◆張 輝

(上海市網(wǎng)絡(luò)技術(shù)綜合應(yīng)用研究所 上海 200336)

隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 GB/T 22239-2019》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》2.0版本等法規(guī)制度不斷發(fā)布，標(biāo)志者網(wǎng)絡(luò)“等級(jí)保護(hù)”逐漸步入2.0時(shí)代，覆蓋區(qū)域擴(kuò)充到云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)領(lǐng)域。面對(duì)這種時(shí)代背景，企業(yè)構(gòu)建的教育APP要達(dá)到等級(jí)保護(hù)2.0合規(guī)要求，必須構(gòu)建相匹配的安全評(píng)估體系，以便保證教育APP合法、有效、科學(xué)地運(yùn)作。教育APP作為受眾比較的一類教育功能的移動(dòng)軟件，對(duì)于大眾知識(shí)提升、經(jīng)驗(yàn)分享、技能解讀、概念講解等有著直接作用，諸如網(wǎng)易公開課、好教師等教育APP。在教育APP中如何保證網(wǎng)絡(luò)安全，就有必要構(gòu)建安全評(píng)估體系，推動(dòng)教育APP的應(yīng)用，保證用戶的信息安全。

1 APP等級(jí)保護(hù)工作必然性

等級(jí)保護(hù)工作是依照《網(wǎng)絡(luò)安全法》等相關(guān)法規(guī)，由國家電信部門監(jiān)管，要求信息系統(tǒng)運(yùn)營者、使用單位等加強(qiáng)整頓，集中力量，整合資源，提高信息系統(tǒng)安全防護(hù)能力。APP等級(jí)保護(hù)工作，為何最近幾年深受大眾的觀眾，其中最為重要的原因是因?yàn)榈燃?jí)保護(hù)事件層出不窮，推動(dòng)該種立法的形成，其中最為典型的騰訊推出的“防沉迷系統(tǒng)”，是由于西安吳女士 11歲的兒子因沉迷于《王者榮耀》的游戲，盜刷近萬元裝備，導(dǎo)致其財(cái)產(chǎn)損失。通過該事件 APP軟件存在諸多安全問題，需要構(gòu)建等級(jí)保護(hù)機(jī)制。隨著該事件不斷發(fā)酵，也推動(dòng)了APP等級(jí)保護(hù)制度的形成，這也反映大眾對(duì)于 APP應(yīng)用軟件的認(rèn)識(shí)逐步加深，有意識(shí)保護(hù)未成年人。同時(shí)，隨著國家法律對(duì)于APP管理不斷重視，尤其是《網(wǎng)絡(luò)安全法》中提到的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，這也為相關(guān)法律條例的形成提供立法依據(jù)。此外，為了更好地提升企業(yè)自身業(yè)務(wù)安全，信息技術(shù)企業(yè)更加注重自身研發(fā)系統(tǒng)的信息安全，避免因?yàn)轱L(fēng)險(xiǎn)問題，降低系統(tǒng)的原有價(jià)值，為此，企業(yè)只能找國家等級(jí)保護(hù)標(biāo)注制度進(jìn)行建設(shè)，以便維護(hù)和擴(kuò)大市場(chǎng)，滿足自身業(yè)務(wù)需求。

2 構(gòu)建安全評(píng)估體系

2.1 確定評(píng)估對(duì)象

云計(jì)算平臺(tái)安全風(fēng)險(xiǎn)評(píng)估主要是從云計(jì)算的角度出發(fā)，考慮云計(jì)算平臺(tái)業(yè)務(wù)的風(fēng)險(xiǎn)。

該風(fēng)險(xiǎn)評(píng)估體系的框架分為三個(gè)層次，最下面的一層是評(píng)估對(duì)象。評(píng)估對(duì)象應(yīng)該為云服務(wù)機(jī)組、業(yè)務(wù)服務(wù)流程、網(wǎng)管平臺(tái)、開放接口等，主要是評(píng)估這些設(shè)備、制度、流程等是否影響APP運(yùn)作，評(píng)估范圍涉及數(shù)據(jù)流、數(shù)據(jù)處理活動(dòng)記憶其他關(guān)聯(lián)關(guān)系。評(píng)估對(duì)象是最基礎(chǔ)的、可看得見的，以圖從根源上找到風(fēng)險(xiǎn)的存在，以便采取可行方式，保證教育APP 有效運(yùn)作。

2.2 風(fēng)險(xiǎn)評(píng)估過程

中間一層是評(píng)估過程，是對(duì)評(píng)估對(duì)象的審視，也屬于風(fēng)險(xiǎn)評(píng)估過程，范圍覆蓋了基礎(chǔ)設(shè)施、虛擬化控制、管理平臺(tái)等，其內(nèi)容主要包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、措施確認(rèn)，風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處理等內(nèi)容，各個(gè)內(nèi)容依次遞進(jìn)，目的是解決風(fēng)險(xiǎn)，達(dá)到云平臺(tái)安全目標(biāo)，以便滿足監(jiān)管要求、業(yè)務(wù)需求和客戶要求，更好地促進(jìn)風(fēng)險(xiǎn)評(píng)估體系的運(yùn)作。

（1）風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備是從人力、資源、設(shè)備等方面對(duì)風(fēng)險(xiǎn)評(píng)估做好準(zhǔn)備，以便針對(duì)風(fēng)險(xiǎn)采取相應(yīng)的措施，保證教育APP有效運(yùn)作。在風(fēng)險(xiǎn)識(shí)別中，識(shí)別的范圍包括資產(chǎn)識(shí)別、威脅識(shí)別和脆弱性識(shí)別，其中資產(chǎn)識(shí)別由云服務(wù)商資產(chǎn)、云服務(wù)客戶業(yè)務(wù)數(shù)據(jù)資產(chǎn)兩種組成。對(duì)于客戶資產(chǎn)的認(rèn)定，其規(guī)定為客戶配置信息、日志記錄、數(shù)據(jù)、知識(shí)產(chǎn)權(quán)等?？蛻魧?duì)于教育APP具有重要作用，其是APP軟件的重要使用者，一旦客戶資產(chǎn)受到風(fēng)險(xiǎn)，不僅會(huì)導(dǎo)致客戶的損失，而且對(duì)于教育APP運(yùn)營商的信譽(yù)也有影響，為此，在注重云服務(wù)上資產(chǎn)識(shí)別的同時(shí)，還應(yīng)該注重客戶資產(chǎn)的識(shí)別，畢竟其APP的經(jīng)濟(jì)價(jià)值、實(shí)用價(jià)值、社會(huì)價(jià)值等都是來源于客戶，離開了客戶只是一堆有規(guī)律的軟件編碼，只有客戶融入其中，才產(chǎn)生人情味。

從識(shí)別威脅角度來看，首先，云計(jì)算平臺(tái)作為現(xiàn)代科技的產(chǎn)物，屬于共享平臺(tái)，由于其存在較大的容量和傳播性，使得其危害要大于傳統(tǒng)系統(tǒng)，會(huì)產(chǎn)生比較嚴(yán)重的社會(huì)影響。其次，云計(jì)算平臺(tái)比以前的任何計(jì)算機(jī)系統(tǒng)運(yùn)作規(guī)模都要大得多，具有平均使用成本較低，部署時(shí)間較短等方面的特性。不法分子很容易在短時(shí)間內(nèi)大量購買、設(shè)計(jì)網(wǎng)絡(luò)病毒，對(duì)云計(jì)算系統(tǒng)造成損害，嚴(yán)重影響社會(huì)治安。同時(shí)，由于云計(jì)算平臺(tái)的分布式體系結(jié)構(gòu)，攻擊者很容易在攻擊后逃避安全監(jiān)督，這給以后的問責(zé)制帶來了困難。

從脆弱性識(shí)別角度而言，識(shí)別這種風(fēng)險(xiǎn)的基礎(chǔ)必須依照行業(yè)標(biāo)準(zhǔn)、應(yīng)用規(guī)范、國內(nèi)外安全標(biāo)準(zhǔn)的要求，從技術(shù)和管理兩個(gè)方面入手，找出云平臺(tái)的脆弱性。技術(shù)脆弱包括網(wǎng)絡(luò)、人員、服務(wù)和數(shù)據(jù)各個(gè)層面所存在的問題；管理的脆弱性在于設(shè)備維護(hù)、專業(yè)人員是否到位等，也影響云平臺(tái)的運(yùn)作。

（2）措施確定

措施確認(rèn)是根據(jù)服務(wù)模式、運(yùn)行監(jiān)管、安全需求等采取可行性安全防護(hù)措施，諸如數(shù)據(jù)恢復(fù)、財(cái)產(chǎn)保險(xiǎn)報(bào)銷、系統(tǒng)升級(jí)等手段，都是為APP提升安全系數(shù)，避免用戶在使用的過程中出現(xiàn)安全隱患。通過強(qiáng)化對(duì)APP軟件風(fēng)險(xiǎn)識(shí)別，才能構(gòu)建多樣化的控制措施，以便更好地針對(duì)風(fēng)險(xiǎn)采取相應(yīng)的措施，保證教育APP運(yùn)作安全。

（3）風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析的關(guān)鍵在于風(fēng)險(xiǎn)方法的應(yīng)用，應(yīng)用得當(dāng)就能找到風(fēng)險(xiǎn)所在，對(duì)于云平臺(tái)而言，比較常見的方式，由配置檢查、漏洞掃描、滲透測(cè)試等，以便以最快的速度和效率，找到風(fēng)險(xiǎn)所在。第一，漏洞掃描。通過漏洞掃描能夠很快發(fā)現(xiàn)未經(jīng)授權(quán)的界面訪問、數(shù)據(jù)恢復(fù)的漏洞、逃避計(jì)量計(jì)費(fèi)等。二是配置檢查。主要是對(duì)身份認(rèn)證、日志審計(jì)、網(wǎng)絡(luò)訪問控制、數(shù)據(jù)安全等進(jìn)行審視，以便發(fā)現(xiàn)問題加以解決。三是滲透測(cè)試。主要是對(duì)邊信道供給、簽名包裝攻擊等進(jìn)行測(cè)試，探查教育 APP是否處于運(yùn)作安全的狀態(tài)。

（4）風(fēng)險(xiǎn)處理

風(fēng)險(xiǎn)處理是針對(duì)APP安全問題所提出來的，諸如軟件升級(jí)、補(bǔ)丁填充、病毒查殺、硬件更換等都是風(fēng)險(xiǎn)處理的有效手段，風(fēng)險(xiǎn)處理得當(dāng)才能保證 APP有效運(yùn)作。不然，容易因?yàn)轱L(fēng)險(xiǎn)的存在，避免教育 APP出現(xiàn)閃退、卡頓等安全問題，影響其客戶體驗(yàn)。

2.3 實(shí)現(xiàn)安全目標(biāo)

構(gòu)建安全評(píng)估體系，都是為了實(shí)現(xiàn)安全目標(biāo)，是體系框架中最高層次的要求。安全目標(biāo)主要有三種，分別是監(jiān)管要求、業(yè)務(wù)需求和客戶要求。監(jiān)管要求就是要符合法律法規(guī)，業(yè)務(wù)需求就是能夠滿足企業(yè)發(fā)展需求，客戶要求就是考慮用戶體驗(yàn)、保護(hù)用戶各項(xiàng)信息。只有三項(xiàng)目標(biāo)統(tǒng)一，才能實(shí)現(xiàn)APP經(jīng)濟(jì)價(jià)值、社會(huì)價(jià)值和實(shí)用價(jià)值的統(tǒng)一。

3 結(jié)語

如何對(duì)教育APP實(shí)施等級(jí)保護(hù)，維系教育APP教育特性，保護(hù)用戶財(cái)產(chǎn)安全、信息安全，需要社會(huì)各界深思移動(dòng)APP所面對(duì)的問題。由于APP軟件是互聯(lián)網(wǎng)技術(shù)的產(chǎn)物，不可避免其存在信息安全、財(cái)產(chǎn)安全等問題，為此，從用戶角度出發(fā)，保護(hù)用戶的合法權(quán)益，尤其是未成年人，避免未成年人沉迷不良APP，影響身心健康，需要構(gòu)建APP安全評(píng)估體系，強(qiáng)化安全評(píng)估，推動(dòng)網(wǎng)絡(luò)軟件應(yīng)用實(shí)現(xiàn)規(guī)范化、合法化的進(jìn)程。