2020年教育行業網絡安全白皮書（下）

中國軟件評測中心 網絡空間安全測評工程技術中心

2019年政府工作報告中指出發展“互聯網+教育”。教育行業機構多、系統多、數據多、影響面廣，伴隨信息化發展，教育信息系統面臨著網絡攻擊、數據/個人信息泄露、勒索病毒入侵等網絡風險，因此全面推進傳統教育、在線教育、教育App的網絡安全保障工作，提升教育行業整體安全防護水平至關重要。白皮書聚焦我國教育行業網絡安全問題，對教育行業網絡安全存在的風險原因進行了研究，并提出教育行業網絡安全防護能力提升的相關建議。

教育行業網絡安全問題分析

教育行業網絡安全形勢嚴峻，網絡攻擊面廣泛、校園網用戶群體安全防護能力不一、內外部威脅升級、教育DDoS頻發以及信息泄露風險增強等因素導致教育行業網絡面臨的主要威脅現已發展到新階段。中國軟件評測中心網絡空間安全測評工程技術中心對教育行業重要信息系統進行檢查、等級保護測評、網絡安全風險評估、漏洞監測挖掘，總結出教育行業仍存在的主要安全問題。首先，對教育信息系統的網絡安全重視與投入不足，等級保護工作落實情況不佳;其次，教育信息泄露風險難以管控，網絡安全管理不到位;此外，在線教育平臺安全防護力度不夠，防護能力薄弱。

網絡安全重視力度不足

從全國總體來看，當前教育行業的網絡安全投入普遍偏低，管理不善，存在未定期進行信息系統網絡安全測評、網絡安全設備應用率低、未定期進行漏洞掃描等問題。

中國軟件評測中心網絡空間安全測評工程技術中心結合對教育行業高等院校、培訓機構、教育平臺和App的網絡安全評估數據，針對2019年具有典型性、代表性的一些教育機構（以下簡稱樣本機構）的測評數據進行了抽樣分析，大部分樣本機構主要依靠防火墻設備和漏洞掃描設備作為基本的安全防護設備，防火墻設備和漏洞掃描設備應用率為100%，IDS/IPS使用率為90.32%，堡壘機使用率為87.10%。分析數據可知樣本機構不同程度進行了網絡安全測評并上線了安全設備，但仍然存在安全問題，除防火墻等常規安全設備外，態勢感知系統、上網行為管理系統、異地容災備份設備的應用率分別為61.29%、54.84%、38.71%，安全網閘、防病毒網關、安全審計系統等設備也未見上線應用，樣本機構在信息系統建設過程中，對網絡安全的軟硬件投入不足，新型網絡安全設備應用率較低，防護類型單一。

調研數據顯示，樣本機構中僅29%的機構在信息系統建設與上線過程中進行了第三方網絡安全驗收測試。同時，聘任專業網絡安全人員作為安全顧問的機構占比只有29%。通過調研管理制度發現教育行業人員對網絡安全重視力度不夠，存在“得過且過，形式上通過”的現象。

等級保護落實情況不佳

自2017年《中華人民共和國網絡安全法》頒布以來，網絡安全正式進入法制時代，履行網絡安全等級保護制度成為網絡運營者的基本義務。然而目前教育行業的等級保護制度還需進一步推進。迄今為止還有一定數量的高校、培訓機構、在線教育平臺未做過等級保護測評，而做過等級保護測評的機構中有相當比例存在一些測評項不達標、存在中危漏洞、測評分數不夠高等情況。教育行業亟需加快落實步伐，進一步梳理信息系統，開展等級保護測評和系統安全加固工作。

中國軟件評測中心網絡空間安全測評工程技術中心結合對教育行業高等院校、培訓機構、教育平臺和App的網絡安全評估數據，針對2019年具有典型性、代表性的一些教育機構等級保護測評數據進行分析，樣本采集空間覆蓋了多個教育領域從業機構，包括重點高校、普通職業院校、小初高學校、培訓機構、在線教育平臺等，樣本采集時間覆蓋了2019年等級保護2.0實施之前到等級保護2.0標準正式實施。

針對被抽樣的樣本數據進行整理分析，進行網絡安全等級保護測評后只有35%的機構的信息系統達到良，55%的機構的信息系統測評結果為基本符合，其余10%測評結果為中。

從技術層面、管理層面的測評項符合率分析，符合率平均值為72.52%，部分符合率平均值為8.31%，測評項的不符合率超過了10%，平均值達到11.65%，說明被抽樣教育機構在落實等級保護制度過程中，仍然有部分指標項不符合。

針對測評結果的問題項進行分析，被抽樣機構信息系統中，平均每家機構的問題總數在整改后達到約38個，其中高風險級別的問題0個，中風險級別的問題整改后還有約29個，低風險級別的問題整改后約9個。在信息系統初測時問題項更多，經過運營方、開發方、測評方對重要問題提出整改方案，整改后仍然存在約38個問題項，因此信息系統的等級保護安全防護工作仍需加強。

針對以上高、中、低級別的風險通過雷達圖進行綜合分析可知，信息系統主要脆弱性的風險級別被判定為中風險級別，其問題量占比較高，由此可以預測教育領域其他信息系統的風險評估結果中，大部分將集中在中風險區間。

對被抽樣的信息系統測評結果中具體的安全防護措施落實情況進行分析，結果顯示技術方面和管理方面的安全防護措施仍然不足。一是存在弱口令問題;二是存在未合理進行權限劃分的問題;三是存在未定期審計日志的問題;四是存在未聘請安全顧問、未委托第三方機構進行安全驗證測試的問題。

安全風險管控手段落后

近年來，國內外教育行業已經發生多起數據庫泄露事件，相關人員隱私權益遭受嚴重損害，涉案企業、機構聲譽大打折扣，教育行業信息泄露原因多樣導致風險難以管控。

一是相關標準規范制定滯后。隨著教育信息化的快速發展，教育機構、在線教育平臺等掌握的隱私信息爆發式增加，在個人數據保護、教育信息防泄露等方面的標準規范和測評規范需要及時跟進。《中華人民共和國網絡安全法》規定網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并獲得同意;網絡運營者不得泄露、篡改、毀損其收集的個人信息;任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或非法向他人提供個人信息，并規定了相應法律責任。GB/T35273-2020《信息安全技術個人信息安全規范》正式發布并規范了互聯網信息化進程中的公民個人信息保護原則和要求。作為推薦性國家標準，其只是在企業的網絡安全合規建設、信息保護與權限采集過程中起到參考作用。2020年5月25日，十三屆全國人大三次會議上全國人大委員會工作報告中指出將制定個人信息保護法、數據安全法。其實2019年12月實施的等保2.0標準已經把大數據安全納入監管體系，2019年5月國家互聯網信息辦公室發布的《數據安全管理辦法（征求意見稿）》也在個人隱私、App過度索取權限等涉及隱私泄露等問題方面做出了明確規定。2020年5月28日通過的《中華人民共和國民法典》第六章“隱私權與個人信息保護”明確了隱私權、個人信息的定義，以及個人信息主體的權利和信息處理者的安全和保密義務等內容。我國正在逐步建立個人數據保護相關的基礎法律體系，因此需要同步制定適用于教育行業的細化法規、標準、規范體系。

二是管理措施不夠完善。教育機構各類業務系統的快速增加，各類隱私信息分布存儲在各個業務系統和辦公終端上，導致業務分散且增加了管理難度，相應管理措施很難實時掌握敏感信息狀態。

三是數據庫防護手段薄弱。當前教育行業相關單位的主要安全防護手段以網絡各區域實施訪問控制策略為主，以防火墻、入侵防御相關設備策略為輔來實現訪問控制與數據保護。但針對數據庫本身漏洞的防御能力低，數據庫產品暴露0-day漏洞、受SQL注入攻擊等情況可能成為安全短板，給黑客可乘之機。

四是大量數據以明文形式存儲。隨著教育行業信息化程度的提高，學籍、身份、健康、成績等大量敏感信息集中存儲在數據庫系統中。數據明文存儲機制使得敏感數據面臨被篡改、被竊取的威脅，安全風險大大增加。

五是監控手段不足。敏感、隱私信息在教育機構各類業務系統中相互頻繁調用，沒有有效的監控手段，導致非法調用、越權使用、違規批量下載等行為嚴重失控，如果教育機構在數據管理過程中不進行主動脫敏，則敏感信息泄露的風險進一步增加。

網絡安全管理監督缺位

當前教育行業存在不同程度的網絡安全管理制度不完善、機構安全管理職責不明確、人員網絡安全意識薄弱、事前和事中監督缺位嚴重等問題。

網絡安全管理制度包括信息安全管理總體方針策略、安全管理活動制度規范、日常管理操作規程表單等，是信息系統的建設、開發、運維、升級和改造等環節遵守的行為規范總體。未制定網絡安全管理制度或信息安全管理制度不完善，將無法對信息安全管理過程中的行為進行規范和約束，增加了由于人員操作失誤造成信息安全事故的風險。同時，教育機構如無完整的網絡安全事件應急響應預案，或者未形成應急演練機制，則應對重大安全事件的能力和業務恢復能力都無法得到驗證。網絡安全管理機構職責不明確將導致網絡安全管理制度無法有效落實，無法使網絡安全管理制度產生相應的效力，增加網絡安全事件發生的風險，同時也是網絡安全事件發生后管理職責不明、責任劃分不清、風險溯源困難的原因。

網絡安全管理人員安全意識薄弱是造成信息泄露事件、運維過程中產生重大失誤、系統攻擊面增加的重要原因。網絡安全管理人員的安全意識和業務能力沒有保障，則人為操作失誤帶來的風險的可能性增加。

事前和事中監督形同虛設，存在缺位現象。一旦遭遇網絡安全事件，用“事后監督”來彌補，但是事后監督存在滯后性、被動性，無法充分保證網絡運營和教育數據資源流通的全流程安全。教育行業中態勢感知系統、上網行為管理系統、第三方網絡安全驗收測試、專業網絡安全顧問等安全防護與管理措施缺位，進一步導致對教育信息系統缺少剛性監督，無法保證安全管理機構、安全管理制度、安全管理人員等措施的實效。

在線教育防護能力薄弱

在線教育平臺的迅速崛起和發展對教育行業引入了新的網絡安全風險，從側面反映出在線教育平臺的安全防護力度依然不夠。

在線教育平臺依托云計算資源是一種廣泛采用的服務方式，云計算環境使得教育數據面臨的安全威脅更為復雜。一是外部威脅層出不窮，云平臺、租戶都可能成為入侵對象且威脅類型多樣（如拒絕服務攻擊、端口掃描、木馬后門、強力攻擊、緩沖區溢出攻擊、IP碎片攻擊、蠕蟲病毒等）;二是云平臺存在虛擬機濫用、租戶隔離失效、數據被泄露、篡改或丟失、應用程序接口安全以及代碼級安全等問題;三是在云服務模式下安全責任劃分不清晰、業務權限不透明、難以進行數據審計追責等問題，云平臺和租戶要時刻保持“在線教育上云無法做到絕對安全”這種意識。

同時，在線教育平臺和教育信息系統運營機構在數據安全管理方面存在盲區。在線教育平臺通過賬號注冊采集、檢索與審計、網絡爬蟲等技術可以獲取學生基本信息、家庭信息、學習信息、戀愛社交信息及其他敏感數據。一些在線學習App推出課程訂閱與資料采購服務，需要進行實名身份認證，個人基本信息、金融支付信息、物流收貨信息是必須采集項。目前沒有源碼審計、白盒審查之外的方法可以判別應用是否訪問通訊錄、聊天記錄、個人瀏覽記錄等信息，但毫無疑問這些都屬于敏感個人信息。在線教育平臺在進行用戶數據提取與業務處理過程中存在著數據安全管理盲區。一是數據收集過程中存在過度問題;二是數據處理使用過程中未有效通過技術和管理并重的方式進行數據安全保護，例如關鍵信息未脫敏公布;三是平臺、師生用戶的主觀信息保護意識不強。

教育行業網絡安全保障建議

根據縱深防御思想以及等級保護中一個中心、三重防護的理念，結合教育行業網絡安全總體形勢和在線教育平臺及App安全保障需求，建議從以下幾方面保障教育行業網絡安全。

切實做好基礎設施安全防護

教育信息系統、在線教育平臺運營者需重視網絡基礎設施的安全防護。物理安全是系統安全的基礎，保障系統物理安全工作的重點是保護機房安全。無論是教育機構自建機房還是云平臺托管機房，其安全運營維護需要關注以下幾點。一是使用專用的物理空間建設機房;二是確保機房附近沒有水源，防止用水設備故障影響機房設備正常運行;三是為機房設置門禁系統并避免閑雜人員訪問，控制、鑒別和記錄進入的人員;四是做好防雷擊、防靜電、防火、防水和防潮措施，防止機房和空調系統的水蒸氣結露和地下積水的轉移與滲透;五是確保機房具備冗余供電措施，建設災備機房并實時備份數據。

持續推進三重防護安全建設

教育信息系統、在線教育平臺運營者需嚴格按照“一個中心，三重防護”的安全建設理念，持續推進網絡三重防護建設。網絡三重防護包括安全通信網絡、安全區域邊界、安全計算環境，涵蓋了交換機等網絡設備、防火墻等安全設備、服務器等計算存儲設備、操作系統與中間件等軟件基礎設施、數據庫與業務系統等上層應用。

建設安全通信網絡。安全通信網絡是系統網絡架構的部署形式，設計合規的網絡架構是保證網絡、通信傳輸、可信驗證等安全要求達標并保護信息系統安全的前提。從網絡規劃階段就應重視網絡架構安全設計。

全面開展在線教育系統

等保測評

通過等保備案、測評工作，規范在線教育平臺建設，提升安全防護能力。在線教育平臺及教育行業大數據平臺運營方（學校、培訓機構、云廠商）應該按照《中華人民共和國網絡安全法》《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）的規定，嚴格落實國家網絡安全基本要求，教育領域信息系統作為關鍵信息基礎設施，需嚴格按網絡安全等級保護制度進行保護。網絡安全測評機構作為大數據安全保障的主力軍，需要對教育大數據平臺運營者進行全流程的安全咨詢、測試、評估、認證、培訓。

通過開展等保備案、測評工作，做好在線教育平臺個人信息保護工作。在線教育平臺和應用開發方應在技術層面深入分析大數據平臺基于開源軟件、按需搭建的架構，對于此類情況的應用應重點進行安全防護，并進行網絡安全風險評估，大數據平臺應用、接口、App應進行源代碼安全審查與滲透測試，查補漏洞防止發生信息泄露事件;在管理層面要提升數據治理能力，做好多源數據匯集與敏感數據脫敏等工作，防止在數據開放、共享過程中存在泄露、濫用等安全問題。

引導規范教育App

合規性備案

教育App、在線教育平臺運營者需嚴格進行App合規性備案，行業監管機構和安全服務商應引導教育機構完成教育App合規性備案工作。

2019年8月，教育部、中央網信辦、工業和信息化部、公安部等八部門聯合印發《關于引導規范教育移動互聯網應用有序健康發展的意見》，將教育App進行分類。2019年11月，教育部辦公廳印發了《教育移動互聯網應用程序備案管理辦法》，該辦法高度重視教育移動應用備案工作，要求分階段完成教育移動應用備案工作，并將2019年12月1日至2020年1月31日列為ICP備案和等級保護備案緩沖期。教育移動應用提供者未在1月31日前完成ICP備案和等級保護備案的，其教育移動應用備案將被撤銷并予以通報。截至2020年4月底，教育移動互聯網應用程序備案管理系統累計公布了1431家企業的3180個教育App備案。2020年5月，教育部科技司發布了《關于做好教育App的ICP備案和信息系統網絡安全等級保護定級備案工作的公告》，公告表示教育App的ICP備案和信息系統網絡安全等級保護定級備案時間因新冠肺炎疫情影響而延期至2020年6月30日。7月1日起，將對未按時完成備案的教育App提供者進行通報，并限時1個月整改。對于7月31日前未完成整改的，將撤銷其教育App備案。同時，ICP備案以工信部網站查詢截圖為準，網絡安全等級保護定級備案以公安機關的備案證明為準。

教育、互聯網電信主管部門高度關注教育移動互聯網應用程序App備案工作。教育App應用程序量大、用戶規模眾多、處理數據廣泛，因此提升行業整體網絡安全防護能力的必要條件是補齊木桶原理中的每一環節短板，后續需要監管機構和App開發運營機構共同發力，引導規范教育移動互聯網應用程序App的合規性備案工作，同時進行App應用符合性評估，充分保證App安全。