浅析大规模考试网上报名系统的信息安全问题

2017-02-01黄啸波李盛丹刘晓华

中国考试 2017年11期

黄啸波李盛丹刘晓华

（1.教育部考试中心，北京 100084；2.北京奈亚信息技术有限公司，北京 100085）

1 研究背景

大规模考试传统使用现场报名的方式，需要考生在指定的时间范围内到规定的地点进行报名，填写个人信息、摄像、交费、签订个人承诺书。随着信息技术的发展，特别是互联网技术的广泛应用，以及电子支付手段的日趋成熟，越来越多的大规模考试采取网上报名的方式。网上报名方式较好地解决了传统报名方式存在的问题，方便考生报名，减轻了考务人员的工作负担，提高了考务管理的质量水平和工作效率。

网上报名给考生和管理者带来便捷、高效的同时，也存在网络与信息安全隐患。一旦网络安全和信息保护存在疏漏，就有可能导致敏感数据被窃取，造成巨大的社会影响和重大损失。近几年发生的多起考生信息泄露事件，教训深刻。2017年5月，最高人民法院、最高人民检察院公布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，解决了个人信息无法律保障的问题，但是如何在管理层面和技术层面防范和杜绝考生信息泄露仍然是各级考试机构面对的难题。

2 信息安全隐患

网上报名系统信息安全主要存在两方面隐患：一是技术层面的安全隐患；二是管理层面的安全隐患。

2.1 技术层面安全隐患

技术层面的安全隐患主要包括物理安全隐患、服务器安全隐患、数据传输的安全隐患、网上支付的安全隐患。

一是物理安全隐患。物理安全是保证网络通畅的一种基本安全形式，主要指保证网络正常运行的硬件设备和传输线路，以及网络设备运行环境的安全等。物理安全的威胁主要是自然灾害（如火灾、雷击）、环境事故（如断电）以及人为破坏。

二是服务器安全隐患。网上报名系统通过Web服务器提供对外访问的窗口，数据库服务器中保存着报名网站的数据，它们的安全至关重要。常见的安全隐患主要分为以下几方面：1）利用报名网站服务器的高危安全漏洞，导致攻击者可以通过执行恶意脚本入侵服务器上传后门木马，实现篡改网页、非法获取数据库中的数据，甚至实现对网站的全面控制。常见的服务器高危漏洞包括SQL注入漏洞、XSS漏洞等。2）数据库服务器本身的安全性。攻击者可能通过网络、操作系统的漏洞入侵数据库服务器，从而获取、更改或破坏数据库中的数据，这类安全隐患具有毁灭性的威胁。3）数据库的访问口令泄露。部分数据库存在使用简单口令或弱口令的现象，有些数据库访问口令长期不做修改，甚至在管理人员发生变动时也没有及时修改。

三是数据传输的安全隐患。一般网站采用超文本传输协议HTTP在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以获得其中的信息，或是篡改报文，向网站服务器发送虚假数据。

四是网上支付的安全隐患。网上支付的主要安全隐患在于：1）支付密码泄露。一旦攻击者通过某种方式得到支付密码，可以轻易地冒充持卡人通过互联网进行消费，给持卡人带来损失。2）支付数据被篡改。攻击者可以通过修改互联网传输中的支付数据，如付款银行卡号、支付金额、支付考生信息等，达到牟利目的。

2.2 管理层面安全隐患

信息安全管理是一项系统工程，除了网上黑客入侵、网上病毒泛滥和蔓延等由于网络的开放性而使系统面临的安全隐患外，内部人员的违规和违法操作同样是信息安全的一大隐患。大量的网络信息泄露案例表明，无论采用什么样的安全技术，人始终是使用系统的主体，建立完整的信息安全管理体系才是解决信息安全问题的基础。

3 信息安全预防策略

针对技术层面和管理层面存在的安全隐患，从技术和管理两个层面分别建立信息安全的预防策略。

3.1 技术层面安全预防策略

3.1.1 系统总体结构设计

系统采用B/S结构，前端分为报名网站和支付网关两个子系统，后台使用Oracle数据库。系统结构如图1所示。

图1 网上报名系统B/S结构示意图

3.1.2 物理安全

物理安全防范策略的目的是保护网络通信系统和网络服务器等硬件基础设施免受自然灾害、环境事故和人为破坏的影响，确保网络系统有一个良好的工作环境。

为保证网络的物理安全，可以采取以下措施：1）在系统设计时，为核心硬件（如服务器等）设计备用设备，为网络通信线路设计备用通道，或采用多种通道相结合的方式，如无线和有线的结合等。2）科学合理地实施网络布线和配置工作，以防止人为搭线攻击，并便于故障排查。3）防止电磁泄露。一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽；二是采用干扰措施，即在系统工作的同时，利用干扰装置产生与系统电磁辐射相关的伪噪声，以掩盖系统的工作频率和信息特征。

3.1.3 服务器的安全防护

Web服务器和数据库服务器是保存网上报名系统的关键基础设备，为了防范针对服务器的攻击，防止网上报名系统被篡改，设计了三层防护体系，实现了主动防护和被动防护相结合的服务器有效安全防护。

首先，在网上报名系统中部署了网站防篡改产品，防止网站被恶意篡改。其次，为服务器配备了主动的漏洞扫描工具，定期检测服务器系统软件和应用软件中存在的安全漏洞，并在服务器上部署主机入侵行为检测系统，及时检测和防范针对服务器的入侵行为。最后，部署了日志审计系统，对发生的异常和安全事件可做到有效的记录、审计和回溯。

3.1.4 防火墙和病毒防范

防火墙作为网络安全域之间信息的唯一出入口，只允许特定的网络协议通过，可以极大地提高内部网络的安全性。报名系统划分为Web服务器和数据库服务器两个内部网络。

在互联网和Web服务器内网之间设置一道防火墙，主要策略为：仅允许外部使用HTTP/HTTPS协议访问指定的内网端口，禁止Web服务器访问外部网络。

在Web服务器内网和数据库服务器内网之间设置一道防火墙，主要策略为：仅允许Web服务器使用TCP协议访问指定的数据库端口，禁止数据库服务器访问Web服务器网络。

设置专门的运维人员，负责及时安装操作系统和基础应用软件的安全补丁；负责更新服务器上防病毒软件的病毒库。

3.1.5 支付网关的设置

为了确保网上支付过程和数据的安全，设计时将支付系统从网上报名系统中独立出来，称为支付网关。它在单独的服务器上部署，使用单独的数据库保存数据，授权的管理人员范围更小，相关的访问控制权限更加严格。

支付网关网站全部采用HTTPS协议，防止数据传输过程中被窃取或篡改。支付网关定时与财务系统进行支付数据的核对，确保相关数据正确无误。

3.1.6 设置数据访问控制权限

报名系统从功能和组织机构两个方面进行数据的访问控制，系统中每个用户都具有角色和所属组织机构两个属性。角色确定了用户能执行的功能，从而限定了对数据可执行的操作。如管理员角色可以修改报名数据，而客服角色只能查看报名数据。所属组织机构用于对操作数据进行过滤，如考点A下的用户只能操作属于考点A的考生数据。

3.1.7 数据加密

为了更好地保护数据安全，防止敏感信息泄露，报名系统从应用层上对一些关键数据进行了加密存储。这样即使相关数据被非法窃取，攻击者也难以获得真实信息。主要措施包括：1）报名系统配置的数据库连接信息进行加密，并对解密密钥进行了隐藏和变换。这可以防止访问数据库的用户名和密码泄露。2）考生的登录密码采用目前较为安全的Hash算法变换后存储，并使用考生的相关信息进行混淆。3）数据库中存储的考生证件号、姓名、联系电话等关键信息进行加密存储，并对解密密钥进行隐藏和变换。4）考试管理机构导出的数据文件进行加密，使用前需要输入密钥解密。

3.2 管理层面安全预防策略

3.2.1 建立信息安全管理组织体系

信息安全管理需要建立完善的组织体系，应包括安全决策机构、安全执行机构和安全顾问机构。安全决策机构负责建立管理框架，组织审批安全策略、安全管理制度，指派安全角色，分配安全职责，并检查安全职责是否已被正确履行，核准信息处理设施的启用等；安全执行机构负责起草网络系统的安全策略，执行批准后的安全策略，日常的安全运行和维护，定期的培训和安全检查等；安全顾问机构负责提供安全建议，特别是在安全事故或违反安全策略事件发生后，可以被安全决策机构指定负责事件调查，并为安全策略评审和评估提供意见。

3.2.2 制定信息安全管理制度

安全决策机构应制定科学合理的信息安全管理制度，应包括人员安全管理制度、设备安全管理制度、运行安全管理制度、应急维护制度、计算机病毒防范管理制度和敏感数据保护制度等内容。各项制度发布后，应有效地检查制度执行情况。

3.2.3 加强人员的管理和培训

参与网上报名系统的管理人员是系统正常运行的重要因素，加强对有关人员的管理和培训是至关重要的。第一，在人员录用时应做好人员鉴别，人员录用或人员职位调整时，应签署保密协议，人员到期离开或协议到期、工作终止时，应审查保密协议。第二，要对有关人员进行上岗培训，建立人员培训计划，定期组织安全策略和相关制度方面的培训。第三，在员工岗位职责中明确本岗位执行安全政策的常规职责和特别职责，对违反网上报名系统安全规定的人员要进行及时处理。第四，明确网上报名系统安全运作基本原则，包括职责分离原则、任期有限原则、最小权限原则等。

3.2.4 完善技术风险管控机制

通过上述信息安全管理体系的建立，为网上报名系统提供了动态的、持续性的安全管理机制。与此同时，为了进一步提升网上报名系统的技术安全管控水平，在风险评估和渗透测试、最新漏洞的及时修补、入侵行为的及时响应，以及异常行为检测和预警方面，都应建立对应的技术风险管控机制，从技术方面保障网上报名系统的安全。