◆张 辉

(上海市网络技术综合应用研究所 上海 200336)

随着《信息安全技术网络安全等级保护基本要求 GB/T 22239-2019》、《网络安全等级保护制度》2.0版本等法规制度不断发布，标志者网络“等级保护”逐渐步入2.0时代，覆盖区域扩充到云计算、大数据、物联网等新技术领域。面对这种时代背景，企业构建的教育APP要达到等级保护2.0合规要求，必须构建相匹配的安全评估体系，以便保证教育APP合法、有效、科学地运作。教育APP作为受众比较的一类教育功能的移动软件，对于大众知识提升、经验分享、技能解读、概念讲解等有着直接作用，诸如网易公开课、好教师等教育APP。在教育APP中如何保证网络安全，就有必要构建安全评估体系，推动教育APP的应用，保证用户的信息安全。

1 APP等级保护工作必然性

等级保护工作是依照《网络安全法》等相关法规，由国家电信部门监管，要求信息系统运营者、使用单位等加强整顿，集中力量，整合资源，提高信息系统安全防护能力。APP等级保护工作，为何最近几年深受大众的观众，其中最为重要的原因是因为等级保护事件层出不穷，推动该种立法的形成，其中最为典型的腾讯推出的“防沉迷系统”，是由于西安吴女士 11岁的儿子因沉迷于《王者荣耀》的游戏，盗刷近万元装备，导致其财产损失。通过该事件 APP软件存在诸多安全问题，需要构建等级保护机制。随着该事件不断发酵，也推动了APP等级保护制度的形成，这也反映大众对于 APP应用软件的认识逐步加深，有意识保护未成年人。同时，随着国家法律对于APP管理不断重视，尤其是《网络安全法》中提到的网络安全等级保护制度，这也为相关法律条例的形成提供立法依据。此外，为了更好地提升企业自身业务安全，信息技术企业更加注重自身研发系统的信息安全，避免因为风险问题，降低系统的原有价值，为此，企业只能找国家等级保护标注制度进行建设，以便维护和扩大市场，满足自身业务需求。

2 构建安全评估体系

2.1 确定评估对象

云计算平台安全风险评估主要是从云计算的角度出发，考虑云计算平台业务的风险。

该风险评估体系的框架分为三个层次，最下面的一层是评估对象。评估对象应该为云服务机组、业务服务流程、网管平台、开放接口等，主要是评估这些设备、制度、流程等是否影响APP运作，评估范围涉及数据流、数据处理活动记忆其他关联关系。评估对象是最基础的、可看得见的，以图从根源上找到风险的存在，以便采取可行方式，保证教育APP 有效运作。

2.2 风险评估过程

中间一层是评估过程，是对评估对象的审视，也属于风险评估过程，范围覆盖了基础设施、虚拟化控制、管理平台等，其内容主要包括风险评估准备、风险识别、措施确认，风险分析、风险处理等内容，各个内容依次递进，目的是解决风险，达到云平台安全目标，以便满足监管要求、业务需求和客户要求，更好地促进风险评估体系的运作。

（1）风险识别

风险评估准备是从人力、资源、设备等方面对风险评估做好准备，以便针对风险采取相应的措施，保证教育APP有效运作。在风险识别中，识别的范围包括资产识别、威胁识别和脆弱性识别，其中资产识别由云服务商资产、云服务客户业务数据资产两种组成。对于客户资产的认定，其规定为客户配置信息、日志记录、数据、知识产权等。客户对于教育APP具有重要作用，其是APP软件的重要使用者，一旦客户资产受到风险，不仅会导致客户的损失，而且对于教育APP运营商的信誉也有影响，为此，在注重云服务上资产识别的同时，还应该注重客户资产的识别，毕竟其APP的经济价值、实用价值、社会价值等都是来源于客户，离开了客户只是一堆有规律的软件编码，只有客户融入其中，才产生人情味。

从识别威胁角度来看，首先，云计算平台作为现代科技的产物，属于共享平台，由于其存在较大的容量和传播性，使得其危害要大于传统系统，会产生比较严重的社会影响。其次，云计算平台比以前的任何计算机系统运作规模都要大得多，具有平均使用成本较低，部署时间较短等方面的特性。不法分子很容易在短时间内大量购买、设计网络病毒，对云计算系统造成损害，严重影响社会治安。同时，由于云计算平台的分布式体系结构，攻击者很容易在攻击后逃避安全监督，这给以后的问责制带来了困难。

从脆弱性识别角度而言，识别这种风险的基础必须依照行业标准、应用规范、国内外安全标准的要求，从技术和管理两个方面入手，找出云平台的脆弱性。技术脆弱包括网络、人员、服务和数据各个层面所存在的问题；管理的脆弱性在于设备维护、专业人员是否到位等，也影响云平台的运作。

（2）措施确定

措施确认是根据服务模式、运行监管、安全需求等采取可行性安全防护措施，诸如数据恢复、财产保险报销、系统升级等手段，都是为APP提升安全系数，避免用户在使用的过程中出现安全隐患。通过强化对APP软件风险识别，才能构建多样化的控制措施，以便更好地针对风险采取相应的措施，保证教育APP运作安全。

（3）风险分析

风险分析的关键在于风险方法的应用，应用得当就能找到风险所在，对于云平台而言，比较常见的方式，由配置检查、漏洞扫描、渗透测试等，以便以最快的速度和效率，找到风险所在。第一，漏洞扫描。通过漏洞扫描能够很快发现未经授权的界面访问、数据恢复的漏洞、逃避计量计费等。二是配置检查。主要是对身份认证、日志审计、网络访问控制、数据安全等进行审视，以便发现问题加以解决。三是渗透测试。主要是对边信道供给、签名包装攻击等进行测试，探查教育 APP是否处于运作安全的状态。

（4）风险处理

风险处理是针对APP安全问题所提出来的，诸如软件升级、补丁填充、病毒查杀、硬件更换等都是风险处理的有效手段，风险处理得当才能保证 APP有效运作。不然，容易因为风险的存在，避免教育 APP出现闪退、卡顿等安全问题，影响其客户体验。

2.3 实现安全目标

构建安全评估体系，都是为了实现安全目标，是体系框架中最高层次的要求。安全目标主要有三种，分别是监管要求、业务需求和客户要求。监管要求就是要符合法律法规，业务需求就是能够满足企业发展需求，客户要求就是考虑用户体验、保护用户各项信息。只有三项目标统一，才能实现APP经济价值、社会价值和实用价值的统一。

3 结语

如何对教育APP实施等级保护，维系教育APP教育特性，保护用户财产安全、信息安全，需要社会各界深思移动APP所面对的问题。由于APP软件是互联网技术的产物，不可避免其存在信息安全、财产安全等问题，为此，从用户角度出发，保护用户的合法权益，尤其是未成年人，避免未成年人沉迷不良APP，影响身心健康，需要构建APP安全评估体系，强化安全评估，推动网络软件应用实现规范化、合法化的进程。