技术白皮书 教育行业网络安全白皮书 （2020 年） m o c . 5 b u h t i g 中国软件评测中心·网络空间安全测评工程技术中心 2020 年 8 月 h t i g b u m o c . 5 序 言 教育事业是民族振兴和社会进步的基石，教育行业信息化建 设是提升教育发展质量，顺应历史发展趋势的必由之路。2010 年以来我国大力开展教育信息化建设，2019 年政府报告中指出 发展“互联网+教育”，目前我国教育行业信息化工程取得良好成 效。2020 年初新冠疫情对传统教育模式带来冲击，在此影响下 互联网在线教育再次发挥重要作用。云计算、大数据、物联网、 m o c . 5 移动互联网、虚拟现实等新技术在教育行业的应用不断深入，为 教育事业的创新发展提供了新的技术支持，有效提升教育服务水 平和教学管理成效。目前教育行业网络安全形势严峻，教育网络 外部、内部环境普遍存在威胁隐患，同时存在数据安全、移动终 b u 端 App 等方面风险。 h t i g 本白皮书内容聚焦教育行业网络安全的政策法规、发展现状、 安全风险点，提出了加强教育行业网络安全防护的建议。 本白皮书的撰写人员有李世斌、李杺恬、宁黄江、白利芳、 张德馨、朱信铭、王涛、黄峥，在此特别感谢中国电子信息产业 发展研究院副院长黄子河、副总工程师安晖、中国软件评测中心 总工程师陈渌萍对白皮书的撰写指导，中心品牌推广部刘喜喜、 闫晓丽的编辑及排版支持。 限于研究时间和编者能力，部分报告内容难免存在纰漏，不 足之处恳请业界同仁批评指正。 中国软件评测中心 唐刚 2020 年 9 月 10 日 h t i g b u m o c . 5 版权声明 本白皮书版权属于中国软件评测中心，并受法律保护。转载、 m o c . 5 摘编或利用其他方式使用本白皮书文字或观点的，应注明“来源： 中国软件评测中心”。违反上述说明的，本单位将追究其相关法 律责任。 h t i g b u m o c . 5 b u 编写指导：黄子河 编写小组：李世斌 张德馨 h t i g 安 晖 陈渌萍 唐 李杺恬 宁黄江 白利芳 朱信铭 王 黄 涛 刚 峥 目 录 前 言 ............................................................................................ - 1 一、 教育行业网络安全发展环境................................................ - 3 (一) 我国稳步推进教育信息化事业发展 ................................. - 3 (二) 国家规划出台教育信息化网络安全政策 ......................... - 4 (三) 各地贯彻落实教育信息化网络安全部署 ......................... - 6 - m o c . 5 二、 教育行业网络安全总体形势................................................ - 8 - (一) 网络安全隐患普遍 ............................................................. - 8 (二) 校园网络风险众多 ............................................................. - 9 (三) 外部环境攻击严重 ........................................................... - 10 - b u (四) 内部环境漏洞增多 ........................................................... - 12 - h t i g (五) 教育 DDOS 攻击频发 ....................................................... - 13 (六) 信息泄露事件高发 ........................................................... - 15 (七) APP 网络风险突出 ............................................................. - 15 三、 教育行业网络安全问题分析.............................................. - 17 (一) 网络安全重视力度不足 ................................................... - 17 (二) 等级保护落实情况不佳 ................................................... - 19 (三) 安全风险管控手段落后 ................................................... - 23 (四) 网络安全管理监督缺位 ................................................... - 25 (五) 在线教育防护能力薄弱 ................................................... - 26 四、 教育行业网络安全保障建议.............................................. - 27 (一) 切实做好基础设施安全防护 ........................................... - 27 (二) 持续推进三重防护安全建设 ........................................... - 28 - 1. 建设安全通信网络 ........................................................ - 28 - 2. 建设安全区域边界 ........................................................ - 29 - 3. 建设安全计算环境 ........................................................ - 30 - (三) 重点提升信息泄露防护能力 ........................................... - 31 1. 提升数据安全保护技术能力 ........................................ - 31 - 2. 健全数据安全保护制度体系 ........................................ - 32 - 3. 增强数据安全保护思想意识 ........................................ - 33 - (四) 全面建设安全管理监督体系 ........................................... - 34 - m o c . 5 1. 建立应急响应预案机制 ................................................ - 34 - 2. 完善信息安全管理体系 ................................................ - 34 - 3. 加强网络安全人员管理 ................................................ - 35 - (五) 全面开展在线教育系统等保测评 ................................... - 35 - b u (六) 引导规范教育 APP 合规性备案 ....................................... - 36 - h t i g 五、 教育行业网络安全的等级保护 2.0 推进 .......................... - 38 - 前 言 百年大计，教育为本。教育行业是我国最大的民生行业之一， 教育事业发展是国家兴旺的不竭动力，推进教育行业信息化建设 具备重要意义。2018 年 4 月 13 日教育部印发《教育信息化 2.0 行动计划》，2019 年政府工作报告中提出发展“互联网+教育”。 随着国家政策引导以及移动互联网、5G、大数据中心等技术应 用，教育行业信息化工程及在线教育平台迅速发展起来，智慧校 m o c . 5 园、远程教育、网络云课堂等方式受到广大师生群体认可。 教育行业机构多、系统多、数据多、影响面广，伴随信息化 发展，教育信息系统面临着网络攻击、数据/个人信息泄露、勒 索病毒入侵等网络风险，因此全面推进传统教育、在线教育、教 b u 育 App 的网络安全保障工作，提升教育行业整体安全防护水平 至关重要。 h t i g 本白皮书聚焦我国教育行业网络安全问题，从机构、人员、 系统、应用等切入点对网络安全总体形势进行了分析并针对性提 出安全保障建议。首先,从国家、地方层面对教育信息化时代的 网络安全政策要求进行简要阐述；其次，对当前教育行业的网络 安全总体形势进行分析；然后，对教育行业网络安全存在的风险 原因进行了研究；最后，提出教育行业网络安全防护能力提升的 相关建议。 中国软件评测中心（工业和信息化部软件与集成电路促进中 心），简称中国软件评测中心，是直属于工业和信息化部的一类 科研事业单位。长期服务和支撑国家部委、地方政府以及电信和 -1- 互联网、教育、卫生、广电、交通、能源、银行、证券、保险、 航空等各大行业，业务范围覆盖全国 31 个省、自治区、直辖市， 业务网络覆盖全国 500 多个城市，构建了基于第三方服务的科技 产业链。 网络空间安全测评工程技术中心是中国软件评测中心核心 业务板块，致力于信息系统的网络安全防护和安全运行，支撑政 府主管部门履行网络安全相关的社会管理和公共服务职能，主营 m o c . 5 信息安全风险评估、网络安全等级保护测评、关键信息基础设施 保护评估、数据安全能力和合规性评估等网络信息安全相关业务。 b u h t i g -2- 一