人事考試信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)分析

時間:2022-08-18 03:07:41

導(dǎo)語:人事考試信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)分析一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

人事考試信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)分析

摘要:人事考試信息化的不斷提高,信息系統(tǒng)的廣泛應(yīng)用,對信息系統(tǒng)的網(wǎng)絡(luò)安全提出了更高的要求。本文針對內(nèi)蒙古自治區(qū)特別是包頭市人事考試信息系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行分析,對人事考試中心信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)提出一些建議。

關(guān)鍵詞:人事考試;信息系統(tǒng);網(wǎng)絡(luò);安全

在國家大力提倡互聯(lián)網(wǎng)+的大環(huán)境下,信息系統(tǒng)已被廣泛使用到各個領(lǐng)域,但隨之而來的網(wǎng)絡(luò)安全問題也越來越被人們所重視,如何防止非授權(quán)用戶使用信息和資源,如何保障網(wǎng)絡(luò)中信息數(shù)據(jù)的完整性、可用性和保密性,確保網(wǎng)絡(luò)上信息系統(tǒng)的安全,是每個領(lǐng)域都需要認(rèn)真考慮和對待的問題。近年來,隨著人事考試信息化的逐步深入,人事考試信息系統(tǒng)網(wǎng)絡(luò)安全的風(fēng)險也隨之增大,不法分子利用安全漏洞,非法獲得人事考試信息資源。如何更好地防范網(wǎng)絡(luò)安全風(fēng)險,合理地構(gòu)建網(wǎng)絡(luò)安全解決方案,對于確保人事考試的公平、公正、公開,保證考試安全、科學(xué)、規(guī)范的順利開展有著重要的現(xiàn)實(shí)意義。

1人事考試信息系統(tǒng)

1.1定義。狹義的人事考試信息系統(tǒng),是指人事考試中心依托網(wǎng)絡(luò)平臺構(gòu)建的對考試報名數(shù)據(jù)、考試相關(guān)信息、考試政策法規(guī)等內(nèi)容整合的平臺,以網(wǎng)站的形式提供考生訪問,方便考生網(wǎng)上報名,管理考試相關(guān)信息數(shù)據(jù)的信息系統(tǒng)。如中國人事考試網(wǎng)、包頭市人事考試信息網(wǎng)等。廣義的人事考試信息系統(tǒng),是指與人事考試工作相關(guān)的各種信息系統(tǒng)的總和。如通用人事考試管理信息系統(tǒng)GPTMIS、人事考試管理信息系統(tǒng)PTMIS、網(wǎng)上報名系統(tǒng)、門戶網(wǎng)站管理系統(tǒng)等。1.2重要性。人事考試信息系統(tǒng)是支撐人事考務(wù)工作的重要平臺,對于管理考試信息,處理考試相關(guān)數(shù)據(jù)起著決定性的作用。①方便考生及時掌握考試報名信息。②考生通過信息系統(tǒng)及時地進(jìn)行網(wǎng)上報名和繳費(fèi)。③管理考生報名信息,掌握考試報名動態(tài)。④節(jié)省人力物力,無紙化,方便考試工作順利進(jìn)行。1.3風(fēng)險性人事考試信息系統(tǒng)管理和使用存在著一定的風(fēng)險性,人事考試部門需加強(qiáng)安全防范意識。管理風(fēng)險主要是指考生信息丟失、出錯、泄露等風(fēng)險。網(wǎng)上報名過程中,非法人員通過攻擊獲取考生信息,從事非法活動等。使用風(fēng)險主要是指考試管理機(jī)構(gòu)內(nèi)部人員在考試信息操作過程中,因自我主觀意識放松、業(yè)務(wù)技術(shù)能力不足以及缺乏有效的外部管理制約機(jī)制等原因,造成的考生信息泄露、丟失等。

2人事考試信息系統(tǒng)網(wǎng)絡(luò)安全

2.1威脅因素。(1)非授權(quán)訪問。非法用戶在沒有經(jīng)過授權(quán)或同意的情況下,使用網(wǎng)絡(luò)或計算機(jī)資源。如查看考生網(wǎng)上報名信息,獲取考生信息牟利。(2)信息泄漏或丟失。考試敏感數(shù)據(jù)在使用過程中有意或無意地被泄露或被遺失。(3)破壞數(shù)據(jù)完整性。不法分子非法竊得對網(wǎng)站數(shù)據(jù)庫的操作使用權(quán),對考試相關(guān)數(shù)據(jù)進(jìn)行操作,甚至惡意添加、修改、刪除數(shù)據(jù),以干擾考生正常使用。取得網(wǎng)站的權(quán)限,篡改或重發(fā)考試重要信息,對考試造成惡劣影響。(4)植入病毒、木馬。通過植入病毒的方式,惡意破壞人事考試信息系統(tǒng),導(dǎo)致系統(tǒng)癱瘓無法使用,或通過植入木馬盜取或篡改相關(guān)考試信息。2.2防范措施。(1)技術(shù)手段。利用各種網(wǎng)絡(luò)安全技術(shù)手段,防范計算機(jī)病毒和網(wǎng)絡(luò)入侵攻擊等危害網(wǎng)絡(luò)安全的行為。如殺毒軟件、防火墻技術(shù)、網(wǎng)絡(luò)安全認(rèn)證技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)監(jiān)測日志管理技術(shù)、數(shù)據(jù)加密技術(shù)等。(2)管理制度。制定各項(xiàng)網(wǎng)絡(luò)安全制度和使用守則,從制度上保障人事考試信息系統(tǒng)的網(wǎng)絡(luò)安全。(3)安全意識。加強(qiáng)信息系統(tǒng)管理人員的安全意識,定期開展警示教育和網(wǎng)絡(luò)系統(tǒng)安全培訓(xùn),警鐘長鳴,減少“內(nèi)患”事件發(fā)生。如系統(tǒng)設(shè)置復(fù)雜密碼,并定期更換;專機(jī)專人使用,并杜絕外部載體如U盤的使用。

3自治區(qū)各人事考試中心人事考試信息系統(tǒng)網(wǎng)絡(luò)安全概述

3.1基本概況。內(nèi)蒙古自治區(qū)人事考試中心以及12個盟市的考試中心,在自治區(qū)人事考試中心的統(tǒng)一領(lǐng)導(dǎo)下,使用外包托管方式進(jìn)行人事考試信息系統(tǒng)的管理。信息系統(tǒng)結(jié)構(gòu)采用全區(qū)集中的模式,整個信息系統(tǒng)部署在阿里云平臺上,并由阿里云提供網(wǎng)絡(luò)安全保障,各盟市人事考試中心通過授權(quán)方式,直接訪問阿里云服務(wù)進(jìn)行相關(guān)操作。在系統(tǒng)使用和維護(hù)中,外包公司負(fù)責(zé)技術(shù)支持、網(wǎng)絡(luò)服務(wù)器運(yùn)維及系統(tǒng)升級維護(hù)等相關(guān)服務(wù)。各中心工作人員負(fù)責(zé)考試設(shè)置、內(nèi)容更新和信息等工作。各盟市人事考試中心信息網(wǎng)在各盟市人力資源和社會保障局官網(wǎng)上都有鏈接入口,方便考生及時了解人事考試相關(guān)信息和進(jìn)行相關(guān)考試報名??忌部赏ㄟ^內(nèi)蒙古人事考試信息網(wǎng)的友情鏈接對全區(qū)各盟市的考試信息網(wǎng)進(jìn)行訪問。3.2存在問題和建議。(1)黑盒式的管理運(yùn)行方式,存在潛在風(fēng)險??荚囍行氖褂孟嗤墓芾砥脚_和托管方式,在現(xiàn)有的人力、技術(shù)和資源的情況下是合理選擇,但對于網(wǎng)絡(luò)平臺的構(gòu)建、阿里云托管方式和相關(guān)技術(shù)知識的不確定性,會給各中心帶來潛在風(fēng)險。系統(tǒng)出現(xiàn)故障,考試中心工作人員往往束手無措,只能等待托管公司進(jìn)行處理。所以必須嚴(yán)格落實(shí)合同,細(xì)化責(zé)權(quán),確保服務(wù)到位,各考試中心需指定專人進(jìn)行聯(lián)系和監(jiān)督,確保系統(tǒng)安全穩(wěn)定。(2)信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險防控培訓(xùn)交流機(jī)制薄弱。隨著人事考試信息系統(tǒng)的廣泛深入使用,不法分子利用網(wǎng)絡(luò)和技術(shù)漏洞竊取信息的方式和手段層出不窮,給人事考試中心的信息技術(shù)工作帶來挑戰(zhàn)。工作人員需要進(jìn)行風(fēng)險防控培訓(xùn)交流學(xué)習(xí),取長補(bǔ)短,確保平臺正常運(yùn)行,考試工作順利進(jìn)行。自治區(qū)應(yīng)定期開展信息系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn),及時更新系統(tǒng)管理人員知識結(jié)構(gòu),提高管理人員安全操作和安全防范意識。(3)網(wǎng)絡(luò)安全防范制度建設(shè)需進(jìn)一步加強(qiáng)完善。雖然各盟市考試中心信息系統(tǒng)管理和安全管理都有自己的制度和規(guī)定,但是制度的制訂、執(zhí)行和落實(shí)情況參差不齊,不利于網(wǎng)絡(luò)信息安全防范。所以制定統(tǒng)一的安全防范規(guī)定和安全操作手冊可以更好地統(tǒng)一安全防范意識,更加規(guī)范地進(jìn)行系統(tǒng)操作和安全管理,保障信息系統(tǒng)的安全穩(wěn)定。

4包頭市人事考務(wù)中心人事考試信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)

4.1現(xiàn)狀。包頭市人事考務(wù)中心使用自治區(qū)考試信息系統(tǒng)服務(wù)統(tǒng)一平臺。使用過程中,平臺運(yùn)行順暢,考試報名工作順利。在網(wǎng)絡(luò)安全方面,平臺基本保障了信息系統(tǒng)的安全性和完整性。包頭市人事考務(wù)中心對信息化建設(shè)和信息系統(tǒng)安全十分重視,及時完成各信息系統(tǒng)的部署、升級和更新,并積極配合做好調(diào)試測試工作,為系統(tǒng)的正常運(yùn)行提出意見和建議。在考試報名和平時的信息系統(tǒng)使用中,中心嚴(yán)格按照規(guī)范操作,網(wǎng)絡(luò)信息系統(tǒng)專人負(fù)責(zé),考試系統(tǒng)嚴(yán)格杜絕互聯(lián)網(wǎng)連接,數(shù)據(jù)交換使用VPN,在與自治區(qū)數(shù)據(jù)信息傳遞時,使用專用管理平臺。中心通過制定相關(guān)政策,加強(qiáng)人員安全防范意識,盡量保證考試信息系統(tǒng)的安全使用。4.2存在的問題和建議。(1)信息系統(tǒng)工作存在潛在安全風(fēng)險。上網(wǎng)和外部設(shè)備的使用,可能造成計算機(jī)感染病毒或被植入木馬。為盡可能減少安全風(fēng)險,建議操作網(wǎng)上報名系統(tǒng)的計算機(jī)專機(jī)專用,并將機(jī)器的mac地址和登錄IP綁定服務(wù)器,避免外部非授權(quán)機(jī)器的操作和使用。(2)信息系統(tǒng)登錄安全性策略需進(jìn)一步提高。系統(tǒng)管理員雖使用復(fù)雜登錄名和密碼,并定期更換,但網(wǎng)絡(luò)安全風(fēng)險始終存在,有被撞庫盜用用戶名密碼的風(fēng)險。建議加強(qiáng)登錄安全策略,增加手機(jī)或Ukey動態(tài)驗(yàn)證碼策略。(3)考試數(shù)據(jù)備份策略和災(zāi)難防控機(jī)制需更加健全。雖然阿里云服務(wù)提供了相應(yīng)的備份策略,但考試數(shù)據(jù)的完整性和安全性至關(guān)重要。中心應(yīng)建立健全數(shù)據(jù)備份機(jī)制,備份和加密相關(guān)數(shù)據(jù),做好數(shù)據(jù)災(zāi)難防控。4.3信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)。(1)確保上下統(tǒng)一系統(tǒng)兼容,保證系統(tǒng)穩(wěn)定性和安全性。市級人事考試中心信息系統(tǒng)建設(shè)要與國家、自治區(qū)步調(diào)一致,及時完成系統(tǒng)建設(shè)配置更新,并向上匯總使用中的問題和建議,完善網(wǎng)絡(luò)安全防護(hù)措施。(2)加強(qiáng)安全制度建設(shè),提高安全意識,避免內(nèi)部風(fēng)險。結(jié)合國家和自治區(qū)制度管理規(guī)范,根據(jù)本中心實(shí)際,制定更加細(xì)致的安全管理規(guī)定。用制度約束,強(qiáng)化痕跡管理,堅持“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,做到權(quán)限明確,責(zé)任到人,監(jiān)管到位。定期開展網(wǎng)絡(luò)安全檢查,防堵漏洞,確保安全。(3)強(qiáng)化溝通機(jī)制,將外包公司和當(dāng)?shù)鼐W(wǎng)監(jiān)納入安全防范體系。與外包公司建立有效溝通機(jī)制,確保7*24小時服務(wù),保障系統(tǒng)安全運(yùn)行。建立與公安網(wǎng)監(jiān)部門的長效合作機(jī)制,考試報名期間,對網(wǎng)站、服務(wù)器等進(jìn)行監(jiān)管,最大程度保障考試信息系統(tǒng)安全。(4)建立健全信息系統(tǒng)網(wǎng)絡(luò)安全教育培訓(xùn)機(jī)制。專業(yè)技術(shù)人員的業(yè)務(wù)水平和操作技能直接關(guān)系到系統(tǒng)的安全,定期學(xué)習(xí)培訓(xùn),提高專業(yè)技能和知識水平,深化網(wǎng)絡(luò)安全意識,才能更好地保證考試信息系統(tǒng)安全,保障考試順利進(jìn)行。

參考文獻(xiàn):

[1]人力資源和社會保障部.人力資源社會保障部關(guān)于印發(fā)“互聯(lián)網(wǎng)+人社”2020行動計劃的通知[Z].2016-11-01.

[2]何志成.加強(qiáng)信息網(wǎng)絡(luò)技術(shù)的管理是當(dāng)前保密工作的新課題[J].國家安全通訊,2001(07).

[3]李昭.國家信息安全戰(zhàn)略的思考[J].中國人民公安大學(xué)學(xué)報(自然科學(xué)版),2004(03).

作者:姚震 單位:包頭市人事考務(wù)中心