APP下载

新形势下服务型考试网站的安全管理实践

2018-06-06吴志红

中国信息化 2018年5期
关键词:信息安全考试系统

吴志红

考试网站的主要功能包含网上报名、信息发布、资格审核、成绩查询、证书查询等一站式服务,“互联网+”行动给各行各业提出新的发展要求,影响深刻,这既是机遇也是挑战。互联网发展越快,智能化程度越高,对服务的要求越高,信息安全面临的挑战和风险越来越大,因此,在新形势下保障“服务+安全”的双管齐下才是考试网站的主体任务,既要更好地服务于广大考生,又要在快速发展的互联网技术形势下保障网站安全,保障数据安全,这对于网站管理人员提出了更高的要求。

一、考试网站的“服务型”架构特点

考试网站作为政府机构的服务型网站,也是我国“互联网+政务服务”新形态的一部分,为了推进服务型政府的转变,加快互联网上的考试服务力度,一方面要创新工作理念,改变工作思维,制定管理方案,积极打造网上考试服务的“信息窗口”。另一方面,要与大厅服务双管齐下,实现线上与线下、互联网服务与传统现场服务相结合,提升考试服务智慧化水平,推进O2O模式的快速发展,让考试相关服务围绕“全流程”、“一站式”、“全方位”的要求,使服务更方便、便捷、有效。

二、构建信息安全管理体系

考试网站必须把信息安全管理放在网站建设的核心位置,努力构建信息安全管理体系,确保考试网站健康、稳定发展。通过制定信息安全总体原则、明确管理职责、以风险评估为基础选择重点需要控制的目标与手段等一系列措施来建立信息安全管理体系,强化内部管理,形成一系列的制度及流程文件,并按体系的要求运作。按照计划-实施-检查-措施(PDCA)的四循环过程模式不断完善,首先,制定“服务+安全”总体安全方针和控制网站风险的目标,设计过程和程序;然后实施和运作;再依据方针、目标和实际经验来评估管理效果,定期提交报告;并采取纠正和预防措施进一步提高管理效果。将这四个步骤成为一个闭环,通过这个环的循环往复,使信息安全管理体系得到持续改进,使信息安全成效不断上升。

三、加强信息安全技术管理

按照三级信息系统等级保护标准来完善技术层面的管理,信息安全技术体系分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面,在我国提出的信息安全等级保护有关标准规范中,规定了不同安全层面的控制点要求。在这里不赘述。对于部署在政府数据中心的考试网站来说,网络、应用和数据尤为重要。

(一)网络层面防范措施。通过域划分、入侵检测与防范等手段防范网络层面的威胁。对网站业务、数据流向、网络结构等因素进行安全域的划分。部署入侵防御系统,抵御来自互联网的入侵行为。

(二)应用层面防范措施。部署Web应用防火墙对Web應用漏洞进行扫描,同时对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断,真正达到“网页防篡改”的目的。对网络设备运行状况、网络流量、用户行为等进行日志审计,审计内容应包括事件的日期和时间、用户、事件类型、事件是否成功等内容,对网络设备日志保存六个月,日志审计以及细致的分析是预测攻击、定位攻击以及遭受攻击后追查攻击者的有力武器。

(三)数据层面的防范措施。通过网络安全域划分,将数据库隐藏在安全区域,同时通过定期进行安全加固服务对数据库进行安全配置,严格的限定数据库的访问用户与权限,并进行数据库审计等防范措施,纵向防范来自内部与外部的可能的威胁,保证数据安全。

四、安全运行管理实践

以下结合考试网站的实际管理经验,从安全管理机构、安全管理制度、人员安全管理、系统运维管理四个方面系统论述安全运行的管理实践经验。

(一) 成立安全管理机构。建立信息化领导小组及管理部门,负责计算机信息系统运行过程中的重大操作管理及审批,目的是控制计算机系统运行过程中的风险。重大操作是指变更机房现有环境及设备设施,修改重要系统的配置参数,增加删除网络节点,远程登录,系统软件升级,应用系统的切换,新项目上线,增删数据,应急计划的实施等,细化部门职责与岗位说明。

(二)完善管理制度。首先,制定信息安全的总体方针与安全策略,实施等级保护及风险管理,确保信息安全以及实现持续改进;其次,以“谁主管、谁负责”为原则,对于围绕网络安全的资产、数据、人员、信息发布、软硬件、介质、变更等全方位建立一整套完善的管理制度,赋予不同岗位与人员不同的管理职责,形成制度与流程汇编;另外,根据实际制定主机设备、网络设备、移动存储设备等各类设备的管理规程,保障信息系统可靠、安全、稳定运行,并做好各种过程与结果记录。

(三) 人员安全管理。与相关人员签订保密协议;定期进行网络安全教育和培训,提高全体人员的预防、应急能力。制定信息安全工作的安全责任与惩戒措施,规范安全主管、系统管理员、数据库管理员、网络管理员、机房管理员等人员的行为与规范,最大限度的降低信息系统可能发生的风险。

(四)系统运维管理。内容涵盖环境、资产、介质、设备、监控、恶意代码、密码、变更、备份恢复、安全事件处置、应急预案等多个方面。

1.环境管理。加强办公室计算机信息系统的保密管理,规范办公室人员行为,及时了解计算机信息系统使用、管理情况,督促各部门的计算机管理规范化、科学化。

2.资产管理。建立信息资产清单,制定信息资产的分类、标识与保管方法,包括:域名、网络拓扑结构、网络IP地址及分配规则、源代码、系统平台基础数据、系统配置数据、系统授权信息、系统说明文档、用户手册等。

3.介质管理。针对介质的存储、使用、维护、维修、归档、销毁等过程制定相应的管理控制规范,加强对各类纸质文档、电子文档、光盘、磁带、移动存储设备等各类介质的管理。

4.设备管理。规范设备购置、管理、应用、维护、维修及报废等方面的工作,保护信息系统安全,加强信息系统软硬件设备管理。

5.恶意代码防范管理。制定操作规程,防范在计算机中植入恶意代码的机会。比如不得制作和输入计算机病毒;不得向他人提供含有计算机病毒的文件、软件、媒体等介质;外来的软盘、光盘和移动存储设备等应先检查计算机病毒后使用等等,全方位无死角防范可能引入网络的恶意代码。

6.密码管理。关键设备和系统的管理账号和口令应当由安全管理员分配和管理,设置符合要求的账号和口令(或密码),安全管理员应对分配出去的账号和口令以及变更情况进行加密登记并妥善保存,获得账号和口令的工作人员不得散发和与他人共享。

7.变更管理。严格管理操作系统、数据库系统、中间件、应用软件等信息系统的变更。

8.备份恢复管理。保护系统内重要服务器的数据,确保计算机信息系统安全。备份系统设计要具备稳定性、全面性、自动化、高性能、安全性、时效性和容错性等特点。一旦出现问题,应尽快从备份介质中恢复出最新数据。

9.安全事件处置。制定措施妥善应对和处置由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因造成的业务中断、系统破坏、数据破坏或信息失窃或泄密等网络突发事件。

10.应急预案。从组织指挥、应急行动、后期处置等方面制订应急预案,从而实现正确、迅速和有效地处置可能发生的网络通讯故障,消除突发事件的危害和影响。

通过以上的安全管理实践,全方位构建了“服务+安全”型考试网站,加大了安全保障力度,进一步提高了服务能力,为广大考生提供了一个安全、稳定、高效的考试服务平台。

猜你喜欢

信息安全考试系统
一种无人机缓冲系统
信息安全不止单纯的技术问题
品“助读系统”之妙
直扩系统中的窄带干扰抑制
直扩系统中的窄带干扰抑制
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
Japanese Artificial Intelligence Robotto Take Entrance Examinations
你考试焦虑吗?
准备考试