首頁 > 關(guān)于我們 > 安恒動態(tài) > 2019 > 正文

首批教育APP備案名單公布，APP安全也該提上日程了

閱讀量：次

12月16日，教育部公布了首批教育移動互聯(lián)網(wǎng)應(yīng)用程序（教育APP）備案名單，152款應(yīng)用獲得通過。此前，教育部印發(fā)《教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》，要求各單位要在2019年12月1日至2020年1月31日前完成對現(xiàn)有教育移動應(yīng)用的備案工作，2020年2月1日起，公共服務(wù)體系將向社會公眾提供備案信息查詢，接受社會監(jiān)督。

哪些教育APP需要備案？如何滿足備案里面提及的要求？安恒信息安全專家就《教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》，給大家做一個簡單的梳理和解讀：

教育APP的定義

應(yīng)用名稱：教育移動互聯(lián)網(wǎng)應(yīng)用程序（教育APP）
用戶：教職工、學(xué)生、家長為主要用戶
應(yīng)用場景：以教育、學(xué)習(xí)為主要應(yīng)用場景
服務(wù)內(nèi)容：服務(wù)于學(xué)校教學(xué)與管理、學(xué)生學(xué)習(xí)與生活以及家?；拥确矫娴幕ヂ?lián)網(wǎng)移動應(yīng)用

高校教育APP應(yīng)用范圍

治理行動的對象：高等院校服務(wù)于學(xué)校教育教學(xué)和廣大師生工作生活的管理服務(wù)類教育移動應(yīng)用。學(xué)校自主開發(fā)、自主選用和上級部門要求使用的教育移動應(yīng)用。
治理目標(biāo)：數(shù)據(jù)泄漏、內(nèi)置廣告、收集個人隱私信息

本次整治包括哪些APP類型？

APP的形式：獨立APP、微信公眾號、微信小程序
公開應(yīng)用商店：百度、阿里、騰訊及手機廠家軟件商店

教育APP備案的負責(zé)部門

省級教育行政部門負責(zé)統(tǒng)籌本地區(qū)教育移動應(yīng)用備案管理工作，組織本地區(qū)的教育移動應(yīng)用提供者開展提供者備案。
組織所屬單位并指導(dǎo)本地區(qū)的教育行政部門和學(xué)校做好使用者備案。

教育APP備案步驟和內(nèi)容

1、互聯(lián)網(wǎng)信息服務(wù)（ICP）備案（工信部）

2、網(wǎng)絡(luò)安全等級保護定級備案和測評報告（公安網(wǎng)安）

3、提交到備案的網(wǎng)站是國家數(shù)字教育資源公共服務(wù)體系（網(wǎng)址：http://app.eduyun.cn，以下簡稱公共服務(wù)體系）

4、提交備案完整信息、ICP信息和等保定級和檢測報告

向誰備案？

教育行政部門、學(xué)校、企業(yè)和社會組織均向其住所地或注冊地省級教育行政部門進行提供者備案。省級教育行政部門開發(fā)的教育移動應(yīng)用向教育部進行備案。
小程序、企業(yè)號等平臺第三方應(yīng)用統(tǒng)一到平臺方提交備案信息，并由平臺方向教育部共享備案信息。

如何保障教育APP安全運行？

《教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》中提到，要提高事中事后監(jiān)管能力。各單位以備案為基礎(chǔ)建立監(jiān)測預(yù)警通報機制，及時發(fā)現(xiàn)、處置問題隱患和安全事件；省級教育行政部門應(yīng)建立本地區(qū)的監(jiān)測預(yù)警通報機制，并與教育部進行數(shù)據(jù)共享。

這就需要從監(jiān)管單位、教育APP用戶和APP提供商、安全廠商三個角度來考慮：

01?監(jiān)管單位側(cè)

教育APP軟件資產(chǎn)摸底：?

方法一：通過各個單位APP備案統(tǒng)計；

方法二：通過技術(shù)手段，主動探測和識別教育APP軟件系統(tǒng)。

教育APP軟件漏洞監(jiān)管：

通過安恒信息的大數(shù)據(jù)監(jiān)測服務(wù)技術(shù)手段，實現(xiàn)教育APP軟件及整個系統(tǒng)的安全態(tài)勢感知，并結(jié)合本地的網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報服務(wù)平臺進行整改任務(wù)的下發(fā)和執(zhí)行情況的監(jiān)督等，夯實教育移動應(yīng)用APP安全狀態(tài)和安全風(fēng)險。

02?教育APP用戶及APP提供商側(cè)

針對自己所使用的教育APP軟件進行專業(yè)化的SDK和開源代碼的安全風(fēng)險評估，從APP軟件側(cè)產(chǎn)生數(shù)據(jù)到數(shù)據(jù)中心側(cè)的傳輸和處理以及存儲的全生命周期進行安全自測和加固服務(wù)，參照標(biāo)準(zhǔn)等級保護2.0基本要求中的通用要求+擴展要求內(nèi)容，要求對APP軟件的開發(fā)者進行安全意識教育和安全開發(fā)生命周期的管理工作。

03??安全廠商側(cè)

安恒信息依托教育部的應(yīng)用安全監(jiān)測和通報預(yù)警服務(wù)、聯(lián)合CERT為代表的專業(yè)APP測評機構(gòu)所做測評鑒定服務(wù)經(jīng)驗，提供專業(yè)的整體解決方案，從事情預(yù)警、事中監(jiān)測、事后管控進行全方位的一體化綜合治理。

一是事前預(yù)警，安恒信息安全監(jiān)測預(yù)警通報平臺或監(jiān)測服務(wù)提供APP軟件的資產(chǎn)摸底，主動在線探測和識別教育類APP軟件客戶端和業(yè)務(wù)系統(tǒng)所在的計算區(qū)域等。通過探測發(fā)現(xiàn)教育類APP軟件系統(tǒng)存在的漏洞信息，并結(jié)合安恒信息行業(yè)內(nèi)的威脅情報大腦信息，判斷可能的安全風(fēng)險，提前通過安全監(jiān)測預(yù)警通報平臺或監(jiān)測服務(wù)的方式，發(fā)布給監(jiān)管單位或者APP使用者安全預(yù)警信息，提前做好防范和整改工作。

二是事中監(jiān)測，當(dāng)教育類APP軟件遠程接入到業(yè)務(wù)系統(tǒng)所在的計算區(qū)域進行數(shù)據(jù)交互、處理和存儲數(shù)據(jù)時，玄武盾或者云端安全監(jiān)測引擎節(jié)點就會實時檢測到安全風(fēng)險，并上報到安全監(jiān)測預(yù)警通報平臺或安全監(jiān)測服務(wù)中心，通知相關(guān)人員進行處理。

三是事后管控，當(dāng)遇到APP軟件有重大安全事件發(fā)生，或通過預(yù)警研判有違規(guī)訪問行為發(fā)生、或?qū)l(fā)生重大突發(fā)安全事件時，部署在本單位內(nèi)的安全監(jiān)測預(yù)警通報平臺和玄武盾，可以及時管控移動終端APP與業(yè)務(wù)數(shù)據(jù)中心之間的異常交互行為，且在安全監(jiān)測預(yù)警通報平臺上同時發(fā)布高危的告警提示，讓安全管理著第一時間進行處理，防止安全事件蔓延。

安恒信息提供安全監(jiān)測預(yù)警通報平臺或安全監(jiān)測服務(wù)、漏洞監(jiān)測服務(wù)、漏洞加固、玄武盾、天池云安全等保一體機等，為教育APP安全穩(wěn)定運行提供技術(shù)保障，實現(xiàn)教育APP安全態(tài)勢可視化，提高事中事后監(jiān)管能力。

關(guān)閉

云安全>

態(tài)勢感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

>

>

新一代安全服務(wù)>

偵測服務(wù)>

保護檢測服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運營管理服務(wù)>

特色服務(wù)>

>

數(shù)據(jù)安全>

基礎(chǔ)安全>