趙麗艷

?

淺談如何進一步提高人事考試網(wǎng)上報名系統(tǒng)的安全性

趙麗艷

鎮(zhèn)江市人事考試考工中心，江蘇 鎮(zhèn)江 212000

人事考試是人事制度改革的一面旗幟，是人力資源和社會保障工作的重要組成部分，是社會主義市場經(jīng)濟條件下科學評價人才的重要手段。人事考試不僅是個人發(fā)展的一條重要途徑，涉及考生切身利益，而且為人才選拔、職稱評價、資格認證等提供了科學有效的測評依據(jù)，事關整個社會大局的穩(wěn)定及公平公正。作為人事考試管理的第一個步驟，考試報名則是整個人事考試中的一個重要環(huán)節(jié)。報名方式的便捷影響著報名效率。數(shù)據(jù)的安全關系著眾多考生的命運，因此一個更加公平、公正、安全的報名系統(tǒng)是至關重要的。

人事考試；網(wǎng)上報名；安全性

1 考試報名工作現(xiàn)狀

人事考試傳統(tǒng)的報名方式是采用工現(xiàn)場報名，顧名思義就是將所有的報考人員和工作人員集中到一個專門的地方進行流水操作。報考人員要在短時間內完成填表、資格審核、現(xiàn)場交費，同時考試機構要投入大量的人力、物力和財力來完成填收表、攝像、收費、校對、掃卡、數(shù)據(jù)管理等。這種方式既浪費了時間、財力，又由于勞動強度大易引起誤差。為了解決以上這些問題，再加上網(wǎng)絡信息技術的發(fā)展，人事考試網(wǎng)上報名系統(tǒng)應運而生。

自2006年以來，鎮(zhèn)江市人事考試考工中心組織的人事考試陸續(xù)開始采取網(wǎng)上報名的方式，從最初的公務員考試、一級建造師、二級建造師到后來的職稱計算機、審計、統(tǒng)計考試。截至目前，已實現(xiàn)所有人事考試網(wǎng)上報名。

時至今日，部分人事考試的網(wǎng)上報名系統(tǒng)平臺也由最初的省統(tǒng)一報名平臺發(fā)展到全國統(tǒng)一網(wǎng)報平臺。截至2016年，鎮(zhèn)江市人事考試考工中心采用的網(wǎng)上報名系統(tǒng)平臺主要有幾下幾種：公務員和事業(yè)單位等招錄考試采用吉林科飛開發(fā)的系統(tǒng)；職稱輔助考試采用山東旗幟開發(fā)的系統(tǒng)；統(tǒng)計考試采用山大歐碼開發(fā)的系統(tǒng)；審計考試采用審計署網(wǎng)站系統(tǒng)；其他全國執(zhí)業(yè)（職業(yè)）資格考試采用國家統(tǒng)一網(wǎng)報平臺。鎮(zhèn)江市考試考工中心自主維護的網(wǎng)報系統(tǒng)平臺主要是吉林科飛開發(fā)的系統(tǒng)和山東旗幟開發(fā)的系統(tǒng)[1]。

2 網(wǎng)上報名系統(tǒng)的優(yōu)點及存在的安全威脅

2.1 網(wǎng)上報名系統(tǒng)的優(yōu)點

網(wǎng)上報名系統(tǒng)與傳統(tǒng)的現(xiàn)場報名相比，優(yōu)點主要集中在以下幾個方面。

（1）報考時間充裕。人事考試采用網(wǎng)上報名，節(jié)省了報名文件流轉時間、報考后期人工錄入校對數(shù)據(jù)的時間，可以較傳統(tǒng)現(xiàn)場報名更早開始更遲結束，同時由于節(jié)省了報考人員來回奔波和現(xiàn)場排隊等待時間，以及報名系統(tǒng)24小時不間斷運作，因此報考人員有更充裕的報名時間。

（2）操作簡單，提高效率。目前絕大部分網(wǎng)上報名系統(tǒng)采用B/S模式，只要計算機上安裝有瀏覽器且有網(wǎng)絡，就可以完成報名信息的采集?？荚嚈C構工作人員無須再手工錄入大量數(shù)據(jù)，傳統(tǒng)的錄入工作已由考生自己負責，填寫資料的準確性由考生本人核對且在規(guī)定時間內可反復修改，大大減少了人事考試管理機構工作人員的工作量。報名結束后，報考數(shù)據(jù)的統(tǒng)計分析也更加便捷。

（3）收費管理水平明顯改善。傳統(tǒng)報名現(xiàn)場收費結束后，還要逐項核對報考人數(shù)、報考科目和收費金額，并層層上繳國庫，工作周期長、任務重。采用網(wǎng)上支付方式后，所有考試費用由網(wǎng)上繳費系統(tǒng)進行分賬管理，自動結算，一目了然。報名繳費結束后，費用通過銀行系統(tǒng)直接繳入財政，安全可靠，效率高。

（4）責任劃分清晰。考生必須誠信報考，簽訂誠信報考協(xié)議，對自己填報內容的真實性和準確性負相應的責任，如經(jīng)審核不合格由考生自己負責，不再是人事考試管理部門承擔全部責任，給雙方都提供了法律保障。

因為有諸多的優(yōu)點，網(wǎng)上報名系統(tǒng)在社會上的重要性已顯而易見，然而從另一個角度而言，正因為其重要，更容易遭受不法之徒的覬覦，更容易造成極大的破壞性和危險性。隨著近幾年考試規(guī)模的擴大，部分資格證書含金量的升高，不法分子盜取報名考生信息販賣給培訓機構和考試作弊團伙，給考生造成了困擾，影響了社會穩(wěn)定，也損害了考試公平、公正的形象。因此，網(wǎng)上報名系統(tǒng)的安全性問題已越來越重要[2]。

市考試考工中心組織的網(wǎng)上報名就出現(xiàn)過報考信息泄露事件，引起了考試考工中心及領導的高度重視。在2014年二級建造師考試報名期間，不法分子利用報名系統(tǒng)網(wǎng)頁漏洞，竊取了報名考生的信息，并將信息販賣給培訓機構和作弊團伙，致使考生每隔一段時間就接到培訓機構和作弊團伙的關于考試培訓包過和販賣考試答案等短信和電話，考生苦不堪言，也影響了考試公平、公正的形象。

2.2 網(wǎng)上報名系統(tǒng)存在的威脅

網(wǎng)上報名系統(tǒng)是以計算機和數(shù)據(jù)通信網(wǎng)絡為基礎的，因此是一個開放式的互聯(lián)網(wǎng)絡系統(tǒng)。系統(tǒng)除了要面向各級管理人員外，還要允許大量的報考人員操作，操作人員復雜，綜合素質也參差不齊。正是網(wǎng)絡的開放性和用戶的復雜性，網(wǎng)上報名系統(tǒng)必將面臨諸多的安全問題。

（1）網(wǎng)絡通信中的威脅。網(wǎng)絡的脆弱性，使得系統(tǒng)可能會因為黑客和病毒的入侵泄露機密信息或者崩潰。一般而言，網(wǎng)絡通信中容易受到兩個方面的攻擊：一是主動攻擊；二是被動攻擊。主動攻擊中，非法攻擊者通過網(wǎng)絡主動向系統(tǒng)實施干擾或將病毒注入系統(tǒng)中，破壞數(shù)據(jù)的真實性，甚至使系統(tǒng)癱瘓；被動攻擊中，攻擊者竊取線路中的信息，造成機密信息的泄露而無法察覺。應該說目前沒有攻不入的網(wǎng)絡。

（2）軟件的脆弱性。這里所說的軟件包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和我們本身開發(fā)的應用程序。操作系統(tǒng)的安全是整個管理信息系統(tǒng)最基本的、也是最重要的安全保證，但它自身卻存在大量的漏洞；數(shù)據(jù)庫系統(tǒng)軟件中存在大量有用數(shù)據(jù)，如果沒有進行安全設計，其中的數(shù)據(jù)有可能遭受到破壞和泄露；對于應用程序來說，開發(fā)者可能會考慮不周，使其出現(xiàn)Bug或者漏洞，被非法攻擊者利用。應該說，軟件的脆弱性主要體現(xiàn)在軟件自身有漏洞，容易受到木馬和病毒的攻擊。

（3）硬件設備的安全問題，主要指硬件設備中的一些突發(fā)情況，比如掉電、電磁干擾、設備被盜、設備部件故障等[3]。

（4）人為因素破壞，主要指系統(tǒng)合法用戶對系統(tǒng)安全的破壞。一方面，由于系統(tǒng)具有較大的開放性，任何具有合法用戶身份的訪問都被允許，因此可能出現(xiàn)用戶進行非法權限的操作，破壞了系統(tǒng)中的信息；另一方面，如果系統(tǒng)管理人員的技術水平低，出現(xiàn)操作失誤或錯誤，甚至是泄密等，也會破壞系統(tǒng)的安全性。

從上面分析的潛在的安全問題可以看出，系統(tǒng)的安全隱患無處不在，任何一個細小的漏洞都可能造成數(shù)據(jù)的無法挽回和整個系統(tǒng)的崩潰，甚至是社會的動蕩不安。因此，針對以往發(fā)生的數(shù)據(jù)泄露事件，需要重新嚴格細致地考慮系統(tǒng)的安全防范措施，最大限度保證系統(tǒng)的安全可靠運行。

3 采取的安全防護措施

根據(jù)上面分析的網(wǎng)上報名系統(tǒng)潛在的安全威脅因素，為防止再次發(fā)生泄密事件，市考試考工中心著手從軟硬件、網(wǎng)絡、制度等方面進行了查漏補缺，并采取了相應的安全措施。

3.1 系統(tǒng)級安全措施

操作系統(tǒng)的安全是整個人事考試網(wǎng)上報名系統(tǒng)最基本上也是最重要的安全保證。如果應用服務器和數(shù)據(jù)庫服務器的操作系統(tǒng)安全失效，那么整個系統(tǒng)的所有安全性將得不到保障。因此除了要將操作系統(tǒng)放在NTFS分區(qū)上，還要及時下載最新系統(tǒng)補丁，升級操作系統(tǒng)，安裝正版殺毒軟件，開啟防火墻；同時關閉不必要的網(wǎng)絡服務，設置用戶組和用戶權限，防止非授權用戶訪問。

3.2 應用程序級安全措施

應用程序是由軟件開發(fā)人員編寫的，受軟件開發(fā)人員技術水平的限制，或多或少會留有一些漏洞。這些漏洞往往會被攻擊者利用，對系統(tǒng)造成很大的危害。之前出現(xiàn)的考生報名信息泄露事件，就是因為開發(fā)的網(wǎng)頁有漏洞，被不法分子有機可乘。為此我們配合軟件開發(fā)公司對整個報名系統(tǒng)安全隱患進行了梳理，并從以下三點進行了防范。

（1）避免SQL注入式攻擊。雖然采用賬號和密碼認證方式，能在一定程度上防止非法用戶進入系統(tǒng)，但攻擊者會利用應用程序中的一些漏洞，通過構造一定的嵌入式SQL語句，繞過頁面驗證非法進入系統(tǒng)。因此要采用數(shù)據(jù)過濾、限制輸入數(shù)據(jù)的長度、對輸入次數(shù)進行限制、在服務器端驗證等方法防范攻擊。

（2）使用Session變量。使用Session變量記錄連接時間，當一段時間該用戶沒有操作后，系統(tǒng)連接自動斷開，這樣可以保證登錄后忘記退出，不被別人非法操作；使用Session變量保存用戶的用戶名、密碼和權限等信息，可以控制用戶的操作范圍，也可以簡化操作，如用戶需要修改密碼時，只需要輸入新密碼就可以，系統(tǒng)會根據(jù)Session變量中的用戶名和原有密碼找出記錄，進行修改。

（3）保證組件的安全。組件是系統(tǒng)的事務邏輯部分，保存著系統(tǒng)大量的業(yè)務邏輯實現(xiàn)的方法。組件的安全關系系統(tǒng)的業(yè)務邏輯乃至整個系統(tǒng)的安全性。系統(tǒng)中組件的安全主要是通過應用服務器來保護的[4]。

3.3 用戶級安全措施

由于人事考試網(wǎng)上報名系統(tǒng)要面向不同層次的使用者，因此用戶類型復雜，用戶數(shù)量也較多。如何防止合法用戶的非法權限操作，是系統(tǒng)訪問控制中需要解決的一個問題。目前使用的網(wǎng)上報名系統(tǒng)采用了RBAC技術（基于角色的訪問控制），來確保系統(tǒng)的安全性，是從用戶方面采取的安全措施。

在用戶與相應權限之間引入角色的概念，即用戶與角色相關聯(lián)，角色與權限相關聯(lián)，這樣實現(xiàn)了用戶和權限的邏輯隔離，里面主要涉及角色管理、權限管理和用戶管理。角色管理主要是根據(jù)系統(tǒng)的需求劃分不同的工作職能；權限管理是指對系統(tǒng)中的數(shù)據(jù)或者其他資源的訪問進行限制；用戶管理主要指對用戶實體的添加、刪除和修改及分配所屬的角色組。這樣的話，不同用戶分屬于不同角色，分工明確，權責清晰，訪問相應的系統(tǒng)資源，利于系統(tǒng)安全。比如，管理員擁有最高權限，可以訪問所有資源；資格審核員能查看和審核考生報考信息；照片審核人員只能查看和審核考生的照片。

3.4 網(wǎng)絡級安全措施

B/S體系結構的網(wǎng)上報名系統(tǒng)中，大量的數(shù)據(jù)是通過網(wǎng)絡傳輸?shù)摹＿@個過程容易被攻擊者竊聽、盜取或者泄露，使系統(tǒng)的安全性難以得到保證。為防止此類情況的發(fā)生，一般采用HTTPS和SSL協(xié)議實現(xiàn)安全通信。目前，我們主要采用防火墻技術來保障。

3.5 硬件設備級安全措施

對安裝有報名服務器的計算機的物理安全保護是人事考試網(wǎng)上報名系統(tǒng)安全不可缺少的重要環(huán)節(jié)。為此，要做好幾個方面的工作：一是定期清除計算機灰塵，檢查磁盤空間大小包括是否有壞道；二是配備一定容量的UPS，防止意外情況的供電中斷，并定期檢查UPS的功能；三是采取消除靜電、系統(tǒng)接地、鍵盤安全套防電磁干擾等技術措施，盡量減少對硬件的損害；四是必須對自然災害加強防護，包括防水、防火、防地震、防雷擊等方面的工作；五是采取必要的防盜措施防止報名服務器設備被盜，包括加裝防盜門和監(jiān)控視頻等[5]。

3.6 制度級安全措施

（1）建立完善安全管理機制。加強和完善人事考試網(wǎng)上報名系統(tǒng)安全管理機制，逐步形成一整套科學的操作模式，并以制度化規(guī)定予以執(zhí)行，用制度去約束各種行為，主要包括制度上墻、責任到人，對使用系統(tǒng)的相關工作人員進行安全意識教育和技術培訓。目前主要的制度為《機房、考試系統(tǒng)管理制度》《中心機房管理制度》，后期將進一步完善各項制度。

（2）制訂應急計劃。所謂的應急計劃是為應付實際的或潛在的嚴重危險事故損失而制訂的計劃。就人事考試網(wǎng)上報名系統(tǒng)而言，主要涉及數(shù)據(jù)庫資源和報名系統(tǒng)備份、備份操作計劃、快速恢復等內容。

（3）加強安全警示教育。每年組織開展人事考試工作人員警示教育活動，通過大量真實案例，讓工作人員受警醒、明底線、知敬畏，筑牢安全的防火墻[6]。

4 結束語

人事考試網(wǎng)上報名系統(tǒng)是一個技術系統(tǒng)，又是一個社會系統(tǒng)。安全規(guī)劃和策略的實施是一項復雜的工程，對任何一個組織或者部門來說，絕對安全是難以達到的。我們應遵循兩條原則：一是堅持技術策略和管理策略相結合的原則；二是系統(tǒng)安全足夠原則，即系統(tǒng)達到為其安全性所花的代價與系統(tǒng)可能遭受到的風險所造成的損失是相當?shù)模瑒t安全水平就足夠了。

[1]邵正浩. 人事考試網(wǎng)上報名系統(tǒng)的設計與實現(xiàn)[D]. 廈門：廈門大學，2015.

[2]蔡爭偉. 政府機關人事考試報名與管理系統(tǒng)的設計與實現(xiàn)[D]. 廈門：廈門大學，2013.

[3]鄭永精. 基于WEB的人事考試網(wǎng)上報名系統(tǒng)的設計與實現(xiàn)[J]. 計算機與網(wǎng)絡，2005（17）：59.

[4]管榮黎. 江蘇省公務員網(wǎng)上報名系統(tǒng)的設計與實現(xiàn)[D]. 南京：南京大學，2011.

[5]杜海波. 網(wǎng)上報名系統(tǒng)的設計與實現(xiàn)[D]. 濟南：山東大學，2009.

[6]趙穎. 事業(yè)單位招考網(wǎng)上報名管理系統(tǒng)[D]. 濟南：山東大學，2009.

Talking about How to Further Improve the Security of the Online Registration System for Personnel Examination

Zhao Liyan

Zhenjiang Personnel Examination and Examination Center, Jiangsu Zhenjiang 212000

Personnel examination is a banner of personnel system reform, an important part of human resources and social security work, and an important means for scientific evaluation of talents under the conditions of socialist market economy. Personnel examination is not only an important way for personal development, it involves the vital interests of candidates, but also provides a scientific and effective evaluation basis for talent selection, title evaluation, qualification certification, etc., which is related to the stability and fairness of the overall social situation. As the first step in the management of personnel examinations, exam registration is an important part of the whole personnel examination. The convenience of registration method affects the efficiency of registration. The security of data is related to the fate of many candidates, so a more fair, just and secure registration system is crucial.

personnel examination; online registration; security

TP311.5

A