盡快完成教育App 排查備案

文/鄭先偉

近日，教育部辦公廳印發(fā)《教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》的通知。通知要求所有目前正在使用中的教育移動(dòng)App 在2019 年12 月1 日 至2020 年1 月31 日期間完成教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案，并結(jié)合本單位的實(shí)際情況建立備案信息的動(dòng)態(tài)更新機(jī)制，確保備案數(shù)據(jù)的完整性。若相關(guān)App 系統(tǒng)到2020 年2 月1 日還未完成ICP 備案和等級(jí)保護(hù)備案，App的備案信息將被撤銷并予以通報(bào)。建議學(xué)校管理員盡快排查自己學(xué)校使用的相關(guān)App，在要求的期限內(nèi)完成備案，避免因未備案導(dǎo)致App 無(wú)法使用。

11 月，網(wǎng)站安全類的投訴事件數(shù)量較10 月有大幅提升，主要是因?yàn)榻咏甑?，各大漏洞平臺(tái)集中處置之前遺留未及時(shí)處置的漏洞信息所導(dǎo)致的。各類勒索病毒依然是近期新增病毒中需要關(guān)注的重點(diǎn)。

近期新增嚴(yán)重漏洞評(píng)述：

2019 年10～11 月安全投訴事件統(tǒng)計(jì)

1.微軟例行的11 月安全更新修補(bǔ)了多個(gè)安全漏洞，涉及的系統(tǒng)及軟件包括Windows 系統(tǒng) 、IE 瀏覽器、EDGE 瀏覽器、Office 辦公軟件、Exchange Server、Visual Studio、開源軟件、ChakraCore、微軟開源軟件等。其中，Windows Hyper-V 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-0721）、IE 瀏覽器的引擎內(nèi)存破壞漏洞（CVE-2019-1429）和Office Excel 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-1448），需要引起用戶的額外關(guān)注。用戶可以使用系統(tǒng)自帶的更新功能進(jìn)行補(bǔ)丁更新。除補(bǔ)丁程序外，微軟還在本次更新中提供了Win10 v1909 版本的更新，對(duì)應(yīng)的Win10 v1803 版本停止支持服務(wù)，使用該版本的用戶應(yīng)該盡快將操作系統(tǒng)版本升級(jí)。

2.云存儲(chǔ)是云計(jì)算基礎(chǔ)上延伸和衍生發(fā)展出來(lái)的新概念，允許用戶通過(guò)移動(dòng)App、網(wǎng)頁(yè)版程序、App 小程序（以下簡(jiǎn)稱云存儲(chǔ)應(yīng)用）等訪問(wèn)云存儲(chǔ)數(shù)據(jù)。近期國(guó)內(nèi)的安全研究機(jī)構(gòu)發(fā)現(xiàn)大部分的云存儲(chǔ)應(yīng)用由于配置不當(dāng)，存在越權(quán)訪問(wèn)和文件上傳漏洞，攻擊者利用上述漏洞，通過(guò)云存儲(chǔ)應(yīng)用破解或網(wǎng)絡(luò)抓包獲得永久密鑰或臨時(shí)密鑰，從而實(shí)現(xiàn)對(duì)云存儲(chǔ)中的文件數(shù)據(jù)的篡改和竊取。目前漏洞的細(xì)節(jié)還未公布，但從相關(guān)研究組織對(duì)國(guó)內(nèi)云存儲(chǔ)應(yīng)用客戶端的抽樣數(shù)據(jù)來(lái)看，受影響的應(yīng)用高達(dá)70%。建議云存儲(chǔ)應(yīng)用開發(fā)者采用如下方式修復(fù)漏洞：

a)采用臨時(shí)簽名上傳文件的云存儲(chǔ)應(yīng)用，可根據(jù)業(yè)務(wù)場(chǎng)景將服務(wù)端生成的臨時(shí)密鑰權(quán)限更新至最小，限定文件的上傳路徑和上傳的目標(biāo)存儲(chǔ)桶，去除讀文件、列存儲(chǔ)桶、列對(duì)象、覆蓋文件等非業(yè)務(wù)必要權(quán)限。

b)采用永久密鑰簽名上傳文件的云存儲(chǔ)應(yīng)用，可更新客戶端和服務(wù)端上傳邏輯，改為用最小權(quán)限的臨時(shí)密鑰方式或者 PUT方式進(jìn)行上傳。

3.Apache Flink 是由Apache 軟件基金會(huì)開發(fā)的開源流處理框架，其核心是用Java和Scala編寫的分布式流數(shù)據(jù)流引擎。日前，Apache Flink 被披露存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用該漏洞在Apache Flink Dashboard 頁(yè)面中上傳任意Jar 包，利用Metasploit 在Apache Flink 服務(wù)器中執(zhí)行任意代碼。目前，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。

安全提示

教育App 備案相關(guān)提示：

1.教育移動(dòng)應(yīng)用的備案分為提供者備案和使用者備案。提供者指的是公開使用的移動(dòng)應(yīng)用產(chǎn)品的開發(fā)者，使用者指的是使用相關(guān)應(yīng)用的學(xué)校或機(jī)構(gòu)。

2.提供者需完成相關(guān)移動(dòng)應(yīng)用的ICP 備案和等級(jí)保護(hù)備案后才可進(jìn)行應(yīng)用備案。提供者備案實(shí)行“一省備案，全國(guó)有效”。學(xué)校如果采購(gòu)了外部的應(yīng)用App，應(yīng)該盡快督促應(yīng)用提供方完成相關(guān)備案。

3.自主開發(fā)、自主選用和上級(jí)部門要求使用的教育移動(dòng)應(yīng)用均應(yīng)進(jìn)行使用者備案，使用者自主開發(fā)，服務(wù)于本單位內(nèi)部管理且不對(duì)外單位提供服務(wù)的教育移動(dòng)應(yīng)用，應(yīng)在使用者備案時(shí)勾選“自研自用”的選項(xiàng)，并提交提供者備案信息。