News
近日,一起类似CrowdStrike导致全球IT系统崩溃的安全产品事故再次敲响警钟。总部位于英国的移动设备管理(MDM)公司Mobile Guardian遭遇黑客攻击,导致上万台客户设备被远程抹除。其中,新加坡教育部成为受影响的主要客户之一,26所学校的1.3万名学生的iPad和Chromebook均遭攻击者远程抹除,造成了重大混乱,学生们无法访问储存在设备上的应用程序和信息。这一事件不仅暴露了网络空间的脆弱性,更揭示了教育行业网络安全新态势的严峻性。
此次事件凸显了MDM系统存在的潜在安全风险,尤其是在教育这样高度敏感的领域。教育行业在采购安全产品时必须更加谨慎。此次事件深刻凸显了使用第三方服务的双刃剑效应。在享受便捷与效率的同时,也面临着供应链攻击的巨大风险。教育系统的采购具有量大、面广、种类多的特点。教育部也是国务院部委中采购规模排名前列的部委之一,近年来,年采购金额约400亿元。在教育产品采购与使用的现实困境中,如何在保障教学质量与效率的同时,确保采购的产品和服务安全可靠,成为了一个亟待解决的问题。
一、政府加强采购产品和服务的安全监管
鉴于此类事件的发生,我国正在不断加强对网络运营者采购产品和服务的安全监管。这不仅是对现有安全标准的提升,也是对未来网络安全挑战的一种积极应对。
具体而言,国家出台的有关政策包括但不限于:
《中华人民共和国网络安全法》第二十二条规定,供应商应当承诺并保证其提供的网络产品和服务满足以下要求:(1)相关的网络产品和服务符合相关国家标准的强制性要求;(2)不会在网络产品、服务中设置恶意程序;(3)在发现相关的网络产品和服务存在安全缺陷、漏洞等风险时, 会采取补救措施,及时告知用户并向有关主管部门报告;(4)能够持续为相关的网络产品和服务提供安全维护;(5)在规定或者与用户约定的期限内,不得终止提供安全维护;(6)如果相关的网络产品、服务具有收集用户信息功能的,会向用户明示并取得同意,涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
《关键信息基础设施安全保护条例》:针对关键信息基础设施提出了更高的安全保障要求。
《网络安全审查办法》规定关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。
《信息安全等级保护商用密码技术要求》规定信息系统运营、使用单位应当按照《商用密码产品目录》选用商用密码产品。运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
二、教育行业产品采购与使用的现实困境
尽管教育行业在网络安全防护上取得了显著进展,但在产品采购和使用的实际操作中,仍面临诸多挑战。
1.供应商产品存在安全隐患
许多教育行业供应商产品在设计、开发、生产等环节中存在着严重的安全隐患。这些隐患可能源于代码中的漏洞、不安全的通信协议、缺乏有效的身份验证机制,或是对已知安全威胁的防护措施不足。一旦这些存在安全隐患的产品被部署到企业网络中,它们就可能成为攻击者入侵的跳板,直接威胁到教育行业核心数据和业务安全。
2.安全防护策略难以实施
在实际操作中,由于不同教育行业产品之间在协议、接口、功能等方面的差异,往往会导致兼容性问题频发。这不仅会增加部署的复杂性和成本,还可能导致安全防护策略难以有效实施,留下安全漏洞。
3.难以全面检测产品安全性
由于网络威胁的多样性和复杂性,传统的安全检测方法往往难以覆盖所有潜在的安全风险。此外,随着技术的发展,新的安全威胁不断涌现,使得安全检测工作更加艰巨。
4.数据备份和恢复策略不完善
数据备份和恢复策略是保障教育行业数据安全的重要手段。然而,许多组织在实际操作中却往往忽视了这一点,导致在遭遇安全事件时无法及时恢复数据,进而造成重大损失。
三、强化安全采购降低网络安全风险
道普信息风险管控专家提出,强化安全采购是降低网络安全风险的关键。教育行业在采购过程中,应注重供应商的安全资质、产品的安全性能以及后续的安全服务,确保采购的产品和服务能够符合教育行业的高安全性要求。
强化供应商安全管理:
全面评估供应商,严格测试产品安全,建立持续监控机制,确保采购的网络安全产品符合标准并持续更新维护。
确保兼容性并灵活部署:
进行兼容性评估,必要时定制化开发,分阶段实施,确保网络安全产品无缝集成并满足特定需求。
强化安全检测与审计:
委托第三方安全检测,定期审计评估,并建立内部安全检测机制,全方位保障网络安全产品安全性。
构建可靠的数据备份与恢复体系:
制定备份计划,建立恢复预案,采用多重备份策略并加密隔离数据,确保数据安全无忧。
在数字化转型的大背景下,教育行业对于安全可靠的产品和服务的需求日益增加。通过强化安全采购,不仅可以保护教育机构免受网络攻击,还能进一步推动教育数字化进程,为国家整体网络安全贡献力量。未来,随着技术的发展和社会的进步,网络安全将成为教育行业不可或缺的一部分,而有效的安全采购策略将是实现这一目标的关键所在。
热点新闻
-
2024-10-29
-
2024-10-29
-
2024-10-29
-
2024-10-29
-
2024-10-28
-
2024-10-28