旗下微信矩阵:

在线教育安全合规正当时,你等保备案了吗?

找不到合适的机构来做等保合规项目怎么办?等保流程复杂,测评机构没能及时申请到备案怎么办?备案需要整改的项目又要怎么办?
2020-02-04 09:54 · 鲸媒体 李深白

数据泄露、网站瘫痪、页面篡改、邮件攻击、勒索病毒…… 在线教育*的技术风险是什么?信息安全。

近年来,信息安全问题屡见不鲜,在线教育行业监管趋严。2019 年 11 月,教育部办公厅印发《教育移动互联网应用程序备案管理办法》,明确指出:2020 年 2 月 1 日起,未完成 ICP 备案和等级保护备案的教育移动应用备案将被撤销,并予以通报;2 月 1 日起,网络安全等级保护 2.0 全面实施。

找不到合适的机构来做等保合规项目怎么办?等保流程复杂,测评机构没能及时申请到备案怎么办?备案需要整改的项目又要怎么办?

在线教育安全合规正当时,为了向行业普及等保 2.0 标准和等保安全备案的必要性,华为云举办「在线教育机构为何需要等保备案」沙龙活动,邀请教育部管理信息中心和中国软件测评中心的专家对相关政策和等保 2.0 标准进行权威解读,答疑解惑。

1

迈入等保 2.0 时代, 从口头警告到真金白银

等保备案是网络安全等级保护定级备案的简称,是网络安全等级保护 2.0 时代的资质审查报备。对在线教育机构而言,等保证明及测评报告,既是对产品专业性、安全性、合规性的认定,也是业务开展过程中的重要资质证明。

教育部教育管理信息中心网络安全处处长邵云龙重点介绍了与等保 1.0 相比,等保 2.0 标准的一变化,即从口头警告到真金白银的常态化执法。《网络安全法》第五十九条明确规定,网络运营者不履行相关网络安全保护义务规定的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。邵云龙指出,随着《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》提出建立备案制度,安全性评估、ICP 备案、等保备案及测评成为备案前置条件,教育部正启动专项行动,加强统筹管理,治理应用乱象,通过主动监测、社会监督、大数据监管来监督措施落地。

中国软件评测中心网络安全中心副主任张德馨,则通过解读安全等保 2.0 新政策,指出相比等保 1.0 标准,等保 2.0 标准在保持等级保护「五个级别」不变、五个「规定动作」不变、等级保护工作相关参与主体「主体职责」不变的基础上,除从口头警告变为真金白银的常态化执法,还有「四大变化」。

*变,从等保 2.0 的发布背景来看,已从国务院的条例上升到了国家法律的要求。等保 2.0 源自 2017 年所颁布的《中华人民共和国网络安全法》。2019 年,国家又陆续颁布了《网络安全等级保护条例》及等级保护新标准体系,法规命名也从信息安全改为网络安全。可见,法规体系层级更高,网络安全日益重要。

第二变,是体系框架和保障思路的变化。原来等保 1.0 没有完整的体系思路,以防为主。而今等保 2.0 变成了事前、事中、事后,防不住要审计,出现问题还可以事后溯源。保障思路上,由 1.0 防御审计的被动保障向感知预警、动态防护、安全检测、应急响应的主动保障体系转变,增加了风险评估、安全监测、通报预警、态势感知等新的安全要求。

第三变,是定级备案方面的变化。首先是定级对象的变化。等保 1.0 定级的对象是信息系统,等保 2.0 则对定级对象进行了更明确的规定。由于等级保护对象及范围的全覆盖性,大部分企业的内部网站及信息系统,对外的网站、应用程序都会被纳入等级保护的范围。并且,以前是自主定级,等保二级不要专家评审,现在则需专家评审;

第四变,是测评整改方面的变化。测评次数上,等保 2.0 要求第三级及以上网络运营者每年开展一次网络安全等级测评。对四级网络来说,测评周期下调会带来部分便利,但并不意味着安全防护和检查要求降低;测评实施内容上,等保 2.0 标准拆分成一个通用要求和五个安全扩展要求。不管等级保护对象的形态如何,必须首先使用安全测评通用要求部分进行测评。对于使用特定技术或特定形态的等级保护对象,再使用相对应的安全测评扩展要求部分进行测评;测评结论上,等保 1.0 标准中 60 分以上算及格,而今 70 分才算及格;控制点和要求项也发生了变化,与等保 1.0 相比,等保 2.0 控制点基本持平,要求项大量减少,对冗余项进行了删减。

2

二级还是三级,白名单或黑名单,等保烦恼多多

除了《网络安全法》等法律法规对教育 App 及时等保备案、合法合规的要求,法律驱动之外,等保的急迫性与重要性也有在线教育机构自身业务发展的内需原因。

2019 年初起,教育部办公厅发布《关于严禁有害 APP 进入中小学校园的通知》,随后广东省发布《校园学习类 APP 管理暂行办法》,将等保二级列为进校必备条件。后为了保证学习类 APP 管理办法尽快实行,将必备调整为鼓励,并且对已完成等保的 APP 优先推荐。并且规定,2020年 1 月 1 日之后申报广东省校园学习类 APP 白名单的,应通过网络安全等保测评与备案。由此可见,等级保护对于市场拓展、业务发展,必不可少。

此外,以等保为契机,统一系统化进行安全规划和建设,可提高在线教育机构的整体安全保障水平,有效应对和解决信息系统面临的威胁和存在的问题,优化安全资源分配,将有限的财力、物力、人力投入到重点地方,发挥*的安全经济效益。

另外,教育 APP 的安全问题,教育部门高度重视,尤其是教育 APP 存储大量学生信息,一旦遭受攻击或信息泄露,无论是对企业自身还是教育用户都有严重危害。种种事件,前车之鉴,也倒逼着教育企业及时开展等级保护工作。因而《教育移动互联网应用程序备案管理办法》才会明确要求所有教育移动应用在 2020 年 1 月 31 日前完成对现有教育移动应用的备案工作,并结合实际建立本地区、本单位的备案信息动态更新机制,确保数据准确性。对备案工作落实不到位的教育行政部门和学校予以约谈、通报;对存在违法违规或违反《意见》要求且整改不及时的,将列入教育移动应用提供者黑名单,向教育系统通报,并撤销涉事教育移动应用备案;涉事单位六个月内不得再提交备案申请。

但在落实上述政策时,出现了执行标准不一、不同部门对业务理解各异等问题,让在线教育机构颇为烦恼。举例来说,依据等级保护 2.0 要求, 等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,定级为三级,原定级为二级。有教育机构表示,企业自主定级为二级,但相关部门定级为三级,对二级网络来说,每年仅需向公安机关提交一份自查报告,定为三级意味着企业要面临更高的测评、整改成本,对用户规模以千万到亿计数的大公司尚能承担,小公司却叫苦不迭。除定级问题外,提供者备案需提交的材料各地要求也有出入。等级保护 2.0 基本要求,既有技术要求,又有管理要求。其中三级技术要求,控制点 34 个,测评项 96 个;三级管理要求,控制点 37 个,要求项 115 个,不可轻视。

3

快速、省心、优质,等保三大诉求如何解?

据悉,等级保护工作流程,共分五步。*步,系统定级,需确定定级对象、确定系统等级、撰写定级报告;第二步系统备案,需联系网监,填写备案表,提交材料审核;第三步建设整改,需依据等保标准进行自查和建设;第四步,等级测评,需具有相应资质的测评机构开展测评工作;第五步,监督检查,需公安网监机关对信息系统实施监督检查。教育 App 提供企业要完成等保认证,需历经定级、备案、评估、整改、第三方测评、持续合规等不同阶段,每个阶段要求不同,各有侧重,可谓费时费力。

活动现场,不少在线教育机构代表人纷纷表示,由于缺乏对等保 2.0 要求的深入了解,不知道如何着手,拖延等保整改周期,造成了人力和时间的浪费。此外,很多企业没有专业的安全技术人员,选择合适的等保整改建设方案成为极大的挑战。加之等保咨询和测评机构繁多,服务范围和质量参差不齐,难以建立互信、可靠、长期的合作关系,所以急需快速、省心、优质的网络安全等级保护专业服务。

面对重重担忧,华为云安全专家李戬以华为云安全等保服务为例,详述了如何构建教育行业网络安全的坚实后盾。

李戬介绍说,华为云的安全等保服务,是围绕等级保护 2.0 的要求,专为华为云及华为客户解决等级保护咨询、等保备案指导、等保差距测评、安全整改、等保验收测评等问题的综合一体化解决方案。

基于对等级保护要求的全方位理解,该整体方案具有四大突出优势:一是华为云安全等保服务可提供全栈安全产品,从网络、主机、应用、数据安全等全方位提供安全能力;二是传统的安全整改往往存在采购时间长、整改繁琐、实施缓慢等通病,华为云的安全等保服务可大大缩短安全整改时间;三是华为云与测评机构合作,可提供快速、方便的一站式等保服务;四客户通过华为云的等保云安全综合解决方案,可快速满足等级保护的要求。

李戬总结说,华为云安全等保服务*的特点在于性价比,恰好满足了在线教育机构快速、省心、优质的三大诉求。

如何快速?通过一站式专业服务。华为云依托自身多年的行业、产品和服务经验,拉通业界优质资源,极大的缩短过等保的总时间,可迅速获证;如何省心?华为云提供保姆式服务,提供专业的整改解决方案+优质的云安全产品+贴心的服务能力+权威的测评认证;如何优质?华为云是等级保护标准制定的参与者之一,与等保规则的制定者签订战略合作协议,强强联合,在定级、备案、建设整改、第三方测评、监督检查及 App 安全认证咨询业务等方面,均可提供优质服务。

目前,以性价比著称的华为云等保安全服务,团队 15+ 专家获得权威资质,已服务全国 200+ 客户,遍布 30+ 重点省市,在 9+ 行业得到普遍认可,成功为 20 多家在线教育机构完成等保。华为云高等级保护服务系统高分通过公安部网络安全等级 4 级测评,重点满足关键应用高性能、高可靠、高安全的要求。

4

结语

2020 年 1 月 20 日消息,教育部发布《教育 App 备案名单公告》。根据《教育移动互联网应用程序备案管理办法》,各省教育行政部门持续推进教育 App 备案,在 2019 年 12 月 25 日至 2020 年 1 月 14 日期间完成了对 605 家企业的 1300 个教育 App 备案工作。名单显示,新东方旗下有新东方在线中小学、彩虹糖阅读、新东方微课堂等 10 款教育 App 通过审核,据鲸媒体此前报道,2019 年 12 月 16 日,教育部公布了首批 152 个教育 App 备案名单。2020 年 1 月 2 日,公布了第二批 476 个教育 App 备案名单。

教育之本,民生之计。对在线教育而言,等级保护是基本制度,是重要支撑,是必备资质,更是国家法规、市场拓展、业务需求的明确刚需!

在线教育安全合规正当时,你等保备案了吗?

【本文由投资界合作伙伴鲸媒体授权发布,本平台仅提供信息存储服务。】如有任何疑问,请联系(editor@zero2ipo.com.cn)投资界处理。