关键词:
一、基线基线是指法律规定或监管指引推荐的最低期望值。可以理解为机构为开展互联网业务所应达到的最低的治理和管控水平。换言之,如机构评估自身的网络安全成熟度达不到此层级,则在充分改进前,不宜开展互联网相关业务。下面是小编为大家整理的《风险评估电信网络安全论文(精选3篇)》,欢迎阅读,希望大家能够喜欢。
风险评估电信网络安全论文 篇1:
中国电信亮相智博会刷新城市智慧生活
近年来,中国电信深度参与重庆5G建设,用技术实力不断刷新城市生活,让城市更智慧,让生活更美好,助推重庆全面进入“5G时代”。
2020线上智博会期间,中国电信按照“线上线下、虚拟现实”理念,集中展示行业领先黑科技。同时,以“5G智领未来·共筑美好生活”为主题,展示5G+云领未来、智慧城市、智家未来及网络强国4个板块,展现中国电信在5G+、大数据、智慧城市、智能制造、网络安全等领域的最新信息化成果。
5G+云领未来新基建为载体,不断创新发展模式
作为信息社会的基石、数字经济的支撑,“新基建”将进一步助力我市经济结构调整和新旧动能转化,推动经济高质量发展。重庆电信践行新发展理念,加快“新基建”建设,助力重庆经济实现高质量发展。
重庆电信今年投资27亿元专项资金,上半年完成10000个基站及配套设施建设,实施主城都市区及区县城区室外连续覆盖,具备5G SA网络商用能力。同时,在已实现全市城市区域千兆网络覆盖的基础上,持续加大10G PON网络建设,加速推进我市全面进入光网时代。
以“新基建”为载体,重庆电信近年来不断创新发展模式。
车联网是利用高速稳定的无线网络技术,将车辆行驶速度、车辆状态、车辆位置、车内电器、路面情况上传至云服务系统,实现人、车、路、云之间数据互通的数字化车辆控制系统。
去年5月15日,重庆电信、大唐移动、中国汽研三方合作的5G智能网联汽车试点项目在中国汽车工程研究院园区正式发布。这是重庆首次发布的5G远程驾驶一期成果,也是全国首个城市交通场景下的5G远程驾驶应用示范。
5G时代,重庆电信全面加强车联网布局,联合中國汽研将5G端到端网络切片在业内首次应用到车联网领域,实现运营商5G网络的差异化服务能力与行业客户个性化网络需求的完美结合,为客户快速提供个性化的高价值服务。
在2020线上智博会自动驾驶挑战赛中,重庆电信首次启用了硬切片方案,实现从无线侧到传输承载侧、再到5G核心侧的端到端定制化网络,最大程度保障了比赛的顺利进行。同时,重庆电信还展示了切片运营管理系统,通过可视化的运营平台,不仅可以做到网络质量的实时监控和展现,还为用户提供全程自助式网络切片订购服务。
除了自动驾驶,在5G开启的全新智能时代,重庆电信还致力于在5G+教育、5G+医疗、5G+工业、5G+金融等领域持续发力。
如重庆电信联合重庆国际复合材料股份有限公司,打造5G+工业互联网在新材料产业的先导应用示范项目。项目涵盖企业5G内网、工业高清视觉质检、AGV智能运输等内容。
重庆电信与重医附一院及相关单位通力合作,利用电信网络5G速率低延迟技术优势结合智能远程会诊系统,疫情期间,5G远程会诊顺利支撑重医附一院与湖北前线医疗人员进行远程诊疗。
重庆电信联合保税港管委会、重庆飞力达供应链管理有限公司、邮电大学、庆铃汽车等多方,按照“产、学、研、政”结合的方式,共同构建5G融合车联网创新生态圈,在保税港空港园区打造了国内首个5G+智慧共享物流应用落地暨空港工业园区智慧共享物流中心。
智慧城市5G逐步融入社会生活
中国电信发挥5G优势,助力智慧城市发展,利用最新科技与公众共筑美好生活。
2019年初,重庆电信与渝中区政府签订合作协议,共建“文商旅城”5G融合应用示范高地,在解放碑、中山四路—人民路环线、洪崖洞等实现了5G覆盖,群众可以在相关区域通过WiFi进行体验,预计将于2023年底在渝中区实现公共区域5G网络全覆盖。
重庆电信还携手渝中区,在解放碑商圈大力开展“智慧商圈”建设,依托电信5G和大数据建设3D可视化大数据平台,为商圈提供楼宇信息采集、精准智慧招商、线上消费引流等服务。
重庆电信结合中国电信、阿里巴巴、腾讯信息数据,通过大数据、云计算等技术建设,为商圈提供各类辅助决策信息。大数据平台可查看商圈实时进出人数、人群热力分布等信息,对人流过于密集的情况实施告警、客流控制和疏导进行辅助;通过大数据分析,展示商圈游客的消费偏好、性别比例、职业分布等,为商圈发展、精准营销提供决策依据;对商业楼宇企业及品牌、经营情况,有针对性收集并进行大数据分析,对楼宇空置率、财务信息进行分类展示,帮助商圈企业经营发展及招商。
去年8月,重庆电信首个智慧小区示范项目——永川银山源智慧小区亮相,将物联网、云、人工智能等新技术运用其中,实现了公安消防、市政管理和民生社区服务三大类应用。
通过智能门禁人脸识别系统、智能充电桩、智能井盖、智能消防栓、智能路灯、智能分类垃圾桶、智能电梯梯控系统、智能烟感系统、一键NB报警器、高空抛物监测以及智慧生活小站等10余项智能硬件设备,让小区既智慧又环保。其中社区电子通行证、体温监测、视频监控、车牌识别、智能门磁、智能云广播、安全充电插座、燃气报警器等在内的智慧化社区服务,可快速补齐社区信息不全、数据孤岛、技术集成能力弱、网格职能不清晰、运营人员不足等诸多短板,提升社区智能化水平,实现社区精细化管理。
智家未来科技赋能提升群众“三感”
随着通信技术的发展和人民群众对美好生活需求的不断提升,家庭已经进入智慧时代。中国电信通过提供高速上网、贴心服务、透明消费,提供高清视听、游戏娱乐、智能可控等优质服务,全方位保护终端安全、数据安全和个人隐私,不断提高人民群众获得感、幸福感、安全感。
“小翼管家”是中国电信推出的面向智慧家庭用户的APP。作为中国电信智慧家庭的统一入口,小翼管家身兼智能宽带、智家平台、智能应用、智能安全、智能服务于一身。
众所周知,当下不同厂商的智能设备之间存在不兼容的尴尬局面,消费者不得不下载各自的软件才能支撑设备运转。
“小翼管家”打破这种家庭终端孤岛化现象,实现跨品牌、跨设备的操控和场景化联动,只需“小翼管家”一个APP在手,便可控制全屋设备。在APP“智能家居”板块,用户可个性定制生活场景,设定每个场景下控制的智能设备——清晨起床,窗帘、灯光自动开启;离家工作时,室内灯光、窗帘、空调自动关闭,水浸报警器、烟感报警器待命,扫地机器人开始工作;晚上回家,空调提前调至合适温度、远程遥控智能电饭煲;睡眠场景下,灯光自动关闭、窗帘落下、加湿器开启,安然入睡。智慧生活就是如此简单而美好。
重庆电信相关负责人介绍,目前,“小翼管家”已接入80多个主流品牌、280多款设备。除了智能设备控制外,“小翼管家”在网络控制方面同样表现优异,全面支持1亿台天翼网关、1300万台路由器、150万台SDN网关的操控管理。
用户可以通过“小翼管家”自主管理家庭网络,对陌生设备一键拉黑,防止蹭网;提供家长控制功能,实现不同接入终端的区隔管理,控制孩子上网时间。
“小翼管家”和“天翼看家”“天翼高清”“天翼云游戏”“翼支付”等服务,构建起了中国电信未来家庭矩阵。
一系列智家应用,以电信“三千兆”为强大后盾。电信“三千兆”是中国电信5G1000M、宽带1000M、WiFi1000M的服务总称。它不是5G、宽带、WiFi的简单相加,而是一个涵盖家庭、工作和出行的全方位立体化网络。在这个网络中,无论室内室外、有线还是无线、手机还是电脑,均能享受电信提供的千兆上网速率及多种智能应用服务。
目前,在“天翼智家”的概念下,除了电信宽带,重庆电信用户还可以同步享受到一揽子家庭信息化解决方案。
“全屋WiFi”是中国电信为家庭客户提供的家庭WiFi网络覆盖优化服务,保证使用高清视频应用和视频电话流畅。
“天翼看家”是中国电信为用户提供的远程视频监控服务,让用户在上班的时候也能远程监控家中情况,如遇非法侵入,还可自动报警。
未来,中国电信将以更畅快的速度、更丰富的应用、更周到的服务,为消费者打造高速率、全方位、立体化的智能通讯生活。
网络强国承接国家战略,贡献智慧动能
今年以来,重庆电信位于两江新区水土高新产业园的中国电信云计算重庆基地二期项目建设全面提速。
该基地目前为国内一流、技术领先的高端云计算基地,包括高端数据中心、云计算中心、灾备数据中心三大板块,既能实现传输网络的高速接入,也具备更高的网络安全性,拥有20万台服务器的运营能力,是中国电信集团级大型数据中心园区和川渝陕区域数据中心的核心节点。
基地一期项目于2017年建成并投入运营,目前具备云主机35000核,云储存3500T。2019年6月,已规划集团自研池及天翼云资源池的新建及扩容,更好满足本地客户公有云、专属云及混合云的各类需求。
新开建的二期项目总投资达12亿元,按照国际T3+国标A级数据中心标准实施建设,建筑面积超过5万平方米,远期整个园区将达20万平方米。该项目预计将于今年底达到运营条件。
此外,由重庆电信与腾龙控股集团合建的西南区域核心数据中心二期今年8月正式投用。该中心可提供2000个机柜运营使用,旨在为国内知名大型互联网公司、本地政企、金融等客户提供专属定制服务。
如果说云计算基地是中国电信立足重庆打造的一座服务国内的信息平台,那么中新国际互联网数据专用通道则是中国电信立足重庆搭建的一条通往世界的数字桥梁,它连接重庆与新加坡,是中新信息通信领域合作的重要基础设施,为重庆打造中西部地区国际信息通道高地提供重要支撑。
自2019年8月中国电信完成香港NNI节点建设后,重庆电信又率先开通了中新(重庆)国际互联网数据专用通道,覆盖重庆两江数字经济产业园、重庆仙桃数据谷、中国智谷(重庆)、重庆西永微电子产业园、永川高新技术产业开发区软件产业园、重庆移動互联网产业园、重庆市区块链产业创新基地7个园区,接入总带宽达到160G。
下一步,中国电信重庆公司将积极进行应用推广,促进中新双方在园区综合组网、跨国视频会议、远程医疗、远程教育、远程旅游体验等方面的广泛合作,深度融合各行各业通信需求,为中新双方企业双向进入开展国际业务运营与合作创造良好外部条件。
后续工作中,中国电信重庆公司将继续对IP网络、传输网络、网络安全等方面进行专项优化,进一步提升中新(重庆)国际互联网数据专用通道的运营能力,强化中新(重庆)国际互联网数据专用通道在“一带一路”倡议中的重要性,以“新基建”为核心,推动中新双方产业经济的快速发展。
抽调精兵强将力保智博会网络安全稳定
本次智博会,中国电信既是重要的参展商,也是不可或缺的保障者。由重庆电信、中国电信集团公司专业部门、第三方支撑单位抽调的精兵强将组成的后勤团队,从网络安全、信息安全、数据安全三方面,对大会官网、党政机关和新闻网站、承委会成员单位网络以及电信自有及接入业务提供了全方位的维保服务。
网络安全方面,本次智博会官网采用天翼云+CDN架构,由中国电信“云堤”提供包括DDOS攻击监控及防护、网站安全监控及防护、域名安全监控及防护等保障。依靠中国电信全球部署的36个清洗节点及220+以上的监测节点,可有效监测及拦截T级以上的流量攻击、各类WEB攻击等。同时,其强大的不受虚假源地址干扰的分析溯源能力,可以实现快速定位攻击源,有效遏制后续网络攻击事件的发生,极大程度上保护官网安全稳定运行。
信息安全方面,智博会官网及其APP、公众号、小程序纳入重庆电信、中国电信集团统一监控,增强网站可用性监测、敏感词爬扫、挂马暗链检测等,增强信息安全防护能力。
2020线上智博会凸显“线上”特色,更侧重网络信息安全防护,在完善防护技术手段的同时,重庆电信还组织开展了基线核查、代码审计、漏洞扫描、渗透测试等系列安全风险评估,确保官网平台安全上线,并在重点保障期间,安排专业团队7×24小时在线值守,加强威胁预警信息收集、分析研判和快速处置。
作者:周序
风险评估电信网络安全论文 篇2:
网络安全评估之网络安全成熟度-FFIEC网络安全评估工具概述
一、基线
基线是指法律规定或监管指引推荐的最低期望值。可以理解为机构为开展互联网业务所应达到的最低的治理和管控水平。换言之,如机构评估自身的网络安全成熟度达不到此层级,则在充分改进前,不宜开展互联网相关业务。
1.网络风险管理和监督
一是管理层管理信息安全和业务连续性计划,不定期开会讨论信息安全风险议题,将与信息安全相关的项目和费用纳入预算,并每年至少向董事会提交一次关于信息安全和业务连续性的总体状况的书面报告。二是建立与风险相适应的信息安全战略,将技术、策略、流程和培训活动结合起来,明确信息技术风险管理、威胁信息共享、第三方管理、事件响应和恢复的理念。三是管理层组织并维护IT资产清单,基于数据分类和业务价值,确定IT资产的优先保护顺序。制定变更管理流程,批准对系统配置、硬件、软件、应用程序和安全工具的更改。四是建立信息安全和业务连续性风险管理职能,开展风险评估活动。关注对客户信息的保护,确定可预见的内外部威胁、威胁的可能性和潜在损害,以及策略、流程和客户信息系统保护措施的充分性。五是利用独立审计对整个机构的策略、流程和控制措施进行评估,以了解与机构运营相关的重大风险和控制问题,包括新产品、新兴技术和信息系统的风险。定期对日志活动进行独立审查,以确保日志管理受控。追踪内部审计、独立测试及评估发现的问题和拟采取的纠正措施,以确保问题得到及时解决。六是确定了信息安全人员的角色和责任。制定了相关流程,以确定为提高本机构信息安全防御水平,安全人员需要哪些额外的专业知识。按年度进行信息安全培训。
2.威胁情报和协作
一是加入威脅和漏洞信息共享组织,从那里得到相关威胁情报信息。二是应用威胁信息监视威胁和漏洞、加强内部风险管理和控制。三是以安全的方式审核和保存安全事件日志,利用其对事件进行事后调查。
3.网络安全控制
涵盖预防性控制、侦测控制、纠正性控制三个方面,内容较多,此处略。
4.外部依赖管理
一是明确依赖于外部连接的关键业务流程,并确保第三方连接是被授权的。
二是利用网络图表标识所有外部连接,利用数据流图记录流向外部各方的信息。三是在签订合同之前对第三方进行尽职调查,审查范围包括其背景、声誉、财务状况、稳定性和安全控制措施。四是维护第三方服务提供商列表。进行风险评估以确定服务提供商的重要性。五是与所有处理、存储或传输机密数据或提供关键服务的第三方签署正式合同,并明确相关安全和隐私要求。合同:要求第三方对机构的机密数据的安全性负责;要求由独立方定期审查和验证第三方的安全控制措施;明确了如果第三方未能达到规定的安全要求,机构可用的追索权;明确了应对安全事件的责任;规定了合同终止时返回或销毁数据的安全要求。
二、演进
机构在满足基线要求的基础上,继续对自身管控能力进行提升。建立了网络安全责任制,制定了正式的网络安全流程和策略,明确了网络安全保护范围涵盖客户信息、信息资产和系统。
1.网络风险管理和监督
一是管理层制定网络安全计划,保证遵守与网络安全相关的法律和监管要求。通过预算流程对网络安全人员和工具进行管控,并在预算过程中建立一个子流程,以估计与网络安全事件相关的潜在费用。根据固有风险状况的变化情况更新网络安全策略。二是每年更新一次资产清单,并对关键资产进行识别,以反映资产的购入、重新部署和报废活动。建立书面的IT资产生命周期管理规定,主动管理资产报废活动以限制安全风险。三是建立了风险管理流程,包含网络风险识别、测量、缓解、监控和报告等方面。管理层审阅内外部审计报告,并改进现有的网络安全策略、流程和控制措施,对网络安全风险评估报告中的中度和高度剩余风险问题进行监控。四是利用风险评估识别由新产品、服务或连接引起的网络安全风险。风险评估的关注点不仅包括客户信息,还涵盖了机构的所有IT资产以及使用报废软硬件的风险。五是通过独立审计确认机构的风险管理职能、威胁信息共享机制、网络安全控制职能、第三方关系管理和事件响应计划和恢复能力与其风险和复杂性相称。六是由具有适当知识和经验的管理层来领导本机构的网络安全工作。具有网络安全职责的工作人员具备执行职位必要任务所需的资格。对候选员工、承包商和第三方进行背景审查。七是制定网络安全人员相关知识技能继续教育计划,并对培训的有效性进行确认。
2.威胁情报和协作
一是该机构收到的威胁信息涵盖网络攻击战术、模式的分析和风险缓解建议。二是合理分配威胁信息收集和分析职责,并确保不相冲突。建立安全运营中心SOC或类似机构以协调网络安全控制流程。监控系统持续有效运行,并能够为事件的高效处理提供有力支持。三是通过可信渠道与其他实体共享威胁和漏洞信息,派出代表参加执法单位或信息共享组织的会议。
3.网络安全控制
涵盖预防性控制、侦测控制、纠正性控制三个方面,内容较多,此处略。
4.外部依赖管理
一是将关键业务流程映射到支持的外部连接上。以安全的方式存储网络和系统图表,对访问进行适当的限制,并至少每年更新一次。对主要和备用第三方连接的控制措施,进行定期监控和测试。二是董事会审查外包尽职调查结果,包括管理层提出的关于使用可能影响机构固有风险的第三方的建议。三是在合同中明确第三方连接设备如防火墙、路由器的管理责任,明确第三方通知直接和间接安全事件和漏洞的责任,规定了数据存储或传输的地理限制。四是建立了确定新的第三方关系的过程。指定部门和员工负责持续监督第三方访问活动。以与第三方的风险程度相适应的深度和频率对第三方进行监控。
三、中级
机构已经形成相对完备的网络风险管理制度体系,相关安全控制措施经过实践验证并且相互间保持一致,同时将风险管理实践整合到业务战略中。
1.网络风险管理和监督
一是董事会拥有网络安全专业知识,或聘请专家协助履行相关监督责任。董事会批准并公布网络风险偏好。高管层根据网络安全事件编制网络安全指标和报告,董事会审议这些指标和报告,以明确机构威胁趋势和安全状况,并审查和批准管理层的业务恢复优先次序决策和资源分配决策。二是管理层制定并定期审查网络安全战略,以应对网络威胁和该机构固有风险的变化。将网络安全战略纳入全面风险管理体系,及时更新与业务线网络风险有关的所有策略。三是除非有有正式的变更请求、批准文件以及对安全影响的评估,基准配置不得变更。IT变更管理流程要求在分析、批准、测试和报告变更活动时,评估网络安全风险。
2.威胁情报和协作
一是按照签署的协议收集同业和政府的相关信息。维护一个只读的网络威胁情报资料库。二是威胁情报团队对来自多个信源的威胁情报进行可信度、相关性和风险暴露评估。为每个威胁创建一个配置文件,以识别威胁的可能意图、能力和目标。分析威胁情报以制定网络威胁情况概要,涵盖面临的风险和考虑采取的具体行动。三是基于员工的具体工作职能,向其共享威胁、脆弱性和事件信息。与其他金融机构或第三方签署威胁信息共享协议。积极与同业、执法机构、监管部門和相关论坛分享信息。
3.网络安全控制
涵盖预防性控制、侦测控制、纠正性控制三个方面,内容较多,此处略。
4.外部依赖管理
一是利用经过验证的资产清单创建综合图表,描述数据存储、数据流、基础架构和连接情况。设计和验证安全控制措施,检测和防止来自第三方连接的入侵。
二是要求第三方服务提供商对其第三方如分包商等进行尽职调查。在与高风险供应商签署合同前,由机构或由第三方进行实地考察。三是制定了第三方服务水平协议或类似手段,要求第三方及时通知安全事件。四是根据最小特权原则对第三方员工访问机构的机密数据的行为进行跟踪。五是对高风险供应商进行定期现场评估以确保适当的安全控制措施已到位。
四、先进
机构的网络安全管控能力已经达到同业先进水平。开始进行跨业务线的网络安全分析和管控,对业务风险决策责任进行了明确和分配,对大部分风险管理流程进行自动化控制,同时在此基础上进行持续的流程改进。
1.网络风险管理和监督
一是将网络风险偏好纳入机构的整体风险偏好当中。管理层建立了正式的流程来不断改进网络安全监督工作,业务部门负责有效管理与其活动相关的所有网络风险。管理层能够在网络攻击导致重大损失时查明其根本原因。管理层的行动考虑了该机构对同业造成的网络风险。二是利用行业认可的网络安全标准分析网络安全计划。网络安全战略和风险偏好明确了该机构作为金融业关键基础设施组成部分的角色。管理层正在不断改进现有的网络安全计划,以适应网络安全目标状态的变化。
2.威胁情报和协作
一是建立了网络情报模型并以之收集威胁信息。自动实时地从多个来源接收威胁情报。该机构的威胁情报涵盖了可能增加网络安全威胁的地缘政治事件。二是建立了专门的网络威胁识别和分析委员会来进行沟通并协调应对举措。制定了正式的流程,以解决从多个信源收到的信息中的潜在冲突。三是利用新兴的内外部威胁情报和相关日志分析来预测未来的攻击。。
3.网络安全控制
涵盖预防性控制、侦测控制、纠正性控制三个方面,内容较多,此处略。
4.外部依赖管理
一是在网络连接基础设施投产或变更前,对安全体系结构进行验证并记录。与第三方服务提供商密切合作,以保持和改善外部连接的安全性。二是针对第三方尽职调查活动制定持续的流程改进计划。每年对高风险供应商进行审计。三是在合同中要求第三方服务提供商的安全策略达到或超过本机构的安全策略。四是第三方员工访问第三方托管系统上的机密数据将被主动跟踪。
五、创新
机构在达到同业先进水平的基础上,持续进行创新活动。主要体现在:推动本机构、全行业来创新网络风险管理的流程和技术;制定新的控制措施、研发新的工具或创建新的信息共享组织;将实时预测分析与自动响应相关联等。
1.网络风险管理和监督
一是管理层根据董事会的指示,开发可能被全体同业采用的网络安全改进措施。董事会对管理层的行为进行验证,以明确其是否考虑到了该机构对电信、能源等关键基础设施造成的网络风险。二是建立了正式的变更管理流程,对各种变更请求进行管理,并识别和测量可能导致网络攻击风险增加的安全风险事件。在机构层面全面应用自动化工具来检测和阻止对软件和硬件的未经授权的更改。三是可识别和分析本机构和其他行业发生的网络事件的共性,以实现更具预测性的风险管理。建立了相关流程,以分析本机构的网络安全事件可能对整个金融行业造成的财务影响。四是实时更新风险评估,对新的风险进行预测。拥有自动化分析工具,可提供预测信息和实时风险指标。
2.威胁情报和协作
一是威胁分析系统会自动将威胁数据与特定风险关联起来,在提醒管理层的同时采取基于风险的自动操作。二是该机构使用多种情报来源,如相关日志分析、漏洞缺陷通报和地缘政治事件来预测潜在的攻击。三是IT系统会根据威胁情报和警报自动检测配置漏洞。建立了实时与业务部门共享网络威胁情报的机制,情报内容包括如果不采取措施可能造成的的潜在财务和业务影响。四是系统会自动通知管理层该机构特有的业务风险水平以及为缓解风险而推荐采取的流程步骤。
3.网络安全控制
涵盖预防性控制、侦测控制、纠正性控制三个方面,内容较多,此处略。
作者简介:
刘雪松(1982.11-),男,汉族,山东文登人,四川大学硕士研究生,主要研究方向:区域经济。
作者:刘雪松
风险评估电信网络安全论文 篇3:
2020年教育行业网络安全白皮书(下)
2019年政府工作报告中指出发展“互联网+教育”。教育行业机构多、系统多、数据多、影响面广,伴随信息化发展,教育信息系统面临着网络攻击、数据/个人信息泄露、勒索病毒入侵等网络风险,因此全面推进传统教育、在线教育、教育App的网络安全保障工作,提升教育行业整体安全防护水平至关重要。白皮书聚焦我国教育行业网络安全问题,对教育行业网络安全存在的风险原因进行了研究,并提出教育行业网络安全防护能力提升的相关建议。
教育行业网络安全问题分析
教育行业网络安全形势严峻,网络攻击面广泛、校园网用户群体安全防护能力不一、内外部威胁升级、教育DDoS频发以及信息泄露风险增强等因素导致教育行业网络面临的主要威胁现已发展到新阶段。中国软件评测中心网络空间安全测评工程技术中心对教育行业重要信息系统进行检查、等级保护测评、网络安全风险评估、漏洞监测挖掘,总结出教育行业仍存在的主要安全问题。首先,对教育信息系统的网络安全重视与投入不足,等级保护工作落实情况不佳;其次,教育信息泄露风险难以管控,网络安全管理不到位;此外,在线教育平台安全防护力度不够,防护能力薄弱。
网络安全重视力度不足
从全国总体来看,当前教育行业的网络安全投入普遍偏低,管理不善,存在未定期进行信息系统网络安全测评、网络安全设备应用率低、未定期进行漏洞扫描等问题。
中国软件评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和App的网络安全评估数据,针对2019年具有典型性、代表性的一些教育机构(以下简称样本机构)的测评数据进行了抽样分析,大部分样本机构主要依靠防火墙设备和漏洞扫描设备作为基本的安全防护设备,防火墙设备和漏洞扫描设备应用率为100%,IDS/IPS使用率为90.32%,堡垒机使用率为87.10%。分析数据可知样本机构不同程度进行了网络安全测评并上线了安全设备,但仍然存在安全问题,除防火墙等常规安全设备外,态势感知系统、上网行为管理系统、异地容灾备份设备的应用率分别为61.29%、54.84%、38.71%,安全网闸、防病毒网关、安全审计系统等设备也未见上线应用,样本机构在信息系统建设过程中,对网络安全的软硬件投入不足,新型网络安全设备应用率较低,防护类型单一。
调研数据显示,样本机构中仅29%的机构在信息系统建设与上线过程中进行了第三方网络安全验收测试。同时,聘任专业网络安全人员作为安全顾问的机构占比只有29%。通过调研管理制度发现教育行业人员对网络安全重视力度不够,存在“得过且过,形式上通过”的现象。
等级保护落实情况不佳
自2017年《中华人民共和国网络安全法》颁布以来,网络安全正式进入法制时代,履行网络安全等级保护制度成为网络运营者的基本义务。然而目前教育行业的等级保护制度还需进一步推进。迄今为止还有一定数量的高校、培训机构、在线教育平台未做过等级保护测评,而做过等级保护测评的机构中有相当比例存在一些测评项不达标、存在中危漏洞、测评分数不够高等情况。教育行业亟需加快落实步伐,进一步梳理信息系统,开展等级保护测评和系统安全加固工作。
中国软件评测中心网络空间安全测评工程技术中心结合对教育行业高等院校、培训机构、教育平台和App的网络安全评估数据,针对2019年具有典型性、代表性的一些教育机构等级保护测评数据进行分析,样本采集空间覆盖了多个教育领域从业机构,包括重点高校、普通职业院校、小初高学校、培训机构、在线教育平台等,样本采集时间覆盖了2019年等级保护2.0实施之前到等级保护2.0标准正式实施。
针对被抽样的样本数据进行整理分析,进行网络安全等级保护测评后只有35%的机构的信息系统达到良,55%的机构的信息系统测评结果为基本符合,其余10%测评结果为中。
从技术层面、管理层面的测评项符合率分析,符合率平均值为72.52%,部分符合率平均值为8.31%,测评项的不符合率超过了10%,平均值达到11.65%,说明被抽样教育机构在落实等级保护制度过程中,仍然有部分指标项不符合。
针对测评结果的问题项进行分析,被抽样机构信息系统中,平均每家机构的问题总数在整改后达到约38个,其中高风险级别的问题0个,中风险级别的问题整改后还有约29个,低风险级别的问题整改后约9个。在信息系统初测时问题项更多,经过运营方、开发方、测评方对重要问题提出整改方案,整改后仍然存在约38个问题项,因此信息系统的等级保护安全防护工作仍需加强。
针对以上高、中、低级别的风险通过雷达图进行综合分析可知,信息系统主要脆弱性的风险级别被判定为中风险级别,其问题量占比较高,由此可以预测教育领域其他信息系统的风险评估结果中,大部分将集中在中风险区间。
对被抽样的信息系统测评结果中具体的安全防护措施落实情况进行分析,结果显示技术方面和管理方面的安全防护措施仍然不足。一是存在弱口令问题;二是存在未合理进行权限划分的问题;三是存在未定期审计日志的问题;四是存在未聘请安全顾问、未委托第三方机构进行安全验证测试的问题。
安全风险管控手段落后
近年来,国内外教育行业已经发生多起数据库泄露事件,相关人员隐私权益遭受严重损害,涉案企业、机构声誉大打折扣,教育行业信息泄露原因多样导致风险难以管控。
一是相关标准规范制定滞后。随着教育信息化的快速发展,教育机构、在线教育平台等掌握的隐私信息爆发式增加,在个人数据保护、教育信息防泄露等方面的标准规范和测评规范需要及时跟进。《中华人民共和国网络安全法》规定网络产品、服务具有收集用户信息功能的,其提供者应当向用戶明示并获得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息,并规定了相应法律责任。GB/T35273-2020《信息安全技术个人信息安全规范》正式发布并规范了互联网信息化进程中的公民个人信息保护原则和要求。作为推荐性国家标准,其只是在企业的网络安全合规建设、信息保护与权限采集过程中起到参考作用。2020年5月25日,十三届全国人大三次会议上全国人大委员会工作报告中指出将制定个人信息保护法、数据安全法。其实2019年12月实施的等保2.0标准已经把大数据安全纳入监管体系,2019年5月国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》也在个人隐私、App过度索取权限等涉及隐私泄露等问题方面做出了明确规定。2020年5月28日通过的《中华人民共和国民法典》第六章“隐私权与个人信息保护”明确了隐私权、个人信息的定义,以及个人信息主体的权利和信息处理者的安全和保密义务等内容。我国正在逐步建立个人数据保护相关的基础法律体系,因此需要同步制定适用于教育行业的细化法规、标准、规范体系。
二是管理措施不够完善。教育机构各类业务系统的快速增加,各类隐私信息分布存储在各个业务系统和办公终端上,导致业务分散且增加了管理难度,相应管理措施很难实时掌握敏感信息状态。
三是数据库防护手段薄弱。当前教育行业相关单位的主要安全防护手段以网络各区域实施访问控制策略为主,以防火墙、入侵防御相关设备策略为辅来实现访问控制与数据保护。但针对数据库本身漏洞的防御能力低,数据库产品暴露0-day漏洞、受SQL注入攻击等情况可能成为安全短板,给黑客可乘之机。
四是大量数据以明文形式存储。随着教育行业信息化程度的提高,学籍、身份、健康、成绩等大量敏感信息集中存储在数据库系统中。数据明文存储机制使得敏感数据面临被篡改、被窃取的威胁,安全风险大大增加。
五是监控手段不足。敏感、隐私信息在教育机构各类业务系统中相互频繁调用,没有有效的监控手段,导致非法调用、越权使用、违规批量下载等行为严重失控,如果教育机构在数据管理过程中不进行主动脱敏,则敏感信息泄露的风险进一步增加。
网络安全管理监督缺位
当前教育行业存在不同程度的网络安全管理制度不完善、机构安全管理职责不明确、人员网络安全意识薄弱、事前和事中监督缺位严重等问题。
网络安全管理制度包括信息安全管理总体方针策略、安全管理活动制度规范、日常管理操作规程表单等,是信息系统的建设、开发、运维、升级和改造等环节遵守的行为规范总体。未制定网络安全管理制度或信息安全管理制度不完善,将无法对信息安全管理过程中的行为进行规范和约束,增加了由于人员操作失误造成信息安全事故的风险。同时,教育机构如无完整的网络安全事件应急响应预案,或者未形成应急演练机制,则应对重大安全事件的能力和业务恢复能力都无法得到验证。网络安全管理机构职责不明确将导致网络安全管理制度无法有效落实,无法使网络安全管理制度产生相应的效力,增加网络安全事件发生的风险,同时也是网络安全事件发生后管理职责不明、责任划分不清、风险溯源困难的原因。
网络安全管理人员安全意识薄弱是造成信息泄露事件、运维过程中产生重大失误、系统攻击面增加的重要原因。网络安全管理人员的安全意识和业务能力没有保障,则人为操作失误带来的风险的可能性增加。
事前和事中监督形同虚设,存在缺位现象。一旦遭遇网络安全事件,用“事后监督”来弥补,但是事后监督存在滞后性、被动性,无法充分保证网络运营和教育数据资源流通的全流程安全。教育行业中态势感知系统、上网行为管理系统、第三方网络安全验收测试、专业网络安全顾问等安全防护与管理措施缺位,进一步导致对教育信息系统缺少刚性监督,无法保证安全管理机构、安全管理制度、安全管理人员等措施的实效。
在线教育防护能力薄弱
在线教育平台的迅速崛起和发展对教育行业引入了新的网络安全风险,从侧面反映出在线教育平台的安全防护力度依然不够。
在线教育平台依托云计算资源是一种广泛采用的服务方式,云计算环境使得教育数据面临的安全威胁更为复杂。一是外部威胁层出不穷,云平台、租户都可能成为入侵对象且威胁类型多样(如拒绝服务攻击、端口扫描、木马后门、强力攻击、缓冲区溢出攻击、IP碎片攻击、蠕虫病毒等);二是云平台存在虚拟机滥用、租户隔离失效、数据被泄露、篡改或丢失、应用程序接口安全以及代码级安全等问题;三是在云服务模式下安全责任划分不清晰、业务权限不透明、难以进行数据审计追责等问题,云平台和租户要时刻保持“在线教育上云无法做到绝对安全”这种意识。
同时,在线教育平台和教育信息系统运营机构在数据安全管理方面存在盲区。在线教育平台通过账号注册采集、检索与审计、网络爬虫等技术可以获取学生基本信息、家庭信息、学习信息、恋爱社交信息及其他敏感数据。一些在线学习App推出课程订阅与资料采购服务,需要进行实名身份认证,个人基本信息、金融支付信息、物流收货信息是必须采集项。目前没有源码审计、白盒审查之外的方法可以判别应用是否访问通讯录、聊天记录、个人浏览记录等信息,但毫无疑问这些都属于敏感个人信息。在线教育平台在进行用户数据提取与业务处理过程中存在着数据安全管理盲区。一是数据收集过程中存在过度问题;二是数据处理使用过程中未有效通过技术和管理并重的方式进行数据安全保护,例如关键信息未脱敏公布;三是平台、师生用户的主观信息保护意识不强。
教育行业网络安全保障建议
根据纵深防御思想以及等级保护中一个中心、三重防护的理念,结合教育行业网络安全总体形势和在线教育平台及App安全保障需求,建议从以下几方面保障教育行业网络安全。
切实做好基础设施安全防护
教育信息系统、在线教育平台运营者需重视网络基础设施的安全防护。物理安全是系统安全的基础,保障系统物理安全工作的重点是保护机房安全。无论是教育机构自建机房还是云平台托管机房,其安全运营维护需要关注以下几点。一是使用专用的物理空間建设机房;二是确保机房附近没有水源,防止用水设备故障影响机房设备正常运行;三是为机房设置门禁系统并避免闲杂人员访问,控制、鉴别和记录进入的人员;四是做好防雷击、防静电、防火、防水和防潮措施,防止机房和空调系统的水蒸气结露和地下积水的转移与渗透;五是确保机房具备冗余供电措施,建设灾备机房并实时备份数据。
持续推进三重防护安全建设
教育信息系统、在线教育平台运营者需严格按照“一个中心,三重防护”的安全建设理念,持续推进网络三重防护建设。网络三重防护包括安全通信网络、安全区域边界、安全计算环境,涵盖了交换机等网络设备、防火墙等安全设备、服务器等计算存储设备、操作系统与中间件等软件基础设施、数据库与业务系统等上层应用。
建设安全通信网络。安全通信网络是系统网络架构的部署形式,设计合规的网络架构是保证网络、通信传输、可信验证等安全要求达标并保护信息系统安全的前提。从网络规划阶段就应重视网络架构安全设计。
建设安全区域边界。安全区域边界是系统实现边界防护、访问控制、安全审计、入侵防范和恶意代码防范、可信验证的重要基础,使用安全设备提高网络安全防护能力也是教育信息系统安全运行的必要措施。网络中应部署IDS/IPS、防毒墙、WAF、资源监控系统、垃圾邮件检测系统、上网行为管理系统、堡垒机、日志服务器等安全设备,并定期更新安全设备的规则库和系统版本。
建设安全计算环境。安全计算环境包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等防护内容。基于教育行业网络安全风险点以及中国软件评测中心网络空间安全测评工程技术中心对样本机构的脆弱性分析,建议重点关注登录口令复杂度、账户权限分离、安全审计等内容。
设备和软件安全的第一道防线是身份鉴别,黑客攻击系统的一般方法首先是猜测或爆破登录口令然后再进行其他破坏操作,建议从以下几方面加强用户口令安全:一是严格按照网络安全等级保护标准要求,为设备和软件配置符合标准规范的口令并定期更新;二是避免存在设备出厂默认口令;三是避免使用共享賬号,严格落实账号权限分离策略;四是使用双因素身份鉴别方式;五是安全审计功能目的在于进行网络安全事件溯源、安全事件处理、系统故障修复、运维记录审计、事件预防与事后惩戒等。要保护审计进程和审计记录,使用网络审计和数据库审计系统对日常操作行为进行审计。
重点提升信息泄露防护能力
教育信息系统、在线教育平台运营者需从技术、管理层面同时发力提升信息泄露防护能力。师生群体以及其他线上教育参与者需要增强数据安全保护思想意识。
提升数据安全保护技术能力。运营重要信息系统,掌握大量教育数据的机构可提升以数据安全为核心的防护技术能力,保证教育信息安全,避免数据泄露事件频发。一是针对运营的海量教育数据建立一个统一的大数据处理平台,对产生的数据进行保护、挖掘、分析以及利用,对数据特征进行识别;二是通过高强度、安全可靠的透明加密为重要信息提供有力保护,保证敏感关键信息无论何时何地都是加密状态,可信环境内,加密文档可正常使用,在非可信环境内无法访问加密文档;三是建立全面的信息防泄露溯源追责机制,通过防泄露技术进行技术防护,通过完整的文档、操作审计发现风险触发点,做到事中研判防御,事后溯源追责。
同时,广泛调研国内大数据关键技术发展情况,实现教育领域大数据安全技术可控是保护数据安全的重要手段之一。在教育行业信息系统的建设、运营、大数据中心搭建、教育机构门户运维等工程中支持国内研发的产品应用,为大数据关键技术发展提供更稳定安全的环境。
健全数据安全保护制度体系。针对教育行业个人信息保护工作不佳,数据泄露事件时有发生的情况,应当从立法、立标、树规、贯标等方面对信息安全技术防护体系进行管理上的补充,提升“三分靠技术,七分靠管理”的安全意识。
目前数据安全与个人信息保护相关法规正在研制出台中,数据安全合规性需求将进一步加大。针对数据安全保护、信息泄露事件的监管将进入法制时代,基础法规的颁布需要行业领域内制定具体的标准规范进行贯彻,通过国家标准或行业标准对教育行业关键信息、敏感数据进行分类分级管理。可以用数据标签对创建数据、应用数据、存储数据、传输数据和销毁数据提供技术上和操作上的规范要求。对于关系到教育行业发展以及系统用户个人信息的重要数据,需严格控制其存储位置、传输和使用方式。
增强数据安全保护思想意识。在教育行业中的数据泄露问题处理方面,尤其需要增强用户的网络信息安全意识。针对受教育群体而言,他们是教育信息系统、在线教育平台、App、微服务等应用程序的前端用户,需要提升应用使用安全意识,形成安全习惯。一是开启个人电脑的防火墙,安装木马和病毒查杀软件,养成定期进行PC端、移动端病毒查杀与漏洞扫描的习惯;二是更换手机时及时删除个人信息,注销使用过的教育平台账号时需要将历史记录,敏感信息进行清除;三是谨慎使用公共WiFi,尤其是一些无密免费WiFi;四是不轻易填写在线调查问卷;五是与同学和亲友等熟人交往时保持一定程度的警惕,严格遵循敏感信息最少化、密钥信息不泄露的原则,谨防社会工程学攻击。
全面建设安全管理监督体系
建立应急响应预案机制。教育机构要严格落实《中华人民共和国网络安全法》要求,形成网络安全事件应急响应机制,重视并建立教育系统网络安全应急预案,进行预案培训与演练。教育领域内高校、培训机构、在线教育平台等机构根据自身组织特点差异及时修订并优化应急响应预案,形成网络安全应急保障协调联动机制,提升应急处置能力,保证发生安全事件时系统运维人员能有步骤有策略地应对,降低机构和社会损失。
完善信息安全管理体系。针对网络安全管理制度不完善、机构安全管理职责不明确、人员网络安全意识薄弱等问题,针对性地制定机构内部制度体系,使安全管理工作步入常态化、规范化。对于科研高校等非市场化经营的机构而言,在没有进行ISO27001信息安全管理体系认证的情况下,要对已有信息安全管理体系进行整改完善,一是建设符合ISO27001标准的信息安全管理体系,包括总体方针策略、各类网络安全活动制度、日常管理操作规程、制度落实的记录表单等;二是教育机构结合自身教学业务特色,充分借鉴ISO27001标准中PDCA循环思想,在人、技术、操作三个层面建立可持续优化的安全防护体系。
加强网络安全人员管理。教育机构要加强网络安全人员管理,建立内部运维管理团队,提高人员网络安全专业技能和网络安全防护意识。一是完善岗位设置,在人力资源充足的条件下尽量避免网络管理员、安全管理员、安全审计员这三个岗位兼任;二是加强人员培训,根据业务需求为不同人员提供与其岗位对应的技能培训;三是强化人员考核,通过考核督促相关人员主动提高专业技能,并提高培训效果;四是把控外包风险,服务外包形式的前提要有自己的专业人员领导,因此要把控外包给第三方公司所存在的安全风险;五是进行专业人才培养,解决教育行业信息化进程中网络安全人才缺乏难题。
全面开展在线教育系统
等保测评
通过等保备案、测评工作,规范在线教育平台建设,提升安全防護能力。在线教育平台及教育行业大数据平台运营方(学校、培训机构、云厂商)应该按照《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)的规定,严格落实国家网络安全基本要求,教育领域信息系统作为关键信息基础设施,需严格按网络安全等级保护制度进行保护。网络安全测评机构作为大数据安全保障的主力军,需要对教育大数据平台运营者进行全流程的安全咨询、测试、评估、认证、培训。
通过开展等保备案、测评工作,做好在线教育平台个人信息保护工作。在线教育平台和应用开发方应在技术层面深入分析大数据平台基于开源软件、按需搭建的架构,对于此类情况的应用应重点进行安全防护,并进行网络安全风险评估,大数据平台应用、接口、App应进行源代码安全审查与渗透测试,查补漏洞防止发生信息泄露事件;在管理层面要提升数据治理能力,做好多源数据汇集与敏感数据脱敏等工作,防止在数据开放、共享过程中存在泄露、滥用等安全问题。
引导规范教育App
合规性备案
教育App、在线教育平台运营者需严格进行App合规性备案,行业监管机构和安全服务商应引导教育机构完成教育App合规性备案工作。
2019年8月,教育部、中央网信办、工业和信息化部、公安部等八部门联合印发《关于引导规范教育移动互联网应用有序健康发展的意见》,将教育App进行分类。2019年11月,教育部办公厅印发了《教育移动互联网应用程序备案管理办法》,该办法高度重视教育移动应用备案工作,要求分阶段完成教育移动应用备案工作,并将2019年12月1日至2020年1月31日列为ICP备案和等级保护备案缓冲期。教育移动应用提供者未在1月31日前完成ICP备案和等级保护备案的,其教育移动应用备案将被撤销并予以通报。截至2020年4月底,教育移动互联网应用程序备案管理系统累计公布了1431家企业的3180个教育App备案。2020年5月,教育部科技司发布了《关于做好教育App的ICP备案和信息系统网络安全等级保护定级备案工作的公告》,公告表示教育App的ICP备案和信息系统网络安全等级保护定级备案时间因新冠肺炎疫情影响而延期至2020年6月30日。7月1日起,将对未按时完成备案的教育App提供者进行通报,并限时1个月整改。对于7月31日前未完成整改的,将撤销其教育App备案。同时,ICP备案以工信部网站查询截图为准,网络安全等级保护定级备案以公安机关的备案证明为准。
教育、互联网电信主管部门高度关注教育移动互联网应用程序App备案工作。教育App应用程序量大、用户规模众多、处理数据广泛,因此提升行业整体网络安全防护能力的必要条件是补齐木桶原理中的每一环节短板,后续需要监管机构和App开发运营机构共同发力,引导规范教育移动互联网应用程序App的合规性备案工作,同时进行App应用符合性评估,充分保证App安全。
作者:中国软件评测中心 网络空间安全测评工程技术中心
相关文章:
中国电信网络安全防护02-08
沙石料供应合同02-08
关于防范电信诈骗的安全警示02-08
电信网络信息安全论文02-08
电信安全生产管理之我见02-08
浅议电信互联网安全保障体系的构建02-08
电信网络安全探析论文02-08
风险评估电信网络安全02-08
村级巡查问题整改措施,整改方案02-08
