雷建平

(渭南师范学院招生办公室，陕西渭南714000)

高校网上招生录取的网络安全与防范

雷建平

(渭南师范学院招生办公室，陕西渭南714000)

基于中国教育与科研计算机网(CERNET)的高校招生录取工作，是涉及大量数据信息和社会关注度高的一个网络应用.通过分析目前招生网络安全的现状，结合招生网络传输特点，对招生网络的安全与防范从硬件规范、技术防范、制度监管等方面提出了具体措施.

招生;网络;安全;措施

0 引言

随着网络的普及和发展，基于Internet的各种应用系统也在各行各业中发挥着日益重要的作用.高校招生录取系统就是其中之一，这种应用系统软件依赖于网络和开发时所运用的语言环境，但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使应用软件系统易受黑客、恶意软件和其他不轨行为的攻击.而且，当其中涉及有关隐私资料、机要文件等敏感数据时，提高网络安全性就显得尤为重要.本文通过分析目前高校招生录取网络安全现状和网络结构特点，提出了安全防范措施.

1 高校招生录取网络安全现状

网上录取是应用计算机的网络技术和数据库技术，高等院校招生录取手段的一次革命性的变革.根据教育部“高校招生录取工作条例”及“高校招生网上录取规则”，结合各省(市、区)网上录取工作实施细则，全国高校招生通过CERNET(中国教育科研网)实现全国范围内远程广域网录取和各省(市、区)招生录取现场的局域网录取.它通过将考生档案的电子化、录取过程的网络化，达到降低费用、精简人员、提高效率的目的，有利于录取工作更规范、更公正，有利于加强社会的监督，充分发挥高校招生的自主权和各省(市、区)招办的监督、管理作用.

高校招生网络录取工作，是一项涉及面广、社会影响大、社会关注度极高的工作，招生网络的安全问题也就显得极为重.那么如何保证招生录取网络安全，保障一个高效、稳定、安全运行的网络也就成为我们所面临的问题.现行的网上录取模式中心数据库及安全认证中心均在各省级招生办放置，利用互联网与招生院校通过应用系统进行网上数据传输，从而完成整个招生录取过程［1］.考生电子档案信息也就成了信息保护的根本.省级招生办通过招生录取现场对本省考生的基本信息、成绩信息、体检信息、志愿信息等电子档案进行数据库管理、备份方案管理、应急处理、计算机管理等安全性的管理与防范.因此，招生录取现场的安全、通信畅通、稳定运行也成为招生录取工作的重要保障.

从网上招生录取工作开始，网络传输与数据安全问题一直是招生录取工作所面临的严峻考验.特别是随着Internet的飞速发展和网络规模的急剧膨胀，网络知识和普及程度扩大，网络爱好者不断增多，黑客攻击、病毒蔓延、木马侵入等现象已屡见不鲜，加之高校招生录取工作社会关注面大等因素，更让招生录取的网络安全成为各级招生部门所密切关注的重要问题.

2 招生网络结构特点

全国各省的招办基本上都是直接连接中国教育科研网，但由于各地区的网络发展状况不同，有部分高校公众网连接到互联网上，而招办的网络都处在教育网上，接入方式不同，致使院校的网络和省招办的网络处于不同的网络，容易造成访问速度减慢.为此，教育部从工作出发，2006年开始要求各院校使用教育网开展网上招生工作.招生网络结构示意图如图1所示.

目前看来，教育网最稳定，其他的上网形式与网络服务商有关.招生专用网络，配置好TCP/IP协议，其他协议不必要安装，确保能快速通畅访问教育网、电网网络，要使用固定IP，不要使用DHCP协议自动获得IP地址方式，同时做到招生用计算机向外访问无限制、完全开放，开放TCP协议的5443端口.高校招生计算机不要使用应用代理软件方式上网(如my Proxy、wingate等)，要使用专线(如DDN、校园网等形式).

图2为招生录取过程中数据交换示意图.招生网上录取过程，是一个数据互相传输的过程，与我们平时上网浏览网页不完全相同，这是一个双向交互数据的过程，这就要求建立信息安全通道.在招生网络录取和招生计划管理、平行志愿信息互动平台等运用中，访问采用内置于浏览器中的HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)形式，一是保证了信息安全通道，保证数据传输的安全;另外就是确认网站的真实性.用于对数据进行压缩和解压操作，并返回网络上传送回的结果.即HTTP下加入SSL层(安全套接字层)，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL.https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)提供了身份验证与加密通讯方法(HTTPS使用端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信).HTTPS和SSL支持使用X.509数字认证，便于实时掌握登录在线用户.

图2 数据交换示意图

网上录取确实非常便捷有效，因此，为它提供它强有力的技术保障和支撑是非常重要的，我们面对应用现状提出一系列防范措施，来确保网上录取的安全.

3 网上录取系统安全防范与措施

从2005年起，面对严峻的网络安全形势，全国网上录取课题组着手加强应用系统工程的安全建设.2005年，重新设计了网上录取院校端子系统与网络服务子系统的传输协议;2006年采用了新版本的WEBST系统;2007年实施密钥安全工程，给每一个学校发放了USB-KEY密钥，并通过密钥与省招办进行身份验证;2008年完成“密钥工程”建设，将密钥身份与招生应用系统进行绑定［2］，从而大大提高了招生期间网络数据传输和身份认证的安全性.

为保证全国高校网上录取现场的网络安全，招生院校访问端是整个招生网络最多的用户，为此，每个院校招生现场的网络管理对整个招生网络来说也至关重要.学校招生现场必须从多方面进行管理、设防，从每个细节考虑，构建一个安全干净、高效、可管可控的安全通畅的网络环境.

(1)建立招生专用网络环境

为保证安全稳定的招生工作网络，首先应配置适合远程网上录取的计算机和网络环境，最低应达到处理器在双核2.33G以上，内存1G以上，可用硬盘空间160G以上，100/10M网卡，带宽2M的计算机［3］.配置好TCP/IP协议(IP地址、掩码、DNS解析)，须使用固定的IP地址，还要能及时优化网络环境、更新操作系统，从网络安全角度考虑，要保证招生录取现场机器第一时间更新系统补丁修复系统漏洞，保证计算机高效运行及网络环境安全、干净.

其次，应配备一定的UPS(不间断电源)，负责对学校中心机房和招生录取现场的应急电源保障，保证最小配置的招生局域网正常工作.高考网上招生工作是全国范围的统一行动，对录取批次、录取时间、录取进度，不允许有任何时间拖延，否则会影响志愿征集及整个录取进程［3］.同时要安装最新版本的WEBST和院校子系统软件，特别是安全客户端使用USB-KEY和PIN码双因子验证.要合理设置个人防火墙和学校防火墙，因为防火墙常常会限制安全客户端、院校子系统软件与招生办服务端的访问.如限制了安全客户端、院校子系统软件与省招生办服务端的通信(TCP/UDP协议的135端口、TCP/UDP协议的1024—65535端口)常常会出会现“N01－0019/0002网络连接失败”或安全客户端单独登录时的“网络繁忙”提示信息。如还无法连接，建议关闭防火墙［4］.

(2)正确配置网络端口，做到安全访问和传输通畅

为保证招生网络通讯通畅，保证数据传输安全，加之需要使用密钥访问安全页面，建议不要使用除IE以外的其他浏览器，同时设置招生网络允许访问外网端口为:TCP协议80、443、5443、1001等.否则会出现访问安全配置中心网站出现无法连接的情况.另外在确认自己的网络能够正常对外访问，访问端口设置为5443.在访问时如出现“连接安全服务器失败”的错误信息时，检查本机能否连接到webst服务器的5443端口.检查方法为:在“开始”→“运行”中输入“cmd”，回车，在弹出的cmd窗口中输入“telnet安全服务器地址5443”(例如对于来源计划来说就是“telnet 218.247.187.925443”(电信网)或“telnet 202.205.179.975443”(教育网))，如cmd窗口中无任何显示，则表示连接正常［5］，这时就要联系软件开发公司寻求技术支持，否则就要通过检查本地设备的设置进行解决.

(3)加强病毒防范，预防黑客对网络录取计算机的攻击

采取有效措施，切实加强病毒防范和防攻击能力，对录取期间网络安全状况进行实时监控.录取的机器要安装可靠的正版杀毒软件(推荐使用Norton Antivirus或瑞星)，及时更新本机病毒库，防止系统被病毒侵扰.在招生专用计算机上不安装腾讯QQ等无关应用软件，同时尽量避免浏览不相关的网站，计算机不使用时请及时关机或断开网络连接，或要正确设置上网助手等，以免对录取访问造成限制.

(4)制度上保证招生网络的信息网络安全

网上招生录取过程中信息及网络安全是十分敏感、重要的.在技术上保证网络信息安全的同时，制度上的监管也至关重要.首先，要对所有招生工作人员进行道德教育、法律法规约束，建立必要的规章制度.其次，要加强用户名、密码、密钥、FTP服务器的IP地址和端口号等有关信息的管理和保密工作.应与相关人员签订安全保密协议.由于招生期间涉及用户名、密码较多，各招生省区密码分批次也不尽相同，因此要切实加强密码专人管理，决不能外泄，更不能混淆，特别要加强密钥管理，不要随意转交他人，同时PIN密码一定要记准确，否则造成锁死，因为USB-KEY维修和PIN码初始化需要一个周期，以免影响招生录取工作.再次，建立《网上招生录取管理办法》、《网上录取工作计算机操作规范》等必要的规章制度.完善安全管理规章和技术操作规程.学校应加强网上录取高校子系统的安全和技术管理工作，完善相应的保密措施和工作程序，对网上录取高校子系统源程序和文档、密钥等，要理清管理权限，分清责任，特别是录、退档等重要环节，一定要专人负责上传提交，不得擅自越级违规操作，以免造成非法登录或数据上传等.最后，为防止由于操作、病毒感染等原因造成数据丢失，应当定期对数据进行备份.院校可以使院校子系统中的数据导出功能对每次投档的数据进行备份，在录取结束时把整个院校子系统目录下的数据备份，以备电子档案打印和其他工作需要.

4 结语

网络安全技术是网络安全管理的重要内容，合理的系统配置能够增强网络安全.同时，代码的安全及防火墙的合理配置也不可忽视.文中所提及的防范技术和措施已在实际的招生工作中得到应用.实践证明，这些技术和措施是可行和有效的.当然在技术层面还要不断进行改进和完善，同时在管理层面上也进行推进，如规范操作流程、建立规章制度进行约束制约，构建一个可管理的网络环境，让高考招生录取工作在安全、高效、稳定的网络环境中进行.

［1］黄羡惠.高校招生网络运用探析［J］.福建信息技术教育，2009，(2):24－26.

［2］全国普通高校招生网上录取系统总课题组.全国普通高校招生网上录取院校系统使用手册［Z］.2008.

［3］陈军，付刚华，尹辉.高校网上招生的网络安全与优化［J］.网络安全技术与应用，2007，(4):48－50.

［4］张郭军.校园网络安全技术的现状及发展趋势［J］.渭南师范学院学报，2007，22(2):66－68.

［5］谢希仁.计算机网络［M］.大连:大连理工大学出版社，2004.

【责任编辑 曹 静】

Network Security and Protection of University Online Enrollment

LEI Jian-ping
(Admission Office，Weinan Normal University，Weinan 714000，China)

On the basis of CERNET’s university enrollment，there is a network application which is involved in lots of data，all-round levels，and great concerns.Hence，network security and protection of the enrollment is very important.The paper，based on the current network security of the enrollment，and the features of the network transmission，put forward the preventive countermeasures from the perspective of hardware specifications，technique specifications and supervisions，in order to guarantee the safety and the smoothness of the online enrollment，to shed light on the university enrollment.

university enrollment;online enrollment;network security;preventive measure

book=74,ebook=56

TP393.08

A

1009—5128(2012)06—0074—04

2012—04—12

渭南师范学院科研计划项目(11YKZ053)

雷建平(1975—)，男，陕西蒲城人，渭南师范学院招生办公室工程师，硕士.