中国软件评测中心 网络空间安全测评工程技术中心
随着国家政策引导以及移动互联网、5G、大数据中心等技术应用,教育行业信息化工程及在线教育平台迅速发展起来,智慧校园、远程教育、网络云课堂等方式受到广大师生群体认可。白皮书聚焦我国教育行业网络安全问题,从机构、人员、系统、应用等切入点对网络安全总体形势进行了分析并针对性提出安全保障建议。从国家、地方层面对教育信息化时代的网络安全政策要求进行简要阐述;并对当前教育行业的网络安全总体形势进行分析。
教育行业网络安全发展环境
我国稳步推进
教育信息化事业发展
教育信息化工程在教育领域运用现代信息技术,促进教育改革与发展,具备数字化、网络化、智能化、多媒体化等技术特征,以及开放、共享、交互、协作等教学特点。自1993年美国提出建设“国家信息基础设施”(信息高速公路计划)以来,世界各国纷纷探索教育信息化发展路径,我国的教育信息化事业也取得长足进展。
2010年7月,中共中央国务院印发《国家中长期教育改革和发展规划纲要(2010—2020年)》,提出教育发展战略目标,研究教育信息化建设可持续发展策略。
2012年3月,教育部印发《教育信息化十年发展规划(2011—2020年)》,提出以教育信息化带动教育现代化,把教育信息化摆在支撑引领教育现代化的战略地位。
2016年6月,教育部印發《教育信息化“十三五”规划》,提出在2020年基本形成具有国际先进水平、信息技术与教育融合创新发展的中国特色教育信息化发展路子。
2018年4月,教育部印发《教育信息化2.0行动计划》,积极推进“互联网+教育”发展,加快教育现代化和教育强国建设。
2019年2月,中共中央国务院印发《中国教育现代化2035》,提出加快信息化时代教育变革,建设智能化校园。
2020年以来,教育部已启动《教育信息化中长期发展规划(2021—2035)》和《教育信息化“十四五”规划》编制工作。
新时代,党中央、国务院高度重视教育信息化事业发展。自2015年起《国务院关于积极推进“互联网+”行动的指导意见》已提出探索新型教育服务供给方式,探索网络化教育新模式。习近平总书记指出,实施“互联网+教育”,促进基本公共服务均等化。李克强总理在2019年政府工作报告中指出,发展“互联网+教育”,促进优质资源共享,发展更加公平更有质量的教育。当前教育信息化已成为改变传统教育模式、深化教育改革的重要内容。
国家规划出台
教育信息化网络安全政策
没有信息化就没有现代化,没有网络安全就没有教育安全,在教育信息化工程稳步前进的同时,国家教育主管部门在《中华人民共和国网络安全法》的基本法规基础上陆续出台一系列信息化安全建设与管理的政策法规,不断夯实教育行业网络安全保障体系。
2017年4月,教育部印发《教育行业网络安全综合治理行动方案》,指出教育行业仍存在网络安全责任不落实、管理不规范、安全隐患修复不及时、监测预警和应急响应能力不足、网络安全事件时有发生等问题。教育部针对性开展了网络安全综合治理行动,包括治理网站乱象、强化主体责任、全面监测网络安全威胁、检测应用软件安全风险、补齐等保短板、加快完成定级备案、有序推进测评整改、加强关键信息基础设施规范管理、健全网络安全事件应急响应机制等。
2018年4月,教育部印发《教育信息化2.0行动计划》,指出要建立网络安全和信息化统筹协调的领导体制,完善网络安全监督考核机制,以《中华人民共和国网络安全法》等法律法规为纲,全面提高教育系统网络安全防护能力,全面落实网络安全等级保护制度,深入开展网络安全监测预警,做好关键信息基础设施保障,重点保障数据和信息安全,强化隐私保护。
在此基础上,教育部于2018、2019、2020年连续部署“教育信息化和网络安全工作要点”,将网络安全工作与教育信息化并列提出,重点关注网络安全保障工作。在《2020年教育信息化和网络安全工作要点》中指出,要不断完善教育网络安全支撑体系,网络安全人才培养能力和质量全面提升,教育系统网络安全防护水平不断提高,组织开展教育系统关键信息基础设施认定和检查。
2019年11月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局根据《关于开展App违法违规收集使用个人信息专项治理的公告》联合制定了《App违法违规收集使用个人信息行为认定方法》,为App违法违规收集使用个人信息行为的认定提供了参考;2019年11月,教育部办公厅印发《教育移动互联网应用程序备案管理办法》,做出现有教育移动应用的备案工作计划。
国家对教育行业网络安全高度重视,无论是教育机构、基层教育机构信息化建设,还是当前发展火热的“互联网+教育”“教育大数据”“在线教育平台”,国家出台的基础性法律、指导性政策、规范性标准无不强调做好教育行业的网络安全工作。
各地贯彻落实
教育信息化网络安全部署
自教育部印发《教育信息化2.0行动计划》以来,各省市纷纷做出行动部署,切实推进教育信息化进程中的网络安全保障工作。
2019年3月,黑龙江省教育厅印发《省教育厅关于进一步加强全省教育系统招生考试网络与信息安全工作的意见》,指出要建立健全网络与信息安全工作组织体系、管理规章和责任制度;落实国家信息安全等级保护制度;有效防范、控制和抵御信息安全风险;增强安全预警、应急处置和灾难恢复能力;形成与教育信息化发展相适应的、完备的网络与信息安全保障体系。
2019年6月,江苏省教育厅印发《江苏教育信息化2.0行动计划》,指出要推进“互联网+教育”大平台建设,探索互联网+教育服务模式。在云计算、大数据、物联网、人工智能等新一代信息技术深度融入教育全过程中,对教育信息化网络安全提出新要求。一是健全完善网络安全制度体系,要建立健全网络安全应急响应机制和应急预案,建立健全网络安全监测预警和通报制度,全面落实网络安全等级保护制度。二是健全完善网络安全技术防护体系,要配备软硬件设备设施和专业化队伍,建立技防与人防相结合的综合防护体系,构建可信、可控、可查的网络环境,有效防范和抵御网络安全风险。
2019年8月,山东省教育厅印发了《山东省教育信息化2.0行动计划(2019—2022)》,文件指出要探索5G技术在无线校园建设中的推广应用,推进IPv6规模部署和应用,使教育信息化应用分批次向云迁移。
自2020年以来,河北、吉林、广西、重庆、四川、陕西等多地印发了2020年教育信息化与网络安全工作要点。综合来看,多个省份在推进教育信息化2.0行动计划过程中,严格贯彻教育部部署,从教育信息化网络安全的工作管理制度、安全应急保障体系、网络安全应急预案、落实网络安全等级保护制度、建立健全教育网络安全监测预警体系、加强对重点教育网站的监测、开展网络安全专项教育和培训等方面做出了部署。
教育行业网络安全总体形势
教育信息化网络系统已成为当前建设教育强国的重要载体,为管理部门、学校、教师、学生及家长的使用提供了巨大便利。教育行业信息化应用系统每天产生并长期保存大量数据,包括教育资源、科研成果、师生信息、教学素材、国家教学资助信息等,因此网络安全防护工作与数据保护治理工作至关重要。目前教育行业网络安全形势严峻,高校校园网络、培训机构业务系统受到常态化网络探测与攻击,并在开学、招聘、重大事件等时段会加剧,主要风险点包括网络安全隐患普遍、校园网风险众多、外部环境攻击严重、内部环境漏洞增多、教育DDoS攻击频发、信息泄露事件不断、App风险突出等。
网络安全隐患普遍
随着互联网、移动互联网技术与传统教育行业深度融合,教育行业网络环境普遍存在安全隐患。教育行业信息系统具备网络、数据、用户规模庞大的特征,使得网络安全隐患分布广泛且监管防护难度增大。一是教育行业涉及人员众多,全国范围内教育机构有近59万个,专职教师1800万人,整体教育行业各级各类学生超过3.5亿人;二是教育信息系统数量多,教育系统网站超过20万个,edu.cn域名的网站有近11万个,涉及超过100万人数据的系统达500多个;三是教育信息数据量大,教育行业政务数据资源数量达10624条,教师数据超过4000万条,累计学生数据超过5亿条。因此,教育行业信息系统特点可以总结为信息系统多、业务类型宽、用户规模大、遍布地域广、软件类型杂、数据信息量大、信息价值高、用户信息化知识水平参差不齐、网络安全意识不强、管理制度执行难等,所有特征都是教育行业网络安全隐患普遍的诱发因素。
校园网络风险众多
高等院校的校园网络和企业网络存在一定差异,因此网络风险及攻击面表现形式也有所区别。
一是校园网内网络病毒、木马程序蔓延迅速。高校校园网是普及宽带网络较早的基础设施,因此已经实现普遍的千兆/万兆宽带在园区主干互联。校园网的用户群体比较密集,局域网内部用户规模庞大,一般都是集中的教学区、学生住宿区、职工住宅区等,而高带宽和大用户量导致网络病毒、木马程序蔓延迅速,网络对严重的安全隐患表现出高敏锐性。
二是校园网信息化运维难度大,管理流程复杂,风险管控和责任界定较难。高校无法像企业一样向每个员工落实网络安全防护职责,学生针对私人电脑进行的所有操作(例如U盘混用、不明网页浏览、不安全链接访问、木马病毒邮件查收等)都存在个人设备感染病毒后影响整个网络的风险。校园中设备购置和管理情况非常复杂,除学校机房、教学设备、实验机房设备等由学校统一管理之外,学生和教师群体的个人设备无法由学校统一管控。一般高校的在校学生都在几万人左右,学生使用自己购买的设备(笔记本电脑、移动终端等)并自我维护,这直接导致校园网络具备非常广的受攻击面,学生和设备众多,大家网络安全意识和防护水平各不相同,并且发生网络安全事件后安全责任难以分清。
三是校园网用户群體网络活跃度高,木马病毒传播来源广。在开放环境下,高校学生乐衷于尝试网络新技术,因此会有更大概率面临新技术带来的安全威胁。尤其各大高校计算机、软件工程、网络安全等相关专业的学生会研究各类木马病毒,亲身实验各类攻击技术,用个人电脑模拟攻击目标或者攻击靶场进行攻防实验,处理不当则可能对整个校园的网络造成影响和破坏。部分学生受好奇心驱使或者因科研需求,主动开发一些高危代码、制造漏洞、编制木马程序等,因而网络风险较高。
四是高校在网络安全防护方面投入有限,导致安全防护设备成为短板。高校是非营利事业单位,无法像商业公司一样大规模进行信息化建设与网络安全维护投入,因此高校存在一定程度的维护管理投入不足、网络安全技术手段不足、网络安全制度体系不足、网络安全意识淡薄等问题。
外部环境攻击严重
信息系统外部环境威胁是指由系统安全区域边界之外引入的网络风险,如外部黑客等发起的拒绝服务攻击、端口扫描、木马后门、强力攻击、IP碎片攻击、蠕虫病毒等。目前,教育行业网络面临严重的外部网络攻击,恶意软件表现非常活跃。深信服安全云脑检测到的2019年活跃的恶意程序拦截量为181.07亿次,在教育行业系统中挖矿类恶意软件感染占比最多(占54.61%),其次为远程控制木马(占20.65%)及蠕虫病毒(占15.15%)。
随着数字货币价值不断攀升,盗取用户计算机处理器的计算能力进行挖矿成为网络世界主要的威胁之一。从挖矿病毒、木马攻击的行业分布来看,黑客倾向于攻击企业、政府、教育行业。
内部环境漏洞增多
信息系统内部环境威胁是指由系统安全区域边界以内引入的网络风险,如系统漏洞、网站脆弱性、管理制度缺失、安全运维能力不足等。目前,教育行业大量信息系统存在安全漏洞隐患。在《2017年教育行业网络安全报告》中将教育行业细分为8个领域,每个领域抽样约100家机构,包括重点高校、职业培训、儿童早教、兴趣教育、出国留学、语言学习、教育信息化、综合服务&其他。对800家教育机构进行抽样分析,共发现606个CVE漏洞,19%的机构存在比较严重的安全漏洞,漏洞类型Top5为OpenSSLFREAKAttack漏洞、MicrosoftWindowsHTTP.sys远程执行代码漏洞、IIS6远程代码执行漏洞、OpenSSLHeartbleed心脏滴血漏洞、Ticketbleed漏洞。该报告表示93%的重点高校存在安全漏洞。从信息系统生命周期来看,从设计、编码到上线运行各环节都有可能造成安全漏洞,机构应建立完善的漏洞管理体系,加强人员管理、规范安全制度等全方位提升安全能力。
中国软件评测中心网络空间安全测评工程技术中心对具有代表性的一些教育行业机构进行抽样,分析可知抽样系统中主要以中危漏洞为主,部分系统存在1~3个高危漏洞。如果采用不同漏洞扫描器或者进行内部渗透测试,将可能发现更多漏洞,因此,教育行业网络安全形势严峻,内部环境漏洞依然众多。
教育DDoS攻击频发
分布式拒绝服务攻击(DDoS)已经是当前互联网安全比较常见的威胁,DDoS的危害在于无限制消耗系统和网络资源,使其无法为正常用户提供服务。教育行业对系统安全可靠性要求高,需要长期稳定运行,因此DDoS攻击频发对教育行业影响较大。
根据DDoS攻击发生领域来看,不同领域受到DDoS攻击占比不同,其中重点高校占比最高。《2017年教育行业网络安全报告》显示教育行业有42%的机构受到DDoS攻击的威胁,其中重点高校最为严重,85%都遭受到不同程度的DDoS网络攻击,47%的职业培训和44%的教育信息化机构遭受过DDoS网络攻击。
DDoS攻击是一种常见的攻击方式,但在一些重大活动时DDoS攻击会出现陡增态势。在一些重大活动时,如果DDoS攻击引起网络中断或部分业务不可用,则攻击造成的损失较为严重,这样的重大活动包括但不限于招生、迎新、重要领导视察、国家重大活动等,以及2020年的新冠疫情。2020年新型冠状病毒疫情对国内、国际的正常社会活动产生重大影响,教育领域也是受影响最严重的领域之一,全国科研机构、高等学府、大中专院校、小初高学校、各类培训机构都将教学、科研、管理等业务迁移到互联网线上进行。网络罪犯、黑客等不法分子注意到在线资源需求的增长,对最重要的教育信息系统及数字服务进行了攻击。据统计,2020年1月1日至3月22日期间,全国教育行业在线网站/系统累计遭受9600多万次网络攻击。据阿里云安全运营中心监测,2020年1—3月份抗击疫情期间应用层DDoS攻击量持续处于高位,其中在线教育领域攻击量环比增幅靠前。
信息泄露事件高发
教育行业的信息泄露威胁形势严峻。一是信息泄露事件频发。近年来教育行业信息各类泄露事件对师生人员和社会造成较严重负面影响,如学生个人信息泄露导致的经济诈骗事件、高校数据库泄露电子邮件元数据导致的重要信息泄露事件、新冠肺炎疫情期间海量学生个人信息泄露导致的网络骚扰辱骂事件等。二是教育网络运营机构和平台技术、管理环节的漏洞较多。教育行业缺乏针对海量数据进行统一处理的大数据平台,缺乏数据挖掘、分析、使用过程中的安全考虑,在信息系统建设、运行以及维护过程中,针对大数据的保护较为薄弱。此外,教育类App的个人信息保护仍存在不明地带,亟需建立覆盖个人信息收集、储存、传输、使用、删除、销毁等全生命周期的数据保障机制。三是教育行业师生群体个人信息保护力度不够、意识欠缺。高校的网络用户群体主要为广大师生,其受教育程度高,对信息化比较了解,上网率接近100%,然而存在的问题是,高校用户规模庞大但网络安全意识不强,安全素养和技能参差不齐,使得网络数据安全问题突出,信息泄露事件不断,这成为高校信息化中安全管理的一大难题。
App网络风险突出
教育类App的网络安全风险主要表现在技术能力不足、管理制度不完善、权限采集不合规、数据安全问题突出等方面。
一是部分App技术能力不足和管理制度不完善。自“互联网+教育”理念推出及相关政策出台以来,市场上涌现出大量教育App。然而部分App从教学模式构建到产品研发运营的周期较短,前期准备不充分,网络安全技术防护措施及安全管理制度相对不成熟。
二是部分App存在违规采集用户数据、过度获取移动终端系统权限的问题。这类App声明权限超出业务实际使用范围(如某教育App在权限声明中提到了读取通讯录、编辑通讯录及访问精准定位等权限,但实际上软件并不含有与此权限相关的功能)。与此同时,App收集个人信息行为不规范,在用户关闭电话权限的情况下仍然会收集用户的部分设备信息、IP地址等。2020年6月8日央视一套《朝闻天下》报道,某教学App后台偷窥用户隐私,在十几分钟时间里访问手机照片文件近25000次。而教育行业类似的流氓App还有许多,在没有登录、没有授权、并非在学习和上课状态下,仍然自由访问读取手机信息,获取手机内用户通讯录、短信、照片库等隐私信息。
三是App的数据安全、内容安全问题突出。除技术层面的数据泄露风险外,App内容安全问题也成为突出问题,亟待解决。教育类App在用户量激增情况下为了最大化追求商业利益,存在植入广告、推荐网络游戏、过度娱乐化、涉黄涉赌信息传播等问题。据北京阳光消费大数据研究院统计数据显示,2020年1月1日至5月26日,共监测到有关网课、网游和网络打赏等舆情信息2072233条。其中,网课舆情信息1043735条,占比50.37%;网游舆情信息791746条,占比38.21%;网络打赏舆情信息236752条,占比11.42%。可以看到移动互联网技术拉动视频直播等行业兴起,而在线教育融合網络直播后内容安全成为隐患,教育行业用户群体在面对直播平台、在线网课中植入的大量游戏、旅游、色情、暴力等诱惑时难免不会有人中招。事实上,在2020年上半年已经发生多起教育类平台充斥网游广告,未成年学生参与网络付费游戏与网络直播平台“打赏”的事件。