教育机构IT安全策略Checklist（上）

教育机构对 IT 安全策略的需求极为迫切。机构内部存储着海量敏感数据，涵盖学生与教职工个人隐私、财务信息及教学资料等，需防止泄露与滥用。同时，教育工作高度依赖各类信息系统开展教学与管理，保障其稳定运行至关重要。再者，相关法律法规强制要求教育机构采取有效措施保护数据安全，否则将面临法律风险。良好的IT安全策略有助于维护机构声誉，赢得家长、学生和教职工的信任，若发生安全事件，信任将遭受重创，因此，IT安全策略对教育机构而言非常重要。以下是一份教育机构IT策略检查表，教育机构相关人员可以对照此表查看自己机构是否符合要求，同时可据此做出改进，以保障教学工作的顺利开展。

访问控制策略

• 识别不同的角色并明确其各自的访问需求。

       学生：访问教育资源、作业和个人学习记录。

       教师/教员：访问学生记录、课程材料和行政职能。

      行政人员：访问行政记录、财务系统和学生信息。

      IT人员：访问整个IT基础设施，包括网络配置和安全系统。

      图书馆工作人员：访问图书馆管理系统和学生借阅记录。

      研究人员：访问研究数据库和协作工具。

      外部承包商/厂商：仅有执行特定任务或服务的有限权限。

• 基于角色而非个人分配权限。避免授予一揽子权限。

       学生：查看成绩、提交作业、访问课程材料。

       教师/教员：编辑成绩，管理课程内容，与学生沟通。

       行政人员：更新学生记录，管理财务交易，生成报表。

       IT人员：配置网络设置、管理用户帐户、监控安全警报。

       图书馆工作人员：管理图书，发放和归还图书，访问学生借阅历史。

       研究人员：访问和下载研究论文，提交研究提案。

• 根据用户的职责和工作职能，将用户定位到适当的角色。确保最小特权原则（PoLP）。
• 创建角色层级以定义不同角色之间的关系。高级角色可获得低级角色的权限。
• 超出常规权限的访问，有严格的审批流程，请求同意后获得临时权限。
• 实行角色分配、角色修改和角色撤销策略。
• 定期审查和更新用户角色和访问权限，特别是在学期开始和结束时。
• 定期审查和更新访问权限和许可。
• 详细说明创建、发布和管理用户帐户的过程。
• 为教职工和学生实施多因素身份验证（MFA）。
• 为行政访问设定一次性密码、生物识别或硬件令牌等身份验证方法。
• 在适当的情况下强制单点登录（SSO）。
• 处理转岗和离职人员权限，确保访问权限已调整或撤销。
• 定义密码复杂性要求（长度、字符类型）。
• 设置密码过期和轮换策略（例如，每90天一次）。
• 登录失败达到规定次数后强制帐户锁定。

数据保护策略

• 根据学生记录、财务信息和研究数据，将数据分为公共、内部、机密和受限等类别。
• 根据类别标记数据。
• 明确如何安全地处理、存储和传输每个类别的数据。
• 采取适当的保护措施，确保符合FERPA和其他法规。
• 使用加密算法或Bitlocker或文件保险箱加密静态敏感数据，特别是学生记录和研究数据。
• 在所有设备上强制执行全磁盘加密。
• 确保传输中的数据使用SSL/TLS加密，特别是对于在线课程和远程通信。
• 定期将关键数据备份到本地或云端。
• 确保在收集个人数据之前获得知情同意。
• 提供有关收集哪些数据以及用于什么目的的明确信息。
• 仅允许授权人员访问数据。
• 制定严格的指南和法律框架，以便与第三方共享数据。
• 可能的情况下，匿名化数据以保护个人隐私。
• 制定并遵守符合法律和监管要求的数据保留计划。
• 通过粉碎或消磁有形数据以及安全擦除数字化数据等方法，安全删除或销毁不再需要的数据。
• 避免存储数据的时间过长，并确保其保持最新状态。
• 定义关键数据的备份频率和保留期。
• 将备份存储在本地或云端。
• 定期测试数据恢复程序。

终端安全策略

• 维护所有终端设备的详细资产清单，包括硬件和软件组件。
• 分配这些资产的所有权和具体的管理责任。
• 自动开通和撤销帐户。
• 限制特权帐户的数量。
• 立即停用离职员工和毕业生的帐户。
• 为设备设立最低安全基线。
• 通过集中管理的UEM解决方案实现统一控制。
• 只允许在设备上安装和运行经过批准的应用。
• 标准化所有用户浏览器的设置以使漏洞最小化。
• 规范浏览器扩展的使用，以防止潜在的违规行为。
• 采取措施检测和阻止网络钓鱼企图。
• 监测和控制电子邮件附件和链接的打开，以防止恶意软件攻击。
• 限制可以通过电子邮件上传或下载的文件类型或大小。
• 要求使用防病毒软件并安排定期扫描。
• 强制使用虚拟专用网络（VPN）从外部网络访问内部资源。
• 通过WPA3等强加密协议保护无线连接。
• 对操作系统、软件、第三方应用和内部应用进行优先级排序来管理补丁。
• 在部署之前在临时环境中测试补丁，以避免干扰教学活动。
• 定期扫描恶意软件和漏洞。
• 使用下一代恶意软件防护软件来识别和防御风险和零日漏洞。
• 在授予网络访问权限之前，确保设备符合安全基线。
• 定期备份数据并测试恢复过程。
• 保存系统和用户活动的详细日志，以支持事后的调查。
• 控制教育机构的机器上USB设备和其他外围设备的使用。
• 对敏感区域（包括服务器机房、数据中心和实验室）实施物理访问控制，如钥匙卡、生物识别扫描仪和保安看守。
• 远程桌面仅限于授权用户使用，例如需要远程访问校园资源的IT员工和教职员工。
• 通过UEM解决方案，在员工和学生用于在线学习的远程设备上实施安全策略。
• 安装和维护监控摄像头，以监控敏感区域的物理访问。
• 定期查看监控录像中的可疑活动，特别是在非工作时间和假期。