随着信息技术在教育行业的广泛应用和深度融合，教育行业网络与信息安全关系着教育信息化的稳步推进和教育事业的改革发展，教育行业信息系统及网站遭到页面篡改、数据被窃取等恶意攻击事件时有发生，网络与信息安全面临巨大威胁。

虽然教育行业的信息安全体系建设初具成型，大部分业务系统实施了信息安全等级保护建设，采购了各类网络安全防护产品。但纵观近几年的数据泄露事件，不难发现，教育行业最核心的敏感数据资产缺乏更有效的安全防护措施。

2020年，突如其来的疫情打破了传统教育行业的模式，在疫情期间，教育部提出“停课不停学”的理念，远程教育行业又迎来一波大发展，但面临的网络安全风险也在不断上升。

国内相关平台分析，在2020年1月1月-3月22日，全国50000个教育行业的远程在线网站总体访问数据在48.95亿次，主要的访问流量集中在2月10日-3月22日期间，约占总体数据的71.06%。

因为教育部下发通知要求2020年春季学期延期开学，实现“停课不停教、停课不停学”的远程教育模式。而2020年1月1日-3月22日，全国教育行业在线网站累计遭受9600多万次网络攻击。

教育行业如同医疗等行业一样，是个包含巨大数据流的行业，存在着各类核心业务系统。这类核心业务系统都存储着海量数据，比如学生个人信息、教职工个人信息、财务信息等敏感数据。如若业务系统内的敏感数据遭遇泄露，被不法分子利用，盗卖数据，进一步导致电信诈骗的发生，后果不堪设想。

真正导致大规模个人信息泄露的源头有两个：一个是黑客攻击，一个是握有大量个人信息的企业的“内鬼”。黑客利用自己掌握的技术，入侵相关网站或系统的后台，偷盗数据库，窃取公民个人信息进行贩卖；“内鬼”则利用自己的内网权限，非法获取公民个人信息进行黑色交易。

疫情也让教育快速走向云端，当下看来在线教育是权宜之计，但着眼未来，在线教育已成为发展的必然趋势。在线教育培训是近年来逐渐兴起的一种将知识教育信息化的机构或在线学习系统。随着教育培训行业的不断发展壮大，行业内的竞争压力也在逐步的增大，而每一个机构内部都存储了大量的教学管理以及教学支持领域的海量知识以及用户信息，这些数据支撑着机构的运营，其中越是高级、研究深入的教育机构所产生的数据越是有高价值。正因如此，信息的安全性成为机构管理者所关注的重点。

对于多数教育培训机构来说，信息数据的泄露绝大多数来自于内部监控疏漏、老员工离职和外聘招生推广人员有意或无意为之，面对着一系列的问题，教育机构需要防止学员隐私信息以及机构内部重要的资料遭到有意或无意的误用、泄露，不仅是为了保护学员信息和学术资料的数据安全，还是为了防止机构之间的恶意竞争的发生。教育培训机构数据安全面临许多严重的问题：

1、随着互联网和移动互联网的快速发展，教育机构的老师开始使用移动互联网来和学员的家长进行交流沟通，而这种情况则无法避免的是，若某个老师在离职后带走相应的部分学员的信息，则很有可能造成机密信息的泄露；

2、教育机构各类业务、招生渠道的增加，导致相应的业务和招生渠道缺乏统一的管理措施，一旦招生老师离职，其管理的招生渠道很有可能会被带到其他教育机构，与原机构产生竞争关系；

3、很多机构对内部员工没有进行良好的职能划分，所有人都可以调取相关的学员信息，越权使用情况严重失控。

1、机构的外聘人员主要指来自于地推兼职、渠道合作、或其他合作关系等。外聘人员自行存储数据，一定时间进行统一汇总给合作的教育机构，机构课程顾问无法进行及时的跟进，导致数据会产生部分失效；

2、外聘人员接触客户信息，像渠道合作等方式，机构无法对合作方内部的员工进行管理，其内部员工有意或无意泄露学员信息，地推外聘人员无法监管，其获客信息可能会出现被二次贩卖的可能性。

1、此前，黑客入侵某国家级教育网站，大肆篡改了计算机及英语等级考试成绩数据，并伪造等级证书，再卖给其他人；泸州某教育机构遭遇黑客攻击，致使客户信息被大量盗取。黑客盗取信息后，对家长进行电信诈骗，导致教育机构的客户损失惨重。

2、大量案例表明，黑客擅于利用恶意篡改、代码植入、DDoS攻击、爬虫等方式，对高考查分网站、志愿填报网站、大学官网、在线教育网站等进行攻击，教育行业面临严峻的安全挑战。

这一切的源头，直指教育行业数据安全防护问题，当数据安全威胁步步紧逼，谁来守护教育行业的“一方净土”?

教育行业是我国最大的民生行业之一，是网络安全法定义的关键基础设施行业，诸多的攻击案例早就预示着教育行业必须对网络安全提起重视，《网络安全法》规定，教育类网站应当按照网络安全等级保护制度的要求，履行相关安全保护义务。在国家大力发展支持提高教育行业的安全保障能力时，也在提醒着我们，以往基于边界的安全防护已经无法满足现如今教育行业的需求，需要寻找更有效的安全防护措施。此时，越来越多的教育机构开始选择通过零信任理念保护具有高价值的隐私数据。

零信任是一种理念，它是建立在身份验证、设备验证、网络隔离和访问控制的基础上，是保护企业管理应用和隐私数据的关键。传统保护网络安全的方式是允许访问者先访问企业内的资源再进行身份验证，而零信任理念则打破了这一传统，在默认情况下，企业内外部的人均不可信，在访问前先通过验证用户的身份信息，再授权用户进行访问数据。

零信任理念的特征是永不信任且验证，通过零信任可以不再区分内外网，对内外网都不再信任，任何访问者再访问之前都需要通过多种验证方式不断地验证访问者的身份，减少网络攻击面。对于教育行业来说，最急需的是对企业员工或合作伙伴进行按需授权，针对不同的人给予不同的访问权限，可以查看不同的数据，对于没有权限查看的一律无法查看。这样可以大大减少高价值的数据和信息外流的风险。

通过零信任理念，可以降低整体安全风险，提升办公效率，通过数据可视化提升网络访问安全级别，让企业员工不管身在何处都可以有一致的访问体验，实现端到端的全程加密。

教育科研机构是国家诸多行业中的基础，不少机构和单位更是属于关键信息基础设施，是社会运转的神经系统的一部分。保障这些关键信息系统的安全，不仅仅是保护教育科研机构自身的网络安全，更是保护社会安全，公共安全乃至国家安全。

建立完善安全管理制度、审核监控制度，并采取有效技术措施和网络安全防护设备保障网络安全、稳定运行，能有效应对网络安全事件是一个平台稳定运作的先决条件。通过零信任解决方案，可以帮助教育行业迅速的在信息化时代化“危”为“机”。