首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2019 > 正文

首批教育APP備案名單公布，APP安全也該提上日程了

閱讀量：次

12月16日，教育部公布了首批教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（教育APP）備案名單，152款應(yīng)用獲得通過。此前，教育部印發(fā)《教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》，要求各單位要在2019年12月1日至2020年1月31日前完成對(duì)現(xiàn)有教育移動(dòng)應(yīng)用的備案工作，2020年2月1日起，公共服務(wù)體系將向社會(huì)公眾提供備案信息查詢，接受社會(huì)監(jiān)督。

哪些教育APP需要備案？如何滿足備案里面提及的要求？安恒信息安全專家就《教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》，給大家做一個(gè)簡單的梳理和解讀：

教育APP的定義

應(yīng)用名稱：教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（教育APP）
用戶：教職工、學(xué)生、家長為主要用戶
應(yīng)用場景：以教育、學(xué)習(xí)為主要應(yīng)用場景
服務(wù)內(nèi)容：服務(wù)于學(xué)校教學(xué)與管理、學(xué)生學(xué)習(xí)與生活以及家?；?dòng)等方面的互聯(lián)網(wǎng)移動(dòng)應(yīng)用

高校教育APP應(yīng)用范圍

治理行動(dòng)的對(duì)象：高等院校服務(wù)于學(xué)校教育教學(xué)和廣大師生工作生活的管理服務(wù)類教育移動(dòng)應(yīng)用。學(xué)校自主開發(fā)、自主選用和上級(jí)部門要求使用的教育移動(dòng)應(yīng)用。
治理目標(biāo)：數(shù)據(jù)泄漏、內(nèi)置廣告、收集個(gè)人隱私信息

本次整治包括哪些APP類型？

APP的形式：獨(dú)立APP、微信公眾號(hào)、微信小程序
公開應(yīng)用商店：百度、阿里、騰訊及手機(jī)廠家軟件商店

教育APP備案的負(fù)責(zé)部門

省級(jí)教育行政部門負(fù)責(zé)統(tǒng)籌本地區(qū)教育移動(dòng)應(yīng)用備案管理工作，組織本地區(qū)的教育移動(dòng)應(yīng)用提供者開展提供者備案。
組織所屬單位并指導(dǎo)本地區(qū)的教育行政部門和學(xué)校做好使用者備案。

教育APP備案步驟和內(nèi)容

1、互聯(lián)網(wǎng)信息服務(wù)（ICP）備案（工信部）

2、網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案和測評(píng)報(bào)告（公安網(wǎng)安）

3、提交到備案的網(wǎng)站是國家數(shù)字教育資源公共服務(wù)體系（網(wǎng)址：http://app.eduyun.cn，以下簡稱公共服務(wù)體系）

4、提交備案完整信息、ICP信息和等保定級(jí)和檢測報(bào)告

向誰備案？

教育行政部門、學(xué)校、企業(yè)和社會(huì)組織均向其住所地或注冊地省級(jí)教育行政部門進(jìn)行提供者備案。省級(jí)教育行政部門開發(fā)的教育移動(dòng)應(yīng)用向教育部進(jìn)行備案。
小程序、企業(yè)號(hào)等平臺(tái)第三方應(yīng)用統(tǒng)一到平臺(tái)方提交備案信息，并由平臺(tái)方向教育部共享備案信息。

如何保障教育APP安全運(yùn)行？

《教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》中提到，要提高事中事后監(jiān)管能力。各單位以備案為基礎(chǔ)建立監(jiān)測預(yù)警通報(bào)機(jī)制，及時(shí)發(fā)現(xiàn)、處置問題隱患和安全事件；省級(jí)教育行政部門應(yīng)建立本地區(qū)的監(jiān)測預(yù)警通報(bào)機(jī)制，并與教育部進(jìn)行數(shù)據(jù)共享。

這就需要從監(jiān)管單位、教育APP用戶和APP提供商、安全廠商三個(gè)角度來考慮：

01?監(jiān)管單位側(cè)

教育APP軟件資產(chǎn)摸底：?

方法一：通過各個(gè)單位APP備案統(tǒng)計(jì)；

方法二：通過技術(shù)手段，主動(dòng)探測和識(shí)別教育APP軟件系統(tǒng)。

教育APP軟件漏洞監(jiān)管：

通過安恒信息的大數(shù)據(jù)監(jiān)測服務(wù)技術(shù)手段，實(shí)現(xiàn)教育APP軟件及整個(gè)系統(tǒng)的安全態(tài)勢感知，并結(jié)合本地的網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報(bào)服務(wù)平臺(tái)進(jìn)行整改任務(wù)的下發(fā)和執(zhí)行情況的監(jiān)督等，夯實(shí)教育移動(dòng)應(yīng)用APP安全狀態(tài)和安全風(fēng)險(xiǎn)。

02?教育APP用戶及APP提供商側(cè)

針對(duì)自己所使用的教育APP軟件進(jìn)行專業(yè)化的SDK和開源代碼的安全風(fēng)險(xiǎn)評(píng)估，從APP軟件側(cè)產(chǎn)生數(shù)據(jù)到數(shù)據(jù)中心側(cè)的傳輸和處理以及存儲(chǔ)的全生命周期進(jìn)行安全自測和加固服務(wù)，參照標(biāo)準(zhǔn)等級(jí)保護(hù)2.0基本要求中的通用要求+擴(kuò)展要求內(nèi)容，要求對(duì)APP軟件的開發(fā)者進(jìn)行安全意識(shí)教育和安全開發(fā)生命周期的管理工作。

03??安全廠商側(cè)

安恒信息依托教育部的應(yīng)用安全監(jiān)測和通報(bào)預(yù)警服務(wù)、聯(lián)合CERT為代表的專業(yè)APP測評(píng)機(jī)構(gòu)所做測評(píng)鑒定服務(wù)經(jīng)驗(yàn)，提供專業(yè)的整體解決方案，從事情預(yù)警、事中監(jiān)測、事后管控進(jìn)行全方位的一體化綜合治理。

一是事前預(yù)警，安恒信息安全監(jiān)測預(yù)警通報(bào)平臺(tái)或監(jiān)測服務(wù)提供APP軟件的資產(chǎn)摸底，主動(dòng)在線探測和識(shí)別教育類APP軟件客戶端和業(yè)務(wù)系統(tǒng)所在的計(jì)算區(qū)域等。通過探測發(fā)現(xiàn)教育類APP軟件系統(tǒng)存在的漏洞信息，并結(jié)合安恒信息行業(yè)內(nèi)的威脅情報(bào)大腦信息，判斷可能的安全風(fēng)險(xiǎn)，提前通過安全監(jiān)測預(yù)警通報(bào)平臺(tái)或監(jiān)測服務(wù)的方式，發(fā)布給監(jiān)管單位或者APP使用者安全預(yù)警信息，提前做好防范和整改工作。

二是事中監(jiān)測，當(dāng)教育類APP軟件遠(yuǎn)程接入到業(yè)務(wù)系統(tǒng)所在的計(jì)算區(qū)域進(jìn)行數(shù)據(jù)交互、處理和存儲(chǔ)數(shù)據(jù)時(shí)，玄武盾或者云端安全監(jiān)測引擎節(jié)點(diǎn)就會(huì)實(shí)時(shí)檢測到安全風(fēng)險(xiǎn)，并上報(bào)到安全監(jiān)測預(yù)警通報(bào)平臺(tái)或安全監(jiān)測服務(wù)中心，通知相關(guān)人員進(jìn)行處理。

三是事后管控，當(dāng)遇到APP軟件有重大安全事件發(fā)生，或通過預(yù)警研判有違規(guī)訪問行為發(fā)生、或?qū)l(fā)生重大突發(fā)安全事件時(shí)，部署在本單位內(nèi)的安全監(jiān)測預(yù)警通報(bào)平臺(tái)和玄武盾，可以及時(shí)管控移動(dòng)終端APP與業(yè)務(wù)數(shù)據(jù)中心之間的異常交互行為，且在安全監(jiān)測預(yù)警通報(bào)平臺(tái)上同時(shí)發(fā)布高危的告警提示，讓安全管理著第一時(shí)間進(jìn)行處理，防止安全事件蔓延。

安恒信息提供安全監(jiān)測預(yù)警通報(bào)平臺(tái)或安全監(jiān)測服務(wù)、漏洞監(jiān)測服務(wù)、漏洞加固、玄武盾、天池云安全等保一體機(jī)等，為教育APP安全穩(wěn)定運(yùn)行提供技術(shù)保障，實(shí)現(xiàn)教育APP安全態(tài)勢可視化，提高事中事后監(jiān)管能力。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>