教育管理信息系统网络安全基本工具包

Anand Hariharan and Masatake (Masa) Yamamichi 亚行可持续发展工作文件系列 NO.94 2024年6月 教育管理信息系统网络安全基本工具包 知识共享署名3.0 IGO许可证(CC BY 3.0 IGO) ©2024亚洲开发银行 菲律宾马尼拉大都会1550号亚行大道6号电话63286324444；传真63286362444 保留部分权利。出版于2024年。ISSN2789- 0619（印刷）；2789-0627（PDF）出版物库存编号WPS240301-2DOI：http://dx.doi.org/10.22617/WPS240301-2 本出版物中表达的观点是作者的观点，不一定反映亚洲开发银行（ADB）或其理事会或其代表的政府的观点和政策。 亚行不保证本出版物中包含的数据的准确性，也不对其使用的任何后果承担任何责任。提及特定公司或制造商的产品并不意味着它们得到亚行的认可或推荐，而不是其他未提及的类似性质的公司或产品。 通过在本文件中对特定领土或地理区域进行任何指定或提及，亚行不打算对任何领土或区域的法律或其他地位做出任何判断。 本出版物可通过知识共享署名3.0IGO许可证(CCBY3.0IGO)https://creativecommons.org/licenses/by/3.0/igo/。通过使用本出版物的内容，您同意受本许可证条款的约束。有关归属、翻译、改编和权限，请阅读https://www.adb.org/terms-use。 本CC许可不适用于本出版物中的非亚行版权材料。如果该材料归因于其他来源，请联系该来源的版权所有者或出版商以获得复制许可。亚行对因使用该材料而引起的任何索赔概不负责。 请联系pubsmarketing@adb.org，如果您对内容有疑问或意见，或者如果您希望获得版权许可，您的预期使用不属于这些条款，或使用亚行标志的许可。 The亚行可持续发展系列工作文件提供正在进行的研究和研究中的数据，信息和/或发现，以鼓励交流思想，并就亚洲和太平洋地区的发展问题征求评论和反馈。由于本系列中的论文旨在快速和容易地传播，因此内容可能会或可能不会被完全编辑，并可能在以后进行修改以供最终出版。 亚行出版物的更正见http://www.adb.org/publications/corrigenda。在本出版物中，“$”是指美元。亚行承认“美利坚合众国”为美国。 表和Figures ACKNOWLEDGMENTSvii 执行摘要ix 第1部分：什么是教育管理中的网络安全1 I.介绍3 A.工具包的目的和范围3B.工具包的结构以及如何使用4C.EMIS 5的案例场景D.EMIS 6的当前安全态势 II.关键网络安全属性及其与8教育管理信息系统III.工具套件的标准和框架9IV.与国家企业架构的整合10 第2部分：网络安全的原因13 V.教育管理中网络安全的指导原则15信息系统 VI.教育管理中网络安全的数据维度18信息系统 A.数据分类，包括个人数据分类指南19B.收集、存储、处理和处置方面的数据生命周期23C.快速参考检查表-数据30 四、内容 VII.人员和组织规模网络安全教育管理信息系统 A.OperationsB.团队C.成组D.工作人员E.组织机构 VIII.工艺尺寸启用网络安全38教育管理信息系统 A.安全B.OperationsC.ActorsD.检查表-工艺 IX.实现技术维度网络安全50教育管理信息系统 A.部署B.EMISC.差异D.核对表-技术 X. A.计划B.合同C.评价D.清单-治理 64 XI. A.三个实施阶段的指示性资源和关联77人力资源成本B.有关的指示性资本和运营支出网络安全78工具和技术 80 8183 A.评估B.管理C.选择 表格和数字 TABLES 1指导原则EMIS2Costof网络攻击3指示性资源和人力资源Costs4指示性资本和运营支出 15727879 工具包项目D-01：数据分类，包括个人数据指南分类19工具包项目D-02：数据生命周期，包括收集、存储、处理和处置23工具包项目P-01：安全之间的领导和角色分离Governance31和运营工具包项目P-02：EMIS信息安全团队的基本技能33工具包项目P-03：红色组队35工具包项目P-04：EMIS用户的培训、沟通和行为36PR-01:系统设计流程39工具套件项目PR-02：与安全操作相关的流程44工具套件项目PR-03：管理内部威胁和恶意行为者47工具包项目T-01：EMIS网络中的基本网络安全产品50工具包项目T-02：技术获取中的主要考虑因素55工具包项目T-03：管理生命周期和来源差异57工具包项目G-01：风险管理计划59工具包项目G-02：外包合同的治理64工具包项目G-03：监控和评估的关键指标68 Figures 1基本网络安全工具包中涵盖的EMIS中的网络安全维度42将网络安全工具包集成到国家企业架构中113个人可识别信息的分类204数据生命周期235使用HTTPS的好处276EMIS安全设计审查的插图417静态代码分析工具的输出428非军事区示意图439持续改进周期4710发件人策略框架工作流5411面向安全的分层EMIS网络设计5412风险矩阵示例60 前文 亚洲开发银行（ADB）的发展中成员国（DMC）寻求充分利用全球经济的持续数字化转型。DMC看到了利用数字技术实现更快的经济增长，实现公共服务现代化，创造创新产品，创造更多就业机会并将其国家提升到更高的发展水平的巨大机遇。然而，推动数字经济并非没有风险，对数字技术的依赖加剧了亚太地区的网络安全风险。即使在起步阶段，新技术在加速减贫方面的积极影响也可能因网络威胁和风险的增加而受到损害。 虽然网络安全议程的重要性现在在全球范围内都很突出，但亚行的DMC尚未充分探索解决这一问题的方式。然而，许多DMC最近对数字基础设施进行了大量投资，以实现其发展目标。即使是非数字部门也严重依赖信息技术系统和应用程序进行运营。不幸的是，几乎没有任何部门能够幸免于网络安全威胁。在几乎持续不断的攻击背景下，DMC必须采取有效的做法来增强网络安全弹性，并在其各个部门提供一致的公共服务。然而，DMC在有效应对网络安全风险和优化数字发展机会方面的能力和技能差距不均衡。 本工作文件旨在成为基础的下一代工具包，帮助决策者和从业人员采取具体措施，为教育管理信息系统（EMIS）实施网络安全保障措施。它全面涵盖了五个相关维度或主题-数据，人员和组织，流程，技术和治理-并展示了战略性的分阶段实施方法。鉴于其全面性和适应性，本文的内容可以适用于其他部门的管理信息系统。我希望本文为读者提供尖端知识和能力，以解决EMIS的网络安全问题，这对实现亚洲及太平洋地区的公平繁荣和可持续发展至关重要。 布鲁诺·卡拉斯科总干事气候变化与可持续发展部亚洲开发银行 ACKNOWLEDGMENTS 该工具包是亚洲开发银行（亚行）区域技术援助，亚洲及太平洋数字发展基金的一部分，该基金由大韩民国电子亚洲和知识伙伴关系基金共同资助，由亚行气候变化和可持续发展部（CCSD）实施。亚行领域专家兼顾问AadHarihara在数字技术发展司（CCDT）数字技术专家MasataeYamamichi的指导下领导了论文的撰写。 该工具包受益于许多亚行同事和同行评审员的投入，想法和审查。CCSD总干事BroCarrasco和CCDT主任ThomasAbell在本报告的编写过程中提供了宝贵的指导和支持。同行评审员是风险管理办公室高级风险管理专家AssaadSaha；风险管理办公室高级风险管理官JosephHeso；CCDT数字技术专家Chi-AKo；以及独立电信以及信息和通信技术政策研究分析师MaryGraceMiradilla-Satos。 ADB顾问CherryLynnZafaralla对论文草稿进行了文案编辑；LawrenceCasiraya对论文草稿进行了校对；Asiatype，Inc.对最终出版物进行了排版。CCDT数字技术官员CarmelaFernando-Villamar；CCDT高级运营助理LassieLuckyFernando；CCDT高级运营助理Genny 亚行感谢所有这些贡献，并特别感谢亚行对孟加拉国技术援助“支持提高初等教育质量”的信息和通信技术专家A.K.M.ShamsulHaque，他提供了宝贵的反馈和意见。 缩写 亚行-亚洲开发银行AES -高级加密标准API -应用编程接口CERT -网络安全应急响应团队CISO -首席信息安全官CRMP -网络安全风险管理计划CRVS -民事登记和生命统计DDoS -分布式拒绝服务DMARC -基于域的消息认证DMZ -非军事区EMIS -教育管理信息系统HTTP -超文本传输协议IAM -身份和访问管理IPS -入侵防御系统ISO -国际标准组织NGFW -下一代防火墙OEM -原始设备制造商RFP -征求建议书RPO -恢复点目标RTO -恢复时间目标SIEM -安全事件和事件管理SLA -服务级别协议SOAR -安全编排和响应SOC -安全运营中心SPF -发件人策略框架SQL -结构化查询语言TLS -传输层安全TOGAF -开放组架构框架UTM -统一威胁管理VA / PT -脆弱性评估和渗透测试XSS -跨站点脚本 执行摘要 This教育管理信息系统网络安全基本工具包是主要为亚洲开发银行（ADB）发展中成员国（DMC）的决策者和从业人员量身定制的基本指南，他们负责在教育管理信息系统（EMIS）中实施网络安全措施。该工具包提供了具体的模式，旨在帮助读者，特别是亚行DMC的读者，确定EMIS网络安全中的问题和挑战，并分析潜在的解决方案。该工具包提供了解决相关问题的实际例子。亚行和其他发展伙伴的教育专家是次要受众，因为它们是将工具包的输出传递给主要目标受众的关键渠道。 EMIS在改善各级教育系统的学习成果方面发挥了关键作用。特别是，冠状病毒病（COVID-19）大流行改变了教育部门的动态，导致电子教育的大量使用。这进一步增加了EMIS的重要性，EMIS应与学习管理系统等其他主要系统结合使用。对在线教育模式的日益依赖要求为EMIS提供足够的安全。比以往任何时候都更需要解决与安全有关的问题，以确保教育服务的连续性和教育系统的复原力。 该工具包主要基于国际标准组织(ISO)27001标准，并在必要时借鉴了ISO27701的数据隐私原则。它涵盖以下主题： (i)示例案例场景以及构成工具包基础的假设（第一部分）；(ii)关键网络安全属性及其与EMIS的相关性（第二节）；(iii)编写工具包时提到的标准和框架(第三节)；(iv)将工具包与国家企业架构集成或对齐(第四节)；(v)EMIS网络安全指导原则(第五节)；以及(vi)具体的工具包主题描述按五个维度或支柱构建:数据、人员和组织、流程、技术和治理(第六至第十节)。 该工具包由两部分组成，研究为什么解决网络安全问题很重要，以及如何加强EMIS。在第1部分（第I - IV节）中，本文提供了介绍和重要背景，例如关键的网络安全属性，标准和行业框架。第1部分还强调，EMIS的网络安全框架应被视为国家企业架构的组成部分。随后的部分包括第2部分（第V - X部分），这是本文的主要部分，提供了有关“为什么”和“如何”的详细说明，以解决教育管理中网络安全的五个方面：数据，人员和组织，过程，技术和治理。每个部分末尾的快速参考清单允许读者查看该部分讨论的内容。由于实施EMIS的发展中国家和中等收入国家可能没有必要的预算资源来支持一开始就全面实施所有网络安全措施，因此EMIS的实施应分阶段进行。因此，关键检查表项目分为三个阶段：低接触实施阶段、中接触实施阶段和高接触实施阶段。这种方法需要在三个阶段进行渐进投资。 x亚行可持续发展工作文件系列第94号