教育考试数据信息安全监管的实践与研究
2014-07-05卢艳宏
卢艳宏
近年来,教育考试形势日益严峻,考试面临的安全风险越来越大,其主要风险包括考试前泄题、考试中高科技舞弊及考试数据信息安全等方面。对于考试前泄题、考试中高科技舞弊问题,教育考试招生管理机构会同公安等部门采取了强有力措施,加大了整治和打击力度,已经卓有成效。危及考试数据信息准确、安全的工作失误及违规、违法行为相对隐秘、不易被发现,但其危害相当严重,不但威胁国家教育考试的公正公平,也是引发社会不稳定和滋长腐败的因素。本文主要从考试数据信息安全监管的制度建设和软件系统建设方面进行探究和论述。
1 现状分析
随着教育考试形势的日益严峻,考试数据信息的安全面临着新的威胁,这种威胁主要源于两个因素:一是技术水平不高或责任心不强,因为工作失误造成数据缺失或不准确;二是受利益所诱或碍于人情私自篡改数据。省级考试招生管理机构承担的国家教育考试工作、省级教育考试及社会类考试工作共有几十种,数据信息管理量大、环节繁多、任务繁重,可能一定程度上存在对相关数据信息业务管理比较重视,但对数据信息安全管理比较薄弱的现象,在部分工作环节中缺少安全监管的技术支撑系统。辽宁省招生考试办公室在相关业务处数据信息业务管理和安全管理的基础上,所有重要数据信息的安全监管工作专门由考试安全处负责,定期对相关数据进行抽查审计,这种管理模式有利于强化数据安全管理,数据安全监管及数据抽查审计的集中管理机制,有利于建立数据信息全方位、全过程安全管理理念,全局考量、统筹安排,统一开发自动化管理系统,实现规范、科学、标准化管理。
2 数据信息安全管理制度建设
为了确保数据信息准确、安全,需要建立一套完善、科学的数据信息安全管理制度,通过制度建设,对相关工作责任进行明确,对相关工作行为进行界定,对相关工作要求进行规范,形成有管理、有监督、有制约、明确岗位、责任到人、惩治分明的数据信息安全管理办法。在辽宁省招考办数据信息安全管理工作实践的基础上,笔者对数据信息安全监管问题展开了进一步的分析和探讨,认为数据信息安全管理制度建设需要考量以下内容:
2.1 建立完善的安全监管机制
对于数据信息安全工作,实行管理和多级监督并行的措施,采取在相关办(院)领导的组织领导下,由数据信息所隶属部门负责组织实施及监督管理,由督查或安全等部门组成的数据信息核对工作组对重点数据实施抽查审计的多级监管工作机制。
2.2 实行领导工作责任制
数据信息安全工作管理实行“谁主管、谁实施、谁负责”的原则。数据信息安全工作实行“一把手”负责制,相关办(院)领导对分管工作负有直接责任,相关业务处处长是本部门数据信息管理工作和安全监管工作的第一责任人。
2.3 实行岗位工作责任制
相关业务处将数据信息安全管理工作和数据信息安全档案的建立及管理工作作为专项工作,指定具体人员负责实施,处长或副处长负责管理并组织安全监督工作,职责到岗、到人。
2.4 贯彻全程安全监管要求
在数据信息生成过程中(例如数据采集、图像扫描、网上阅卷等过程中),在结果数据信息管理、保存、使用、上报等全过程工作中,都要采取安全监管措施,确保在数据信息管理每个环节工作中的数据安全。
2.5 严格执行数据备份制度
招生考试相关数据信息均须按照要求进行备份。评卷等过程数据须按照规定的时间间隔及要求定期进行备份,结果数据必须在形成的第一时间进行现场备份。数据备份采取集体办公形式,并分别密封保存。
2.6 加强结果数据的安全监管
由安全或督查等部门牵头组成数据信息核对工作组,负责对全办(院)重点数据组织实施抽查审计工作。数据信息抽查审计以备份光盘的数据为基础,以相关办(院)领导批件为依据,抽取与录取、毕业等相关的数据项信息进行核对,工作结束后要形成数据抽查审计结论意见报告。
2.7 建立数据审计通过制度和通报制度
数据信息核对工作组对相关数据信息进行抽查审计并做出明确“审计通过”意见后,录取投档及数据上报等相关工作方可正式实施。数据信息抽查审计工作结束后,数据抽查审计工作情况及结论意见需要通报相关领导并在一定范围内公示。
2.8 数据信息安全管理档案实行年终审查制度
由相关处室负责建立所隶属数据的安全管理档案,纸质档案和电子档案需要同时建立,在每年年底采取集体办公形式对相关处室数据信息安全管理档案进行集中审查,审查通过后统一归档保管。通过数据信息安全管理档案审查,可以监督检查相关处室数据信息安全管理的日常工作情况。
2.9 完善信息发布和使用的审批制度
数据信息发布和使用要严格履行审批程序,任何部门不得擅自发布招生考试相关数据信息或移作他用。因工作需要将招生考试数据信息公布、上报、下发或转交其他部门,须经相关业务处处长及相关办(院)领导批准。
2.10 落实责任追究制度
对未按规定实施招生考试数据信息安全管理工作造成影响或损失的,未经批准私自篡改数据的,将按照相关法律、法规、规定进行严肃处理,并追究相关责任人和负责人的责任,触犯法律的移送司法机关处理。
3 数据信息安全监管软件系统设计
数据信息安全监管工作,面对诸多且复杂的工作环节和庞大的数据量,单靠考务人员和技术人员手工编程实施数据核对是难以实现数据信息审计工作目标的。需要编制功能齐备的安全监管软件系统作为技术支撑,实现数据信息安全管理的科学化和智能化,适应数据信息即时性监管和多级监管的工作需求,切实保障数据信息完整、准确、安全。
3.1 系统设计目标
建立数据信息安全监管系统,旨在实现数据信息生成、管理、保存、使用、上报等全过程安全监管的目标。
对于省级教育考试招生管理机构而言,按照数据信息流转的特点和安全监管的实效性要求,一项数据信息从产生到使命终结的全过程可分为四个阶段,每个阶段根据各自的实际情况和需求编制相应的数据信息安全监管软件,实施行之有效的安全监管。以辽宁省招考办普通高考和成人高考文化课成绩数据为例,如图1所示。
3.2 评卷安全监管软件功能设计
网上评卷是成绩数据的生成环节,主要包括试卷扫描、网上阅卷、分数合成校验等工作。以辽宁省招生考试办公室为例,共有三家公司承担全办相关考试网上评卷工作任务,在网上评卷的各个工作环节中,对评卷过程成绩数据进行定期备份存档,同时可以利用评卷质量监控终端,通过评卷打分统计数据对评卷教师的评分质量进行监控和指导,但目前尚无供省招考办监管评卷公司技术人员对评卷数据管理情况的软件及终端设置,省招考办对评卷误差值等相关评卷系统参数设定情况、评分数据是否违规变更等问题无法监控。备份存档的数据不能起到实时安全监管的作用,只能用于已经发生并事后发现异常情况的核实依据,数据安全主要依赖相关公司工作人员的工作水平和职业道德。评卷中的相关安全威胁都应放在监管制度及措施的笼子中。因此,为实现考试招生数据信息全方位、全过程安全监管的工作目标,省级教育考试招生管理机构应该协调并会同承担评卷任务的有关公司编制评卷安全监控软件,并在评卷过程中使用,使网上评卷数据信息完全在有效的安全监管下运行。
图1
网上评卷安全监控软件主要应包括以下功能:(1)对相关评卷系统参数未设置、设置不正确问题的报警并窗口显示功能,主要是为了监督切割块参数和评卷误差值参数等是否设置以及设置是否正确,确保评卷标准正确(辽宁省招考办在评卷过程中通过评卷教师双评打分统计数据分析,曾发现“零误差”参数未设定的问题,致使评卷过程中部分试卷重评);(2)修改分数数据的提示报警功能,主要是为了监管技术人员通过评卷系统后台违规变更成绩数据的行为;(3)相关评卷统计数据查询功能,主要是为考务人员提供有效监管评卷质量和数据安全的依据材料。
3.3 结果数据审计软件
此软件适用于数据安全管理第二阶段和第四阶段以点带面的数据核对审计工作,可应用于考生成绩、志愿、加降分等结果数据信息的核对。根据相关数据信息不同特点和作用的实际情况,在此软件中可以按考试类别分别设定数据信息审计模块,将目前数据核对手工编程工作模式转化成自动的智能化软件运转模式。根据相关处室或人员各自的工作职责设置不同的数据核对和查询权限,相关部门和人员在各自的权限内按照相关规定和要求对相关结果数据实行多级监督管理。
结果数据审计软件,可以纳入考试招生数据信息管理平台,作为其中的一个模块,相关数据核对工作在数据管理平台上自动完成。此软件主要包括以下功能:(1)具有与备份数据进行比对、统计变动数据并按规定格式列表显示功能;(2)具有按照权限进行多级核对审计的功能(可实行办领导、安全处、信息处、相关业务处多级核对监管机制);(3)相关处室或人员可以在平台上交互数据核对情况;(4)数据审计情况及审计结果可以在平台上实行有限范围的公示等。
3.4 录取审计软件
在录取系统中,如果没有行之有效的监督审计软件,录取过程中考生数据信息即时的违规变更和恢复极难被发现,但这将会改变考生的录取结果,关系到考试招生的公平公正。辽宁省招考办之前在普通高考录取系统中增设了相关的监控软件,起到了较好的监督作用,但要根据新的数据安全监管需求,在原有监控软件的基础上,编制新的录取审计软件,在录取中实施更加有效和直观的数据安全管理,并将普通高考录取审计软件应用于成人高考等录取工作中。
录取审计软件主要包括以下功能:(1)具有日志功能,记录数据管理人员对系统数据的相关操作;(2)审计软件系统开启及关闭时间记录功能,监督审计软件被不正常终止问题;(3)对考生相关原始数据信息的更改问题进行报警并窗口显示功能;(4)对考生录取结束状态时录取院校及专业信息的更改问题进行报警并窗口显示功能;(5)报警记录查询功能等。
[1] 教育部高校学生司.2010年普通高等学校招生工作规定[S].2010,1.
[2] 教育部考试中心.国家教育考试网上评卷暂行实施办法、国家教育考试网上评卷技术暂行规范[S].2008,4.
[3] 许礼捷.网络考试系统的数据安全性设计和实现[J].沙洲职业工学院学报,2012(2).
