趙麗艷

?

淺談如何進(jìn)一步提高人事考試網(wǎng)上報(bào)名系統(tǒng)的安全性

趙麗艷

鎮(zhèn)江市人事考試考工中心，江蘇 鎮(zhèn)江 212000

人事考試是人事制度改革的一面旗幟，是人力資源和社會(huì)保障工作的重要組成部分，是社會(huì)主義市場(chǎng)經(jīng)濟(jì)條件下科學(xué)評(píng)價(jià)人才的重要手段。人事考試不僅是個(gè)人發(fā)展的一條重要途徑，涉及考生切身利益，而且為人才選拔、職稱評(píng)價(jià)、資格認(rèn)證等提供了科學(xué)有效的測(cè)評(píng)依據(jù)，事關(guān)整個(gè)社會(huì)大局的穩(wěn)定及公平公正。作為人事考試管理的第一個(gè)步驟，考試報(bào)名則是整個(gè)人事考試中的一個(gè)重要環(huán)節(jié)。報(bào)名方式的便捷影響著報(bào)名效率。數(shù)據(jù)的安全關(guān)系著眾多考生的命運(yùn)，因此一個(gè)更加公平、公正、安全的報(bào)名系統(tǒng)是至關(guān)重要的。

人事考試；網(wǎng)上報(bào)名；安全性

1 考試報(bào)名工作現(xiàn)狀

人事考試傳統(tǒng)的報(bào)名方式是采用工現(xiàn)場(chǎng)報(bào)名，顧名思義就是將所有的報(bào)考人員和工作人員集中到一個(gè)專門的地方進(jìn)行流水操作。報(bào)考人員要在短時(shí)間內(nèi)完成填表、資格審核、現(xiàn)場(chǎng)交費(fèi)，同時(shí)考試機(jī)構(gòu)要投入大量的人力、物力和財(cái)力來完成填收表、攝像、收費(fèi)、校對(duì)、掃卡、數(shù)據(jù)管理等。這種方式既浪費(fèi)了時(shí)間、財(cái)力，又由于勞動(dòng)強(qiáng)度大易引起誤差。為了解決以上這些問題，再加上網(wǎng)絡(luò)信息技術(shù)的發(fā)展，人事考試網(wǎng)上報(bào)名系統(tǒng)應(yīng)運(yùn)而生。

自2006年以來，鎮(zhèn)江市人事考試考工中心組織的人事考試陸續(xù)開始采取網(wǎng)上報(bào)名的方式，從最初的公務(wù)員考試、一級(jí)建造師、二級(jí)建造師到后來的職稱計(jì)算機(jī)、審計(jì)、統(tǒng)計(jì)考試。截至目前，已實(shí)現(xiàn)所有人事考試網(wǎng)上報(bào)名。

時(shí)至今日，部分人事考試的網(wǎng)上報(bào)名系統(tǒng)平臺(tái)也由最初的省統(tǒng)一報(bào)名平臺(tái)發(fā)展到全國(guó)統(tǒng)一網(wǎng)報(bào)平臺(tái)。截至2016年，鎮(zhèn)江市人事考試考工中心采用的網(wǎng)上報(bào)名系統(tǒng)平臺(tái)主要有幾下幾種：公務(wù)員和事業(yè)單位等招錄考試采用吉林科飛開發(fā)的系統(tǒng)；職稱輔助考試采用山東旗幟開發(fā)的系統(tǒng)；統(tǒng)計(jì)考試采用山大歐碼開發(fā)的系統(tǒng)；審計(jì)考試采用審計(jì)署網(wǎng)站系統(tǒng)；其他全國(guó)執(zhí)業(yè)（職業(yè)）資格考試采用國(guó)家統(tǒng)一網(wǎng)報(bào)平臺(tái)。鎮(zhèn)江市考試考工中心自主維護(hù)的網(wǎng)報(bào)系統(tǒng)平臺(tái)主要是吉林科飛開發(fā)的系統(tǒng)和山東旗幟開發(fā)的系統(tǒng)[1]。

2 網(wǎng)上報(bào)名系統(tǒng)的優(yōu)點(diǎn)及存在的安全威脅

2.1 網(wǎng)上報(bào)名系統(tǒng)的優(yōu)點(diǎn)

網(wǎng)上報(bào)名系統(tǒng)與傳統(tǒng)的現(xiàn)場(chǎng)報(bào)名相比，優(yōu)點(diǎn)主要集中在以下幾個(gè)方面。

（1）報(bào)考時(shí)間充裕。人事考試采用網(wǎng)上報(bào)名，節(jié)省了報(bào)名文件流轉(zhuǎn)時(shí)間、報(bào)考后期人工錄入校對(duì)數(shù)據(jù)的時(shí)間，可以較傳統(tǒng)現(xiàn)場(chǎng)報(bào)名更早開始更遲結(jié)束，同時(shí)由于節(jié)省了報(bào)考人員來回奔波和現(xiàn)場(chǎng)排隊(duì)等待時(shí)間，以及報(bào)名系統(tǒng)24小時(shí)不間斷運(yùn)作，因此報(bào)考人員有更充裕的報(bào)名時(shí)間。

（2）操作簡(jiǎn)單，提高效率。目前絕大部分網(wǎng)上報(bào)名系統(tǒng)采用B/S模式，只要計(jì)算機(jī)上安裝有瀏覽器且有網(wǎng)絡(luò)，就可以完成報(bào)名信息的采集。考試機(jī)構(gòu)工作人員無須再手工錄入大量數(shù)據(jù)，傳統(tǒng)的錄入工作已由考生自己負(fù)責(zé)，填寫資料的準(zhǔn)確性由考生本人核對(duì)且在規(guī)定時(shí)間內(nèi)可反復(fù)修改，大大減少了人事考試管理機(jī)構(gòu)工作人員的工作量。報(bào)名結(jié)束后，報(bào)考數(shù)據(jù)的統(tǒng)計(jì)分析也更加便捷。

（3）收費(fèi)管理水平明顯改善。傳統(tǒng)報(bào)名現(xiàn)場(chǎng)收費(fèi)結(jié)束后，還要逐項(xiàng)核對(duì)報(bào)考人數(shù)、報(bào)考科目和收費(fèi)金額，并層層上繳國(guó)庫，工作周期長(zhǎng)、任務(wù)重。采用網(wǎng)上支付方式后，所有考試費(fèi)用由網(wǎng)上繳費(fèi)系統(tǒng)進(jìn)行分賬管理，自動(dòng)結(jié)算，一目了然。報(bào)名繳費(fèi)結(jié)束后，費(fèi)用通過銀行系統(tǒng)直接繳入財(cái)政，安全可靠，效率高。

（4）責(zé)任劃分清晰。考生必須誠(chéng)信報(bào)考，簽訂誠(chéng)信報(bào)考協(xié)議，對(duì)自己填報(bào)內(nèi)容的真實(shí)性和準(zhǔn)確性負(fù)相應(yīng)的責(zé)任，如經(jīng)審核不合格由考生自己負(fù)責(zé)，不再是人事考試管理部門承擔(dān)全部責(zé)任，給雙方都提供了法律保障。

因?yàn)橛兄T多的優(yōu)點(diǎn)，網(wǎng)上報(bào)名系統(tǒng)在社會(huì)上的重要性已顯而易見，然而從另一個(gè)角度而言，正因?yàn)槠渲匾菀自馐懿环ㄖ降挠J覦，更容易造成極大的破壞性和危險(xiǎn)性。隨著近幾年考試規(guī)模的擴(kuò)大，部分資格證書含金量的升高，不法分子盜取報(bào)名考生信息販賣給培訓(xùn)機(jī)構(gòu)和考試作弊團(tuán)伙，給考生造成了困擾，影響了社會(huì)穩(wěn)定，也損害了考試公平、公正的形象。因此，網(wǎng)上報(bào)名系統(tǒng)的安全性問題已越來越重要[2]。

市考試考工中心組織的網(wǎng)上報(bào)名就出現(xiàn)過報(bào)考信息泄露事件，引起了考試考工中心及領(lǐng)導(dǎo)的高度重視。在2014年二級(jí)建造師考試報(bào)名期間，不法分子利用報(bào)名系統(tǒng)網(wǎng)頁漏洞，竊取了報(bào)名考生的信息，并將信息販賣給培訓(xùn)機(jī)構(gòu)和作弊團(tuán)伙，致使考生每隔一段時(shí)間就接到培訓(xùn)機(jī)構(gòu)和作弊團(tuán)伙的關(guān)于考試培訓(xùn)包過和販賣考試答案等短信和電話，考生苦不堪言，也影響了考試公平、公正的形象。

2.2 網(wǎng)上報(bào)名系統(tǒng)存在的威脅

網(wǎng)上報(bào)名系統(tǒng)是以計(jì)算機(jī)和數(shù)據(jù)通信網(wǎng)絡(luò)為基礎(chǔ)的，因此是一個(gè)開放式的互聯(lián)網(wǎng)絡(luò)系統(tǒng)。系統(tǒng)除了要面向各級(jí)管理人員外，還要允許大量的報(bào)考人員操作，操作人員復(fù)雜，綜合素質(zhì)也參差不齊。正是網(wǎng)絡(luò)的開放性和用戶的復(fù)雜性，網(wǎng)上報(bào)名系統(tǒng)必將面臨諸多的安全問題。

（1）網(wǎng)絡(luò)通信中的威脅。網(wǎng)絡(luò)的脆弱性，使得系統(tǒng)可能會(huì)因?yàn)楹诳秃筒《镜娜肭中孤稒C(jī)密信息或者崩潰。一般而言，網(wǎng)絡(luò)通信中容易受到兩個(gè)方面的攻擊：一是主動(dòng)攻擊；二是被動(dòng)攻擊。主動(dòng)攻擊中，非法攻擊者通過網(wǎng)絡(luò)主動(dòng)向系統(tǒng)實(shí)施干擾或?qū)⒉《咀⑷胂到y(tǒng)中，破壞數(shù)據(jù)的真實(shí)性，甚至使系統(tǒng)癱瘓；被動(dòng)攻擊中，攻擊者竊取線路中的信息，造成機(jī)密信息的泄露而無法察覺。應(yīng)該說目前沒有攻不入的網(wǎng)絡(luò)。

（2）軟件的脆弱性。這里所說的軟件包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和我們本身開發(fā)的應(yīng)用程序。操作系統(tǒng)的安全是整個(gè)管理信息系統(tǒng)最基本的、也是最重要的安全保證，但它自身卻存在大量的漏洞；數(shù)據(jù)庫系統(tǒng)軟件中存在大量有用數(shù)據(jù)，如果沒有進(jìn)行安全設(shè)計(jì)，其中的數(shù)據(jù)有可能遭受到破壞和泄露；對(duì)于應(yīng)用程序來說，開發(fā)者可能會(huì)考慮不周，使其出現(xiàn)Bug或者漏洞，被非法攻擊者利用。應(yīng)該說，軟件的脆弱性主要體現(xiàn)在軟件自身有漏洞，容易受到木馬和病毒的攻擊。

（3）硬件設(shè)備的安全問題，主要指硬件設(shè)備中的一些突發(fā)情況，比如掉電、電磁干擾、設(shè)備被盜、設(shè)備部件故障等[3]。

（4）人為因素破壞，主要指系統(tǒng)合法用戶對(duì)系統(tǒng)安全的破壞。一方面，由于系統(tǒng)具有較大的開放性，任何具有合法用戶身份的訪問都被允許，因此可能出現(xiàn)用戶進(jìn)行非法權(quán)限的操作，破壞了系統(tǒng)中的信息；另一方面，如果系統(tǒng)管理人員的技術(shù)水平低，出現(xiàn)操作失誤或錯(cuò)誤，甚至是泄密等，也會(huì)破壞系統(tǒng)的安全性。

從上面分析的潛在的安全問題可以看出，系統(tǒng)的安全隱患無處不在，任何一個(gè)細(xì)小的漏洞都可能造成數(shù)據(jù)的無法挽回和整個(gè)系統(tǒng)的崩潰，甚至是社會(huì)的動(dòng)蕩不安。因此，針對(duì)以往發(fā)生的數(shù)據(jù)泄露事件，需要重新嚴(yán)格細(xì)致地考慮系統(tǒng)的安全防范措施，最大限度保證系統(tǒng)的安全可靠運(yùn)行。

3 采取的安全防護(hù)措施

根據(jù)上面分析的網(wǎng)上報(bào)名系統(tǒng)潛在的安全威脅因素，為防止再次發(fā)生泄密事件，市考試考工中心著手從軟硬件、網(wǎng)絡(luò)、制度等方面進(jìn)行了查漏補(bǔ)缺，并采取了相應(yīng)的安全措施。

3.1 系統(tǒng)級(jí)安全措施

操作系統(tǒng)的安全是整個(gè)人事考試網(wǎng)上報(bào)名系統(tǒng)最基本上也是最重要的安全保證。如果應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器的操作系統(tǒng)安全失效，那么整個(gè)系統(tǒng)的所有安全性將得不到保障。因此除了要將操作系統(tǒng)放在NTFS分區(qū)上，還要及時(shí)下載最新系統(tǒng)補(bǔ)丁，升級(jí)操作系統(tǒng)，安裝正版殺毒軟件，開啟防火墻；同時(shí)關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)，設(shè)置用戶組和用戶權(quán)限，防止非授權(quán)用戶訪問。

3.2 應(yīng)用程序級(jí)安全措施

應(yīng)用程序是由軟件開發(fā)人員編寫的，受軟件開發(fā)人員技術(shù)水平的限制，或多或少會(huì)留有一些漏洞。這些漏洞往往會(huì)被攻擊者利用，對(duì)系統(tǒng)造成很大的危害。之前出現(xiàn)的考生報(bào)名信息泄露事件，就是因?yàn)殚_發(fā)的網(wǎng)頁有漏洞，被不法分子有機(jī)可乘。為此我們配合軟件開發(fā)公司對(duì)整個(gè)報(bào)名系統(tǒng)安全隱患進(jìn)行了梳理，并從以下三點(diǎn)進(jìn)行了防范。

（1）避免SQL注入式攻擊。雖然采用賬號(hào)和密碼認(rèn)證方式，能在一定程度上防止非法用戶進(jìn)入系統(tǒng)，但攻擊者會(huì)利用應(yīng)用程序中的一些漏洞，通過構(gòu)造一定的嵌入式SQL語句，繞過頁面驗(yàn)證非法進(jìn)入系統(tǒng)。因此要采用數(shù)據(jù)過濾、限制輸入數(shù)據(jù)的長(zhǎng)度、對(duì)輸入次數(shù)進(jìn)行限制、在服務(wù)器端驗(yàn)證等方法防范攻擊。

（2）使用Session變量。使用Session變量記錄連接時(shí)間，當(dāng)一段時(shí)間該用戶沒有操作后，系統(tǒng)連接自動(dòng)斷開，這樣可以保證登錄后忘記退出，不被別人非法操作；使用Session變量保存用戶的用戶名、密碼和權(quán)限等信息，可以控制用戶的操作范圍，也可以簡(jiǎn)化操作，如用戶需要修改密碼時(shí)，只需要輸入新密碼就可以，系統(tǒng)會(huì)根據(jù)Session變量中的用戶名和原有密碼找出記錄，進(jìn)行修改。

（3）保證組件的安全。組件是系統(tǒng)的事務(wù)邏輯部分，保存著系統(tǒng)大量的業(yè)務(wù)邏輯實(shí)現(xiàn)的方法。組件的安全關(guān)系系統(tǒng)的業(yè)務(wù)邏輯乃至整個(gè)系統(tǒng)的安全性。系統(tǒng)中組件的安全主要是通過應(yīng)用服務(wù)器來保護(hù)的[4]。

3.3 用戶級(jí)安全措施

由于人事考試網(wǎng)上報(bào)名系統(tǒng)要面向不同層次的使用者，因此用戶類型復(fù)雜，用戶數(shù)量也較多。如何防止合法用戶的非法權(quán)限操作，是系統(tǒng)訪問控制中需要解決的一個(gè)問題。目前使用的網(wǎng)上報(bào)名系統(tǒng)采用了RBAC技術(shù)（基于角色的訪問控制），來確保系統(tǒng)的安全性，是從用戶方面采取的安全措施。

在用戶與相應(yīng)權(quán)限之間引入角色的概念，即用戶與角色相關(guān)聯(lián)，角色與權(quán)限相關(guān)聯(lián)，這樣實(shí)現(xiàn)了用戶和權(quán)限的邏輯隔離，里面主要涉及角色管理、權(quán)限管理和用戶管理。角色管理主要是根據(jù)系統(tǒng)的需求劃分不同的工作職能；權(quán)限管理是指對(duì)系統(tǒng)中的數(shù)據(jù)或者其他資源的訪問進(jìn)行限制；用戶管理主要指對(duì)用戶實(shí)體的添加、刪除和修改及分配所屬的角色組。這樣的話，不同用戶分屬于不同角色，分工明確，權(quán)責(zé)清晰，訪問相應(yīng)的系統(tǒng)資源，利于系統(tǒng)安全。比如，管理員擁有最高權(quán)限，可以訪問所有資源；資格審核員能查看和審核考生報(bào)考信息；照片審核人員只能查看和審核考生的照片。

3.4 網(wǎng)絡(luò)級(jí)安全措施

B/S體系結(jié)構(gòu)的網(wǎng)上報(bào)名系統(tǒng)中，大量的數(shù)據(jù)是通過網(wǎng)絡(luò)傳輸?shù)?。這個(gè)過程容易被攻擊者竊聽、盜取或者泄露，使系統(tǒng)的安全性難以得到保證。為防止此類情況的發(fā)生，一般采用HTTPS和SSL協(xié)議實(shí)現(xiàn)安全通信。目前，我們主要采用防火墻技術(shù)來保障。

3.5 硬件設(shè)備級(jí)安全措施

對(duì)安裝有報(bào)名服務(wù)器的計(jì)算機(jī)的物理安全保護(hù)是人事考試網(wǎng)上報(bào)名系統(tǒng)安全不可缺少的重要環(huán)節(jié)。為此，要做好幾個(gè)方面的工作：一是定期清除計(jì)算機(jī)灰塵，檢查磁盤空間大小包括是否有壞道；二是配備一定容量的UPS，防止意外情況的供電中斷，并定期檢查UPS的功能；三是采取消除靜電、系統(tǒng)接地、鍵盤安全套防電磁干擾等技術(shù)措施，盡量減少對(duì)硬件的損害；四是必須對(duì)自然災(zāi)害加強(qiáng)防護(hù)，包括防水、防火、防地震、防雷擊等方面的工作；五是采取必要的防盜措施防止報(bào)名服務(wù)器設(shè)備被盜，包括加裝防盜門和監(jiān)控視頻等[5]。

3.6 制度級(jí)安全措施

（1）建立完善安全管理機(jī)制。加強(qiáng)和完善人事考試網(wǎng)上報(bào)名系統(tǒng)安全管理機(jī)制，逐步形成一整套科學(xué)的操作模式，并以制度化規(guī)定予以執(zhí)行，用制度去約束各種行為，主要包括制度上墻、責(zé)任到人，對(duì)使用系統(tǒng)的相關(guān)工作人員進(jìn)行安全意識(shí)教育和技術(shù)培訓(xùn)。目前主要的制度為《機(jī)房、考試系統(tǒng)管理制度》《中心機(jī)房管理制度》，后期將進(jìn)一步完善各項(xiàng)制度。

（2）制訂應(yīng)急計(jì)劃。所謂的應(yīng)急計(jì)劃是為應(yīng)付實(shí)際的或潛在的嚴(yán)重危險(xiǎn)事故損失而制訂的計(jì)劃。就人事考試網(wǎng)上報(bào)名系統(tǒng)而言，主要涉及數(shù)據(jù)庫資源和報(bào)名系統(tǒng)備份、備份操作計(jì)劃、快速恢復(fù)等內(nèi)容。

（3）加強(qiáng)安全警示教育。每年組織開展人事考試工作人員警示教育活動(dòng)，通過大量真實(shí)案例，讓工作人員受警醒、明底線、知敬畏，筑牢安全的防火墻[6]。

4 結(jié)束語

人事考試網(wǎng)上報(bào)名系統(tǒng)是一個(gè)技術(shù)系統(tǒng)，又是一個(gè)社會(huì)系統(tǒng)。安全規(guī)劃和策略的實(shí)施是一項(xiàng)復(fù)雜的工程，對(duì)任何一個(gè)組織或者部門來說，絕對(duì)安全是難以達(dá)到的。我們應(yīng)遵循兩條原則：一是堅(jiān)持技術(shù)策略和管理策略相結(jié)合的原則；二是系統(tǒng)安全足夠原則，即系統(tǒng)達(dá)到為其安全性所花的代價(jià)與系統(tǒng)可能遭受到的風(fēng)險(xiǎn)所造成的損失是相當(dāng)?shù)模瑒t安全水平就足夠了。

[1]邵正浩. 人事考試網(wǎng)上報(bào)名系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 廈門：廈門大學(xué)，2015.

[2]蔡爭(zhēng)偉. 政府機(jī)關(guān)人事考試報(bào)名與管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 廈門：廈門大學(xué)，2013.

[3]鄭永精. 基于WEB的人事考試網(wǎng)上報(bào)名系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)，2005（17）：59.

[4]管榮黎. 江蘇省公務(wù)員網(wǎng)上報(bào)名系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 南京：南京大學(xué)，2011.

[5]杜海波. 網(wǎng)上報(bào)名系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 濟(jì)南：山東大學(xué)，2009.

[6]趙穎. 事業(yè)單位招考網(wǎng)上報(bào)名管理系統(tǒng)[D]. 濟(jì)南：山東大學(xué)，2009.

Talking about How to Further Improve the Security of the Online Registration System for Personnel Examination

Zhao Liyan

Zhenjiang Personnel Examination and Examination Center, Jiangsu Zhenjiang 212000

Personnel examination is a banner of personnel system reform, an important part of human resources and social security work, and an important means for scientific evaluation of talents under the conditions of socialist market economy. Personnel examination is not only an important way for personal development, it involves the vital interests of candidates, but also provides a scientific and effective evaluation basis for talent selection, title evaluation, qualification certification, etc., which is related to the stability and fairness of the overall social situation. As the first step in the management of personnel examinations, exam registration is an important part of the whole personnel examination. The convenience of registration method affects the efficiency of registration. The security of data is related to the fate of many candidates, so a more fair, just and secure registration system is crucial.

personnel examination; online registration; security

TP311.5

A