尽快完成教育App 排查备案

文/郑先伟

近日，教育部办公厅印发《教育移动互联网应用程序备案管理办法》的通知。通知要求所有目前正在使用中的教育移动App 在2019 年12 月1 日 至2020 年1 月31 日期间完成教育移动互联网应用程序备案，并结合本单位的实际情况建立备案信息的动态更新机制，确保备案数据的完整性。若相关App 系统到2020 年2 月1 日还未完成ICP 备案和等级保护备案，App的备案信息将被撤销并予以通报。建议学校管理员尽快排查自己学校使用的相关App，在要求的期限内完成备案，避免因未备案导致App 无法使用。

11 月，网站安全类的投诉事件数量较10 月有大幅提升，主要是因为接近年底，各大漏洞平台集中处置之前遗留未及时处置的漏洞信息所导致的。各类勒索病毒依然是近期新增病毒中需要关注的重点。

近期新增严重漏洞评述：

2019 年10～11 月安全投诉事件统计

1.微软例行的11 月安全更新修补了多个安全漏洞，涉及的系统及软件包括Windows 系统 、IE 浏览器、EDGE 浏览器、Office 办公软件、Exchange Server、Visual Studio、开源软件、ChakraCore、微软开源软件等。其中，Windows Hyper-V 远程代码执行漏洞（CVE-2019-0721）、IE 浏览器的引擎内存破坏漏洞（CVE-2019-1429）和Office Excel 远程代码执行漏洞（CVE-2019-1448），需要引起用户的额外关注。用户可以使用系统自带的更新功能进行补丁更新。除补丁程序外，微软还在本次更新中提供了Win10 v1909 版本的更新，对应的Win10 v1803 版本停止支持服务，使用该版本的用户应该尽快将操作系统版本升级。

2.云存储是云计算基础上延伸和衍生发展出来的新概念，允许用户通过移动App、网页版程序、App 小程序（以下简称云存储应用）等访问云存储数据。近期国内的安全研究机构发现大部分的云存储应用由于配置不当，存在越权访问和文件上传漏洞，攻击者利用上述漏洞，通过云存储应用破解或网络抓包获得永久密钥或临时密钥，从而实现对云存储中的文件数据的篡改和窃取。目前漏洞的细节还未公布，但从相关研究组织对国内云存储应用客户端的抽样数据来看，受影响的应用高达70%。建议云存储应用开发者采用如下方式修复漏洞：

a)采用临时签名上传文件的云存储应用，可根据业务场景将服务端生成的临时密钥权限更新至最小，限定文件的上传路径和上传的目标存储桶，去除读文件、列存储桶、列对象、覆盖文件等非业务必要权限。

b)采用永久密钥签名上传文件的云存储应用，可更新客户端和服务端上传逻辑，改为用最小权限的临时密钥方式或者 PUT方式进行上传。

3.Apache Flink 是由Apache 软件基金会开发的开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎。日前，Apache Flink 被披露存在远程代码执行漏洞。攻击者可利用该漏洞在Apache Flink Dashboard 页面中上传任意Jar 包，利用Metasploit 在Apache Flink 服务器中执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

安全提示

教育App 备案相关提示：

1.教育移动应用的备案分为提供者备案和使用者备案。提供者指的是公开使用的移动应用产品的开发者，使用者指的是使用相关应用的学校或机构。

2.提供者需完成相关移动应用的ICP 备案和等级保护备案后才可进行应用备案。提供者备案实行“一省备案，全国有效”。学校如果采购了外部的应用App，应该尽快督促应用提供方完成相关备案。

3.自主开发、自主选用和上级部门要求使用的教育移动应用均应进行使用者备案，使用者自主开发，服务于本单位内部管理且不对外单位提供服务的教育移动应用，应在使用者备案时勾选“自研自用”的选项，并提交提供者备案信息。