教育APP等級保護2.0下的安全評估體系研究

◆張 輝

(上海市網絡技術綜合應用研究所 上海 200336)

隨著《信息安全技術網絡安全等級保護基本要求 GB/T 22239-2019》、《網絡安全等級保護制度》2.0版本等法規制度不斷發布，標志者網絡“等級保護”逐漸步入2.0時代，覆蓋區域擴充到云計算、大數據、物聯網等新技術領域。面對這種時代背景，企業構建的教育APP要達到等級保護2.0合規要求，必須構建相匹配的安全評估體系，以便保證教育APP合法、有效、科學地運作。教育APP作為受眾比較的一類教育功能的移動軟件，對于大眾知識提升、經驗分享、技能解讀、概念講解等有著直接作用，諸如網易公開課、好教師等教育APP。在教育APP中如何保證網絡安全，就有必要構建安全評估體系，推動教育APP的應用，保證用戶的信息安全。

1 APP等級保護工作必然性

等級保護工作是依照《網絡安全法》等相關法規，由國家電信部門監管，要求信息系統運營者、使用單位等加強整頓，集中力量，整合資源，提高信息系統安全防護能力。APP等級保護工作，為何最近幾年深受大眾的觀眾，其中最為重要的原因是因為等級保護事件層出不窮，推動該種立法的形成，其中最為典型的騰訊推出的“防沉迷系統”，是由于西安吳女士 11歲的兒子因沉迷于《王者榮耀》的游戲，盜刷近萬元裝備，導致其財產損失。通過該事件 APP軟件存在諸多安全問題，需要構建等級保護機制。隨著該事件不斷發酵，也推動了APP等級保護制度的形成，這也反映大眾對于 APP應用軟件的認識逐步加深，有意識保護未成年人。同時，隨著國家法律對于APP管理不斷重視，尤其是《網絡安全法》中提到的網絡安全等級保護制度，這也為相關法律條例的形成提供立法依據。此外，為了更好地提升企業自身業務安全，信息技術企業更加注重自身研發系統的信息安全，避免因為風險問題，降低系統的原有價值，為此，企業只能找國家等級保護標注制度進行建設，以便維護和擴大市場，滿足自身業務需求。

2 構建安全評估體系

2.1 確定評估對象

云計算平臺安全風險評估主要是從云計算的角度出發，考慮云計算平臺業務的風險。

該風險評估體系的框架分為三個層次，最下面的一層是評估對象。評估對象應該為云服務機組、業務服務流程、網管平臺、開放接口等，主要是評估這些設備、制度、流程等是否影響APP運作，評估范圍涉及數據流、數據處理活動記憶其他關聯關系。評估對象是最基礎的、可看得見的，以圖從根源上找到風險的存在，以便采取可行方式，保證教育APP 有效運作。

2.2 風險評估過程

中間一層是評估過程，是對評估對象的審視，也屬于風險評估過程，范圍覆蓋了基礎設施、虛擬化控制、管理平臺等，其內容主要包括風險評估準備、風險識別、措施確認，風險分析、風險處理等內容，各個內容依次遞進，目的是解決風險，達到云平臺安全目標，以便滿足監管要求、業務需求和客戶要求，更好地促進風險評估體系的運作。

（1）風險識別

風險評估準備是從人力、資源、設備等方面對風險評估做好準備，以便針對風險采取相應的措施，保證教育APP有效運作。在風險識別中，識別的范圍包括資產識別、威脅識別和脆弱性識別，其中資產識別由云服務商資產、云服務客戶業務數據資產兩種組成。對于客戶資產的認定，其規定為客戶配置信息、日志記錄、數據、知識產權等。客戶對于教育APP具有重要作用，其是APP軟件的重要使用者，一旦客戶資產受到風險，不僅會導致客戶的損失，而且對于教育APP運營商的信譽也有影響，為此，在注重云服務上資產識別的同時，還應該注重客戶資產的識別，畢竟其APP的經濟價值、實用價值、社會價值等都是來源于客戶，離開了客戶只是一堆有規律的軟件編碼，只有客戶融入其中，才產生人情味。

從識別威脅角度來看，首先，云計算平臺作為現代科技的產物，屬于共享平臺，由于其存在較大的容量和傳播性，使得其危害要大于傳統系統，會產生比較嚴重的社會影響。其次，云計算平臺比以前的任何計算機系統運作規模都要大得多，具有平均使用成本較低，部署時間較短等方面的特性。不法分子很容易在短時間內大量購買、設計網絡病毒，對云計算系統造成損害，嚴重影響社會治安。同時，由于云計算平臺的分布式體系結構，攻擊者很容易在攻擊后逃避安全監督，這給以后的問責制帶來了困難。

從脆弱性識別角度而言，識別這種風險的基礎必須依照行業標準、應用規范、國內外安全標準的要求，從技術和管理兩個方面入手，找出云平臺的脆弱性。技術脆弱包括網絡、人員、服務和數據各個層面所存在的問題；管理的脆弱性在于設備維護、專業人員是否到位等，也影響云平臺的運作。

（2）措施確定

措施確認是根據服務模式、運行監管、安全需求等采取可行性安全防護措施，諸如數據恢復、財產保險報銷、系統升級等手段，都是為APP提升安全系數，避免用戶在使用的過程中出現安全隱患。通過強化對APP軟件風險識別，才能構建多樣化的控制措施，以便更好地針對風險采取相應的措施，保證教育APP運作安全。

（3）風險分析

風險分析的關鍵在于風險方法的應用，應用得當就能找到風險所在，對于云平臺而言，比較常見的方式，由配置檢查、漏洞掃描、滲透測試等，以便以最快的速度和效率，找到風險所在。第一，漏洞掃描。通過漏洞掃描能夠很快發現未經授權的界面訪問、數據恢復的漏洞、逃避計量計費等。二是配置檢查。主要是對身份認證、日志審計、網絡訪問控制、數據安全等進行審視，以便發現問題加以解決。三是滲透測試。主要是對邊信道供給、簽名包裝攻擊等進行測試，探查教育 APP是否處于運作安全的狀態。

（4）風險處理

風險處理是針對APP安全問題所提出來的，諸如軟件升級、補丁填充、病毒查殺、硬件更換等都是風險處理的有效手段，風險處理得當才能保證 APP有效運作。不然，容易因為風險的存在，避免教育 APP出現閃退、卡頓等安全問題，影響其客戶體驗。

2.3 實現安全目標

構建安全評估體系，都是為了實現安全目標，是體系框架中最高層次的要求。安全目標主要有三種，分別是監管要求、業務需求和客戶要求。監管要求就是要符合法律法規，業務需求就是能夠滿足企業發展需求，客戶要求就是考慮用戶體驗、保護用戶各項信息。只有三項目標統一，才能實現APP經濟價值、社會價值和實用價值的統一。

3 結語

如何對教育APP實施等級保護，維系教育APP教育特性，保護用戶財產安全、信息安全，需要社會各界深思移動APP所面對的問題。由于APP軟件是互聯網技術的產物，不可避免其存在信息安全、財產安全等問題，為此，從用戶角度出發，保護用戶的合法權益，尤其是未成年人，避免未成年人沉迷不良APP，影響身心健康，需要構建APP安全評估體系，強化安全評估，推動網絡軟件應用實現規范化、合法化的進程。