人事考试信息系统网络安全建设的探讨
2020-08-27姚震
摘要:人事考试信息化的不断提高,信息系统的广泛应用,对信息系统的网络安全提出了更高的要求。本文针对内蒙古自治区特别是包头市人事考试信息系统网络安全进行分析,对人事考试中心信息系统网络安全建设提出一些建议。
关键词:人事考试;信息系统;网络;安全
在国家大力提倡互联网+的大环境下,信息系统已被广泛使用到各个领域,但随之而来的网络安全问题也越来越被人们所重视,如何防止非授权用户使用信息和资源,如何保障网络中信息数据的完整性、可用性和保密性,确保网络上信息系统的安全,是每个领域都需要认真考虑和对待的问题。近年来,随着人事考试信息化的逐步深入,人事考试信息系统网络安全的风险也随之增大,不法分子利用安全漏洞,非法获得人事考试信息资源。如何更好地防范网络安全风险,合理地构建网络安全解决方案,对于确保人事考试的公平、公正、公开,保证考试安全、科学、规范的顺利开展有着重要的现实意义。
1 人事考试信息系统
1.1 定义
狭义的人事考试信息系统,是指人事考试中心依托网络平台构建的对考试报名数据、考试相关信息、考试政策法规等内容整合的平台,以网站的形式提供考生访问,方便考生网上报名,管理考试相关信息数据的信息系统。如中国人事考试网、包头市人事考试信息网等。广义的人事考试信息系统,是指与人事考试工作相关的各种信息系统的总和。如通用人事考试管理信息系统GPTMIS、人事考试管理信息系统PTMIS、网上报名系统、门户网站管理系统等。
1.2 重要性
人事考试信息系统是支撑人事考务工作的重要平台,对于管理考试信息,处理考试相关数据起着决定性的作用。①方便考生及时掌握考试报名信息。②考生通过信息系统及时地进行网上报名和缴费。③管理考生报名信息,掌握考試报名动态。④节省人力物力,无纸化,方便考试工作顺利进行。
1.3 风险性
人事考试信息系统管理和使用存在着一定的风险性,人事考试部门需加强安全防范意识。管理风险主要是指考生信息丢失、出错、泄露等风险。网上报名过程中,非法人员通过攻击获取考生信息,从事非法活动等。使用风险主要是指考试管理机构内部人员在考试信息操作过程中,因自我主观意识放松、业务技术能力不足以及缺乏有效的外部管理制约机制等原因,造成的考生信息泄露、丢失等。
2 人事考试信息系统网络安全
2.1 威胁因素
(1)非授权访问。非法用户在没有经过授权或同意的情况下,使用网络或计算机资源。如查看考生网上报名信息,获取考生信息牟利。(2)信息泄漏或丢失。考试敏感数据在使用过程中有意或无意地被泄露或被遗失。(3)破坏数据完整性。不法分子非法窃得对网站数据库的操作使用权,对考试相关数据进行操作,甚至恶意添加、修改、删除数据,以干扰考生正常使用。取得网站的发布权限,篡改或重发考试重要信息,对考试造成恶劣影响。(4)植入病毒、木马。通过植入病毒的方式,恶意破坏人事考试信息系统,导致系统瘫痪无法使用,或通过植入木马盗取或篡改相关考试信息。
2.2 防范措施
(1)技术手段。利用各种网络安全技术手段,防范计算机病毒和网络入侵攻击等危害网络安全的行为。如杀毒软件、防火墙技术、网络安全认证技术、入侵检测技术、网络监测日志管理技术、数据加密技术等。(2)管理制度。制定各项网络安全制度和使用守则,从制度上保障人事考试信息系统的网络安全。(3)安全意识。加强信息系统管理人员的安全意识,定期开展警示教育和网络系统安全培训,警钟长鸣,减少“内患”事件发生。如系统设置复杂密码,并定期更换;专机专人使用,并杜绝外部载体如U盘的使用。
3 自治区各人事考试中心人事考试信息系统网络安全概述
3.1 基本概况
内蒙古自治区人事考试中心以及12个盟市的考试中心,在自治区人事考试中心的统一领导下,使用外包托管方式进行人事考试信息系统的管理。信息系统结构采用全区集中的模式,整个信息系统部署在阿里云平台上,并由阿里云提供网络安全保障,各盟市人事考试中心通过授权方式,直接访问阿里云服务进行相关操作。在系统使用和维护中,外包公司负责技术支持、网络服务器运维及系统升级维护等相关服务。各中心工作人员负责考试设置、内容更新和信息发布等工作。各盟市人事考试中心信息网在各盟市人力资源和社会保障局官网上都有链接入口,方便考生及时了解人事考试相关信息和进行相关考试报名。考生也可通过内蒙古人事考试信息网的友情链接对全区各盟市的考试信息网进行访问。
3.2 存在问题和建议
(1)黑盒式的管理运行方式,存在潜在风险。考试中心使用相同的管理平台和托管方式,在现有的人力、技术和资源的情况下是合理选择,但对于网络平台的构建、阿里云托管方式和相关技术知识的不确定性,会给各中心带来潜在风险。系统出现故障,考试中心工作人员往往束手无措,只能等待托管公司进行处理。所以必须严格落实合同,细化责权,确保服务到位,各考试中心需指定专人进行联系和监督,确保系统安全稳定。(2)信息系统网络安全风险防控培训交流机制薄弱。随着人事考试信息系统的广泛深入使用,不法分子利用网络和技术漏洞窃取信息的方式和手段层出不穷,给人事考试中心的信息技术工作带来挑战。工作人员需要进行风险防控培训交流学习,取长补短,确保平台正常运行,考试工作顺利进行。自治区应定期开展信息系统网络安全培训,及时更新系统管理人员知识结构,提高管理人员安全操作和安全防范意识。(3)网络安全防范制度建设需进一步加强完善。虽然各盟市考试中心信息系统管理和安全管理都有自己的制度和规定,但是制度的制订、执行和落实情况参差不齐,不利于网络信息安全防范。所以制定统一的安全防范规定和安全操作手册可以更好地统一安全防范意识,更加规范地进行系统操作和安全管理,保障信息系统的安全稳定。
4 包头市人事考务中心人事考试信息系统网络安全建设
4.1 现状
包头市人事考务中心使用自治区考试信息系统服务统一平台。使用过程中,平台运行顺畅,考试报名工作顺利。在网络安全方面,平台基本保障了信息系统的安全性和完整性。包头市人事考务中心对信息化建设和信息系统安全十分重视,及时完成各信息系統的部署、升级和更新,并积极配合做好调试测试工作,为系统的正常运行提出意见和建议。在考试报名和平时的信息系统使用中,中心严格按照规范操作,网络信息系统专人负责,考试系统严格杜绝互联网连接,数据交换使用VPN,在与自治区数据信息传递时,使用专用管理平台。中心通过制定相关政策,加强人员安全防范意识,尽量保证考试信息系统的安全使用。
4.2 存在的问题和建议
(1)信息系统工作存在潜在安全风险。上网和外部设备的使用,可能造成计算机感染病毒或被植入木马。为尽可能减少安全风险,建议操作网上报名系统的计算机专机专用,并将机器的mac地址和登录IP绑定服务器,避免外部非授权机器的操作和使用。(2)信息系统登录安全性策略需进一步提高。系统管理员虽使用复杂登录名和密码,并定期更换,但网络安全风险始终存在,有被撞库盗用用户名密码的风险。建议加强登录安全策略,增加手机或Ukey动态验证码策略。(3)考试数据备份策略和灾难防控机制需更加健全。虽然阿里云服务提供了相应的备份策略,但考试数据的完整性和安全性至关重要。中心应建立健全数据备份机制,备份和加密相关数据,做好数据灾难防控。
4.3 信息系统网络安全建设
(1)确保上下统一系统兼容,保证系统稳定性和安全性。市级人事考试中心信息系统建设要与国家、自治区步调一致,及时完成系统建设配置更新,并向上汇总使用中的问题和建议,完善网络安全防护措施。(2)加强安全制度建设,提高安全意识,避免内部风险。结合国家和自治区制度管理规范,根据本中心实际,制定更加细致的安全管理规定。用制度约束,强化痕迹管理,坚持“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,做到权限明确,责任到人,监管到位。定期开展网络安全检查,防堵漏洞,确保安全。(3)强化沟通机制,将外包公司和当地网监纳入安全防范体系。与外包公司建立有效沟通机制,确保7*24小时服务,保障系统安全运行。建立与公安网监部门的长效合作机制,考试报名期间,对网站、服务器等进行监管,最大程度保障考试信息系统安全。(4)建立健全信息系统网络安全教育培训机制。专业技术人员的业务水平和操作技能直接关系到系统的安全,定期学习培训,提高专业技能和知识水平,深化网络安全意识,才能更好地保证考试信息系统安全,保障考试顺利进行。
参考文献:
[1]人力资源和社会保障部.人力资源社会保障部关于印发“互联网+人社”2020行动计划的通知[Z].20161101.
[2]何志成.加强信息网络技术的管理是当前保密工作的新课题[J].国家安全通讯,2001(07).
[3]李昭.国家信息安全战略的思考[J].中国人民公安大学学报(自然科学版),2004(03).
作者简介:姚震(1980—),男,汉族,内蒙古包头人,硕士研究生,研究方向:人事考试信息系统网络安全。