自建平台or用企业平台?安全吗?信息化主任来支招
高校在移动应用建设过程中,面临着建设模式选择、安全问题解决,以及如何进一步发展等问题。对此,高校信息化部门相关负责人发表了各自的看法,并普遍认为,高校移动应用建设需要营造一个多方参与的开放型生态,在更好满足用户需求的同时,缓解信息化部门的开发及运维压力。
自建平台与企业平台怎么选?
高校在进行校园移动应用建设时,是选择自建平台还是选择企业平台,每位老师的意见不尽相同,每个学校的模式也各有差异。然而,大家普遍认为,两种路径实则各有优缺点。
自建平台的优点是可以设计贴合学校的UI,功能体验和安全性更佳,也更能够体现学校特点;缺点是开发和运维成本高,需要单独下载,不宜推广,需要适应各类手机型号和操作系统,升级维护需要持续不断投入大量人力和资金。
企业平台的优点是开发成本低,开发速度快,已经形成用户群,容易推广,操作符合用户习惯;缺点是受制于平台开放的接口,用户体验相对较差。
浙江大学信息技术中心主任陈文智认为,高校应借力现有互联网的技术成果,快速搭建属于自己的移动应用生态。
陈文智指出,主流的移动应用建设有两条路径:
一是借助现有移动端平台,开发学校的桌面端移动应用。其优势在于可以快速实现移动端,且能够和已有成果结合并转化借力,从而大幅降低研发费用的投入;
二是从零开始建设校园移动应用。其优势是完全自主可控,但带来的劣势也非常明显,比如投入周期过大,产出效果未必尽如人意,且很有可能是一个独立的应用,没办法借力于外界的生态。
东北财经大学网络信息管理中心副主任陈伟认为,独立App模式数据更为可控,更能满足个人数据安全需要。东北财经大学的移动信息化以一个平台、多种终端、多种服务方式的融合平台模式为目标,进行建设。
陈伟指出,目前,企业微信、腾讯微校等建设模式得到广泛应用,校园独立App应用的安装、更新等存在诸多不便而逐渐式微。独立App这种模式独有的价值、特性和技术能力在过去的年代没有发挥出来,但却更能满足以下两方面的需求。
首先,独立App模式能够满足智慧校园时代对于数据充分感知的需求,如人脸识别、GPS、NFC等物联传感信息,而第三方平台对此有很大限制,无法采集此类信息;
第二,独立App模式能够满足数据保护的要求,2018年5月,欧盟发布《一般数据保护法案(General Data Protection Regulation, 679/2016, GDPR )》(简称GDPR),2019年5月,国家互联网信息办公室发布关于《数据安全管理办法(征求意见稿)》,对移动应用数据收集、数据处理使用、数据安全监督管理提出了明确要求,2020年3月,我国《信息安全技术个人信息安全规范GB/T 35273-2020》开始实施。
以上种种,均传递出一个明确的信号,个人数据安全需要得到更高程度的重视,且对整个移动信息化建设的信息安全体系构建提出了新的要求。
常熟理工学院信息化办公室党委书记先晓兵认为,移动应用建设应在一些专业数字平台之上,随需进行微创新。常熟理工学院从最初的依托企业打造专属App,转变为目前的主要基于微信公众号、企业微信,并结合微信开放认证平台,打造学校的移动应用平台生态。
先晓兵指出,与其抱怨没有一个平台适合自己,不如在一些大的平台之上进行资源优化和整合,打造更加贴近学校特色的移动应用平台,这就需要培养自己的信息化队伍。常熟理工学院打造的小应用能够受到师生欢迎的重要原因,就是学校有一个自己的小团队,可以随需而变,灵活进行微创新。
期望推翻一个平台去打造另一个平台就能解决所有问题的想法并不可取,寻求公司重金打造学校专属平台,与在钉钉、企业微信等平台上进行微创新对比,前者就像在打地基,而后者是直接从10层开始进行建设,省去了很多前期投入,节约了大量时间,两者之间的差距显而易见。
移动应用安全问题如何破解?
目前,众多高校都在积极推进智慧校园建设,借助移动应用打造“互联网+校园”的智慧校园模式,为师生提供更便捷的智慧校园服务。与此同时,校园移动应用的管理工作也成为信息化管理的重要组成部分。伴随高校移动应用的快速普及,其安全问题也日益显现。
移动应用安全条件更为复杂,监测手段相对较少,又涉及托管类应用,数据隐私安全亦是难点,如何在安全基础上推广移动应用安全,将是高校信息化人员一个长期而艰巨的任务。
北京大学医学部信息通信中心副主任宋式斌表示,移动应用安全是网络安全工作的一部分,信息化部门是学校网络安全的主责部门,首先需要知道管什么,有哪些需要管理;其次需要分享被管理的对象如何管理;最后是制定规则,配备技术手段,进行有效监控管理,在监控管理中,填补漏洞,加强规则,完善程序,最终形成学校行之有效的网络安全策略。
首先,应加强资产管理,对App做好网络备案和登记,并按照等级保护原则,确定安全等级和资产责任,通过安全等级测评;对于微信类小程序类,则应严把学校的合同签署关,所有在微信上开放的小程序,务必要在学校备案登记,同时登记备案学校与微信端的数据通讯接口,明确小程序的应用安全责任,落实“谁主管,谁负责,谁使用,谁负责”的要求,明确小程序安全责任主体单位。
其次,作为信息化部门,应在移动应用备案的基础上,加强安卓应用的安全管理,应尽量做程序源码加密,数据通讯使用加密协议,选择正规的应用服务商推广应用,避免被加载恶意代码。有条件的高校,可联系手机应用安全厂家,对源码进行过程安全扫描,同时对源码进行加固处理,进一步减少程序漏洞。苹果应用管理较为严格和封闭,问题相对较少,但应尽量避免程序自身漏洞,需加强程序开发的过程安全检测,降低风险点。对于微信类小程序,信息化部门需加强其通讯监控管理,设计好微信上传数据的保护模式,减少隐私数据外传,关键数据尽量在校内管控范围内,通过接口调取数据,避免被批量获取数据。
最后,为确保安全事件可回溯,对移动应用的访问日志务必做到符合《网络安全法》的要求,对日志可定期进行统计分析,了解访问趋势和潜在风险,有条件的高校,可在数据中心出口部署七层安全设备,进一步掌握应用的访问情况,确定访问源头安全信息。
中国人民大学信息技术中心主任李艳丽介绍,中国人民大学托企业微信建设移动校园,除基础人员和组织机构数据需要传到企业微信用于用户绑定外,其他数据都在学校本地存储,通过学校数据中心一系列的安全措施加以保护。
传到企业微信的仅是人员和组织机构代码,不涉及其他信息,以此来保护个人数据安全。
重庆邮电大学信息化办公室主任田航表示,为积极应对移动应用安全问题,重庆邮电大学主要采取了三项措施。
一是将其纳入学校网络安全防护体系统一管理,如严格落实信息发布审核制度、网络身份实名制等,定期进行网络安全检查、漏洞扫描等,使用HTTPS安全域名、采用加密方式进行数据传输等;
二是建立开发安全机制,例如代码开发环境与运维生产环境分离、进行数据备份、服务器升级加固等;
三是不断提升师生的信息化素养,提高开发运维人员的安全意识,时刻注意保护师生用户的个人信息安全。
本文刊载于《中国教育网络》杂志2020年5月刊。
投稿、转载或合作,请联系:eduinfo@cernet.com