浅谈如何进一步提高人事考试网上报名系统的安全性

赵丽艳



浅谈如何进一步提高人事考试网上报名系统的安全性

赵丽艳

镇江市人事考试考工中心，江苏 镇江 212000

人事考试是人事制度改革的一面旗帜，是人力资源和社会保障工作的重要组成部分，是社会主义市场经济条件下科学评价人才的重要手段。人事考试不仅是个人发展的一条重要途径，涉及考生切身利益，而且为人才选拔、职称评价、资格认证等提供了科学有效的测评依据，事关整个社会大局的稳定及公平公正。作为人事考试管理的第一个步骤，考试报名则是整个人事考试中的一个重要环节。报名方式的便捷影响着报名效率。数据的安全关系着众多考生的命运，因此一个更加公平、公正、安全的报名系统是至关重要的。

人事考试；网上报名；安全性

1 考试报名工作现状

人事考试传统的报名方式是采用工现场报名，顾名思义就是将所有的报考人员和工作人员集中到一个专门的地方进行流水操作。报考人员要在短时间内完成填表、资格审核、现场交费，同时考试机构要投入大量的人力、物力和财力来完成填收表、摄像、收费、校对、扫卡、数据管理等。这种方式既浪费了时间、财力，又由于劳动强度大易引起误差。为了解决以上这些问题，再加上网络信息技术的发展，人事考试网上报名系统应运而生。

自2006年以来，镇江市人事考试考工中心组织的人事考试陆续开始采取网上报名的方式，从最初的公务员考试、一级建造师、二级建造师到后来的职称计算机、审计、统计考试。截至目前，已实现所有人事考试网上报名。

时至今日，部分人事考试的网上报名系统平台也由最初的省统一报名平台发展到全国统一网报平台。截至2016年，镇江市人事考试考工中心采用的网上报名系统平台主要有几下几种：公务员和事业单位等招录考试采用吉林科飞开发的系统；职称辅助考试采用山东旗帜开发的系统；统计考试采用山大欧码开发的系统；审计考试采用审计署网站系统；其他全国执业（职业）资格考试采用国家统一网报平台。镇江市考试考工中心自主维护的网报系统平台主要是吉林科飞开发的系统和山东旗帜开发的系统[1]。

2 网上报名系统的优点及存在的安全威胁

2.1 网上报名系统的优点

网上报名系统与传统的现场报名相比，优点主要集中在以下几个方面。

（1）报考时间充裕。人事考试采用网上报名，节省了报名文件流转时间、报考后期人工录入校对数据的时间，可以较传统现场报名更早开始更迟结束，同时由于节省了报考人员来回奔波和现场排队等待时间，以及报名系统24小时不间断运作，因此报考人员有更充裕的报名时间。

（2）操作简单，提高效率。目前绝大部分网上报名系统采用B/S模式，只要计算机上安装有浏览器且有网络，就可以完成报名信息的采集。考试机构工作人员无须再手工录入大量数据，传统的录入工作已由考生自己负责，填写资料的准确性由考生本人核对且在规定时间内可反复修改，大大减少了人事考试管理机构工作人员的工作量。报名结束后，报考数据的统计分析也更加便捷。

（3）收费管理水平明显改善。传统报名现场收费结束后，还要逐项核对报考人数、报考科目和收费金额，并层层上缴国库，工作周期长、任务重。采用网上支付方式后，所有考试费用由网上缴费系统进行分账管理，自动结算，一目了然。报名缴费结束后，费用通过银行系统直接缴入财政，安全可靠，效率高。

（4）责任划分清晰。考生必须诚信报考，签订诚信报考协议，对自己填报内容的真实性和准确性负相应的责任，如经审核不合格由考生自己负责，不再是人事考试管理部门承担全部责任，给双方都提供了法律保障。

因为有诸多的优点，网上报名系统在社会上的重要性已显而易见，然而从另一个角度而言，正因为其重要，更容易遭受不法之徒的觊觎，更容易造成极大的破坏性和危险性。随着近几年考试规模的扩大，部分资格证书含金量的升高，不法分子盗取报名考生信息贩卖给培训机构和考试作弊团伙，给考生造成了困扰，影响了社会稳定，也损害了考试公平、公正的形象。因此，网上报名系统的安全性问题已越来越重要[2]。

市考试考工中心组织的网上报名就出现过报考信息泄露事件，引起了考试考工中心及领导的高度重视。在2014年二级建造师考试报名期间，不法分子利用报名系统网页漏洞，窃取了报名考生的信息，并将信息贩卖给培训机构和作弊团伙，致使考生每隔一段时间就接到培训机构和作弊团伙的关于考试培训包过和贩卖考试答案等短信和电话，考生苦不堪言，也影响了考试公平、公正的形象。

2.2 网上报名系统存在的威胁

网上报名系统是以计算机和数据通信网络为基础的，因此是一个开放式的互联网络系统。系统除了要面向各级管理人员外，还要允许大量的报考人员操作，操作人员复杂，综合素质也参差不齐。正是网络的开放性和用户的复杂性，网上报名系统必将面临诸多的安全问题。

（1）网络通信中的威胁。网络的脆弱性，使得系统可能会因为黑客和病毒的入侵泄露机密信息或者崩溃。一般而言，网络通信中容易受到两个方面的攻击：一是主动攻击；二是被动攻击。主动攻击中，非法攻击者通过网络主动向系统实施干扰或将病毒注入系统中，破坏数据的真实性，甚至使系统瘫痪；被动攻击中，攻击者窃取线路中的信息，造成机密信息的泄露而无法察觉。应该说目前没有攻不入的网络。

（2）软件的脆弱性。这里所说的软件包括操作系统、数据库管理系统和我们本身开发的应用程序。操作系统的安全是整个管理信息系统最基本的、也是最重要的安全保证，但它自身却存在大量的漏洞；数据库系统软件中存在大量有用数据，如果没有进行安全设计，其中的数据有可能遭受到破坏和泄露；对于应用程序来说，开发者可能会考虑不周，使其出现Bug或者漏洞，被非法攻击者利用。应该说，软件的脆弱性主要体现在软件自身有漏洞，容易受到木马和病毒的攻击。

（3）硬件设备的安全问题，主要指硬件设备中的一些突发情况，比如掉电、电磁干扰、设备被盗、设备部件故障等[3]。

（4）人为因素破坏，主要指系统合法用户对系统安全的破坏。一方面，由于系统具有较大的开放性，任何具有合法用户身份的访问都被允许，因此可能出现用户进行非法权限的操作，破坏了系统中的信息；另一方面，如果系统管理人员的技术水平低，出现操作失误或错误，甚至是泄密等，也会破坏系统的安全性。

从上面分析的潜在的安全问题可以看出，系统的安全隐患无处不在，任何一个细小的漏洞都可能造成数据的无法挽回和整个系统的崩溃，甚至是社会的动荡不安。因此，针对以往发生的数据泄露事件，需要重新严格细致地考虑系统的安全防范措施，最大限度保证系统的安全可靠运行。

3 采取的安全防护措施

根据上面分析的网上报名系统潜在的安全威胁因素，为防止再次发生泄密事件，市考试考工中心着手从软硬件、网络、制度等方面进行了查漏补缺，并采取了相应的安全措施。

3.1 系统级安全措施

操作系统的安全是整个人事考试网上报名系统最基本上也是最重要的安全保证。如果应用服务器和数据库服务器的操作系统安全失效，那么整个系统的所有安全性将得不到保障。因此除了要将操作系统放在NTFS分区上，还要及时下载最新系统补丁，升级操作系统，安装正版杀毒软件，开启防火墙；同时关闭不必要的网络服务，设置用户组和用户权限，防止非授权用户访问。

3.2 应用程序级安全措施

应用程序是由软件开发人员编写的，受软件开发人员技术水平的限制，或多或少会留有一些漏洞。这些漏洞往往会被攻击者利用，对系统造成很大的危害。之前出现的考生报名信息泄露事件，就是因为开发的网页有漏洞，被不法分子有机可乘。为此我们配合软件开发公司对整个报名系统安全隐患进行了梳理，并从以下三点进行了防范。

（1）避免SQL注入式攻击。虽然采用账号和密码认证方式，能在一定程度上防止非法用户进入系统，但攻击者会利用应用程序中的一些漏洞，通过构造一定的嵌入式SQL语句，绕过页面验证非法进入系统。因此要采用数据过滤、限制输入数据的长度、对输入次数进行限制、在服务器端验证等方法防范攻击。

（2）使用Session变量。使用Session变量记录连接时间，当一段时间该用户没有操作后，系统连接自动断开，这样可以保证登录后忘记退出，不被别人非法操作；使用Session变量保存用户的用户名、密码和权限等信息，可以控制用户的操作范围，也可以简化操作，如用户需要修改密码时，只需要输入新密码就可以，系统会根据Session变量中的用户名和原有密码找出记录，进行修改。

（3）保证组件的安全。组件是系统的事务逻辑部分，保存着系统大量的业务逻辑实现的方法。组件的安全关系系统的业务逻辑乃至整个系统的安全性。系统中组件的安全主要是通过应用服务器来保护的[4]。

3.3 用户级安全措施

由于人事考试网上报名系统要面向不同层次的使用者，因此用户类型复杂，用户数量也较多。如何防止合法用户的非法权限操作，是系统访问控制中需要解决的一个问题。目前使用的网上报名系统采用了RBAC技术（基于角色的访问控制），来确保系统的安全性，是从用户方面采取的安全措施。

在用户与相应权限之间引入角色的概念，即用户与角色相关联，角色与权限相关联，这样实现了用户和权限的逻辑隔离，里面主要涉及角色管理、权限管理和用户管理。角色管理主要是根据系统的需求划分不同的工作职能；权限管理是指对系统中的数据或者其他资源的访问进行限制；用户管理主要指对用户实体的添加、删除和修改及分配所属的角色组。这样的话，不同用户分属于不同角色，分工明确，权责清晰，访问相应的系统资源，利于系统安全。比如，管理员拥有最高权限，可以访问所有资源；资格审核员能查看和审核考生报考信息；照片审核人员只能查看和审核考生的照片。

3.4 网络级安全措施

B/S体系结构的网上报名系统中，大量的数据是通过网络传输的。这个过程容易被攻击者窃听、盗取或者泄露，使系统的安全性难以得到保证。为防止此类情况的发生，一般采用HTTPS和SSL协议实现安全通信。目前，我们主要采用防火墙技术来保障。

3.5 硬件设备级安全措施

对安装有报名服务器的计算机的物理安全保护是人事考试网上报名系统安全不可缺少的重要环节。为此，要做好几个方面的工作：一是定期清除计算机灰尘，检查磁盘空间大小包括是否有坏道；二是配备一定容量的UPS，防止意外情况的供电中断，并定期检查UPS的功能；三是采取消除静电、系统接地、键盘安全套防电磁干扰等技术措施，尽量减少对硬件的损害；四是必须对自然灾害加强防护，包括防水、防火、防地震、防雷击等方面的工作；五是采取必要的防盗措施防止报名服务器设备被盗，包括加装防盗门和监控视频等[5]。

3.6 制度级安全措施

（1）建立完善安全管理机制。加强和完善人事考试网上报名系统安全管理机制，逐步形成一整套科学的操作模式，并以制度化规定予以执行，用制度去约束各种行为，主要包括制度上墙、责任到人，对使用系统的相关工作人员进行安全意识教育和技术培训。目前主要的制度为《机房、考试系统管理制度》《中心机房管理制度》，后期将进一步完善各项制度。

（2）制订应急计划。所谓的应急计划是为应付实际的或潜在的严重危险事故损失而制订的计划。就人事考试网上报名系统而言，主要涉及数据库资源和报名系统备份、备份操作计划、快速恢复等内容。

（3）加强安全警示教育。每年组织开展人事考试工作人员警示教育活动，通过大量真实案例，让工作人员受警醒、明底线、知敬畏，筑牢安全的防火墙[6]。

4 结束语

人事考试网上报名系统是一个技术系统，又是一个社会系统。安全规划和策略的实施是一项复杂的工程，对任何一个组织或者部门来说，绝对安全是难以达到的。我们应遵循两条原则：一是坚持技术策略和管理策略相结合的原则；二是系统安全足够原则，即系统达到为其安全性所花的代价与系统可能遭受到的风险所造成的损失是相当的，则安全水平就足够了。

[1]邵正浩. 人事考试网上报名系统的设计与实现[D]. 厦门：厦门大学，2015.

[2]蔡争伟. 政府机关人事考试报名与管理系统的设计与实现[D]. 厦门：厦门大学，2013.

[3]郑永精. 基于WEB的人事考试网上报名系统的设计与实现[J]. 计算机与网络，2005（17）：59.

[4]管荣黎. 江苏省公务员网上报名系统的设计与实现[D]. 南京：南京大学，2011.

[5]杜海波. 网上报名系统的设计与实现[D]. 济南：山东大学，2009.

[6]赵颖. 事业单位招考网上报名管理系统[D]. 济南：山东大学，2009.

Talking about How to Further Improve the Security of the Online Registration System for Personnel Examination

Zhao Liyan

Zhenjiang Personnel Examination and Examination Center, Jiangsu Zhenjiang 212000

Personnel examination is a banner of personnel system reform, an important part of human resources and social security work, and an important means for scientific evaluation of talents under the conditions of socialist market economy. Personnel examination is not only an important way for personal development, it involves the vital interests of candidates, but also provides a scientific and effective evaluation basis for talent selection, title evaluation, qualification certification, etc., which is related to the stability and fairness of the overall social situation. As the first step in the management of personnel examinations, exam registration is an important part of the whole personnel examination. The convenience of registration method affects the efficiency of registration. The security of data is related to the fate of many candidates, so a more fair, just and secure registration system is crucial.

personnel examination; online registration; security

TP311.5

A