韓春梅

隨著信息技術(shù)的迅猛發(fā)展和普遍運用，計算機化考試將代替紙筆考試，成為未來考試的主要手段。計算機化考試可以呈現(xiàn)高保真和高清晰度的圖片、視頻和音頻資料，可以使用模擬技術(shù)和動畫技術(shù)生動地模擬真實情境，使得現(xiàn)代考試的內(nèi)容更豐富，形式更多樣，考試成績更能接近受試者的心理特質(zhì)和真實能力水平。計算機化考試在節(jié)約大量人力物力的同時提高了數(shù)據(jù)采集的準(zhǔn)確性和工作效率，但是也對信息化條件下的考試信息安全工作帶來前所未有的挑戰(zhàn)，一方面是新的運行模式下考試主管部門對相關(guān)涉密信息的存載、傳輸、使用面臨的安全風(fēng)險控制要求提高；另一方面管控對象從單一的信息內(nèi)容擴展到多樣化信息存載形式和基礎(chǔ)設(shè)施，管控范圍從保護單元信息安全，擴展到保護系統(tǒng)信息安全。因此，信息安全管理的體系化和專業(yè)化程度體現(xiàn)了考試機構(gòu)管理的現(xiàn)代化和專業(yè)化水平。中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局和中國國家標(biāo)準(zhǔn)化管理委員會聯(lián)合發(fā)布的《信息技術(shù)安全技術(shù)信息安全管理體系要求》GB/T ISO/IEC 27001:2005（以下簡稱ISO27001）作為信息安全管理體系的國內(nèi)和國際標(biāo)準(zhǔn)，為建立、實施、運行、監(jiān)視、評審、保持和改進考試系統(tǒng)信息安全管理體系（Information Security Management System，ISMS）提供了一套詳實可靠的規(guī)范體系，計算機化考試可依據(jù)ISO27001標(biāo)準(zhǔn)進行信息安全風(fēng)險評估并設(shè)計和制定符合ISO27001標(biāo)準(zhǔn)的信息安全防護策略。[1]

1 信息安全風(fēng)險分析

計算機化考試的信息高度依賴于網(wǎng)絡(luò)進行收集和使用，如受試者個人信息收集、電子試卷存儲、考試系統(tǒng)建立和維護、受試者作答記錄、成績生成、成績發(fā)布等，每一個環(huán)節(jié)都存在信息安全風(fēng)險，而這些環(huán)節(jié)的風(fēng)險控制難度較大，主要原因有以下幾個方面。

（1）考試系統(tǒng)信息安全的防護能力較弱。計算機化考試對信息技術(shù)和信息安全的專業(yè)化要求高，多數(shù)考試設(shè)計人員并非計算機專業(yè)人員，他們在計算機網(wǎng)絡(luò)、信息安全技術(shù)手段、信息安全防護等方面的專業(yè)技能不能滿足所施行考試的需要，而計算機化考試系統(tǒng)的維護人員對所施行考試的專業(yè)特點理解也有限，信息系統(tǒng)所提供的信息防護功能與考試信息安全要求的特殊性不能完全匹配，導(dǎo)致信息安全的整體防護能力弱。

（2）計算機化考試對信息系統(tǒng)的依賴程度高。計算機化考試信息系統(tǒng)一旦受到入侵、攻擊，有可能直接破壞整個網(wǎng)絡(luò)和信息系統(tǒng)，導(dǎo)致計算機化考試的中斷或記錄錯誤等嚴(yán)重后果，給受試者和考試機構(gòu)帶來不可挽回的損失。

（3）信息犯罪在我國有快速發(fā)展趨勢。網(wǎng)絡(luò)攻擊已經(jīng)從原始的技術(shù)炫耀逐漸轉(zhuǎn)向利益驅(qū)動，惡意攻擊計算機化考試系統(tǒng)、盜竊考試信息、篡改考試成績并通過第三方平臺銷贓在內(nèi)的不法行為屢禁不止。

（4）隨著信息技術(shù)的進步，數(shù)據(jù)泄密渠道不斷增多。大量與考試相關(guān)的信息可以通過U盤、智能手機等各種固定或移動設(shè)備通過互聯(lián)網(wǎng)、WiFi等途徑進行傳輸、攜帶、交換、處理和應(yīng)用。泄密隱患增多，防范難度加大，增加了考試信息安全的管理難度。

2 ISO27001信息安全管理體系簡介

考試信息安全體系建設(shè)是一項復(fù)雜的系統(tǒng)工程，內(nèi)容涵蓋物理安全、密碼技術(shù)、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全等，任何一種單一的技術(shù)或產(chǎn)品都無法滿足對信息安全的要求。只有將人、技術(shù)和管理有機地結(jié)合起來，建立符合信息安全管理國際標(biāo)準(zhǔn)的體系化信息安全策略才能提高整體的信息安全管理水平。建立符合標(biāo)準(zhǔn)要求的信息安全管理體系對計算機化考試具有重要的現(xiàn)實意義：一是在持久的信息安全基礎(chǔ)上對計算機化考試相關(guān)的信息資產(chǎn)實現(xiàn)更充分的保護；二是通過保持結(jié)構(gòu)化的信息安全綜合架構(gòu)來識別和評估信息安全風(fēng)險，幫助計算機化考試選擇和采取適當(dāng)?shù)目刂拼胧?，提高測量和改進這些措施的有效性；三是有效地實現(xiàn)對相關(guān)法律法規(guī)的合規(guī)性；四是持續(xù)地改進組織的信息安全受控環(huán)境。

建立信息安全管理體系要以國際或國家的相關(guān)標(biāo)準(zhǔn)為依據(jù)。ISO27001作為信息安全管理體系的國際標(biāo)準(zhǔn)，來源于英國標(biāo)準(zhǔn)協(xié)會（BSI）1995年制定的信息安全管理標(biāo)準(zhǔn)BS7799，2005年全部被我國國家標(biāo)準(zhǔn)化組織吸納，目前由ISO/IEC JTC1下的IT安全技術(shù)分委員會SC27組織負(fù)責(zé)編制。ISO/IEC270001已經(jīng)形成了標(biāo)準(zhǔn)族，包括基礎(chǔ)和術(shù)語、信息安全管理體系要求、最佳實踐、實施指南、度量和改進。其中，ISO27799:2008《健康信息應(yīng)用ISO/IEC 27002時的醫(yī)療信息安全管理》為醫(yī)療部門提供了信息安全指引。在國內(nèi)，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化辦公室制定了《信息安全等級保護管理辦法》。計算機化考試中的信息安全體系化建設(shè)需要遵循相關(guān)標(biāo)準(zhǔn)，進一步了解相關(guān)的過程、方法和實踐，在建立體系化安全策略的活動中不斷提升管理能力，更有效地保護計算機化考試的信息安全。

建立符合信息安全管理國際標(biāo)準(zhǔn)的信息安全管理體系應(yīng)明確其核心和基礎(chǔ)。建立體系化信息安全管理的目標(biāo)是確保計算機化考試有效運作，它的核心是基于持續(xù)的風(fēng)險評估，建立和實施體系化信息安全管理策略，并對運行進行監(jiān)督、評審和改進。ISO27001信息安全管理過程的PDCA（Plan Do Check Action）模型見圖1。

規(guī)劃（Plan）：建立與管理風(fēng)險和改進信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。在規(guī)劃階段，需要明確信息安全管理的范圍和邊界，如明確計算機化考試業(yè)務(wù)以及影響業(yè)務(wù)的安全風(fēng)險，基于業(yè)務(wù)過程、應(yīng)用的技術(shù)、管理模式、信息流模式和各相關(guān)方面的要求，哪些信息要保護？這些信息在生成、處理、傳輸/傳遞、使用、存儲、銷毀過程中涉及的相關(guān)資產(chǎn)有哪些？這些信息和相關(guān)資產(chǎn)需要保護到什么程度？適合的風(fēng)險評估技術(shù)有哪些？分別可用于哪些過程？

實施（Do）：實施和運行ISMS方針、控制措施、過程和程序。全面實施信息安全管理體系，落實實施信息安全管理技術(shù)計劃，執(zhí)行信息安全管理控制措施，測試體系的有效性和穩(wěn)定性。

檢查（Check）：對照ISMS方針、目標(biāo)和實踐經(jīng)驗，評估并在適當(dāng)時測量過程的執(zhí)行情況，并將結(jié)果報告管理者以供評審。在檢查階段，需對處置實施監(jiān)視、測量和持續(xù)改進。監(jiān)視、測量包括管理性監(jiān)視測量和技術(shù)性監(jiān)視測量，要明確目的、范圍，如測量方法、測量時間、測量執(zhí)行者和測量數(shù)據(jù)應(yīng)用等。各種測量的結(jié)果為改進措施提供輸入，可能的改進措施包括：系統(tǒng)的更新或升級、管理流程的更新或升級、人員的持續(xù)教育等。

處置（保持和改進ISMS）：基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進ISMS。在處置階段，針對風(fēng)險有選擇地實施風(fēng)險處置，包括確定風(fēng)險處置的目標(biāo)、處置計劃和處置計劃實施。一個可執(zhí)行的處置計劃應(yīng)包括計劃的任務(wù)內(nèi)容、任務(wù)開展需要的職務(wù)權(quán)限和職責(zé)指派、技術(shù)方案和資金預(yù)算以及資源提供。

3 基于ISO27001標(biāo)準(zhǔn)的信息安全策略設(shè)計

通過建立系統(tǒng)化信息安全管理體系來保障信息安全是考試組織者的一項戰(zhàn)略決策。在ISO27001標(biāo)準(zhǔn)及管理理念指導(dǎo)下設(shè)計計算機化考試體系信息安全策略時，需要考慮三個基本問題：一是哪些信息需要被保護，二是需要保護到什么程度，三是需要保護多久。計算機化考試的信息安全從防范策略上來講，可以采用技術(shù)、管理和法律三大手段。

3.1 保護計算機化考試信息安全的技術(shù)手段

3.1.1 計算機化考試的安全域劃分

圖1 信息安全管理過程的PDCA模型

根據(jù)ISO27001信息安全管理體系對訪問控制的要求，針對不同安全級別劃分不同的安全區(qū)域。安全區(qū)域的劃分要做到每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等。[2]典型的安全域劃分為：核心域（包括承載關(guān)鍵業(yè)務(wù)的服務(wù)器系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和網(wǎng)絡(luò)設(shè)備等）、公共域（包括內(nèi)部辦公系統(tǒng)、內(nèi)部E-mail等系統(tǒng)和相關(guān)網(wǎng)絡(luò)設(shè)備）、接入域（包括內(nèi)部終端接入域、互聯(lián)網(wǎng)接入域等）。在安全域的安全措施方面要進行如下考慮：利用防火墻技術(shù)實現(xiàn)安全域邊界隔離與訪問控制，通過在核心域、公共域等邊界采用邊界隔離防護設(shè)備，使用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，對出入各區(qū)域網(wǎng)絡(luò)的信息流進行全面的控制。[3]利用入侵檢測/防御系統(tǒng)實現(xiàn)核心域、公共域等重點區(qū)域的惡意攻擊防范。入侵防御系統(tǒng)是集訪問控制、透明代理、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報文完整性分析為一體的網(wǎng)絡(luò)安全設(shè)備，可以提供更加完整的立體式網(wǎng)絡(luò)安全防護。[4]

3.1.2 計算機化考試的多層次終端防護

通過保護多個位置、分層防御，同時考慮信息價值和安全管理的平衡，對計算機化考試的終端進行防護。[5]廣義的終端泛指可以接觸考試信息的所有計算設(shè)備，如辦公PC、智能手機、PDA等。終端具有類型多、角色復(fù)雜、流動性強等特點，根據(jù)ISO27001信息安全管理體系設(shè)備安全的要求，預(yù)防資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務(wù)活動的干擾。在身份認(rèn)證方面，可采用USB KEY的方式對用戶身份進行有效認(rèn)證，USB KEY中可以嵌入安全芯片控制模塊，結(jié)合集成電路技術(shù)、密碼技術(shù)、訪問控制技術(shù)、智能IC卡技術(shù)、嵌入式操作系統(tǒng)等技術(shù)，從而提升PC機的安全性[6]。針對桌面系統(tǒng)的操作系統(tǒng)漏洞，在PC終端安裝補丁自動檢測、下發(fā)和安裝，修復(fù)存在的安全漏洞。針對PC終端的應(yīng)用安全，通過安裝相關(guān)軟件，監(jiān)管桌面行為，包括限制非法打印行為、禁止U盤、移動硬盤等外部存儲設(shè)備的使用和監(jiān)控，避免內(nèi)部保密數(shù)據(jù)通過終端泄露。同時，對內(nèi)部的終端行為進行全面監(jiān)管，檢測并保障桌面系統(tǒng)的安全合規(guī)性，統(tǒng)一定制、下發(fā)安全策略和強制執(zhí)行的機制，實現(xiàn)對桌面系統(tǒng)的管理和維護，保障桌面系統(tǒng)及涉密數(shù)據(jù)的安全。

3.1.3 電子知識文檔的信息安全管理

根據(jù)ISO27001信息安全管理體系附錄A12.4系統(tǒng)文檔安全的要求，確保系統(tǒng)文檔的安全。計算機化考試的大部分信息數(shù)據(jù)以電子文檔的形式存在。這其中產(chǎn)生最有價值的信息資產(chǎn)大都是非結(jié)構(gòu)化的，這些非結(jié)構(gòu)化的信息代表著一個考試機構(gòu)幾十年來積累的知識和智力資產(chǎn)，如題庫中的試題信息、圖片、音頻和視頻文件等，它代表了考試機構(gòu)在智力資產(chǎn)、時間和金錢上的巨大投入以及核心價值的積累。電子知識的保護首先需要細(xì)化文檔數(shù)據(jù)的管理權(quán)限，在服務(wù)器端部署專門的文件保護措施。針對不同的權(quán)限、角色為不同的數(shù)據(jù)文件設(shè)置細(xì)粒度的訪問權(quán)限。通過部署相關(guān)的配置，對這些知識文檔的獲取、審批、存儲、保護和呈現(xiàn)都須經(jīng)過嚴(yán)格的審批流程。對核心的數(shù)據(jù)文件的訪問必須通過服務(wù)器的認(rèn)證，實現(xiàn)無法獲得認(rèn)證時不能打開該文檔，達(dá)到即使數(shù)據(jù)外泄，也能夠有效地進行控制的目的。

3.1.4 提升密碼技術(shù)

根據(jù)ISO27001信息安全管理體系附錄A12.3加密控制的要求，通過加密手段來保護信息的保密性、真實性或完整性。密碼加密與認(rèn)證密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一，信息加密，可以有效保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。通過信息加密，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。

3.1.5 保證數(shù)據(jù)的容災(zāi)

信息系統(tǒng)災(zāi)難恢復(fù)能力等級與恢復(fù)時間目標(biāo)（RTO）和恢復(fù)點目標(biāo)（RPO）具有一定的對應(yīng)關(guān)系。[7]根據(jù)ISO27001信息安全管理體系附錄A10.5備份的要求，保持信息和信息處理設(shè)施的完整性和可用性。將計算機系統(tǒng)、應(yīng)用系統(tǒng)或硬盤中的數(shù)據(jù)定期地通過適當(dāng)?shù)男问奖４娴娇擅摍C保存的介質(zhì)（如移動硬盤、光盤或容災(zāi)存儲系統(tǒng)）上，在需要時通過技術(shù)手段進行恢復(fù)，它是計算機化考試信息安全的保障。在做好數(shù)據(jù)備份的同時，還要制定應(yīng)急處理計劃，保證操作系統(tǒng)遭到破壞后能夠迅速恢復(fù)這些數(shù)據(jù)。

3.1.6 Web安全防護措施

根據(jù)ISO27001信息安全管理體系附錄A10.9電子商務(wù)服務(wù)的要求，Web網(wǎng)站作為與外部交互的計算機化考試網(wǎng)站，肩負(fù)宣傳、信息發(fā)布、獲取信息和交流的重要任務(wù)，也容易遭受各類Web攻擊，如緩沖區(qū)溢出攻擊，攻擊者通過非法獲得管理員權(quán)限，竊取信息，從而任意修改網(wǎng)站內(nèi)容。攻擊者還能利用網(wǎng)站的漏洞，使用SQL注入或跨站腳本進行攻擊，可利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼，破壞系統(tǒng)。在安全措施方面要對網(wǎng)站服務(wù)器安裝專門的網(wǎng)頁防纂改子系統(tǒng)，保護Web服務(wù)器的網(wǎng)頁不被纂改；在Web區(qū)域前部署硬件設(shè)備，防止SQL語句注入，從而避免數(shù)據(jù)庫服務(wù)器被黑客使用SQL語句注入的方式進行違法操作。

Section 3: Theoretical derivation of the imaging principles

3.1.7 定期進行信息安全的風(fēng)險評估

信息安全風(fēng)險評估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，要貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計、實施、運行維護以及廢棄各個階段。[8]根據(jù)ISO27001信息安全管理體系附錄A12.6技術(shù)漏洞管理的要求，減少利用公開的技術(shù)漏洞帶來的風(fēng)險。計算機化考試后續(xù)安全策略與響應(yīng)的弱化、系統(tǒng)的配置錯誤、安全風(fēng)險的感知程度低、動態(tài)變化的應(yīng)用環(huán)境有安全漏洞等，這些都是信息安全的風(fēng)險。應(yīng)當(dāng)使用漏洞掃描系統(tǒng)對主機、網(wǎng)絡(luò)設(shè)備及系統(tǒng)進行風(fēng)險評估，通過使用安全性分析系統(tǒng)，及時發(fā)現(xiàn)系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報告網(wǎng)絡(luò)及系統(tǒng)存在的弱點、漏洞與不安全配置，建議補救措施和安全策略，達(dá)到增強安全性的目的。[9]

3.2 保護計算機化考試信息安全的管理手段

3.2.1 強化計算機化考試工作人員的信息安全意識

根據(jù)ISO27001信息安全管理體系附錄A8人力資源安全的要求，計算機用戶管理部門應(yīng)結(jié)合自身硬軟件、數(shù)據(jù)和網(wǎng)絡(luò)等方面實際情況，提高工作人員的保密觀念、責(zé)任心和安全意識，加強業(yè)務(wù)技術(shù)培訓(xùn)。設(shè)置身份限制，對不同設(shè)備設(shè)置訪問權(quán)限，各系統(tǒng)工作人員每人設(shè)置一個賬號，并且每個賬號設(shè)置口令，并要求定期進行更改口令。

3.2.2 制定符合計算機化考試特征的信息安全策略

3.2.3 建立和健全計算機化考試信息安全管理制度和操作規(guī)程制度

安全管理制度和操作規(guī)程制度是確保計算機化考試信息安全的關(guān)鍵。因此，建立和健全安全管理制度，確保所有的安全管理措施落到實處，比如機房管理制度、系統(tǒng)操作人員管理制度、終端病毒防護制度、設(shè)備管理維護制度等。制定詳細(xì)的操作規(guī)程、規(guī)范和應(yīng)急預(yù)案，確保信息系統(tǒng)的安全管理。

3.3 保護計算機化考試信息安全的法律手段

我國于1994年2月頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》是我國信息安全領(lǐng)域內(nèi)第一個全國性的行政法規(guī)，它標(biāo)志我國的計算機安全工作開始走上規(guī)范化的法制軌道?！吨腥A人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理條例》、《計算機病毒防治管理方法》等一系列法律法規(guī)的出臺，成為企事業(yè)單位信息安全的有力保障。對于惡意侵犯信息安全的不法行為，應(yīng)當(dāng)堅決運用法律武器，制止侵犯行為，捍衛(wèi)計算機化考試的信息安全。同時，考試機構(gòu)應(yīng)加強對考試工作人員的教育和培訓(xùn)，認(rèn)真學(xué)習(xí)領(lǐng)會相關(guān)法律條款的精神和規(guī)定，從思想上真正認(rèn)識到信息安全問題的重要性和必要性。落實工作人員的法律責(zé)任，建立健全合法性的責(zé)任追究制，明確機構(gòu)、人員的職責(zé)和要求，從制度上規(guī)定各級人員需履行的責(zé)任和義務(wù)，避免出現(xiàn)相互推諉、責(zé)權(quán)不明等威脅信息安全的風(fēng)險。

電子化考試是考試工作改革和發(fā)展的趨勢。考試對教育本身而言發(fā)揮著評價和引導(dǎo)作用，對用人單位而言是錄用、考核人才的常用手段，對參加考試的個體而言是客觀地反映個人心理特質(zhì)的途徑。[10]因此，最大程度地保護電子化考試信息的安全，維護考試的公平和公正是考試機構(gòu)的職責(zé)所在，是考試機構(gòu)需要長期堅持的工作。利用權(quán)威的信息安全管理標(biāo)準(zhǔn)來評價考試信息和系統(tǒng)安全管理是否合規(guī)，并按照相關(guān)標(biāo)準(zhǔn)要求建立考試信息的安全管理體系，對考試機構(gòu)而言具有重要的現(xiàn)實意義。

[1] 國家質(zhì)量監(jiān)督檢驗檢疫總局，國家標(biāo)準(zhǔn)化管理委員會.GB/T 22080-2008/ISO/IEC 27001:2005，信息技術(shù)安全技術(shù)信息安全管理體系要求[S].北京：中國標(biāo)準(zhǔn)出版社.2008.

[2] 國家質(zhì)量監(jiān)督檢驗檢疫總局，國家標(biāo)準(zhǔn)化管理委員會.GB/T 22240-2008，信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南[S].北京：中國標(biāo)準(zhǔn)出版社.2008.

[3] 國家質(zhì)量監(jiān)督檢驗檢疫總局，國家標(biāo)準(zhǔn)化管理委員會.GB/T 20281-2006，信息安全技術(shù)防火墻技術(shù)要求和測試評價辦法[S].北京：中國標(biāo)準(zhǔn)出版社.2006.

[4] 國家質(zhì)量監(jiān)督檢驗檢疫總局，國家標(biāo)準(zhǔn)化管理委員會.GB/T 20275-2006，信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試評價辦法[S].北京：中國標(biāo)準(zhǔn)出版社.2006.

[5] 美國國家安全局.信息保障技術(shù)框架IATF（Information Assurance Technical Framework）V3.1版[EB/OL].[2013-01-15].http://www.iatf.net.

[6] 國家質(zhì)量監(jiān)督檢驗檢疫總局，國家標(biāo)準(zhǔn)化管理委員會.GB/T 21053-2007，信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全等級保護技術(shù)要求[S].北京：中國標(biāo)準(zhǔn)出版社.2007.

[7] 國家質(zhì)量監(jiān)督檢驗檢疫總局，國家標(biāo)準(zhǔn)化管理委員會.GB/T 20988-2007，信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范[S].北京：中國標(biāo)準(zhǔn)出版社.2008.

[8] 國家質(zhì)量監(jiān)督檢驗檢疫總局，國家標(biāo)準(zhǔn)化管理委員會.GB/T 20984-2007，信息安全技術(shù)信息安全風(fēng)險評估規(guī)范[S].北京：中國標(biāo)準(zhǔn)出版社.2007.

[9] 國家質(zhì)量監(jiān)督檢驗檢疫總局，國家標(biāo)準(zhǔn)化管理委員會.GB/T 20278-2006，信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求[S].北京：中國標(biāo)準(zhǔn)出版社.2006.

[10] 王和軍.試論教育考試制度創(chuàng)新需求與制約因素[J].中國考試，2009（2）：53-56.