淺談如何進一步提高人事考試網上報名系統的安全性

趙麗艷

?

淺談如何進一步提高人事考試網上報名系統的安全性

趙麗艷

鎮江市人事考試考工中心，江蘇 鎮江 212000

人事考試是人事制度改革的一面旗幟，是人力資源和社會保障工作的重要組成部分，是社會主義市場經濟條件下科學評價人才的重要手段。人事考試不僅是個人發展的一條重要途徑，涉及考生切身利益，而且為人才選拔、職稱評價、資格認證等提供了科學有效的測評依據，事關整個社會大局的穩定及公平公正。作為人事考試管理的第一個步驟，考試報名則是整個人事考試中的一個重要環節。報名方式的便捷影響著報名效率。數據的安全關系著眾多考生的命運，因此一個更加公平、公正、安全的報名系統是至關重要的。

人事考試；網上報名；安全性

1 考試報名工作現狀

人事考試傳統的報名方式是采用工現場報名，顧名思義就是將所有的報考人員和工作人員集中到一個專門的地方進行流水操作。報考人員要在短時間內完成填表、資格審核、現場交費，同時考試機構要投入大量的人力、物力和財力來完成填收表、攝像、收費、校對、掃卡、數據管理等。這種方式既浪費了時間、財力，又由于勞動強度大易引起誤差。為了解決以上這些問題，再加上網絡信息技術的發展，人事考試網上報名系統應運而生。

自2006年以來，鎮江市人事考試考工中心組織的人事考試陸續開始采取網上報名的方式，從最初的公務員考試、一級建造師、二級建造師到后來的職稱計算機、審計、統計考試。截至目前，已實現所有人事考試網上報名。

時至今日，部分人事考試的網上報名系統平臺也由最初的省統一報名平臺發展到全國統一網報平臺。截至2016年，鎮江市人事考試考工中心采用的網上報名系統平臺主要有幾下幾種：公務員和事業單位等招錄考試采用吉林科飛開發的系統；職稱輔助考試采用山東旗幟開發的系統；統計考試采用山大歐碼開發的系統；審計考試采用審計署網站系統；其他全國執業（職業）資格考試采用國家統一網報平臺。鎮江市考試考工中心自主維護的網報系統平臺主要是吉林科飛開發的系統和山東旗幟開發的系統[1]。

2 網上報名系統的優點及存在的安全威脅

2.1 網上報名系統的優點

網上報名系統與傳統的現場報名相比，優點主要集中在以下幾個方面。

（1）報考時間充裕。人事考試采用網上報名，節省了報名文件流轉時間、報考后期人工錄入校對數據的時間，可以較傳統現場報名更早開始更遲結束，同時由于節省了報考人員來回奔波和現場排隊等待時間，以及報名系統24小時不間斷運作，因此報考人員有更充裕的報名時間。

（2）操作簡單，提高效率。目前絕大部分網上報名系統采用B/S模式，只要計算機上安裝有瀏覽器且有網絡，就可以完成報名信息的采集。考試機構工作人員無須再手工錄入大量數據，傳統的錄入工作已由考生自己負責，填寫資料的準確性由考生本人核對且在規定時間內可反復修改，大大減少了人事考試管理機構工作人員的工作量。報名結束后，報考數據的統計分析也更加便捷。

（3）收費管理水平明顯改善。傳統報名現場收費結束后，還要逐項核對報考人數、報考科目和收費金額，并層層上繳國庫，工作周期長、任務重。采用網上支付方式后，所有考試費用由網上繳費系統進行分賬管理，自動結算，一目了然。報名繳費結束后，費用通過銀行系統直接繳入財政，安全可靠，效率高。

（4）責任劃分清晰。考生必須誠信報考，簽訂誠信報考協議，對自己填報內容的真實性和準確性負相應的責任，如經審核不合格由考生自己負責，不再是人事考試管理部門承擔全部責任，給雙方都提供了法律保障。

因為有諸多的優點，網上報名系統在社會上的重要性已顯而易見，然而從另一個角度而言，正因為其重要，更容易遭受不法之徒的覬覦，更容易造成極大的破壞性和危險性。隨著近幾年考試規模的擴大，部分資格證書含金量的升高，不法分子盜取報名考生信息販賣給培訓機構和考試作弊團伙，給考生造成了困擾，影響了社會穩定，也損害了考試公平、公正的形象。因此，網上報名系統的安全性問題已越來越重要[2]。

市考試考工中心組織的網上報名就出現過報考信息泄露事件，引起了考試考工中心及領導的高度重視。在2014年二級建造師考試報名期間，不法分子利用報名系統網頁漏洞，竊取了報名考生的信息，并將信息販賣給培訓機構和作弊團伙，致使考生每隔一段時間就接到培訓機構和作弊團伙的關于考試培訓包過和販賣考試答案等短信和電話，考生苦不堪言，也影響了考試公平、公正的形象。

2.2 網上報名系統存在的威脅

網上報名系統是以計算機和數據通信網絡為基礎的，因此是一個開放式的互聯網絡系統。系統除了要面向各級管理人員外，還要允許大量的報考人員操作，操作人員復雜，綜合素質也參差不齊。正是網絡的開放性和用戶的復雜性，網上報名系統必將面臨諸多的安全問題。

（1）網絡通信中的威脅。網絡的脆弱性，使得系統可能會因為黑客和病毒的入侵泄露機密信息或者崩潰。一般而言，網絡通信中容易受到兩個方面的攻擊：一是主動攻擊；二是被動攻擊。主動攻擊中，非法攻擊者通過網絡主動向系統實施干擾或將病毒注入系統中，破壞數據的真實性，甚至使系統癱瘓；被動攻擊中，攻擊者竊取線路中的信息，造成機密信息的泄露而無法察覺。應該說目前沒有攻不入的網絡。

（2）軟件的脆弱性。這里所說的軟件包括操作系統、數據庫管理系統和我們本身開發的應用程序。操作系統的安全是整個管理信息系統最基本的、也是最重要的安全保證，但它自身卻存在大量的漏洞；數據庫系統軟件中存在大量有用數據，如果沒有進行安全設計，其中的數據有可能遭受到破壞和泄露；對于應用程序來說，開發者可能會考慮不周，使其出現Bug或者漏洞，被非法攻擊者利用。應該說，軟件的脆弱性主要體現在軟件自身有漏洞，容易受到木馬和病毒的攻擊。

（3）硬件設備的安全問題，主要指硬件設備中的一些突發情況，比如掉電、電磁干擾、設備被盜、設備部件故障等[3]。

（4）人為因素破壞，主要指系統合法用戶對系統安全的破壞。一方面，由于系統具有較大的開放性，任何具有合法用戶身份的訪問都被允許，因此可能出現用戶進行非法權限的操作，破壞了系統中的信息；另一方面，如果系統管理人員的技術水平低，出現操作失誤或錯誤，甚至是泄密等，也會破壞系統的安全性。

從上面分析的潛在的安全問題可以看出，系統的安全隱患無處不在，任何一個細小的漏洞都可能造成數據的無法挽回和整個系統的崩潰，甚至是社會的動蕩不安。因此，針對以往發生的數據泄露事件，需要重新嚴格細致地考慮系統的安全防范措施，最大限度保證系統的安全可靠運行。

3 采取的安全防護措施

根據上面分析的網上報名系統潛在的安全威脅因素，為防止再次發生泄密事件，市考試考工中心著手從軟硬件、網絡、制度等方面進行了查漏補缺，并采取了相應的安全措施。

3.1 系統級安全措施

操作系統的安全是整個人事考試網上報名系統最基本上也是最重要的安全保證。如果應用服務器和數據庫服務器的操作系統安全失效，那么整個系統的所有安全性將得不到保障。因此除了要將操作系統放在NTFS分區上，還要及時下載最新系統補丁，升級操作系統，安裝正版殺毒軟件，開啟防火墻；同時關閉不必要的網絡服務，設置用戶組和用戶權限，防止非授權用戶訪問。

3.2 應用程序級安全措施

應用程序是由軟件開發人員編寫的，受軟件開發人員技術水平的限制，或多或少會留有一些漏洞。這些漏洞往往會被攻擊者利用，對系統造成很大的危害。之前出現的考生報名信息泄露事件，就是因為開發的網頁有漏洞，被不法分子有機可乘。為此我們配合軟件開發公司對整個報名系統安全隱患進行了梳理，并從以下三點進行了防范。

（1）避免SQL注入式攻擊。雖然采用賬號和密碼認證方式，能在一定程度上防止非法用戶進入系統，但攻擊者會利用應用程序中的一些漏洞，通過構造一定的嵌入式SQL語句，繞過頁面驗證非法進入系統。因此要采用數據過濾、限制輸入數據的長度、對輸入次數進行限制、在服務器端驗證等方法防范攻擊。

（2）使用Session變量。使用Session變量記錄連接時間，當一段時間該用戶沒有操作后，系統連接自動斷開，這樣可以保證登錄后忘記退出，不被別人非法操作；使用Session變量保存用戶的用戶名、密碼和權限等信息，可以控制用戶的操作范圍，也可以簡化操作，如用戶需要修改密碼時，只需要輸入新密碼就可以，系統會根據Session變量中的用戶名和原有密碼找出記錄，進行修改。

（3）保證組件的安全。組件是系統的事務邏輯部分，保存著系統大量的業務邏輯實現的方法。組件的安全關系系統的業務邏輯乃至整個系統的安全性。系統中組件的安全主要是通過應用服務器來保護的[4]。

3.3 用戶級安全措施

由于人事考試網上報名系統要面向不同層次的使用者，因此用戶類型復雜，用戶數量也較多。如何防止合法用戶的非法權限操作，是系統訪問控制中需要解決的一個問題。目前使用的網上報名系統采用了RBAC技術（基于角色的訪問控制），來確保系統的安全性，是從用戶方面采取的安全措施。

在用戶與相應權限之間引入角色的概念，即用戶與角色相關聯，角色與權限相關聯，這樣實現了用戶和權限的邏輯隔離，里面主要涉及角色管理、權限管理和用戶管理。角色管理主要是根據系統的需求劃分不同的工作職能；權限管理是指對系統中的數據或者其他資源的訪問進行限制；用戶管理主要指對用戶實體的添加、刪除和修改及分配所屬的角色組。這樣的話，不同用戶分屬于不同角色，分工明確，權責清晰，訪問相應的系統資源，利于系統安全。比如，管理員擁有最高權限，可以訪問所有資源；資格審核員能查看和審核考生報考信息；照片審核人員只能查看和審核考生的照片。

3.4 網絡級安全措施

B/S體系結構的網上報名系統中，大量的數據是通過網絡傳輸的。這個過程容易被攻擊者竊聽、盜取或者泄露，使系統的安全性難以得到保證。為防止此類情況的發生，一般采用HTTPS和SSL協議實現安全通信。目前，我們主要采用防火墻技術來保障。

3.5 硬件設備級安全措施

對安裝有報名服務器的計算機的物理安全保護是人事考試網上報名系統安全不可缺少的重要環節。為此，要做好幾個方面的工作：一是定期清除計算機灰塵，檢查磁盤空間大小包括是否有壞道；二是配備一定容量的UPS，防止意外情況的供電中斷，并定期檢查UPS的功能；三是采取消除靜電、系統接地、鍵盤安全套防電磁干擾等技術措施，盡量減少對硬件的損害；四是必須對自然災害加強防護，包括防水、防火、防地震、防雷擊等方面的工作；五是采取必要的防盜措施防止報名服務器設備被盜，包括加裝防盜門和監控視頻等[5]。

3.6 制度級安全措施

（1）建立完善安全管理機制。加強和完善人事考試網上報名系統安全管理機制，逐步形成一整套科學的操作模式，并以制度化規定予以執行，用制度去約束各種行為，主要包括制度上墻、責任到人，對使用系統的相關工作人員進行安全意識教育和技術培訓。目前主要的制度為《機房、考試系統管理制度》《中心機房管理制度》，后期將進一步完善各項制度。

（2）制訂應急計劃。所謂的應急計劃是為應付實際的或潛在的嚴重危險事故損失而制訂的計劃。就人事考試網上報名系統而言，主要涉及數據庫資源和報名系統備份、備份操作計劃、快速恢復等內容。

（3）加強安全警示教育。每年組織開展人事考試工作人員警示教育活動，通過大量真實案例，讓工作人員受警醒、明底線、知敬畏，筑牢安全的防火墻[6]。

4 結束語

人事考試網上報名系統是一個技術系統，又是一個社會系統。安全規劃和策略的實施是一項復雜的工程，對任何一個組織或者部門來說，絕對安全是難以達到的。我們應遵循兩條原則：一是堅持技術策略和管理策略相結合的原則；二是系統安全足夠原則，即系統達到為其安全性所花的代價與系統可能遭受到的風險所造成的損失是相當的，則安全水平就足夠了。

[1]邵正浩. 人事考試網上報名系統的設計與實現[D]. 廈門：廈門大學，2015.

[2]蔡爭偉. 政府機關人事考試報名與管理系統的設計與實現[D]. 廈門：廈門大學，2013.

[3]鄭永精. 基于WEB的人事考試網上報名系統的設計與實現[J]. 計算機與網絡，2005（17）：59.

[4]管榮黎. 江蘇省公務員網上報名系統的設計與實現[D]. 南京：南京大學，2011.

[5]杜海波. 網上報名系統的設計與實現[D]. 濟南：山東大學，2009.

[6]趙穎. 事業單位招考網上報名管理系統[D]. 濟南：山東大學，2009.

Talking about How to Further Improve the Security of the Online Registration System for Personnel Examination

Zhao Liyan

Zhenjiang Personnel Examination and Examination Center, Jiangsu Zhenjiang 212000

Personnel examination is a banner of personnel system reform, an important part of human resources and social security work, and an important means for scientific evaluation of talents under the conditions of socialist market economy. Personnel examination is not only an important way for personal development, it involves the vital interests of candidates, but also provides a scientific and effective evaluation basis for talent selection, title evaluation, qualification certification, etc., which is related to the stability and fairness of the overall social situation. As the first step in the management of personnel examinations, exam registration is an important part of the whole personnel examination. The convenience of registration method affects the efficiency of registration. The security of data is related to the fate of many candidates, so a more fair, just and secure registration system is crucial.

personnel examination; online registration; security

TP311.5

A