教育行业网络安全白皮书(下)作者:中国软件评测中心网络空间安全测评工程技术中心来源:《中国计算机报》第43期“政府工作报告中指出发展互联网+”教育。教育行业机构多、系统多、数据多、影响面广,随着信息化发展,教育信息系统面临着网络攻击、数据/个人信息泄露、讹诈病毒入侵等网络风险,因此全方面推动传统教育、在线教育、教育App的网络安全保障工作,提高教育行业整体安全防护水平至关重要。白皮书聚焦我国教育行业网络安全问题,对教育行业网络安全存在的风险因素进行了研究,并提出教育行业网络安全防护能力提高的有关建议。教育行业网络安全问题分析教育行业网络安全形势严峻,网络攻击面广泛、校园网顾客群体安全防护能力不一、内外部威胁升级、教育DDoS频发以及信息泄露风险增强等因素造成教育行业网络面临的重要威胁现已发展到新阶段。中国软件评测中心网络空间安全测评工程技术中心对教育行业重要信息系统进行检查、等级保护测评、网络安全风险评定、漏洞监测挖掘,总结出教育行业仍存在的重要安全问题。首先,对教育信息系统的网络安全重视与投入局限性,等级保护工作贯彻状况不佳;另首先,教育信息泄露风险难以管控,网络安全管理不到位;另外,在线教育平台安全防护力度不够,防护能力单薄。网络安全重视力度局限性从全国总体来看,现在教育行业的网络安全投入普遍偏低,管理不善,存在未定时进行信息系统网络安全测评、网络安全设备应用率低、未定时进行漏洞扫描等问题。中国软件评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和App的网络安全评定数据,针对含有典型性、代表性的某些教育机构(下列简称样本机构)的测评数据进行了抽样分析,大部分样本机构重要依靠防火墙设备和漏洞扫描设备作为基本的安全防护设备,防火墙设备和漏洞扫描设备应用率为100%,IDS/IPS使用率为90.32%,堡垒机使用率为87.10%。分析数据可知样本机构不同程度进行了网络安全测评并上线了安全设备,但仍然存在安全问题,除防火墙等常规安全设备外,态势感知系统、上网行为管理系统、异地容灾备份设备的应用率分别为61.29%、54.84%、38.71%,安全网闸、防病毒网关、安全审计系统等设备也未见上线应用,样本机构在信息系统建设过程中,对网络安全的软硬件投入局限性,新型网络安全设备应用率较低,防护类型单一。调研数据显示,样本机构中仅29%的机构在信息系统建设与上线过程中进行了第三方网络安全验收测试。同时,聘任专业网络安全人员作为安全顾问的机构占比只有29%。通过调研管“”理制度发现教育行业人员对网络安全重视力度不够,存在得过且过,形式上通过的现象。等级保护贯彻状况不佳自《中华人民共和国网络安全法》颁布以来,网络安全正式进入法制时代,推行网络安全等级保护制度成为网络运行者的基本义务。然而现在教育行业的等级保护制度还需进一步推动。迄今为止尚有一定数量的高校、培训机构、在线教育平台未做过等级保护测评,而做过等级保护测评的机构中有相称比例存在某些测评项不达标、存在中危漏洞、测评分数不够高等状况。教育行业亟需加紧贯彻步伐,进一步梳理信息系统,开展等级保护测评和系统安全加固工作。中国软件评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和App的网络安全评定数据,针对含有典型性、代表性的某些教育机构等级保护测评数据进行分析,样本采集空间覆盖了多个教育领域从业机构,涉及重点高校、普通职业院校、小初高学校、培训机构、在线教育平台等,样本采集时间覆盖了等级保护2.0实施之前到等级保护2.0原则正式实施。针对被抽样的样本数据进行整顿分析,进行网络安全等级保护测评后只有35%的机构的信息系统达成良,55%的机构的信息系统测评成果为基本符合,其它10%测评成果为中。从技术层面、管理层面的测评项符合率分析,符合率平均值为72.52%,部分符合率平均值为8.31%,测评项的不符合率超出了10%,平均值达成11.65%,阐明被抽样教育机构在贯彻等级保护制度过程中,仍然有部分指标项不符合。针对测评成果的问题项进行分析,被抽样机构信息系统中,平均每家机构的...
