疫情期間，在線教育，直播教育站在前線，讓學(xué)生的學(xué)習(xí)進(jìn)度不受疫情影響，安心在家學(xué)習(xí)。在線教育app火氣來(lái)了，但是從19年開始，教育app等級(jí)保護(hù)備案開始逐步推廣，等保備案成為教育類必備資質(zhì)，面臨數(shù)據(jù)泄露、網(wǎng)站癱瘓、頁(yè)面篡改、郵件攻擊、勒索病毒……  在線教育最大的技術(shù)風(fēng)險(xiǎn)是什么？信息安全。

近年來(lái)，信息安全問題屢見不鮮，在線教育行業(yè)監(jiān)管趨嚴(yán)。2019 年 11 月，教育部辦公廳印發(fā)《教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》，明確指出：2020 年 2 月 1 日起，未完成 ICP 備案和等級(jí)保護(hù)備案的教育移動(dòng)應(yīng)用備案將被撤銷，并予以通報(bào)；2 月 1 日起，網(wǎng)絡(luò)安全等級(jí)保護(hù) 2.0 全面實(shí)施。

找不到合適的機(jī)構(gòu)來(lái)做等保合規(guī)項(xiàng)目怎么辦？等保流程復(fù)雜，測(cè)評(píng)機(jī)構(gòu)沒能及時(shí)申請(qǐng)到備案怎么辦？備案需要整改的項(xiàng)目又要怎么辦？

在線教育安全合規(guī)正當(dāng)時(shí)，為了向行業(yè)普及等保 2.0 標(biāo)準(zhǔn)和等保安全備案的必要性，華為云舉辦「在線教育機(jī)構(gòu)為何需要等保備案」沙龍活動(dòng)，邀請(qǐng)教育部管理信息中心和中國(guó)軟件測(cè)評(píng)中心的專家對(duì)相關(guān)政策和等保 2.0 標(biāo)準(zhǔn)進(jìn)行權(quán)威解讀，答疑解惑。

1、邁入等保 2.0 時(shí)代， 從口頭警告到真金白銀

等保備案是網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案的簡(jiǎn)稱，是網(wǎng)絡(luò)安全等級(jí)保護(hù) 2.0 時(shí)代的資質(zhì)審查報(bào)備。對(duì)在線教育機(jī)構(gòu)而言，等保證明及測(cè)評(píng)報(bào)告，既是對(duì)產(chǎn)品專業(yè)性、安全性、合規(guī)性的認(rèn)定，也是業(yè)務(wù)開展過程中的重要資質(zhì)證明。

教育部教育管理信息中心網(wǎng)絡(luò)安全處處長(zhǎng)邵云龍重點(diǎn)介紹了與等保 1.0 相比，等保 2.0 標(biāo)準(zhǔn)的一變化，即從口頭警告到真金白銀的常態(tài)化執(zhí)法。《網(wǎng)絡(luò)安全法》第五十九條明確規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者不履行相關(guān)網(wǎng)絡(luò)安全保護(hù)義務(wù)規(guī)定的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。邵云龍指出，隨著《教育部等八部門關(guān)于引導(dǎo)規(guī)范教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用有序健康發(fā)展的意見》提出建立備案制度，安全性評(píng)估、ICP 備案、等保備案及測(cè)評(píng)成為備案前置條件，教育部正啟動(dòng)專項(xiàng)行動(dòng)，加強(qiáng)統(tǒng)籌管理，治理應(yīng)用亂象，通過主動(dòng)監(jiān)測(cè)、社會(huì)監(jiān)督、大數(shù)據(jù)監(jiān)管來(lái)監(jiān)督措施落地。

中國(guó)軟件評(píng)測(cè)中心網(wǎng)絡(luò)安全中心副主任張德馨，則通過解讀安全等保 2.0 新政策，指出相比等保 1.0 標(biāo)準(zhǔn)，等保 2.0 標(biāo)準(zhǔn)在保持等級(jí)保護(hù)「五個(gè)級(jí)別」不變、五個(gè)「規(guī)定動(dòng)作」不變、等級(jí)保護(hù)工作相關(guān)參與主體「主體職責(zé)」不變的基礎(chǔ)上，除從口頭警告變?yōu)檎娼鸢足y的常態(tài)化執(zhí)法，還有「四大變化」。

第一變，從等保 2.0 的發(fā)布背景來(lái)看，已從國(guó)務(wù)院的條例上升到了國(guó)家法律的要求。等保 2.0 源自 2017 年所頒布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。2019 年，國(guó)家又陸續(xù)頒布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》及等級(jí)保護(hù)新標(biāo)準(zhǔn)體系，法規(guī)命名也從信息安全改為網(wǎng)絡(luò)安全?？梢?，法規(guī)體系層級(jí)更高，網(wǎng)絡(luò)安全日益重要。

第二變，是體系框架和保障思路的變化。原來(lái)等保 1.0 沒有完整的體系思路，以防為主。而今等保 2.0 變成了事前、事中、事后，防不住要審計(jì)，出現(xiàn)問題還可以事后溯源。保障思路上，由 1.0 防御審計(jì)的被動(dòng)保障向感知預(yù)警、動(dòng)態(tài)防護(hù)、安全檢測(cè)、應(yīng)急響應(yīng)的主動(dòng)保障體系轉(zhuǎn)變，增加了風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警、態(tài)勢(shì)感知等新的安全要求。

第三變，是定級(jí)備案方面的變化。首先是定級(jí)對(duì)象的變化。等保 1.0 定級(jí)的對(duì)象是信息系統(tǒng)，等保 2.0 則對(duì)定級(jí)對(duì)象進(jìn)行了更明確的規(guī)定。由于等級(jí)保護(hù)對(duì)象及范圍的全覆蓋性，大部分企業(yè)的內(nèi)部網(wǎng)站及信息系統(tǒng)，對(duì)外的網(wǎng)站、應(yīng)用程序都會(huì)被納入等級(jí)保護(hù)的范圍。并且，以前是自主定級(jí)，等保二級(jí)不要專家評(píng)審，現(xiàn)在則需專家評(píng)審；

第四變，是測(cè)評(píng)整改方面的變化。測(cè)評(píng)次數(shù)上，等保 2.0 要求第三級(jí)及以上網(wǎng)絡(luò)運(yùn)營(yíng)者每年開展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)。對(duì)四級(jí)網(wǎng)絡(luò)來(lái)說，測(cè)評(píng)周期下調(diào)會(huì)帶來(lái)部分便利，但并不意味著安全防護(hù)和檢查要求降低；測(cè)評(píng)實(shí)施內(nèi)容上，等保 2.0 標(biāo)準(zhǔn)拆分成一個(gè)通用要求和五個(gè)安全擴(kuò)展要求。不管等級(jí)保護(hù)對(duì)象的形態(tài)如何，必須首先使用安全測(cè)評(píng)通用要求部分進(jìn)行測(cè)評(píng)。對(duì)于使用特定技術(shù)或特定形態(tài)的等級(jí)保護(hù)對(duì)象，再使用相對(duì)應(yīng)的安全測(cè)評(píng)擴(kuò)展要求部分進(jìn)行測(cè)評(píng)；測(cè)評(píng)結(jié)論上，等保 1.0 標(biāo)準(zhǔn)中 60 分以上算及格，而今 70 分才算及格；控制點(diǎn)和要求項(xiàng)也發(fā)生了變化，與等保 1.0 相比，等保 2.0 控制點(diǎn)基本持平，要求項(xiàng)大量減少，對(duì)冗余項(xiàng)進(jìn)行了刪減。

2、二級(jí)還是三級(jí)，白名單或黑名單，等保煩惱多多

除了《網(wǎng)絡(luò)安全法》等法律法規(guī)對(duì)教育 App 及時(shí)等保備案、合法合規(guī)的要求，法律驅(qū)動(dòng)之外，等保的急迫性與重要性也有在線教育機(jī)構(gòu)自身業(yè)務(wù)發(fā)展的內(nèi)需原因。

2019 年初起，教育部辦公廳發(fā)布《關(guān)于嚴(yán)禁有害 APP 進(jìn)入中小學(xué)校園的通知》，隨后廣東省發(fā)布《校園學(xué)習(xí)類 APP 管理暫行辦法》，將等保二級(jí)列為進(jìn)校必備條件。后為了保證學(xué)習(xí)類 APP 管理辦法盡快實(shí)行，將必備調(diào)整為鼓勵(lì)，并且對(duì)已完成等保的 APP 優(yōu)先推薦。并且規(guī)定，2020年 1 月 1 日之后申報(bào)廣東省校園學(xué)習(xí)類 APP 白名單的，應(yīng)通過網(wǎng)絡(luò)安全等保測(cè)評(píng)與備案。由此可見，等級(jí)保護(hù)對(duì)于市場(chǎng)拓展、業(yè)務(wù)發(fā)展，必不可少。

此外，以等保為契機(jī)，統(tǒng)一系統(tǒng)化進(jìn)行安全規(guī)劃和建設(shè)，可提高在線教育機(jī)構(gòu)的整體安全保障水平，有效應(yīng)對(duì)和解決信息系統(tǒng)面臨的威脅和存在的問題，優(yōu)化安全資源分配，將有限的財(cái)力、物力、人力投入到重點(diǎn)地方，發(fā)揮最大的安全經(jīng)濟(jì)效益。

另外，教育 APP 的安全問題，教育部門高度重視，尤其是教育 APP 存儲(chǔ)大量學(xué)生信息，一旦遭受攻擊或信息泄露，無(wú)論是對(duì)企業(yè)自身還是教育用戶都有嚴(yán)重危害。種種事件，前車之鑒，也倒逼著教育企業(yè)及時(shí)開展等級(jí)保護(hù)工作。因而《教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》才會(huì)明確要求所有教育移動(dòng)應(yīng)用在 2020 年 1 月 31 日前完成對(duì)現(xiàn)有教育移動(dòng)應(yīng)用的備案工作，并結(jié)合實(shí)際建立本地區(qū)、本單位的備案信息動(dòng)態(tài)更新機(jī)制，確保數(shù)據(jù)準(zhǔn)確性。對(duì)備案工作落實(shí)不到位的教育行政部門和學(xué)校予以約談、通報(bào)；對(duì)存在違法違規(guī)或違反《意見》要求且整改不及時(shí)的，將列入教育移動(dòng)應(yīng)用提供者黑名單，向教育系統(tǒng)通報(bào)，并撤銷涉事教育移動(dòng)應(yīng)用備案；涉事單位六個(gè)月內(nèi)不得再提交備案申請(qǐng)。

但在落實(shí)上述政策時(shí)，出現(xiàn)了執(zhí)行標(biāo)準(zhǔn)不一、不同部門對(duì)業(yè)務(wù)理解各異等問題，讓在線教育機(jī)構(gòu)頗為煩惱。舉例來(lái)說，依據(jù)等級(jí)保護(hù) 2.0 要求， 等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，定級(jí)為三級(jí)，原定級(jí)為二級(jí)。有教育機(jī)構(gòu)表示，企業(yè)自主定級(jí)為二級(jí)，但相關(guān)部門定級(jí)為三級(jí)，對(duì)二級(jí)網(wǎng)絡(luò)來(lái)說，每年僅需向公安機(jī)關(guān)提交一份自查報(bào)告，定為三級(jí)意味著企業(yè)要面臨更高的測(cè)評(píng)、整改成本，對(duì)用戶規(guī)模以千萬(wàn)到億計(jì)數(shù)的大公司尚能承擔(dān)，小公司卻叫苦不迭。除定級(jí)問題外，提供者備案需提交的材料各地要求也有出入。等級(jí)保護(hù) 2.0 基本要求，既有技術(shù)要求，又有管理要求。其中三級(jí)技術(shù)要求，控制點(diǎn) 34 個(gè)，測(cè)評(píng)項(xiàng) 96 個(gè)；三級(jí)管理要求，控制點(diǎn) 37 個(gè)，要求項(xiàng) 115 個(gè)，不可輕視。

3、快速、省心、優(yōu)質(zhì)，等保三大訴求如何解？

據(jù)悉，等級(jí)保護(hù)工作流程，共分五步。第一步，系統(tǒng)定級(jí)，需確定定級(jí)對(duì)象、確定系統(tǒng)等級(jí)、撰寫定級(jí)報(bào)告；第二步系統(tǒng)備案，需聯(lián)系網(wǎng)監(jiān)，填寫備案表，提交材料審核；第三步建設(shè)整改，需依據(jù)等保標(biāo)準(zhǔn)進(jìn)行自查和建設(shè)；第四步，等級(jí)測(cè)評(píng)，需具有相應(yīng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)開展測(cè)評(píng)工作；第五步，監(jiān)督檢查，需公安網(wǎng)監(jiān)機(jī)關(guān)對(duì)信息系統(tǒng)實(shí)施監(jiān)督檢查。教育 App 提供企業(yè)要完成等保認(rèn)證，需歷經(jīng)定級(jí)、備案、評(píng)估、整改、第三方測(cè)評(píng)、持續(xù)合規(guī)等不同階段，每個(gè)階段要求不同，各有側(cè)重，可謂費(fèi)時(shí)費(fèi)力。

活動(dòng)現(xiàn)場(chǎng)，不少在線教育機(jī)構(gòu)代表人紛紛表示，由于缺乏對(duì)等保 2.0 要求的深入了解，不知道如何著手，拖延等保整改周期，造成了人力和時(shí)間的浪費(fèi)。此外，很多企業(yè)沒有專業(yè)的安全技術(shù)人員，選擇合適的等保整改建設(shè)方案成為極大的挑戰(zhàn)。加之等保咨詢和測(cè)評(píng)機(jī)構(gòu)繁多，服務(wù)范圍和質(zhì)量參差不齊，難以建立互信、可靠、長(zhǎng)期的合作關(guān)系，所以急需快速、省心、優(yōu)質(zhì)的網(wǎng)絡(luò)安全等級(jí)保護(hù)專業(yè)服務(wù)。

面對(duì)重重?fù)?dān)憂，華為云安全專家李戩以華為云安全等保服務(wù)為例，詳述了如何構(gòu)建教育行業(yè)網(wǎng)絡(luò)安全的堅(jiān)實(shí)后盾。

華為云的安全等保服務(wù)，是圍繞等級(jí)保護(hù) 2.0 的要求，專為華為云及華為客戶解決等級(jí)保護(hù)咨詢、等保備案指導(dǎo)、等保差距測(cè)評(píng)、安全整改、等保驗(yàn)收測(cè)評(píng)等問題的綜合一體化解決方案。

華為云的一站式等保服務(wù)

基于對(duì)等級(jí)保護(hù)要求的全方位理解，該整體方案具有四大突出優(yōu)勢(shì)：一是華為云安全等保服務(wù)可提供全棧安全產(chǎn)品，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全等全方位提供安全能力；二是傳統(tǒng)的安全整改往往存在采購(gòu)時(shí)間長(zhǎng)、整改繁瑣、實(shí)施緩慢等通病，華為云的安全等保服務(wù)可大大縮短安全整改時(shí)間；三是華為云與測(cè)評(píng)機(jī)構(gòu)合作，可提供快速、方便的一站式等保服務(wù)；四客戶通過華為云的等保云安全綜合解決方案，可快速滿足等級(jí)保護(hù)的要求。

華為云安全等保服務(wù)最大的特點(diǎn)在于性價(jià)比，恰好滿足了在線教育機(jī)構(gòu)快速、省心、優(yōu)質(zhì)的三大訴求。

如何快速？通過一站式專業(yè)服務(wù)。華為云依托自身多年的行業(yè)、產(chǎn)品和服務(wù)經(jīng)驗(yàn)，拉通業(yè)界優(yōu)質(zhì)資源，極大的縮短過等保的總時(shí)間，可迅速獲證；如何省心？華為云提供保姆式服務(wù)，提供專業(yè)的整改解決方案+優(yōu)質(zhì)的云安全產(chǎn)品+貼心的服務(wù)能力+權(quán)威的測(cè)評(píng)認(rèn)證；如何優(yōu)質(zhì)？華為云是等級(jí)保護(hù)標(biāo)準(zhǔn)制定的參與者之一，與等保規(guī)則的制定者簽訂戰(zhàn)略合作協(xié)議，強(qiáng)強(qiáng)聯(lián)合，在定級(jí)、備案、建設(shè)整改、第三方測(cè)評(píng)、監(jiān)督檢查及 App 安全認(rèn)證咨詢業(yè)務(wù)等方面，均可提供優(yōu)質(zhì)服務(wù)。

目前，以性價(jià)比著稱的華為云等保安全服務(wù)，團(tuán)隊(duì) 15+ 專家獲得權(quán)威資質(zhì)，已服務(wù)全國(guó) 200+ 客戶，遍布 30+ 重點(diǎn)省市，在 9+ 行業(yè)得到普遍認(rèn)可，成功為 20 多家在線教育機(jī)構(gòu)完成等保。華為云高等級(jí)保護(hù)服務(wù)系統(tǒng)高分通過公安部網(wǎng)絡(luò)安全等級(jí) 4 級(jí)測(cè)評(píng)，重點(diǎn)滿足關(guān)鍵應(yīng)用高性能、高可靠、高安全的要求。

2020 年 1 月 20 日消息，教育部發(fā)布《教育 App 備案名單公告》。根據(jù)《教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》，各省教育行政部門持續(xù)推進(jìn)教育 App 備案，在 2019 年 12 月 25 日至 2020 年 1 月 14 日期間完成了對(duì) 605 家企業(yè)的 1300 個(gè)教育 App 備案工作。名單顯示，新東方旗下有新東方在線中小學(xué)、彩虹糖閱讀、新東方微課堂等 10 款教育 App 通過審核，據(jù)鯨媒體此前報(bào)道，2019 年 12 月 16 日，教育部公布了首批 152 個(gè)教育 App 備案名單。2020 年 1 月 2 日，公布了第二批 476 個(gè)教育 App 備案名單。

教育之本，民生之計(jì)。對(duì)在線教育而言，等級(jí)保護(hù)是基本制度，是重要支撐，是必備資質(zhì)，更是國(guó)家法規(guī)、市場(chǎng)拓展、業(yè)務(wù)需求的明確剛需！

標(biāo)簽： 教育app等保備案