疫情期間在線教育app風聲水起，但你的教育app等保備案了嗎？

近年來，信息安全問題屢見不鮮，在線教育行業(yè)監(jiān)管趨嚴。2019 年 11 月，教育部辦公廳印發(fā)《教育移動互聯(lián)網(wǎng)應用程序備案管理辦法》，明確指出：2020 年 2 月 1 日起，未完成 ICP 備案和等級保護備案的教育移動應用備案將被撤銷，并予以通報；2 月 1 日起，網(wǎng)絡安全等級保護 2.0 全面實施。

找不到合適的機構來做等保合規(guī)項目怎么辦？等保流程復雜，測評機構沒能及時申請到備案怎么辦？備案需要整改的項目又要怎么辦？

在線教育安全合規(guī)正當時，為了向行業(yè)普及等保 2.0 標準和等保安全備案的必要性，華為云舉辦「在線教育機構為何需要等保備案」沙龍活動，邀請教育部管理信息中心和中國軟件測評中心的專家對相關政策和等保 2.0 標準進行權威解讀，答疑解惑。

1、邁入等保 2.0 時代， 從口頭警告到真金白銀

等保備案是網(wǎng)絡安全等級保護定級備案的簡稱，是網(wǎng)絡安全等級保護 2.0 時代的資質審查報備。對在線教育機構而言，等保證明及測評報告，既是對產(chǎn)品專業(yè)性、安全性、合規(guī)性的認定，也是業(yè)務開展過程中的重要資質證明。

教育部教育管理信息中心網(wǎng)絡安全處處長邵云龍重點介紹了與等保 1.0 相比，等保 2.0 標準的一變化，即從口頭警告到真金白銀的常態(tài)化執(zhí)法?！毒W(wǎng)絡安全法》第五十九條明確規(guī)定，網(wǎng)絡運營者不履行相關網(wǎng)絡安全保護義務規(guī)定的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。邵云龍指出，隨著《教育部等八部門關于引導規(guī)范教育移動互聯(lián)網(wǎng)應用有序健康發(fā)展的意見》提出建立備案制度，安全性評估、ICP 備案、等保備案及測評成為備案前置條件，教育部正啟動專項行動，加強統(tǒng)籌管理，治理應用亂象，通過主動監(jiān)測、社會監(jiān)督、大數(shù)據(jù)監(jiān)管來監(jiān)督措施落地。

中國軟件評測中心網(wǎng)絡安全中心副主任張德馨，則通過解讀安全等保 2.0 新政策，指出相比等保 1.0 標準，等保 2.0 標準在保持等級保護「五個級別」不變、五個「規(guī)定動作」不變、等級保護工作相關參與主體「主體職責」不變的基礎上，除從口頭警告變?yōu)檎娼鸢足y的常態(tài)化執(zhí)法，還有「四大變化」。

第一變，從等保 2.0 的發(fā)布背景來看，已從國務院的條例上升到了國家法律的要求。等保 2.0 源自 2017 年所頒布的《中華人民共和國網(wǎng)絡安全法》。2019 年，國家又陸續(xù)頒布了《網(wǎng)絡安全等級保護條例》及等級保護新標準體系，法規(guī)命名也從信息安全改為網(wǎng)絡安全。可見，法規(guī)體系層級更高，網(wǎng)絡安全日益重要。

第二變，是體系框架和保障思路的變化。原來等保 1.0 沒有完整的體系思路，以防為主。而今等保 2.0 變成了事前、事中、事后，防不住要審計，出現(xiàn)問題還可以事后溯源。保障思路上，由 1.0 防御審計的被動保障向感知預警、動態(tài)防護、安全檢測、應急響應的主動保障體系轉變，增加了風險評估、安全監(jiān)測、通報預警、態(tài)勢感知等新的安全要求。

第三變，是定級備案方面的變化。首先是定級對象的變化。等保 1.0 定級的對象是信息系統(tǒng)，等保 2.0 則對定級對象進行了更明確的規(guī)定。由于等級保護對象及范圍的全覆蓋性，大部分企業(yè)的內(nèi)部網(wǎng)站及信息系統(tǒng)，對外的網(wǎng)站、應用程序都會被納入等級保護的范圍。并且，以前是自主定級，等保二級不要專家評審，現(xiàn)在則需專家評審；

第四變，是測評整改方面的變化。測評次數(shù)上，等保 2.0 要求第三級及以上網(wǎng)絡運營者每年開展一次網(wǎng)絡安全等級測評。對四級網(wǎng)絡來說，測評周期下調(diào)會帶來部分便利，但并不意味著安全防護和檢查要求降低；測評實施內(nèi)容上，等保 2.0 標準拆分成一個通用要求和五個安全擴展要求。不管等級保護對象的形態(tài)如何，必須首先使用安全測評通用要求部分進行測評。對于使用特定技術或特定形態(tài)的等級保護對象，再使用相對應的安全測評擴展要求部分進行測評；測評結論上，等保 1.0 標準中 60 分以上算及格，而今 70 分才算及格；控制點和要求項也發(fā)生了變化，與等保 1.0 相比，等保 2.0 控制點基本持平，要求項大量減少，對冗余項進行了刪減。

2、二級還是三級，白名單或黑名單，等保煩惱多多

除了《網(wǎng)絡安全法》等法律法規(guī)對教育 App 及時等保備案、合法合規(guī)的要求，法律驅動之外，等保的急迫性與重要性也有在線教育機構自身業(yè)務發(fā)展的內(nèi)需原因。

2019 年初起，教育部辦公廳發(fā)布《關于嚴禁有害 APP 進入中小學校園的通知》，隨后廣東省發(fā)布《校園學習類 APP 管理暫行辦法》，將等保二級列為進校必備條件。后為了保證學習類 APP 管理辦法盡快實行，將必備調(diào)整為鼓勵，并且對已完成等保的 APP 優(yōu)先推薦。并且規(guī)定，2020年 1 月 1 日之后申報廣東省校園學習類 APP 白名單的，應通過網(wǎng)絡安全等保測評與備案。由此可見，等級保護對于市場拓展、業(yè)務發(fā)展，必不可少。

此外，以等保為契機，統(tǒng)一系統(tǒng)化進行安全規(guī)劃和建設，可提高在線教育機構的整體安全保障水平，有效應對和解決信息系統(tǒng)面臨的威脅和存在的問題，優(yōu)化安全資源分配，將有限的財力、物力、人力投入到重點地方，發(fā)揮最大的安全經(jīng)濟效益。

另外，教育 APP 的安全問題，教育部門高度重視，尤其是教育 APP 存儲大量學生信息，一旦遭受攻擊或信息泄露，無論是對企業(yè)自身還是教育用戶都有嚴重危害。種種事件，前車之鑒，也倒逼著教育企業(yè)及時開展等級保護工作。因而《教育移動互聯(lián)網(wǎng)應用程序備案管理辦法》才會明確要求所有教育移動應用在 2020 年 1 月 31 日前完成對現(xiàn)有教育移動應用的備案工作，并結合實際建立本地區(qū)、本單位的備案信息動態(tài)更新機制，確保數(shù)據(jù)準確性。對備案工作落實不到位的教育行政部門和學校予以約談、通報；對存在違法違規(guī)或違反《意見》要求且整改不及時的，將列入教育移動應用提供者黑名單，向教育系統(tǒng)通報，并撤銷涉事教育移動應用備案；涉事單位六個月內(nèi)不得再提交備案申請。

但在落實上述政策時，出現(xiàn)了執(zhí)行標準不一、不同部門對業(yè)務理解各異等問題，讓在線教育機構頗為煩惱。舉例來說，依據(jù)等級保護 2.0 要求， 等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生特別嚴重損害，定級為三級，原定級為二級。有教育機構表示，企業(yè)自主定級為二級，但相關部門定級為三級，對二級網(wǎng)絡來說，每年僅需向公安機關提交一份自查報告，定為三級意味著企業(yè)要面臨更高的測評、整改成本，對用戶規(guī)模以千萬到億計數(shù)的大公司尚能承擔，小公司卻叫苦不迭。除定級問題外，提供者備案需提交的材料各地要求也有出入。等級保護 2.0 基本要求，既有技術要求，又有管理要求。其中三級技術要求，控制點 34 個，測評項 96 個；三級管理要求，控制點 37 個，要求項 115 個，不可輕視。

3、快速、省心、優(yōu)質，等保三大訴求如何解？

據(jù)悉，等級保護工作流程，共分五步。第一步，系統(tǒng)定級，需確定定級對象、確定系統(tǒng)等級、撰寫定級報告；第二步系統(tǒng)備案，需聯(lián)系網(wǎng)監(jiān)，填寫備案表，提交材料審核；第三步建設整改，需依據(jù)等保標準進行自查和建設；第四步，等級測評，需具有相應資質的測評機構開展測評工作；第五步，監(jiān)督檢查，需公安網(wǎng)監(jiān)機關對信息系統(tǒng)實施監(jiān)督檢查。教育 App 提供企業(yè)要完成等保認證，需歷經(jīng)定級、備案、評估、整改、第三方測評、持續(xù)合規(guī)等不同階段，每個階段要求不同，各有側重，可謂費時費力。

活動現(xiàn)場，不少在線教育機構代表人紛紛表示，由于缺乏對等保 2.0 要求的深入了解，不知道如何著手，拖延等保整改周期，造成了人力和時間的浪費。此外，很多企業(yè)沒有專業(yè)的安全技術人員，選擇合適的等保整改建設方案成為極大的挑戰(zhàn)。加之等保咨詢和測評機構繁多，服務范圍和質量參差不齊，難以建立互信、可靠、長期的合作關系，所以急需快速、省心、優(yōu)質的網(wǎng)絡安全等級保護專業(yè)服務。

面對重重擔憂，華為云安全專家李戩以華為云安全等保服務為例，詳述了如何構建教育行業(yè)網(wǎng)絡安全的堅實后盾。

華為云的安全等保服務，是圍繞等級保護 2.0 的要求，專為華為云及華為客戶解決等級保護咨詢、等保備案指導、等保差距測評、安全整改、等保驗收測評等問題的綜合一體化解決方案。

華為云的一站式等保服務

基于對等級保護要求的全方位理解，該整體方案具有四大突出優(yōu)勢：一是華為云安全等保服務可提供全棧安全產(chǎn)品，從網(wǎng)絡、主機、應用、數(shù)據(jù)安全等全方位提供安全能力；二是傳統(tǒng)的安全整改往往存在采購時間長、整改繁瑣、實施緩慢等通病，華為云的安全等保服務可大大縮短安全整改時間；三是華為云與測評機構合作，可提供快速、方便的一站式等保服務；四客戶通過華為云的等保云安全綜合解決方案，可快速滿足等級保護的要求。

華為云安全等保服務最大的特點在于性價比，恰好滿足了在線教育機構快速、省心、優(yōu)質的三大訴求。

如何快速？通過一站式專業(yè)服務。華為云依托自身多年的行業(yè)、產(chǎn)品和服務經(jīng)驗，拉通業(yè)界優(yōu)質資源，極大的縮短過等保的總時間，可迅速獲證；如何省心？華為云提供保姆式服務，提供專業(yè)的整改解決方案+優(yōu)質的云安全產(chǎn)品+貼心的服務能力+權威的測評認證；如何優(yōu)質？華為云是等級保護標準制定的參與者之一，與等保規(guī)則的制定者簽訂戰(zhàn)略合作協(xié)議，強強聯(lián)合，在定級、備案、建設整改、第三方測評、監(jiān)督檢查及 App 安全認證咨詢業(yè)務等方面，均可提供優(yōu)質服務。

目前，以性價比著稱的華為云等保安全服務，團隊 15+ 專家獲得權威資質，已服務全國 200+ 客戶，遍布 30+ 重點省市，在 9+ 行業(yè)得到普遍認可，成功為 20 多家在線教育機構完成等保。華為云高等級保護服務系統(tǒng)高分通過公安部網(wǎng)絡安全等級 4 級測評，重點滿足關鍵應用高性能、高可靠、高安全的要求。

2020 年 1 月 20 日消息，教育部發(fā)布《教育 App 備案名單公告》。根據(jù)《教育移動互聯(lián)網(wǎng)應用程序備案管理辦法》，各省教育行政部門持續(xù)推進教育 App 備案，在 2019 年 12 月 25 日至 2020 年 1 月 14 日期間完成了對 605 家企業(yè)的 1300 個教育 App 備案工作。名單顯示，新東方旗下有新東方在線中小學、彩虹糖閱讀、新東方微課堂等 10 款教育 App 通過審核，據(jù)鯨媒體此前報道，2019 年 12 月 16 日，教育部公布了首批 152 個教育 App 備案名單。2020 年 1 月 2 日，公布了第二批 476 個教育 App 備案名單。