近日,教育部辦公廳印發《教育移動互聯網應用程序備案管理辦法》的通知。通知要求所有目前正在使用中的教育移動APP在2019年12月1日至2020年1月31日期間完成教育移動互聯網應用程序備案,並結合本單位的實際情況建立備案信息的動態更新機制,確保備案數據的完整性。
若相關APP系統到2020年2月1日還未完成ICP備案和等級保護備案,APP的備案信息將被撤銷並予以通報。建議學校管理員儘快排查自己學校使用的相關APP,在要求的期限內完成備案,避免因未備案導致APP無法使用。
2019年10~11月安全投訴事件統計
網站安全類的投訴事件數量較上月有大幅提升,主要是因為接近年底,各大漏洞平臺集中處置之前遺留未及時處置的漏洞信息所導致的。
各類勒索病毒依然是近期新增病毒中需要關注的重點。
近期新增嚴重漏洞評述
1.微軟例行的11月安全更新修補了多個安全漏洞,涉及的系統及軟件包括Windows系統、IE瀏覽器、EDGE瀏覽器、Office辦公軟件、Exchange Server、Visual Studio、開源軟件、ChakraCore、微軟開源軟件等。
其中Windows Hyper-V遠程代碼執行漏洞(CVE-2019-0721)、IE瀏覽器的引擎內存破壞漏洞(CVE-2019-1429)和Office Excel遠程代碼執行漏洞(CVE-2019-1448)需要引起用戶的額外關注。用戶可以使用系統自帶的更新功能進行補丁更新。
除補丁程序外,微軟還在本次更新中提供了Win10 v1909版本的更新,對應的Win10 v1803版本停止支持服務,使用該版本的用戶應該儘快將操作系統版本升級。
2.雲存儲是雲計算基礎上延伸和衍生發展出來的新概念,允許用戶通過移動APP、網頁版程序、APP小程序(以下簡稱雲存儲應用)等訪問雲存儲數據。
近期國內的安全研究機構發現大部分的雲存儲應用由於配置不當,存在越權訪問和文件上傳漏洞,攻擊者利用上述漏洞,通過雲存儲應用破解或網絡抓包獲得永久密鑰或臨時密鑰,從而實現對雲存儲中的文件數據的篡改和竊取。
目前漏洞的細節還未公佈,但從相關研究組織對國內雲存儲應用客戶端的抽樣數據來看,受影響的應用高達70%。
建議雲存儲應用開發者採用如下方式修復漏洞:
(1)採用臨時簽名上傳文件的雲存儲應用,可根據業務場景將服務端生成的臨時密鑰權限更新至最小,限定文件的上傳路徑和上傳的目標存儲桶,去除讀文件、列存儲桶、列對象、覆蓋文件等非業務必要權限。
(2)採用永久密鑰簽名上傳文件的雲存儲應用,可更新客戶端和服務端上傳邏輯,改為用最小權限的臨時密鑰方式或者PUT方式進行上傳。
3.Apache Flink是由Apache軟件基金會開發的開源流處理框架,其核心是用Java和Scala編寫的分佈式流數據流引擎。
日前Apache Flink被披露存在遠程代碼執行漏洞。攻擊者可利用該漏洞在Apache Flink Dashboard頁面中上傳任意Jar包,利用Metasploit在Apache Flink服務器中執行任意代碼。
目前,廠商尚未發佈上述漏洞的修補程序。
教育APP備案相關提示
1.教育移動應用的備案分為提供者備案和使用者備案。提供者指的是公開使用的移動應用產品的開發者,使用者指的是使用相關應用的學校或機構。
2.提供者需完成相關移動應用的ICP備案和等級保護備案後才可進行應用備案。提供者備案實行"一省備案,全國有效"。學校如果採購了外部的應用APP,應該儘快督促應用提供方完成相關備案。
3.自主開發、自主選用和上級部門要求使用的教育移動應用均應進行使用者備案,使用者自主開發,服務於本單位內部管理且不對外單位提供服務的教育移動應用,應在使用者備案時勾選"自研自用"的選項,並提交提供者備案信息。
(全文刊載於《中國教育網絡》雜誌2019年12月刊,作者:鄭先偉,單位為中國教育和科研計算機網應急響應組)
閱讀更多 中國教育網 的文章
