人事考試信息系統網絡安全建設分析

導語：人事考試信息系統網絡安全建設分析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:人事考試信息化的不斷提高，信息系統的廣泛應用，對信息系統的網絡安全提出了更高的要求。本文針對內蒙古自治區特別是包頭市人事考試信息系統網絡安全進行分析，對人事考試中心信息系統網絡安全建設提出一些建議。

關鍵詞:人事考試;信息系統;網絡;安全

在國家大力提倡互聯網+的大環境下，信息系統已被廣泛使用到各個領域，但隨之而來的網絡安全問題也越來越被人們所重視，如何防止非授權用戶使用信息和資源，如何保障網絡中信息數據的完整性、可用性和保密性，確保網絡上信息系統的安全，是每個領域都需要認真考慮和對待的問題。近年來，隨著人事考試信息化的逐步深入，人事考試信息系統網絡安全的風險也隨之增大，不法分子利用安全漏洞，非法獲得人事考試信息資源。如何更好地防范網絡安全風險，合理地構建網絡安全解決方案，對于確保人事考試的公平、公正、公開，保證考試安全、科學、規范的順利開展有著重要的現實意義。

1人事考試信息系統

1．1定義。狹義的人事考試信息系統，是指人事考試中心依托網絡平臺構建的對考試報名數據、考試相關信息、考試政策法規等內容整合的平臺，以網站的形式提供考生訪問，方便考生網上報名，管理考試相關信息數據的信息系統。如中國人事考試網、包頭市人事考試信息網等。廣義的人事考試信息系統，是指與人事考試工作相關的各種信息系統的總和。如通用人事考試管理信息系統GPTMIS、人事考試管理信息系統PTMIS、網上報名系統、門戶網站管理系統等。1．2重要性。人事考試信息系統是支撐人事考務工作的重要平臺，對于管理考試信息，處理考試相關數據起著決定性的作用。①方便考生及時掌握考試報名信息。②考生通過信息系統及時地進行網上報名和繳費。③管理考生報名信息，掌握考試報名動態。④節省人力物力，無紙化，方便考試工作順利進行。1．3風險性人事考試信息系統管理和使用存在著一定的風險性，人事考試部門需加強安全防范意識。管理風險主要是指考生信息丟失、出錯、泄露等風險。網上報名過程中，非法人員通過攻擊獲取考生信息，從事非法活動等。使用風險主要是指考試管理機構內部人員在考試信息操作過程中，因自我主觀意識放松、業務技術能力不足以及缺乏有效的外部管理制約機制等原因，造成的考生信息泄露、丟失等。

2人事考試信息系統網絡安全

2．1威脅因素。(1)非授權訪問。非法用戶在沒有經過授權或同意的情況下，使用網絡或計算機資源。如查看考生網上報名信息，獲取考生信息牟利。(2)信息泄漏或丟失?？荚嚸舾袛祿谑褂眠^程中有意或無意地被泄露或被遺失。(3)破壞數據完整性。不法分子非法竊得對網站數據庫的操作使用權，對考試相關數據進行操作，甚至惡意添加、修改、刪除數據，以干擾考生正常使用。取得網站的權限，篡改或重發考試重要信息，對考試造成惡劣影響。(4)植入病毒、木馬。通過植入病毒的方式，惡意破壞人事考試信息系統，導致系統癱瘓無法使用，或通過植入木馬盜取或篡改相關考試信息。2．2防范措施。(1)技術手段。利用各種網絡安全技術手段，防范計算機病毒和網絡入侵攻擊等危害網絡安全的行為。如殺毒軟件、防火墻技術、網絡安全認證技術、入侵檢測技術、網絡監測日志管理技術、數據加密技術等。(2)管理制度。制定各項網絡安全制度和使用守則，從制度上保障人事考試信息系統的網絡安全。(3)安全意識。加強信息系統管理人員的安全意識，定期開展警示教育和網絡系統安全培訓，警鐘長鳴，減少“內患”事件發生。如系統設置復雜密碼，并定期更換;專機專人使用，并杜絕外部載體如U盤的使用。

3自治區各人事考試中心人事考試信息系統網絡安全概述

3．1基本概況。內蒙古自治區人事考試中心以及12個盟市的考試中心，在自治區人事考試中心的統一領導下，使用外包托管方式進行人事考試信息系統的管理。信息系統結構采用全區集中的模式，整個信息系統部署在阿里云平臺上，并由阿里云提供網絡安全保障，各盟市人事考試中心通過授權方式，直接訪問阿里云服務進行相關操作。在系統使用和維護中，外包公司負責技術支持、網絡服務器運維及系統升級維護等相關服務。各中心工作人員負責考試設置、內容更新和信息等工作。各盟市人事考試中心信息網在各盟市人力資源和社會保障局官網上都有鏈接入口，方便考生及時了解人事考試相關信息和進行相關考試報名?？忌部赏ㄟ^內蒙古人事考試信息網的友情鏈接對全區各盟市的考試信息網進行訪問。3．2存在問題和建議。(1)黑盒式的管理運行方式，存在潛在風險?？荚囍行氖褂孟嗤墓芾砥脚_和托管方式，在現有的人力、技術和資源的情況下是合理選擇，但對于網絡平臺的構建、阿里云托管方式和相關技術知識的不確定性，會給各中心帶來潛在風險。系統出現故障，考試中心工作人員往往束手無措，只能等待托管公司進行處理。所以必須嚴格落實合同，細化責權，確保服務到位，各考試中心需指定專人進行聯系和監督，確保系統安全穩定。(2)信息系統網絡安全風險防控培訓交流機制薄弱。隨著人事考試信息系統的廣泛深入使用，不法分子利用網絡和技術漏洞竊取信息的方式和手段層出不窮，給人事考試中心的信息技術工作帶來挑戰。工作人員需要進行風險防控培訓交流學習，取長補短，確保平臺正常運行，考試工作順利進行。自治區應定期開展信息系統網絡安全培訓，及時更新系統管理人員知識結構，提高管理人員安全操作和安全防范意識。(3)網絡安全防范制度建設需進一步加強完善。雖然各盟市考試中心信息系統管理和安全管理都有自己的制度和規定，但是制度的制訂、執行和落實情況參差不齊，不利于網絡信息安全防范。所以制定統一的安全防范規定和安全操作手冊可以更好地統一安全防范意識，更加規范地進行系統操作和安全管理，保障信息系統的安全穩定。

4包頭市人事考務中心人事考試信息系統網絡安全建設

4．1現狀。包頭市人事考務中心使用自治區考試信息系統服務統一平臺。使用過程中，平臺運行順暢，考試報名工作順利。在網絡安全方面，平臺基本保障了信息系統的安全性和完整性。包頭市人事考務中心對信息化建設和信息系統安全十分重視，及時完成各信息系統的部署、升級和更新，并積極配合做好調試測試工作，為系統的正常運行提出意見和建議。在考試報名和平時的信息系統使用中，中心嚴格按照規范操作，網絡信息系統專人負責，考試系統嚴格杜絕互聯網連接，數據交換使用VPN，在與自治區數據信息傳遞時，使用專用管理平臺。中心通過制定相關政策，加強人員安全防范意識，盡量保證考試信息系統的安全使用。4．2存在的問題和建議。(1)信息系統工作存在潛在安全風險。上網和外部設備的使用，可能造成計算機感染病毒或被植入木馬。為盡可能減少安全風險，建議操作網上報名系統的計算機專機專用，并將機器的mac地址和登錄IP綁定服務器，避免外部非授權機器的操作和使用。(2)信息系統登錄安全性策略需進一步提高。系統管理員雖使用復雜登錄名和密碼，并定期更換，但網絡安全風險始終存在，有被撞庫盜用用戶名密碼的風險。建議加強登錄安全策略，增加手機或Ukey動態驗證碼策略。(3)考試數據備份策略和災難防控機制需更加健全。雖然阿里云服務提供了相應的備份策略，但考試數據的完整性和安全性至關重要。中心應建立健全數據備份機制，備份和加密相關數據，做好數據災難防控。4．3信息系統網絡安全建設。(1)確保上下統一系統兼容，保證系統穩定性和安全性。市級人事考試中心信息系統建設要與國家、自治區步調一致，及時完成系統建設配置更新，并向上匯總使用中的問題和建議，完善網絡安全防護措施。(2)加強安全制度建設，提高安全意識，避免內部風險。結合國家和自治區制度管理規范，根據本中心實際，制定更加細致的安全管理規定。用制度約束，強化痕跡管理，堅持“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，做到權限明確，責任到人，監管到位。定期開展網絡安全檢查，防堵漏洞，確保安全。(3)強化溝通機制，將外包公司和當地網監納入安全防范體系。與外包公司建立有效溝通機制，確保7*24小時服務，保障系統安全運行。建立與公安網監部門的長效合作機制，考試報名期間，對網站、服務器等進行監管，最大程度保障考試信息系統安全。(4)建立健全信息系統網絡安全教育培訓機制。專業技術人員的業務水平和操作技能直接關系到系統的安全，定期學習培訓，提高專業技能和知識水平，深化網絡安全意識，才能更好地保證考試信息系統安全，保障考試順利進行。

參考文獻:

［1］人力資源和社會保障部．人力資源社會保障部關于印發“互聯網+人社”2020行動計劃的通知［Z］．2016-11-01．

［2］何志成．加強信息網絡技術的管理是當前保密工作的新課題［J］．國家安全通訊，2001(07)．

［3］李昭．國家信息安全戰略的思考［J］．中國人民公安大學學報(自然科學版)，2004(03)．

作者:姚震 單位:包頭市人事考務中心