业的等保究竟该如何做。

1 (1).png 

现实中,教育行业过等保的需求有三个:

1.合规性需求

根据《网络安全法》与教育部出台的《教育移动互联网应用程序备案管理办法》,要求在线教育企业完成教育移动应用备案,同时完成ICP备案与等级保护备案。其中,对于移动安全的需求是合规性中最迫切的一个需求。

2.业务性需求

互联网教育与高等院校、其他教育企业等合作时需要有业务对接,此时等级保护便成为业务互信的“敲门砖”。

3.自身安全性需求

通过等级保护基本要求,完成安全工作所需的基本建设要求如应用安全、网络安全、系统安全、数据安全等。

等级保护工作流程,共分五步。第一步定级,需确定定级对象、确定系统等级、撰写定级报告;第二步备案,需联系网监,填写备案表,提交材料审核;第三步测评,需具有相应资质的测评机构开展测评工作;第四步,需依据等保标准进行系统安全建设;第五步,监督检查,需公安网监机关对信息系统实施监督检查。

微信图片_20200904134145.jpg 

在这一过程中,教育机构需历经定级、备案、第三方测评、整改、持续合规等不同阶段,每个阶段要求不同,各有侧重。

定级备案阶段,由于各地执行标准不一、不同部门对业务理解各异等问题,一些教育机构会对自己到底属于二级还是三级产生疑惑。级别越高,所需要的费用也是越多的,而且还将面临更高的测评和整改成本。在备案问题上,各地所需提交的材料也会存在不同。

测评阶段,等保2.0要求物理和环境安全、网络和通信安全、设备与计算安全、应用和数据安全,进场测评的方式主要为主机漏洞扫描、渗透测试和访谈检查。此外,等保2.0既有技术要求,又有管理要求。其中三级技术要求,控制点 34 个,测评项 96 个;三级管理要求,控制点 37 个,要求项 115 个,不可轻视。

等保2.0中提出了等保高危风险项,如果缺失高危风险项则会导致不合规。在测评中会遇到的常见问题如下:

1)身份鉴别:建议访问网站系统时强制跳转HTTPS安全协议,禁用HTTP协议。

2)安全审计:建议开启日志审计功能,对重要的用户行为和重要安全事件进行审计。

3)数据保密性:建议对重要数据采用经国家密码主管部门认可的密码技术,保证其在存储过程中数据的保密性。

4)数据备份恢复:建议对数据每天至少完全备份一次,保存半年以上,此外,还应定期对备份文件进行恢复测试,确保备份文件有效。

5)渗透测试高危问题

6)App移动端高危问题

7)漏洞扫描高危问题

等保流程复杂,但等保工作不能间断。教育行业有大量的学生信息,一旦遭受攻击或信息泄露,将产生巨大的危害。所以教育行业应当高度重视等级保护工作,及时发现系统内部的安全隐患与不足之处,并通过安全整改提升系统的安全防护能力,降低被攻击的风险。葫芦娃集团能根据各个应用场景提供一站式解决方案,切实解决教育行业面临的各种问题,守护网络安全。

葫芦娃集团.png 

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络,如有侵权请及时告知我们处理。