教育管理信息系统网络安全基本工具包

亚行可持续发展工作文件系列 NO.94 2024年6月 教育管理信息系统网络安全基本工具包 AnandHariharanandMasatake(Masa)Yamamichi 亚洲发展银行 亚行可持续发展系列工作文件 The亚行可持续发展系列工作文件提供正在进行的研究数据，以鼓励交流想法，并就亚洲及太平洋发展问题征求评论和反馈。 所表达的观点是作者的观点，不一定反映亚行或其理事会的观点和政策 或者他们所代表的政府。 教育管理信息系统网络安全基本工具包 AnandHariharan和Masatake(Masa)Yamamichi第94号 2024年6月 AadHarihara是一位数字化转型和网络安全顾问，拥有20年的行业经验。他协助亚洲和非洲的低收入和中等收入国家设计和实施与金融包容性、直接利益转移、开放数字商务、生物识别公民身份、小额信贷、税收和数字记录管理有关的人口规模数字政府计划。他曾在全球咨询公司和技术初创公司任职。 Masatake（Masa）Yamamichi是亚行数字技术发展司，气候变化和可持续发展部的数字技术专家。他负责网络安全和隐私议程。凭借其广泛的专业知识和运营经验，他还为其他与数字相关的议程提供帮助。 亚洲发展银行 知识共享署名3.0IGO许可证(CCBY3.0IGO) ©2024亚洲开发银行 菲律宾马尼拉大都会1550号亚行大道6号电话63286324444；传真63 286362444 保留部分权利。出版于2024年。ISSN2789- 0619（印刷）；2789-0627（PDF）出版物库存编号WPS240301-2 DOI：http://dx.doi.org/10.22617/WPS240301-2 本出版物中表达的观点是作者的观点，不一定反映亚洲开发银行（ADB）或其理事会或其代表的政府的观点和政策。 亚行不保证本出版物中包含的数据的准确性，也不对其使用的任何后果承担任何责任。提及特定公司或制造商的产品并不意味着它们得到亚行的认可或推荐，而不是其他未提及的类似性质的公司或产品。 通过在本文件中对特定领土或地理区域进行任何指定或提及，亚行不打算对任何领土或区域的法律或其他地位做出任何判断。 本出版物可通过知识共享署名3.0IGO许可证(CCBY3.0IGO)https://creativecommons.org/licenses/by/3.0/igo/。通过使用本出版物的内容，您同意受本许可证条款的约束。有关归属、翻译、改编和权限，请阅读https://www.adb.org/terms-use。 本CC许可不适用于本出版物中的非亚行版权材料。如果该材料归因于其他来源，请联系该来源的版权所有者或出版商以获得复制许可。亚行对因使用该材料而引起的任何索赔概不负责。 请联系pubsmarketing@adb.org，如果您对内容有疑问或意见，或者如果您希望获得版权许可，您的预期使用不属于这些条款，或使用亚行标志的许可。 The亚行可持续发展系列工作文件提供正在进行的研究和研究中的数据，信息和/或发现，以鼓励交流思想，并就亚洲和太平洋地区的发展问题征求评论和反馈。由于本系列中的论文旨在快速和容易地传播，因此内容可能会或可能不会被完全编辑，并可能在以后进行修改以供最终出版。 亚行出版物的更正见http://www.adb.org/publications/corrigenda。在本出版物中，“$”是指美元。 亚行承认“美利坚合众国”为美国。 CONTENTS 表和Figuresv ACKNOWLEDGMENTSvii 执行摘要ix 第1部分：什么是教育管理中的网络安全1 I.介绍3 A.工具包的目的和范围3 B.工具包的结构以及如何使用4 C.EMIS5的案例场景 D.EMIS6的当前安全态势 II.关键网络安全属性及其与8 教育管理信息系统 III.工具套件的标准和框架9 IV.与国家企业架构的整合10 第2部分：网络安全的原因13 V.教育管理中网络安全的指导原则15 信息系统 VI.教育管理中网络安全的数据维度18 信息系统 A.数据分类，包括个人数据分类指南19 B.收集、存储、处理和处置方面的数据生命周期23 C.快速参考检查表-数据30 四、内容 VII.人员和组织规模网络安全30 教育管理信息系统 A.Operations31 B.团队33 C.成组35 D.工作人员36 E.组织机构38 VIII.工艺尺寸启用网络安全38 教育管理信息系统 A.安全39 B.Operations44 C.Actors47 D.检查表-工艺49 IX.实现技术维度网络安全50 A. 部署 50 B. EMIS 55 C. 差异 57 D. X. 核对表-技术 58 A. 计划 59 B. 合同 64 C. 评价 68 D. 清单-治理 70 A. 三个实施阶段的指示性资源和关联 77 人力资源成本 B. 有关的指示性资本和运营支出网络安全 78 工具和技术 A. 评估 80 B. 管理 81 C. 选择 83 教育管理信息系统 XI. 表格和数字 TABLES 1指导原则EMIS15 2Costof网络攻击72 3指示性资源和人力资源Costs78 4指示性资本和运营支出79 工具包项目D-01：数据分类，包括个人数据指南分类19 工具包项目D-02：数据生命周期，包括收集、存储、处理和处置23 工具包项目P-01：安全之间的领导和角色分离Governance31 和运营 工具包项目P-02：EMIS信息安全团队的基本技能33 工具包项目P-03：红色组队35 工具包项目P-04：EMIS用户的培训、沟通和行为36 PR-01:系统设计流程39 工具套件项目PR-02：与安全操作相关的流程44 工具套件项目PR-03：管理内部威胁和恶意行为者47 工具包项目T-01：EMIS网络中的基本网络安全产品50 工具包项目T-02：技术获取中的主要考虑因素55 工具包项目T-03：管理生命周期和来源差异57 工具包项目G-01：风险管理计划59 工具包项目G-02：外包合同的治理64 工具包项目G-03：监控和评估的关键指标68 Figures 1基本网络安全工具包中涵盖的EMIS中的网络安全维度4 2将网络安全工具包集成到国家企业架构中11 3个人可识别信息的分类20 4数据生命周期23 5使用HTTPS的好处27 6EMIS安全设计审查的插图41 7静态代码分析工具的输出42 8非军事区示意图43 9持续改进周期47 10发件人策略框架工作流54 11面向安全的分层EMIS网络设计54 12风险矩阵示例60 前文 亚洲开发银行（ADB）的发展中成员国（DMC）寻求充分利用全球经济的持续数字化转型。DMC看到了利用数字技术实现更快的经济增长，实现公共服务现代化，创造创新产品，创造更多就业机会并将其国家提升到更高的发展水平的巨大机遇。然而，推动数字经济并非没有风险，对数字技术的依赖加剧了亚太地区的网络安全风险。即使在起步阶段，新技术在加速减贫方面的积极影响也可能因网络威胁和风险的增加而受到损害。 虽然网络安全议程的重要性现在在全球范围内都很突出，但亚行的DMC尚未充分探索解决这一问题的方式。然而，许多DMC 最近对数字基础设施进行了大量投资，以实现其发展目标。即使是非数字部门也严重依赖信息技术系统和应用程序进行运营 。不幸的是，几乎没有任何部门能够幸免于网络安全威胁。在几乎持续不断的攻击背景下，DMC必须采取有效的做法来增强网络安全弹性，并在其各个部门提供一致的公共服务。然而，DMC在有效应对网络安全风险和优化数字发展机会方面的能力和技能差距不均衡。 本工作文件旨在成为基础的下一代工具包，帮助决策者和从业人员采取具体措施，为教育管理信息系统（EMIS）实施网络安全保障措施。它全面涵盖了五个相关维度或主题-数据，人员和组织，流程，技术和治理-并展示了战略性的分阶段实施方法。鉴于其全面性和适应性，本文的内容可以适用于其他部门的管理信息系统。我希望本文为读者提供尖端知识和能力，以解决EMIS的网络安全问题，这对实现亚洲及太平洋地区的公平繁荣和可持续发展至关重要。 布鲁诺·卡拉斯科总干事 气候变化与可持续发展部亚洲开发银行 ACKNOWLEDGMENTS 该工具包是亚洲开发银行（亚行）区域技术援助，亚洲及太平洋数字发展基金的一部分，该基金由大韩民国电子亚洲和知识伙伴关系基金共同资助，由亚行气候变化和可持续发展部（CCSD）实施。亚行领域专家兼顾问AadHarihara在数字技术发展司（CCDT）数字技术专家MasataeYamamichi的指导下领导了论文的撰写。 该工具包受益于许多亚行同事和同行评审员的投入，想法和审查。CCSD总干事BroCarrasco和CCDT主任ThomasAbell在本报告的编写过程中提供了宝贵的指导和支持。同行评审员是风险管理办公室高级风险管理专家AssaadSaha ；风险管理办公室高级风险管理官JosephHeso；CCDT数字技术专家Chi-AKo；以及独立电信以及信息和通信技术政策研究分析师MaryGraceMiradilla-Satos。 ADB顾问CherryLynnZafaralla对论文草稿进行了文案编辑；LawrenceCasiraya对论文草稿进行了校对；Asiatype，Inc.对最终出版物进行了排版。CCDT数字技术官员CarmelaFernando-Villamar；CCDT高级运营助理LassieLuckyFernando；CCDT高级运营助理Genny 亚行感谢所有这些贡献，并特别感谢亚行对孟加拉国技术援助“支持提高初等教育质量”的信息和通信技术专家A.K. M.ShamsulHaque，他提供了宝贵的反馈和意见。 缩写 亚行-亚洲开发银行 AES-高级加密标准API-应用编程接口 CERT-网络安全应急响应团队CISO-首席信息安全官CRMP-网络安全风险管理计划CRVS-民事登记和生命统计DDoS-分布式拒绝服务 DMARC-基于域的消息认证DMZ-非军事区EMIS-教育管理信息系统HTTP-超文本传输协议IAM-身份和访问管理IPS-入侵防御系统 ISO-国际标准组织NGFW-下一代防火墙OEM-原始设备制造商RFP-征求建议书RPO-恢复点目标 RTO-恢复时间目标 SIEM-安全事件和事件管理SLA-服务级别协议 SOAR-安全编排和响应SOC-安全运营中心 SPF-发件人策略框架 SQL-结构化查询语言 TLS-传输层安全 TOGAF-开放组架构框架UTM-统一威胁管理 VA/PT-脆弱性评估和渗透测试XSS-跨站点脚本 执行摘要 This教育管理信息系统网络安全基本工具包是主要为亚洲开发银行（ADB）发展中成员国（DMC）的决策者和从业人员量身定制的基本指南，他们负责在教育管理信息系统（EMIS）中实施网络安全措施。该工具包提供了具体的模式，旨在帮助读者，特别是亚行DMC的读者，确定EMIS网络安全中的问题和挑战，并分析潜在的解决方案。该工具包提供了解决相关问题的实际例子。亚行和其他发展伙伴的教育专家是次要受众，因为它们是将工具包的输出传递给主要目标受众的关键渠道。 EMIS在改善各级教育系统的学习成果方面发挥了关键作用。特别是，冠状病毒病（COVID-19）大流行改变了教育部门的动态，导致电子教育的大量使用。这进一步增加了EMIS的重要性，EMIS应与学习管理系统等其他主要系统结合使用。对在线教育模式的日益依赖要求为EMIS提供足够的安全。比以往任何时候都更需要解决与安全有关的问题，以确保教育服务的连续性和教育系统的复原力。 该工具包主要基于国际标准组织(ISO)27001标准，并在必要时借鉴了ISO27701的数据隐私原则。它涵盖以下主题： (i)示例案例场景以及构成工具包基础的假设（第一部分）； (ii)关键网络安全属性及其与