2020年教育行业网络安全白皮书

技术白皮书 教育行业网络安全白皮书 （2020 年） 中国软件评测中心·网络空间安全测评工程技术中心 2020 年 9 月 版权声明本白皮书版权属于中国软件评测中心，并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或观点的，应注明“来源：中国软件评测中心”。违反上述说明的，本单位将追究其相关法律责任。编写指导：安 晖 唐 刚编写小组：李世斌 李杺恬 宁黄江白利芳 张德馨 朱信铭王 涛 黄 峥目 录 前 言 ........................................... - 1 - 一、教育行业网络安全发展环境 ...................... - 3 - 1.1.我国稳步推进教育信息化事业发展 .............. - 3 - 1.2.国家规划出台教育信息化网络安全政策 .......... - 4 - 1.3.各地贯彻落实教育信息化网络安全部署 .......... - 6 - 二、教育行业网络安全总体形势 ...................... - 8 - 2.1.网络安全隐患普遍 ............................ - 8 - 2.2.校园网络风险众多 ............................ - 9 - 2.3.外部环境攻击严重 ........................... - 10 - 2.4.内部环境漏洞增多 ........................... - 11 - 2.5.教育 DDOS 攻击频发 .......................... - 13 - 2.6.信息泄露事件高发 ........................... - 15 - 2.7.APP 网络风险突出 ............................ - 15 - 三、教育行业网络安全问题分析 ..................... - 17 - 3.1.网络安全重视力度不足 ....................... - 17 - 3.2.等级保护落实情况不佳 ....................... - 18 - 3.3.安全风险管控手段落后 ....................... - 22 - 3.4.网络安全管理监督缺位 ....................... - 24 - 3.5.在线教育防护能力薄弱 ....................... - 25 - 四、教育行业网络安全保障建议 ..................... - 27 - 4.1.切实做好基础设施安全防护 ................... - 27 - 4.2.持续推进三重防护安全建设 ................... - 28 - 4.2.1.建设安全通信网络 ....................... - 28 - 4.2.2.建设安全区域边界 ....................... - 29 - 4.2.3.建设安全计算环境 ....................... - 29 - 4.3.重点提升信息泄露防护能力 ................... - 31 - 4.3.1.提升数据安全保护技术能力 ............... - 31 - 4.3.2.健全数据安全保护制度体系 ............... - 32 - 4.3.3.增强数据安全保护思想意识 ............... - 32 - 4.4.全面建设安全管理监督体系 ................... - 33 - 4.4.1.建立应急响应预案机制 ................... - 33 - 4.4.2.完善信息安全管理体系 ................... - 33 - 4.4.3.加强网络安全人员管理 ................... - 34 - 4.5.全面开展在线教育系统等保测评 ............... - 34 - 4.6.引导规范教育 APP 合规性备案 .................. - 35 - 五、教育行业网络安全等级保护 2.0 推进 ............. - 37 - - 1 - 前 言百年大计，教育为本。教育行业是我国最大的民生行业之一，教育事业发展是国家兴旺的不竭动力，推进教育行业信息化建设具备重要意义。2012 年以来我国大力开展教育信息化建设，2018 年 4 月教育部印发《教育信息化 2.0 行动计划》，2019 年政府工作报告中指出发展“互联网+教育”。随着国家政策引导以及移动互联网、5G、大数据中心等技术应用，教育行业信息化工程及在线教育平台迅速发展起来，智慧校园、远程教育、网络云课堂等方式受到广大师生群体认可。教育行业机构多、系统多、数据多、影响面广，伴随信息化发展，教育信息系统面临着网络攻击、数据/个人信息泄露、勒索病毒入侵等网络风险，因此全面推进传统教育、在线教育、教育 App 的网络安全保障工作，提升教育行业整体安全防护水平至关重要。本白皮书聚焦我国教育行业网络安全问题，从机构、人员、系统、应用等切入点对网络安全总体形势进行了分析并针对性提出安全保障建议。首先,从国家、地方层面对教育信息化时代的网络安全政策要求进行简要阐述；其次，对当前教育行业的网络安全总体形势进行分析；然后，对教育行业网络安全存在的风险原因进行了研究；最后，提出教育行业网络安全防护能力提升的相关建议。中国软件评测中心（工业和信息化部软件与集成电路促进中- 2 - 心），简称中国软件评测中心，是直属于工业和信息化部的一类科研事业单位。中心长期服务和支撑国家部委、地方政府以及电信和互联网、教育、卫生、广电、交通、能源、银行、证券、保险、航空等各大行业，业务范围覆盖全国 31 个省、自治区、直辖市，业务网络覆盖全国 500 多个城市，构建了基于第三方服务的科技产业链。网络空间安全测评工程技术中心是中国软件评测中心核心业务板块，致力于信息系统运行的网络安全防护，支撑政府主管部门履行网络安全相关社会管理和公共服务职能，主营信息安全风险评估、网络安全等级保护测评、关键信息基础设施保护评估、数据安全能力和合规性评估等网络信息安全相关业务。- 3 - 教育行业网络安全发展环境1.1.我国稳步推进教育信息化事业发展 教育信息化工程在教育领域运用现代信息技术，促进教育改革与发展，具备数字化、网络化、智能化、多媒体化等技术特征，以及开放、共享、交互、协作等教学特点。自 1993 年美国提出建设“国家信息基础设施”（信息高速公路计划）以来，世界各国纷纷探索教育信息化发展路径，我国的教育信息化事业也取得长足进展。2010 年 7 月，中共中央国务院印发《国家中长期教育改革和发展规划纲要（2010—2020 年）》，提出教育发展战略目标，研究教育信息化建设可持续发展策略。2012 年 3 月，教育部印发《教育信息化十年发展规划（2011-2020 年）》，提出以教育