人事考試信息系統(tǒng)網絡安全建設的探討

摘要：人事考試信息化的不斷提高，信息系統(tǒng)的廣泛應用，對信息系統(tǒng)的網絡安全提出了更高的要求。本文針對內蒙古自治區(qū)特別是包頭市人事考試信息系統(tǒng)網絡安全進行分析，對人事考試中心信息系統(tǒng)網絡安全建設提出一些建議。

關鍵詞：人事考試;信息系統(tǒng);網絡;安全

在國家大力提倡互聯(lián)網+的大環(huán)境下，信息系統(tǒng)已被廣泛使用到各個領域，但隨之而來的網絡安全問題也越來越被人們所重視，如何防止非授權用戶使用信息和資源，如何保障網絡中信息數(shù)據(jù)的完整性、可用性和保密性，確保網絡上信息系統(tǒng)的安全，是每個領域都需要認真考慮和對待的問題。近年來，隨著人事考試信息化的逐步深入，人事考試信息系統(tǒng)網絡安全的風險也隨之增大，不法分子利用安全漏洞，非法獲得人事考試信息資源。如何更好地防范網絡安全風險，合理地構建網絡安全解決方案，對于確保人事考試的公平、公正、公開，保證考試安全、科學、規(guī)范的順利開展有著重要的現(xiàn)實意義。

1 人事考試信息系統(tǒng)

1.1 定義

狹義的人事考試信息系統(tǒng)，是指人事考試中心依托網絡平臺構建的對考試報名數(shù)據(jù)、考試相關信息、考試政策法規(guī)等內容整合的平臺，以網站的形式提供考生訪問，方便考生網上報名，管理考試相關信息數(shù)據(jù)的信息系統(tǒng)。如中國人事考試網、包頭市人事考試信息網等。廣義的人事考試信息系統(tǒng)，是指與人事考試工作相關的各種信息系統(tǒng)的總和。如通用人事考試管理信息系統(tǒng)GPTMIS、人事考試管理信息系統(tǒng)PTMIS、網上報名系統(tǒng)、門戶網站管理系統(tǒng)等。

1.2 重要性

人事考試信息系統(tǒng)是支撐人事考務工作的重要平臺，對于管理考試信息，處理考試相關數(shù)據(jù)起著決定性的作用。①方便考生及時掌握考試報名信息。②考生通過信息系統(tǒng)及時地進行網上報名和繳費。③管理考生報名信息，掌握考試報名動態(tài)。④節(jié)省人力物力，無紙化，方便考試工作順利進行。

1.3 風險性

人事考試信息系統(tǒng)管理和使用存在著一定的風險性，人事考試部門需加強安全防范意識。管理風險主要是指考生信息丟失、出錯、泄露等風險。網上報名過程中，非法人員通過攻擊獲取考生信息，從事非法活動等。使用風險主要是指考試管理機構內部人員在考試信息操作過程中，因自我主觀意識放松、業(yè)務技術能力不足以及缺乏有效的外部管理制約機制等原因，造成的考生信息泄露、丟失等。

2 人事考試信息系統(tǒng)網絡安全

2.1 威脅因素

（1）非授權訪問。非法用戶在沒有經過授權或同意的情況下，使用網絡或計算機資源。如查看考生網上報名信息，獲取考生信息牟利。（2）信息泄漏或丟失?？荚嚸舾袛?shù)據(jù)在使用過程中有意或無意地被泄露或被遺失。（3）破壞數(shù)據(jù)完整性。不法分子非法竊得對網站數(shù)據(jù)庫的操作使用權，對考試相關數(shù)據(jù)進行操作，甚至惡意添加、修改、刪除數(shù)據(jù)，以干擾考生正常使用。取得網站的發(fā)布權限，篡改或重發(fā)考試重要信息，對考試造成惡劣影響。（4）植入病毒、木馬。通過植入病毒的方式，惡意破壞人事考試信息系統(tǒng)，導致系統(tǒng)癱瘓無法使用，或通過植入木馬盜取或篡改相關考試信息。

2.2 防范措施

（1）技術手段。利用各種網絡安全技術手段，防范計算機病毒和網絡入侵攻擊等危害網絡安全的行為。如殺毒軟件、防火墻技術、網絡安全認證技術、入侵檢測技術、網絡監(jiān)測日志管理技術、數(shù)據(jù)加密技術等。（2）管理制度。制定各項網絡安全制度和使用守則，從制度上保障人事考試信息系統(tǒng)的網絡安全。（3）安全意識。加強信息系統(tǒng)管理人員的安全意識，定期開展警示教育和網絡系統(tǒng)安全培訓，警鐘長鳴，減少“內患”事件發(fā)生。如系統(tǒng)設置復雜密碼，并定期更換;專機專人使用，并杜絕外部載體如U盤的使用。

3 自治區(qū)各人事考試中心人事考試信息系統(tǒng)網絡安全概述

3.1 基本概況

內蒙古自治區(qū)人事考試中心以及12個盟市的考試中心，在自治區(qū)人事考試中心的統(tǒng)一領導下，使用外包托管方式進行人事考試信息系統(tǒng)的管理。信息系統(tǒng)結構采用全區(qū)集中的模式，整個信息系統(tǒng)部署在阿里云平臺上，并由阿里云提供網絡安全保障，各盟市人事考試中心通過授權方式，直接訪問阿里云服務進行相關操作。在系統(tǒng)使用和維護中，外包公司負責技術支持、網絡服務器運維及系統(tǒng)升級維護等相關服務。各中心工作人員負責考試設置、內容更新和信息發(fā)布等工作。各盟市人事考試中心信息網在各盟市人力資源和社會保障局官網上都有鏈接入口，方便考生及時了解人事考試相關信息和進行相關考試報名?？忌部赏ㄟ^內蒙古人事考試信息網的友情鏈接對全區(qū)各盟市的考試信息網進行訪問。

3.2 存在問題和建議

（1）黑盒式的管理運行方式，存在潛在風險?？荚囍行氖褂孟嗤墓芾砥脚_和托管方式，在現(xiàn)有的人力、技術和資源的情況下是合理選擇，但對于網絡平臺的構建、阿里云托管方式和相關技術知識的不確定性，會給各中心帶來潛在風險。系統(tǒng)出現(xiàn)故障，考試中心工作人員往往束手無措，只能等待托管公司進行處理。所以必須嚴格落實合同，細化責權，確保服務到位，各考試中心需指定專人進行聯(lián)系和監(jiān)督，確保系統(tǒng)安全穩(wěn)定。（2）信息系統(tǒng)網絡安全風險防控培訓交流機制薄弱。隨著人事考試信息系統(tǒng)的廣泛深入使用，不法分子利用網絡和技術漏洞竊取信息的方式和手段層出不窮，給人事考試中心的信息技術工作帶來挑戰(zhàn)。工作人員需要進行風險防控培訓交流學習，取長補短，確保平臺正常運行，考試工作順利進行。自治區(qū)應定期開展信息系統(tǒng)網絡安全培訓，及時更新系統(tǒng)管理人員知識結構，提高管理人員安全操作和安全防范意識。（3）網絡安全防范制度建設需進一步加強完善。雖然各盟市考試中心信息系統(tǒng)管理和安全管理都有自己的制度和規(guī)定，但是制度的制訂、執(zhí)行和落實情況參差不齊，不利于網絡信息安全防范。所以制定統(tǒng)一的安全防范規(guī)定和安全操作手冊可以更好地統(tǒng)一安全防范意識，更加規(guī)范地進行系統(tǒng)操作和安全管理，保障信息系統(tǒng)的安全穩(wěn)定。

4 包頭市人事考務中心人事考試信息系統(tǒng)網絡安全建設

4.1 現(xiàn)狀

包頭市人事考務中心使用自治區(qū)考試信息系統(tǒng)服務統(tǒng)一平臺。使用過程中，平臺運行順暢，考試報名工作順利。在網絡安全方面，平臺基本保障了信息系統(tǒng)的安全性和完整性。包頭市人事考務中心對信息化建設和信息系統(tǒng)安全十分重視，及時完成各信息系統(tǒng)的部署、升級和更新，并積極配合做好調試測試工作，為系統(tǒng)的正常運行提出意見和建議。在考試報名和平時的信息系統(tǒng)使用中，中心嚴格按照規(guī)范操作，網絡信息系統(tǒng)專人負責，考試系統(tǒng)嚴格杜絕互聯(lián)網連接，數(shù)據(jù)交換使用VPN，在與自治區(qū)數(shù)據(jù)信息傳遞時，使用專用管理平臺。中心通過制定相關政策，加強人員安全防范意識，盡量保證考試信息系統(tǒng)的安全使用。

4.2 存在的問題和建議

（1）信息系統(tǒng)工作存在潛在安全風險。上網和外部設備的使用，可能造成計算機感染病毒或被植入木馬。為盡可能減少安全風險，建議操作網上報名系統(tǒng)的計算機專機專用，并將機器的mac地址和登錄IP綁定服務器，避免外部非授權機器的操作和使用。（2）信息系統(tǒng)登錄安全性策略需進一步提高。系統(tǒng)管理員雖使用復雜登錄名和密碼，并定期更換，但網絡安全風險始終存在，有被撞庫盜用用戶名密碼的風險。建議加強登錄安全策略，增加手機或Ukey動態(tài)驗證碼策略。（3）考試數(shù)據(jù)備份策略和災難防控機制需更加健全。雖然阿里云服務提供了相應的備份策略，但考試數(shù)據(jù)的完整性和安全性至關重要。中心應建立健全數(shù)據(jù)備份機制，備份和加密相關數(shù)據(jù)，做好數(shù)據(jù)災難防控。

4.3 信息系統(tǒng)網絡安全建設

（1）確保上下統(tǒng)一系統(tǒng)兼容，保證系統(tǒng)穩(wěn)定性和安全性。市級人事考試中心信息系統(tǒng)建設要與國家、自治區(qū)步調一致，及時完成系統(tǒng)建設配置更新，并向上匯總使用中的問題和建議，完善網絡安全防護措施。（2）加強安全制度建設，提高安全意識，避免內部風險。結合國家和自治區(qū)制度管理規(guī)范，根據(jù)本中心實際，制定更加細致的安全管理規(guī)定。用制度約束，強化痕跡管理，堅持“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，做到權限明確，責任到人，監(jiān)管到位。定期開展網絡安全檢查，防堵漏洞，確保安全。（3）強化溝通機制，將外包公司和當?shù)鼐W監(jiān)納入安全防范體系。與外包公司建立有效溝通機制，確保7*24小時服務，保障系統(tǒng)安全運行。建立與公安網監(jiān)部門的長效合作機制，考試報名期間，對網站、服務器等進行監(jiān)管，最大程度保障考試信息系統(tǒng)安全。（4）建立健全信息系統(tǒng)網絡安全教育培訓機制。專業(yè)技術人員的業(yè)務水平和操作技能直接關系到系統(tǒng)的安全，定期學習培訓，提高專業(yè)技能和知識水平，深化網絡安全意識，才能更好地保證考試信息系統(tǒng)安全，保障考試順利進行。

參考文獻：

[1]人力資源和社會保障部.人力資源社會保障部關于印發(fā)“互聯(lián)網+人社”2020行動計劃的通知[Z].20161101.

[2]何志成.加強信息網絡技術的管理是當前保密工作的新課題[J].國家安全通訊，2001（07）.

[3]李昭.國家信息安全戰(zhàn)略的思考[J].中國人民公安大學學報（自然科學版），2004（03）.

作者簡介：姚震（1980—），男，漢族，內蒙古包頭人，碩士研究生，研究方向：人事考試信息系統(tǒng)網絡安全。