基層考試中心教育考試信息安全管理的實踐探索

崔靜嫻

（海安市教育體育局，江蘇 南通 226600）

0 引言

隨著我國教育考試信息化改革的不斷深入,各地區基層考試中心已將信息技術、網格技術應用到了考試服務的每一個環節,在感受到其優化的同時,對考試信息數據安全問題表示擔憂,一旦教育考試相關信息出現篡改、破壞以及泄漏等一系列安全問題,則會對考試工作帶來嚴重影響。 因此,基層考試中心的考試信息安全管理是現今基層考試中心改革發展的重點問題［1-3］。

1 基層考試中心考試信息安全的影響因素

1.1 客觀環境因素

1.1.1 設備因素

設備因素主要指硬件設備故障可能造成的信息安全隱患,其中包含雷擊、潮濕、著火等意外因素導致的設備損毀、失竊以及老化等,均可能會導致考試收集到的數據信息出現丟失、損壞等問題。

1.1.2 網絡環境

辦公電腦通過互聯網渠道,可能受到如病毒、后門程序等各種各樣的網絡攻擊。 這些網絡攻擊手段會對考試中心所采集的所有數據予以破壞或竊取,給網絡信息帶來巨大安全隱患。

1.1.3 數據環境

考試中心內部需要存儲大量的考生信息、考題信息以及成績信息。 這類信息通常具有保密性和隱私性。 如何安全地存儲和調用這類保密信息,是考試中心日常管理工作的關鍵。 為了保證考試個人信息、考試成績等的調用方便,通常要采用可恢復類型的數據脫敏技術,對考生信息、試題信息和成績信息進行數據變形,通過加解密算法,將隱私保密數據經過加密處理以后,再存入對應的數據庫中,同時考生信息、考試信息和成績數據要進行分庫存儲。

1.2 主觀人為因素

1.2.1 管理制度落實

管理制度的落實主要指在日常工作流程及管理制度上可能存在的一些漏洞。 例如,考試中心日常運營管理制度中出現責任不明確、制度不完善、操作性較差等問題,均會造成一系列的信息安全隱患。 根據有關調查顯示,現如今在針對考試中心的所有網絡攻擊事件中,約有70%是以考試中心內部網絡安全漏洞為突破口。 再比如,辦公電腦系統的訪問權限管理缺乏相對應的制度規范,工作人員在設置電腦密碼以及數據方案權限時較為隨意,數據安全意識較差［4］。

1.2.2 操作流程規范

操作流程包括考試中心考務服務項目的具體流程制定以及操作規范。 如果考試中心對考務服務的執行流程以及操作規范不夠明確,則很有可能出現日常管理的空白地帶,造成考試突發事件應急處理滯后、考場舞弊、試題外泄等嚴重管理問題。 如果考試中心制定了詳細的考務操作流程,向考務人員發放具體的考務操作手冊,考務人員按章辦事,將會極大地降低考試突發事件的風險。

1.2.3 風險管控效果

風險管控是考試中心必備的日常管理內容。 考試中心管理人員如果具有風險管控意識,對數據安全、網絡安全、考務服務安全進行風險評估和針對性管控,能夠極大地提高考試中心日常管理效率,同時能保障數據準確安全、降低數據外泄、減少網絡攻擊等一系列運營問題。

2 網絡安全建設

2.1 防火墻防范安全隱患

防火墻是軟硬件一體的網絡安全專用設備,它的主要作用是對IP 地址進行識別和轉換,將電腦的內部局域網IP 地址轉換成為互聯網當中的合法IP 地址,并且對轉換后的IP 地址進行隱藏、加密,同時隔絕一些有風險的IP 地址的訪問、鏈接請求,使互聯網和局域網里面的一系列網絡安全風險降至最低,進而使辦公網絡的安全性得到保障。 另外,防火墻程序能夠對電腦收到的各類訪問請求進行甄別,有效阻擊存在安全隱患的訪問請求,同時甄別來自其他IP 地址的數據信息的安全性,及時識別并隔離存在病毒、后門程序等網絡攻擊手段的程序數據。 基層考試中心可以利用防火墻在網絡安全防護方面的優勢,根據教育考試信息的特殊性,對防火墻的防護規則進行針對性設置,提高整個辦公系統的網絡安全等級。

2.2 劃分內部網絡安全區域

基層考試中心的辦公區域主要分為辦公區域和數據核心區域,后者一般情況下是辦公電腦所構建的網絡,通過防火墻和三層交換機與辦公電腦進行數據交互。 可以充分利用這一特性,在辦公電腦與數據核心區域的數據交互方面設置明確的數據交互權限,利用防火墻技術,規避掉權限不符的電腦對數據庫的違規操作。 另外,可以利用數控庫管理軟件將數據核心區域分為多個網段,每一個網段為一個虛擬局域網,實現每個網段的數據隔離,然后根據每個網段信息數據的特征,設置訪問控制規則,建立數據安全體系,既能保證日常工作中符合規則的正常數據交互,又能極大地降低人為因素導致的數據安全問題。

2.3 防病毒技術應用

隨著計算機技術的不斷發展,網絡病毒的類型和破壞程度也在動態變化中,目前網絡病毒的傳播途徑更加多樣化、傳播效率更高,應針對電腦桌面、網關以及服務器添加專門的殺毒軟件進行針對性病毒防護。依據需要病毒防護的軟件系統,測試殺毒軟件的病毒防護性能,并且在網絡里設置殺毒軟件的控制臺,有效地甄別并滅殺來自互聯網、USB 入口、內部局域網等渠道的電腦病毒,凈化基層考試中心的網絡環境。

3 考試信息安全

3.1 信息采集檢驗

首先應依據《個人信息保護條例》等法律法規制定一套完善的信息采集檢驗標準,信息采集當中的任何一個環節一定要嚴格落實信息校驗制度,同時要注意初審及復核環節,所有信息在組合過程當中必須要對相關數據信息進行反復校驗,保證考試信息數據的完全準確。 另外,校驗過程中發現采取信息數據期間的錯誤報告、工作操作失誤、漏報等問題要及時予以糾正,并保留糾正記錄。

3.2 數據備份歸檔

考試信息備份工作是教育考試信息安全管理至關重要的一個環節,也是應對一系列信息安全風險的有效措施。 備份工作計劃流程要依據相關數據類型、硬件平臺特點針對性地制定。 根據工作類型,考試中心的數據備份工作可以分為實時、異地以及歸檔三類。(1）實時備份:將整個系統的設備狀態和數據予以備份,包含操作系統以及數據庫。 其特征主要是保證整個系統數據的完整性,一旦出現意外情況,需要從備份當中予以恢復。 通常備份在服務器磁盤當中,條件允許的情況下使用聯機備份；(2）異地備份:將相關數據保存在中心機房以外的地方,例如,上級中心或者當地教育局的服務器。 由于異地服務器的存儲空間限制,以及在傳輸過程中必須要充分考慮到的效率問題,這一類型的備份數據屬于較為重要的信息；(3）歸檔備份:基層考試中心的工作具有非常強的階段性以及年度性,在每個考試工作結束的時候,均需要對采集到的相關數據信息以及資料歸檔整理,同時予以備份。 考試成績能夠切實體現一所學校的教學情況,對教育部門、學校等進行相關教育評估服務,這一類型的備份通常采取刻錄光盤的方式,具有存儲便捷、成本低以及安全性相對較高等優勢［5-6］。

4 信息管理安全

針對基層考試中心人為因素造成的信息安全問題,主要有以下三個方面的優化建議:第一,信息系統需要最為先進的計算機系統以及辦公軟件運行考務工作,同時對系統操作人員進行相應的系統軟件操作技能培訓；第二,需要構建完善的辦公系統用戶權限管理體系,根據工作職能對用戶角色進行有效區分,每一個用戶均具有自己的系統訪問權限,保證整個辦公系統信息的完整性以及安全性；第三,開展師德師風培訓和保密教育,同時提高工作人員對信息安全、網絡數據泄密原理以及保密技術的認識。

5 結語

當前我國基層考試中心的信息安全管理水平顯著提升,能夠順利完成各類考試服務任務,沒有發生過惡性信息泄露事件。 切實落實日常管理工作中的信息安全責任意識,積極優化教育考試信息安全規章制度,在基層考試中心信息化建設的關鍵時期,做好教育考試信息的安全管理工作。