黃嘯波 李盛丹 劉曉華

（1.教育部考試中心，北京 100084；2.北京奈亞信息技術(shù)有限公司，北京 100085）

1 研究背景

大規(guī)?？荚噦鹘y(tǒng)使用現(xiàn)場(chǎng)報(bào)名的方式，需要考生在指定的時(shí)間范圍內(nèi)到規(guī)定的地點(diǎn)進(jìn)行報(bào)名，填寫個(gè)人信息、攝像、交費(fèi)、簽訂個(gè)人承諾書。隨著信息技術(shù)的發(fā)展，特別是互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，以及電子支付手段的日趨成熟，越來越多的大規(guī)?？荚嚥扇【W(wǎng)上報(bào)名的方式。網(wǎng)上報(bào)名方式較好地解決了傳統(tǒng)報(bào)名方式存在的問題，方便考生報(bào)名，減輕了考務(wù)人員的工作負(fù)擔(dān)，提高了考務(wù)管理的質(zhì)量水平和工作效率。

網(wǎng)上報(bào)名給考生和管理者帶來便捷、高效的同時(shí)，也存在網(wǎng)絡(luò)與信息安全隱患。一旦網(wǎng)絡(luò)安全和信息保護(hù)存在疏漏，就有可能導(dǎo)致敏感數(shù)據(jù)被竊取，造成巨大的社會(huì)影響和重大損失。近幾年發(fā)生的多起考生信息泄露事件，教訓(xùn)深刻。2017年5月，最高人民法院、最高人民檢察院公布《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，解決了個(gè)人信息無法律保障的問題，但是如何在管理層面和技術(shù)層面防范和杜絕考生信息泄露仍然是各級(jí)考試機(jī)構(gòu)面對(duì)的難題。

2 信息安全隱患

網(wǎng)上報(bào)名系統(tǒng)信息安全主要存在兩方面隱患：一是技術(shù)層面的安全隱患；二是管理層面的安全隱患。

2.1 技術(shù)層面安全隱患

技術(shù)層面的安全隱患主要包括物理安全隱患、服務(wù)器安全隱患、數(shù)據(jù)傳輸?shù)陌踩[患、網(wǎng)上支付的安全隱患。

一是物理安全隱患。物理安全是保證網(wǎng)絡(luò)通暢的一種基本安全形式，主要指保證網(wǎng)絡(luò)正常運(yùn)行的硬件設(shè)備和傳輸線路，以及網(wǎng)絡(luò)設(shè)備運(yùn)行環(huán)境的安全等。物理安全的威脅主要是自然災(zāi)害（如火災(zāi)、雷擊）、環(huán)境事故（如斷電）以及人為破壞。

二是服務(wù)器安全隱患。網(wǎng)上報(bào)名系統(tǒng)通過Web服務(wù)器提供對(duì)外訪問的窗口，數(shù)據(jù)庫(kù)服務(wù)器中保存著報(bào)名網(wǎng)站的數(shù)據(jù)，它們的安全至關(guān)重要。常見的安全隱患主要分為以下幾方面：1）利用報(bào)名網(wǎng)站服務(wù)器的高危安全漏洞，導(dǎo)致攻擊者可以通過執(zhí)行惡意腳本入侵服務(wù)器上傳后門木馬，實(shí)現(xiàn)篡改網(wǎng)頁、非法獲取數(shù)據(jù)庫(kù)中的數(shù)據(jù)，甚至實(shí)現(xiàn)對(duì)網(wǎng)站的全面控制。常見的服務(wù)器高危漏洞包括SQL注入漏洞、XSS漏洞等。2）數(shù)據(jù)庫(kù)服務(wù)器本身的安全性。攻擊者可能通過網(wǎng)絡(luò)、操作系統(tǒng)的漏洞入侵?jǐn)?shù)據(jù)庫(kù)服務(wù)器，從而獲取、更改或破壞數(shù)據(jù)庫(kù)中的數(shù)據(jù)，這類安全隱患具有毀滅性的威脅。3）數(shù)據(jù)庫(kù)的訪問口令泄露。部分?jǐn)?shù)據(jù)庫(kù)存在使用簡(jiǎn)單口令或弱口令的現(xiàn)象，有些數(shù)據(jù)庫(kù)訪問口令長(zhǎng)期不做修改，甚至在管理人員發(fā)生變動(dòng)時(shí)也沒有及時(shí)修改。

三是數(shù)據(jù)傳輸?shù)陌踩[患。一般網(wǎng)站采用超文本傳輸協(xié)議HTTP在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息。HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文，就可以獲得其中的信息，或是篡改報(bào)文，向網(wǎng)站服務(wù)器發(fā)送虛假數(shù)據(jù)。

四是網(wǎng)上支付的安全隱患。網(wǎng)上支付的主要安全隱患在于：1）支付密碼泄露。一旦攻擊者通過某種方式得到支付密碼，可以輕易地冒充持卡人通過互聯(lián)網(wǎng)進(jìn)行消費(fèi)，給持卡人帶來損失。2）支付數(shù)據(jù)被篡改。攻擊者可以通過修改互聯(lián)網(wǎng)傳輸中的支付數(shù)據(jù)，如付款銀行卡號(hào)、支付金額、支付考生信息等，達(dá)到牟利目的。

2.2 管理層面安全隱患

信息安全管理是一項(xiàng)系統(tǒng)工程，除了網(wǎng)上黑客入侵、網(wǎng)上病毒泛濫和蔓延等由于網(wǎng)絡(luò)的開放性而使系統(tǒng)面臨的安全隱患外，內(nèi)部人員的違規(guī)和違法操作同樣是信息安全的一大隱患。大量的網(wǎng)絡(luò)信息泄露案例表明，無論采用什么樣的安全技術(shù)，人始終是使用系統(tǒng)的主體，建立完整的信息安全管理體系才是解決信息安全問題的基礎(chǔ)。

3 信息安全預(yù)防策略

針對(duì)技術(shù)層面和管理層面存在的安全隱患，從技術(shù)和管理兩個(gè)層面分別建立信息安全的預(yù)防策略。

3.1 技術(shù)層面安全預(yù)防策略

3.1.1 系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)

系統(tǒng)采用B/S結(jié)構(gòu)，前端分為報(bào)名網(wǎng)站和支付網(wǎng)關(guān)兩個(gè)子系統(tǒng)，后臺(tái)使用Oracle數(shù)據(jù)庫(kù)。系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)上報(bào)名系統(tǒng)B/S結(jié)構(gòu)示意圖

3.1.2 物理安全

物理安全防范策略的目的是保護(hù)網(wǎng)絡(luò)通信系統(tǒng)和網(wǎng)絡(luò)服務(wù)器等硬件基礎(chǔ)設(shè)施免受自然災(zāi)害、環(huán)境事故和人為破壞的影響，確保網(wǎng)絡(luò)系統(tǒng)有一個(gè)良好的工作環(huán)境。

為保證網(wǎng)絡(luò)的物理安全，可以采取以下措施：1）在系統(tǒng)設(shè)計(jì)時(shí)，為核心硬件（如服務(wù)器等）設(shè)計(jì)備用設(shè)備，為網(wǎng)絡(luò)通信線路設(shè)計(jì)備用通道，或采用多種通道相結(jié)合的方式，如無線和有線的結(jié)合等。2）科學(xué)合理地實(shí)施網(wǎng)絡(luò)布線和配置工作，以防止人為搭線攻擊，并便于故障排查。3）防止電磁泄露。一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽；二是采用干擾措施，即在系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生與系統(tǒng)電磁輻射相關(guān)的偽噪聲，以掩蓋系統(tǒng)的工作頻率和信息特征。

3.1.3 服務(wù)器的安全防護(hù)

Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器是保存網(wǎng)上報(bào)名系統(tǒng)的關(guān)鍵基礎(chǔ)設(shè)備，為了防范針對(duì)服務(wù)器的攻擊，防止網(wǎng)上報(bào)名系統(tǒng)被篡改，設(shè)計(jì)了三層防護(hù)體系，實(shí)現(xiàn)了主動(dòng)防護(hù)和被動(dòng)防護(hù)相結(jié)合的服務(wù)器有效安全防護(hù)。

首先，在網(wǎng)上報(bào)名系統(tǒng)中部署了網(wǎng)站防篡改產(chǎn)品，防止網(wǎng)站被惡意篡改。其次，為服務(wù)器配備了主動(dòng)的漏洞掃描工具，定期檢測(cè)服務(wù)器系統(tǒng)軟件和應(yīng)用軟件中存在的安全漏洞，并在服務(wù)器上部署主機(jī)入侵行為檢測(cè)系統(tǒng)，及時(shí)檢測(cè)和防范針對(duì)服務(wù)器的入侵行為。最后，部署了日志審計(jì)系統(tǒng)，對(duì)發(fā)生的異常和安全事件可做到有效的記錄、審計(jì)和回溯。

3.1.4 防火墻和病毒防范

防火墻作為網(wǎng)絡(luò)安全域之間信息的唯一出入口，只允許特定的網(wǎng)絡(luò)協(xié)議通過，可以極大地提高內(nèi)部網(wǎng)絡(luò)的安全性。報(bào)名系統(tǒng)劃分為Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器兩個(gè)內(nèi)部網(wǎng)絡(luò)。

在互聯(lián)網(wǎng)和Web服務(wù)器內(nèi)網(wǎng)之間設(shè)置一道防火墻，主要策略為：僅允許外部使用HTTP/HTTPS協(xié)議訪問指定的內(nèi)網(wǎng)端口，禁止Web服務(wù)器訪問外部網(wǎng)絡(luò)。

在Web服務(wù)器內(nèi)網(wǎng)和數(shù)據(jù)庫(kù)服務(wù)器內(nèi)網(wǎng)之間設(shè)置一道防火墻，主要策略為：僅允許Web服務(wù)器使用TCP協(xié)議訪問指定的數(shù)據(jù)庫(kù)端口，禁止數(shù)據(jù)庫(kù)服務(wù)器訪問Web服務(wù)器網(wǎng)絡(luò)。

設(shè)置專門的運(yùn)維人員，負(fù)責(zé)及時(shí)安裝操作系統(tǒng)和基礎(chǔ)應(yīng)用軟件的安全補(bǔ)?。回?fù)責(zé)更新服務(wù)器上防病毒軟件的病毒庫(kù)。

3.1.5 支付網(wǎng)關(guān)的設(shè)置

為了確保網(wǎng)上支付過程和數(shù)據(jù)的安全，設(shè)計(jì)時(shí)將支付系統(tǒng)從網(wǎng)上報(bào)名系統(tǒng)中獨(dú)立出來，稱為支付網(wǎng)關(guān)。它在單獨(dú)的服務(wù)器上部署，使用單獨(dú)的數(shù)據(jù)庫(kù)保存數(shù)據(jù)，授權(quán)的管理人員范圍更小，相關(guān)的訪問控制權(quán)限更加嚴(yán)格。

支付網(wǎng)關(guān)網(wǎng)站全部采用HTTPS協(xié)議，防止數(shù)據(jù)傳輸過程中被竊取或篡改。支付網(wǎng)關(guān)定時(shí)與財(cái)務(wù)系統(tǒng)進(jìn)行支付數(shù)據(jù)的核對(duì)，確保相關(guān)數(shù)據(jù)正確無誤。

3.1.6 設(shè)置數(shù)據(jù)訪問控制權(quán)限

報(bào)名系統(tǒng)從功能和組織機(jī)構(gòu)兩個(gè)方面進(jìn)行數(shù)據(jù)的訪問控制，系統(tǒng)中每個(gè)用戶都具有角色和所屬組織機(jī)構(gòu)兩個(gè)屬性。角色確定了用戶能執(zhí)行的功能，從而限定了對(duì)數(shù)據(jù)可執(zhí)行的操作。如管理員角色可以修改報(bào)名數(shù)據(jù)，而客服角色只能查看報(bào)名數(shù)據(jù)。所屬組織機(jī)構(gòu)用于對(duì)操作數(shù)據(jù)進(jìn)行過濾，如考點(diǎn)A下的用戶只能操作屬于考點(diǎn)A的考生數(shù)據(jù)。

3.1.7 數(shù)據(jù)加密

為了更好地保護(hù)數(shù)據(jù)安全，防止敏感信息泄露，報(bào)名系統(tǒng)從應(yīng)用層上對(duì)一些關(guān)鍵數(shù)據(jù)進(jìn)行了加密存儲(chǔ)。這樣即使相關(guān)數(shù)據(jù)被非法竊取，攻擊者也難以獲得真實(shí)信息。主要措施包括：1）報(bào)名系統(tǒng)配置的數(shù)據(jù)庫(kù)連接信息進(jìn)行加密，并對(duì)解密密鑰進(jìn)行了隱藏和變換。這可以防止訪問數(shù)據(jù)庫(kù)的用戶名和密碼泄露。2）考生的登錄密碼采用目前較為安全的Hash算法變換后存儲(chǔ)，并使用考生的相關(guān)信息進(jìn)行混淆。3）數(shù)據(jù)庫(kù)中存儲(chǔ)的考生證件號(hào)、姓名、聯(lián)系電話等關(guān)鍵信息進(jìn)行加密存儲(chǔ)，并對(duì)解密密鑰進(jìn)行隱藏和變換。4）考試管理機(jī)構(gòu)導(dǎo)出的數(shù)據(jù)文件進(jìn)行加密，使用前需要輸入密鑰解密。

3.2 管理層面安全預(yù)防策略

3.2.1 建立信息安全管理組織體系

信息安全管理需要建立完善的組織體系，應(yīng)包括安全決策機(jī)構(gòu)、安全執(zhí)行機(jī)構(gòu)和安全顧問機(jī)構(gòu)。安全決策機(jī)構(gòu)負(fù)責(zé)建立管理框架，組織審批安全策略、安全管理制度，指派安全角色，分配安全職責(zé)，并檢查安全職責(zé)是否已被正確履行，核準(zhǔn)信息處理設(shè)施的啟用等；安全執(zhí)行機(jī)構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略，執(zhí)行批準(zhǔn)后的安全策略，日常的安全運(yùn)行和維護(hù)，定期的培訓(xùn)和安全檢查等；安全顧問機(jī)構(gòu)負(fù)責(zé)提供安全建議，特別是在安全事故或違反安全策略事件發(fā)生后，可以被安全決策機(jī)構(gòu)指定負(fù)責(zé)事件調(diào)查，并為安全策略評(píng)審和評(píng)估提供意見。

3.2.2 制定信息安全管理制度

安全決策機(jī)構(gòu)應(yīng)制定科學(xué)合理的信息安全管理制度，應(yīng)包括人員安全管理制度、設(shè)備安全管理制度、運(yùn)行安全管理制度、應(yīng)急維護(hù)制度、計(jì)算機(jī)病毒防范管理制度和敏感數(shù)據(jù)保護(hù)制度等內(nèi)容。各項(xiàng)制度發(fā)布后，應(yīng)有效地檢查制度執(zhí)行情況。

3.2.3 加強(qiáng)人員的管理和培訓(xùn)

參與網(wǎng)上報(bào)名系統(tǒng)的管理人員是系統(tǒng)正常運(yùn)行的重要因素，加強(qiáng)對(duì)有關(guān)人員的管理和培訓(xùn)是至關(guān)重要的。第一，在人員錄用時(shí)應(yīng)做好人員鑒別，人員錄用或人員職位調(diào)整時(shí)，應(yīng)簽署保密協(xié)議，人員到期離開或協(xié)議到期、工作終止時(shí)，應(yīng)審查保密協(xié)議。第二，要對(duì)有關(guān)人員進(jìn)行上崗培訓(xùn)，建立人員培訓(xùn)計(jì)劃，定期組織安全策略和相關(guān)制度方面的培訓(xùn)。第三，在員工崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和特別職責(zé)，對(duì)違反網(wǎng)上報(bào)名系統(tǒng)安全規(guī)定的人員要進(jìn)行及時(shí)處理。第四，明確網(wǎng)上報(bào)名系統(tǒng)安全運(yùn)作基本原則，包括職責(zé)分離原則、任期有限原則、最小權(quán)限原則等。

3.2.4 完善技術(shù)風(fēng)險(xiǎn)管控機(jī)制

通過上述信息安全管理體系的建立，為網(wǎng)上報(bào)名系統(tǒng)提供了動(dòng)態(tài)的、持續(xù)性的安全管理機(jī)制。與此同時(shí)，為了進(jìn)一步提升網(wǎng)上報(bào)名系統(tǒng)的技術(shù)安全管控水平，在風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試、最新漏洞的及時(shí)修補(bǔ)、入侵行為的及時(shí)響應(yīng)，以及異常行為檢測(cè)和預(yù)警方面，都應(yīng)建立對(duì)應(yīng)的技術(shù)風(fēng)險(xiǎn)管控機(jī)制，從技術(shù)方面保障網(wǎng)上報(bào)名系統(tǒng)的安全。

4 結(jié)語

大規(guī)模考試的網(wǎng)上報(bào)名系統(tǒng)涉及的考生人數(shù)眾多，只有確保系統(tǒng)的信息安全，才能有效地保障考生的利益，保證考試組織工作的順利進(jìn)行。我們要運(yùn)用科學(xué)合理的技術(shù)手段抵御來自系統(tǒng)外的各類惡意攻擊，利用完善的安全管理體系防止管理人員泄露信息，為網(wǎng)上報(bào)名系統(tǒng)的運(yùn)行提供安全的環(huán)境。

[1]姜鋼.國(guó)家教育考試安全面臨的形勢(shì)和對(duì)策[J].中國(guó)考試,2013（2）.

[2]劉建華.基于網(wǎng)絡(luò)安全的網(wǎng)上報(bào)名系統(tǒng)的實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2008（9）.

[3]汪丹.從管理角度探討電子商務(wù)的信息安全[D].哈爾濱:黑龍江大學(xué),2005.