“等保专家”拍了拍你,在线教育平台这样过等保!
摘要:
教育作为国家的基础性事业,教育行业信息系统的安全问题不得不重视。
2019年3月1日,教育部科技司印发了《教育部科技司2019年工作要点》,其中有一项就是要求加强教育系统的网络安全保障能力。
2019年8月,教育部等八部门关于引导《规范教育移动互联网应用有序健康发展的意见》发布,其明确提出,教育移动应用(教育APP)提供者应当进行ICP备案和等级保护备案工作,向机构住所地的省级教育行政部门进行教育业务备案,登记单位基本信息和所开发的教育移动应用信息。
对于未按时完成 ICP 备案和等级保护备案的教育移动应用,其教育APP备案将被撤销,还会被予以通报。
一句话,
在线教育平台的等保备案变成了刚需!
但由于之前没有接触过等保工作,很多在线教育平台的主管单位及其负责人还处于“等保小白”的状态,对“在线教育平台怎么过等保”没有一点头绪。
在线教育平台等级保护怎么做?
青莲为您支招!
作为等保方面的专家,此前,青莲就已经帮助某在线教育平台成功通过二级等保认证。
客户信息
客户所建立的在线教育平台提供在线视频学习、练习、考试、答疑,内容包括精讲、串讲、模考、答疑、直播,涉及自考、成考、职业资格等教育,为机构提供录播、串讲、直播、答疑等多种在线教学方式,学员可在电脑、微信、APP等多终端进行同步自主学习。
客户的安全等保需求
1、客户要求其在线教育平台拿到信息安全等级保护二级备案证明;
2、客户之前没有做过等保,需要我们对等保工作提供一站式的等保合规建设指导服务;
3、客户系统部署在阿里云中,需要我们指导客户购买和指导部署阿里云安全产品及技术支持服务。

一站式等保服务
基于客户信息和客户的安全等保需求,青莲提供了一站式等保服务,帮助客户发现并解决了其在校教育平台信息系统存在的安全问题。
经青莲的技术人员排查发现,该在线教育平台的信息系统存在以下几个安全技术层面的问题:
1、安全通信网络:未基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
2、安全区域边界:
①阿里云审计记录采用阿里云OSS存储并定期备份,目前审计记录仅保存2个月;
②未基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
3、安全计算环境(网络):
①阿里云控制台:采用阿里云OSS存储,但未保存6个月;
②阿里云控制台:通过阿里云安全中心发现漏洞,但未定期漏扫,无修复和评估方案;
③阿里云控制台:未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;
4、安全管理制度:未定期对安全管理制度的合理性和适用性进行论证和审定。
5、安全计算环境(DB):阿里云RDS-SQLServer版;未开启ssl传输。
6、安全管理制度:未定期对安全管理制度的合理性和适用性进行论证和审定。
7、安全运维管理:未制定办公环境管理制度对不随意放置含有敏感信息的纸档文件和移动介质等作出规定。

针对该在线教育平台存在的问题,青莲提供了专业的解决方案:
依据相关等级别保护设计标准,通过部署WAF以及网页防篡改系统等多种安全防护产品,增强该在线教育平台不同区域间业务用户访问控制能力,提升边界抵御内部攻击行为的能力。

同时,青莲还提供了全程的咨询和指导服务,帮助客户提高了业务系统安全运维的效率和管理水平。
最终,该在线教育平台成功通过国家二级等保认证,合规履行了网络安全义务。