AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
首批教育APP備案名單公布,APP安全也該提上日程了
12月16日,教育部公布了首批教育移動互聯網應用程序(教育APP)備案名單,152款應用獲得通過。此前,教育部印發《教育移動互聯網應用程序備案管理辦法》,要求各單位要在2019年12月1日至2020年1月31日前完成對現有教育移動應用的備案工作,2020年2月1日起,公共服務體系將向社會公眾提供備案信息查詢,接受社會監督。
哪些教育APP需要備案?如何滿足備案里面提及的要求?安恒信息安全專家就《教育移動互聯網應用程序備案管理辦法》,給大家做一個簡單的梳理和解讀:
?
教育APP的定義
-
應用名稱:教育移動互聯網應用程序(教育APP)
-
用戶:教職工、學生、家長為主要用戶
-
應用場景:以教育、學習為主要應用場景
-
服務內容:服務于學校教學與管理、學生學習與生活以及家校互動等方面的互聯網移動應用
?
高校教育APP應用范圍
-
治理行動的對象:高等院校服務于學校教育教學和廣大師生工作生活的管理服務類教育移動應用。學校自主開發、自主選用和上級部門要求使用的教育移動應用。
-
治理目標:數據泄漏、內置廣告、收集個人隱私信息
?
本次整治包括哪些APP類型?
-
APP的形式:獨立APP、微信公眾號、微信小程序
-
公開應用商店:百度、阿里、騰訊及手機廠家軟件商店
?
教育APP備案的負責部門
-
省級教育行政部門負責統籌本地區教育移動應用備案管理工作,組織本地區的教育移動應用提供者開展提供者備案。
-
組織所屬單位并指導本地區的教育行政部門和學校做好使用者備案。
?
教育APP備案步驟和內容
1、互聯網信息服務(ICP)備案(工信部)
2、網絡安全等級保護定級備案和測評報告(公安網安)
3、提交到備案的網站是 國家數字教育資源公共服務體系(網址:http://app.eduyun.cn,以下簡稱公共服務體系)
4、提交備案完整信息、ICP信息和等保定級和檢測報告
?
向誰備案?
-
教育行政部門、學校、企業和社會組織均向其住所地或注冊地省級教育行政部門進行提供者備案。省級教育行政部門開發的教育移動應用向教育部進行備案。
-
小程序、企業號等平臺第三方應用統一到平臺方提交備案信息,并由平臺方向教育部共享備案信息。
?
如何保障教育APP安全運行?
《教育移動互聯網應用程序備案管理辦法》中提到,要提高事中事后監管能力。各單位以備案為基礎建立監測預警通報機制,及時發現、處置問題隱患和安全事件;省級教育行政部門應建立本地區的監測預警通報機制,并與教育部進行數據共享。
這就需要從監管單位、教育APP用戶和APP提供商、安全廠商三個角度來考慮:
教育APP軟件資產摸底:?
方法一:通過各個單位APP備案統計;
方法二:通過技術手段,主動探測和識別教育APP軟件系統。
教育APP軟件漏洞監管:
通過安恒信息的大數據監測服務技術手段,實現教育APP軟件及整個系統的安全態勢感知,并結合本地的網絡安全監測預警通報服務平臺進行整改任務的下發和執行情況的監督等,夯實教育移動應用APP安全狀態和安全風險。
?
02?教育APP用戶及APP提供商側
針對自己所使用的教育APP軟件進行專業化的SDK和開源代碼的安全風險評估,從APP軟件側產生數據到數據中心側的傳輸和處理以及存儲的全生命周期進行安全自測和加固服務,參照標準等級保護2.0基本要求中的通用要求+擴展要求內容,要求對APP軟件的開發者進行安全意識教育和安全開發生命周期的管理工作。
?
03??安全廠商側
安恒信息依托教育部的應用安全監測和通報預警服務、聯合CERT為代表的專業APP測評機構所做測評鑒定服務經驗,提供專業的整體解決方案,從事情預警、事中監測、事后管控進行全方位的一體化綜合治理。
一是事前預警,安恒信息安全監測預警通報平臺或監測服務提供APP軟件的資產摸底,主動在線探測和識別教育類APP軟件客戶端和業務系統所在的計算區域等。通過探測發現教育類APP軟件系統存在的漏洞信息,并結合安恒信息行業內的威脅情報大腦信息,判斷可能的安全風險,提前通過安全監測預警通報平臺或監測服務的方式,發布給監管單位或者APP使用者安全預警信息,提前做好防范和整改工作。
二是事中監測,當教育類APP軟件遠程接入到業務系統所在的計算區域進行數據交互、處理和存儲數據時,玄武盾或者云端安全監測引擎節點就會實時檢測到安全風險,并上報到安全監測預警通報平臺或安全監測服務中心,通知相關人員進行處理。
三是事后管控,當遇到APP軟件有重大安全事件發生,或通過預警研判有違規訪問行為發生、或將發生重大突發安全事件時,部署在本單位內的安全監測預警通報平臺和玄武盾,可以及時管控移動終端APP與業務數據中心之間的異常交互行為,且在安全監測預警通報平臺上同時發布高危的告警提示,讓安全管理著第一時間進行處理,防止安全事件蔓延。
?
安恒信息提供安全監測預警通報平臺或安全監測服務、漏洞監測服務、漏洞加固、玄武盾、天池云安全等保一體機等,為教育APP安全穩定運行提供技術保障,實現教育APP安全態勢可視化,提高事中事后監管能力。
