國家教育考試信息安全管理體系實踐—以北京市為例

◆李鴻江 徐 瑋 朱汝光

（北京教育考試院 北京 100083）

國家教育考試信息安全管理體系實踐—以北京市為例

◆李鴻江 徐 瑋 朱汝光

（北京教育考試院 北京 100083）

國家教育考試的安全關系到政府公信力、社會公平，關系到廣大考生的切身利益，國家教育考試信息系統(tǒng)一旦被不法分子通過網絡攻入，考試管理和考試個人數據泄露或被篡改，將會嚴重影響到社會的安全穩(wěn)定。從國家教育考試管理系統(tǒng)安全現狀入手，以ISO27001信息安全管理標準和等級保護制度為基礎，提出適合于國家教育考試的信息安全管理體系，并以北京教育考試院的應用實踐為例，介紹信息安全管理體系的總體框架、詳細設計、實踐等，以期對國家教育考試信息安全工作提供借鑒意義。

教育考試; 信息安全管理體系; 等級保護; 風險評估; 安全測評

0 引言

隨著網絡和信息技術的迅速發(fā)展，國家教育考試考務管理工作已經與網絡和信息技術深度融合，各類招生考試業(yè)務的正常開展高度依賴于信息系統(tǒng)的穩(wěn)定運行。國家教育考試是國家人才選拔的重要手段和方式，事關廣大人民群眾的切身利益，社會關注度高。考試安全是考試招生工作的生命線，“沒有信息安全就沒有考試安全”成為考試領域的一種共識。

與此同時，教育行業(yè)正在面臨著非常嚴峻的網絡安全形勢，許多在京高校都遭受過黑客的網絡攻擊。黑客的網絡攻擊也已從最初的單純炫耀技術逐漸轉向以竊取考生個人信息、篡改考試成績和錄取結果等為目的的非法牟利行為，各種惡意攻擊、造成系統(tǒng)無法正常提供服務的不法行為屢禁不止。

雖然各級教育考試管理機構一直高度重視信息安全工作，采用了多種安全技術防護產品和手段，如：防火墻、殺毒軟件、入侵檢測、WEB防火墻等，但各種信息安全事件依然頻發(fā)，這說明簡單地堆砌各種信息安全產品和技術并不能完全解決信息安全風險。實踐證明，只有建立將管理和技術有機結合的信息安全管理體系，才能切實提高教育考試管理機構的信息安全管理水平。

本文將從國家教育考試安全管理現狀入手，基于當前主流的信息安全管理體系標準，提出一種適合于國家教育考試的信息安全管理體系，結合北京教育考試院的信息安全管理實踐工作展開討論，以期對提高國家教育考試領域的信息安全保障水平有所幫助。

1 國家教育考試安全管理現狀

國家教育考試通常指的是由國家教育行政部門主辦的、與升學或學歷教育相關的考試項目。省級教育考試機構承擔的招考項目種類復雜，有招生類考試、自學考試、非學歷證書考試，各類考試項目本身存在著階段性強、業(yè)務項目之間耦合性較低的特點。從考試項目上劃分，教育考試信息系統(tǒng)通常包括：高考業(yè)務系統(tǒng)、研考業(yè)務系統(tǒng)、自考業(yè)務系統(tǒng)、成考業(yè)務系統(tǒng)、社考業(yè)務系統(tǒng)等，部分直轄市還包括：中考業(yè)務系統(tǒng)、會考（學考）業(yè)務系統(tǒng)等。從考試環(huán)節(jié)上劃分有：計劃管理系統(tǒng)、考生報名系統(tǒng)、考務管理系統(tǒng)、命題制卷系統(tǒng)、網上評卷系統(tǒng)、錄取系統(tǒng)、成績查詢系統(tǒng)、評價分析系統(tǒng)等。從產生信息的類型劃分有：計劃類數據、報名類數據、試卷類數據、報考類數據、成績類數據、錄取結果類、評價類、統(tǒng)計分析類數據等。

經過十多年的發(fā)展，國家教育考試信息系統(tǒng)已基本實現“全流程上網”，從考生報名、網上繳費、考務管理、網上閱卷、成績合成發(fā)布、成績查詢到錄取結果查詢，各類考試信息的采集、使用和存儲都在網絡中完成。這些重要子系統(tǒng)通常由多個不同的軟件開發(fā)方提供服務，各個子系統(tǒng)之間既各自獨立又相互交叉，采用的數據標準、開發(fā)標準、中間件平臺和數據庫也不盡相同，這些都帶來了潛在的信息安全風險。此外，招生考試信息系統(tǒng)的使用人員包括考生、報名校、考點校、區(qū)縣、市招辦等多個用戶，這些用戶訪問、存儲和管理信息的方式不一定符合信息安全要求，這些都可能增加新的信息安全風險。

圖1 教育部考試中心信息化規(guī)劃系統(tǒng)架構

圖2 北京教育考試院信息化頂層設計

在省級教育考試機構中，網絡信息安全管理團隊的欠缺也是目前突出的問題之一，省級教育考試機構的網絡安全管理隊伍中的專職人員很少，具體工作人員通常兼職處理網絡安全工作，在網絡安全重要性方面還存在輕視和認知滯后，常常出現問題后才意識到嚴重性，例如近幾年經常出現考生信息泄露的事件。此外，省級教育考試機構還未充分認識到當前網絡安全方面的嚴重形勢，在網絡防范意識和管理制度建設方面普遍薄弱，網絡安全管理制度不完善、缺乏對實際工作的具體指導，某些關鍵技術崗位缺少有效的監(jiān)督機制，這些都給信息安全管理工作帶來極大的安全風險。

通過建立國家教育考試信息安全管理體系來保障信息安全、考試安全是考試組織管理者的一項戰(zhàn)略決策。各級教育考試機構都十分重視信息安全管理系統(tǒng)建設，在信息化中長期規(guī)劃中都把信息安全管理系統(tǒng)作為重要一環(huán)，例如：教育部考試中心在信息化“四層兩翼”系統(tǒng)架構（圖1）中，其中一翼就是信息安全保障系統(tǒng)；北京教育考試院在信息化頂層設計方案（圖2）中，信息安全體系也同樣是跨越各平臺層的重要保障措施。

2 ISO 27001信息安全管理標準和信息系統(tǒng)等級保護制度

信息安全必須依靠信息安全措施來保證，信息安全措施需要適當的安全標準來指導和管理。建立信息安全管理體系要以國際或國家的相關標準為依據，目前業(yè)界流行的兩套信息安全管理標準體系是源于英國的ISO/IEC 27001信息安全管理標準和源于美國的信息系統(tǒng)等級保護制度。ISO/IEC 27001起源于英國標準協(xié)會（BSI）1995年制定的信息安全管理標準BS7799，最新版于2013年發(fā)布；信息系統(tǒng)等級保護制度的思想起源于美國，我國結合國家實際情況，于1994年制定“我國計算機系統(tǒng)施行安全等級保護”的基本政策。

信息安全管理體系國際標準主要由兩大部分組成：ISO/IEC 17799和ISO/IEC 27001。ISO /IEC 17799即“信息安全管理實施指南” （Code of practice for Information Security Management Systems），提出了在組織內部啟動、實施、保持和改進信息安全管理的指南和一般原則，包括11個要素，39個控制目標和133種控制措施；ISO/IEC 27001是“信息安全管理體系要求”（Specification for Information Security Management Systems），是在組織內部建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系的模型和要求，可用來指導相關人員應用ISO/IEC 17799，其最終目的，通過規(guī)范的過程，建立適合組織實際要求的信息安全管理體系。

從標準的兩個部分來理解，ISO/IEC 27001是一個總的指導思想，核心是基于持續(xù)的風險評估，建立和實施體系化的信息安全管理策略，并對運行進行監(jiān)督、評審和改進。ISO27001信息安全管理過程的PDCA（Plann Do Check Action）模型如圖3，強調的是建立一個持續(xù)循環(huán)的長效管理機制；而ISO/IEC 17799就是具體的信息安全管理流程，是在ISO 27001整體框架指導下具體的信息安全細節(jié)。組織通過若干管理和技術措施，形成一個以體系文檔為保證的控制流程，從而保證組織業(yè)務的連續(xù)性，并可以通過國際認證機構的嚴格審核，獲得國際信息安全認證證書。

圖3 ISO27001標準的PDCA循環(huán)

我國從1999年正式頒布《計算機信息系統(tǒng)安全保護等級劃分標準》（GB17859-1999），此后相繼發(fā)布了40多個與等級保護相關技術的標準。特別是《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）、《信息系統(tǒng)安全等級保護定級指南》（GB/T 22240-2008）、《信息系統(tǒng)安全等級保護安全設計技術要求》（GB/T 25070-2010）和《信息系統(tǒng)安全等級保護定級指南》（GB/T 25058-2010）四個標準的發(fā)布奠定了我國信息系統(tǒng)安全等級保護標準體系。

GB/T 22240-2008指導信息系統(tǒng)運營單位如何對信息系統(tǒng)進行定級。GB/T 25058-2010規(guī)定了信息系統(tǒng)安全等級保護實施的過程，指導組織實施信息系統(tǒng)安全等級保護，使組織的信息系統(tǒng)從規(guī)劃、設計、實施、運行到廢棄階段的過程中按照信息系統(tǒng)安全等級保護政策、標準要求實施等級保護工作。信息系統(tǒng)等級保護的實施流程被分為五個階段（信息系統(tǒng)定級、總體安全規(guī)劃、安全設計與實施、安全運行與維護、信息系統(tǒng)終止）。

ISO 27001信息安全管理體系和信息安全等級保護標準體系是兩大不同的信息安全標準體系，分析和理解這兩個標準體系的異同點，有利于國家教育考試機構整合實施、推進、改進、融合這兩大管理體系。他們之間的相同點有3個：（1）目的都是為了處理信息安全風險，提高信息安全性，保護組織的利益；（2）都明確規(guī)定了采用過程方法來建立、實施、運行、監(jiān)視、改進組織的安全；（3）都發(fā)布了各自的基本安全要求，雖然在安全措施分類上存在差別，并還是存在或多或少的共同點。他們之間的不同點有2個：（1）立足點不同，ISO27001主要是保證組織的業(yè)務安全，而信息系統(tǒng)等級保護出發(fā)點是以保護國家安全、社會秩序和公共利益為立足點，從宏觀上制度全國的信息安全工作；（2）確定安全需求的方法不同，ISO27001通過信息安全風險管理中規(guī)定的風險評估的方法來確定安全需求，等級保護制度則是通過系統(tǒng)定級、等保安全測評和安全需求分析來確定其安全需求。

3 國家教育考試信息安全管理體系實踐（以北京市為例）

國家教育考試信息系統(tǒng)為廣大考生和社會公眾服務，直接關系到政府公信力、人才選拔和社會公平。信息系統(tǒng)等級保護作為我們國家信息安全的基本國策，其出發(fā)點就是保護公共利益，因此，北京教育考試院在建立信息安全管理體系時，采取的是以落實等級保護作為主線、參考ISO27001標準為輔助的方式來推進信息安全管理，通過整合各類信息資源和安全資源，對不同信息實現分級分類保護，充分利用技術、管理和法律三方面手段，不斷提高信息安全的保障管理水平。

3.1 北京教育考試院信息系統(tǒng)等級保護定級情況

北京教育考試院是北京地區(qū)教育招生考試的管理機構，目前，每年北京教育考試院組織各類考試約200次，有200余萬考生參加考試。北京教育考試院信息化建設已初具規(guī)模，目前已建成10多個業(yè)務系統(tǒng)，系統(tǒng)匯總了全市的高考招生、中考招生、會考、自考、研招、成人高等學校招生考試等信息，目前北京教育考試院業(yè)務已高度依賴信息系統(tǒng)的穩(wěn)定運行。信息系統(tǒng)的安全保障工作是信息化建設的關鍵，其直接制約著北京教育考試院的服務質量，以及高考及各種招生數據的機密性、完整性和可用性。特別是中高考業(yè)務管理系統(tǒng)存有當年全北京市中高考報名、招生、錄取等相關數據，安全敏感程度高。

2010年5月，北京教育考試院對所管理的全部教育考試信息系統(tǒng)進行了風險評估工作，按照國家等級保護的要求對信息系統(tǒng)進行了定級，總體確定了12個業(yè)務系統(tǒng)，經過專家評審討論后，向市公安局提交了信息系統(tǒng)等級保護等級報告。這12個業(yè)務系統(tǒng)中有3個3級信息系統(tǒng)，9個為2級信息系統(tǒng)。2012年，我院又為命題一處新建成的高考試題資源庫系統(tǒng)進行了2 級信息系統(tǒng)備案。這些應用系統(tǒng)都是承載考試院業(yè)務運行的重要業(yè)務系統(tǒng)。表1為考試院現有信息系統(tǒng)定級情況。

表1 北京教育考試院信息系統(tǒng)等級保護定級情況表

3.2 北京教育考試院信息安全管理體系

信息安全是考試招生安全的基礎，沒有信息安全就沒有考試安全。2014-2015年，考試院按照上級要求開展了一次全面的網絡信息安全專項檢查，主要從信息安全管理組織、操作系統(tǒng)安全、數據庫系統(tǒng)安全、應用系統(tǒng)安全、數據備份五方面進行，總共發(fā)現了262個潛在的安全問題，最后按照清單管理方式進行了逐項整改落實。

通過這次安全專項檢查工作，我們也發(fā)現了一些存在的隱患和漏洞，例如：有些系統(tǒng)的操作系統(tǒng)和數據庫安全角色沒有分離，有些部署在外部的系統(tǒng)缺少完整的安全保障方案。為了持續(xù)改進安全管理工作，共同應對日益嚴峻的網絡及信息安全形勢，按照國家和北京市有關信息安全管理的法律法規(guī)精神，結合考試院的工作實際，制定了《網絡及信息安全管理體系總體框架》（如圖4所示），并編寫了《信息安全管理體系總綱》、《安全事件應急響應管理辦法》、《崗位及第三方人員管理辦法》、《數據安全管理辦法》、《運維維護管理辦法》、《網絡設備安全配置規(guī)范》、《軟件系統(tǒng)安全管理規(guī)范》等制度，作為我院各部門進行信息安全管理的指導思想和具體參考。

圖4 北京教育考試院信息安全管理系統(tǒng)總體框架

考試院信息安全管理體系是由兩部分組成的。一部分是一系列網絡和信息安全的策略和技術管理規(guī)范，另一部分是具體的操作手冊、具體實施細則和流程。信息安全管理體系總綱位于整個管理體系的第一層，是最高綱領，它具有高度的概括性，涵蓋了技術和管理兩個方面，對考試院各方面的安全工作具有總體指導意義。信息安全管理體系的第二層是一系列的管理規(guī)定和技術規(guī)范，是對總綱的分解和詳細闡述，提出具體的要求，對安全工作具有實際的指導作用。信息安全管理體系的第三層是操作和流程層面，它根據第一層和第二層的要求，結合具體的網絡和應用環(huán)境，制訂具體實施的細則、流程等,對各部門具有直接的可操作性。

3.3 北京教育考試院信息安全管理技術措施

按照信息系統(tǒng)等級保護制度的基本思想，考試院信息安全管理體系的詳細設計方針是：從物理安全、網絡安全、系統(tǒng)安全、數據安全等多個層次，分層單獨設防，在網絡邊界區(qū)域采用多種安全技術整體防御外部威脅，在局域網環(huán)境注重內部威脅；特別關注以考試院網絡承載的業(yè)務數據，以高敏感數據為核心進行防范；同時要盡可能減少安全漏洞、阻止安全威脅、減小安全事件造成的損失，加強安全防范手段，通過保護、檢測和響應和強化安全管理等行為把安全風險減輕到最低程度。最終保證網絡及主機資源的可控性、可用性，以及信息資源的保密性、完整性、可用性及抗否認性?？荚囋盒畔踩芾眢w系的物理安全、網絡安全、系統(tǒng)安全、數據安全等幾個層次描述如下。

（1）物理安全：保證計算機信息系統(tǒng)各種設備的物理安全是整個計算機信息系統(tǒng)安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程?？荚囋壕W絡的物理安全主要包括以下幾個方面：環(huán)境安全（網絡中心機房）、設備安全(服務器和網絡設備)和介質安全(存儲介質)。

（2）網絡安全：就是保障各種網絡資源穩(wěn)定、可靠地運行，同時要受控、合法地使用。具體包括：必須采取有效措施保護網絡設備等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；網絡接入應有備份線路；在各局部計算環(huán)境的邊界區(qū)域、各計算環(huán)境局部網絡進行多處防御；部署多種防御機制，每一種機制應該包括“保護”和“檢測”措施；對于數據中心或其他重要的局部網絡，劃分VLAN分區(qū)保護；加強防止內部威脅的措施；采取措施使系統(tǒng)能夠及時檢測到安全漏洞和入侵，并能夠及時作出反應；將網絡管理數據與用戶數據分離，以提高網絡的可用性；對網絡管理系統(tǒng)實施良好的配置管理策略，以便有助于災后迅速恢復和使用新的安全措施。

（3）系統(tǒng)安全：包括操作系統(tǒng)安全和應用系統(tǒng)安全。所有的應用系統(tǒng)都運行在特定操作系統(tǒng)上，失去操作系統(tǒng)安全，應用系統(tǒng)就失去了安全基礎。操作系統(tǒng)不同程度上都存在一些安全漏洞。針對應用系統(tǒng)的攻擊，往往是防火墻等設備所無法控制的。所有應用系統(tǒng)和用戶終端必須確保用戶采用安全身份鑒別、訪問控制以及審計措施。

（4）數據安全：采用分類數據保護策略?？荚囋禾幚淼臄祿?，主要分為公開、內部和高敏感數據三類。對這三類數據要采取相應的保護策略：高敏感數據的敏感度最高，與之相關的軟硬件設施均是重點的安全防護的對象，應用系統(tǒng)應嚴格控制訪問機密數據對象；對其它數據，應用系統(tǒng)應建立完善的訪問控制策略，對各類用戶或角色要按照“知其所必需”和“最低特權”的原則分配訪問信息的權限。高敏感數據在傳輸過程中必須采用密碼進行保護，所采用的密碼算法應符合國家有關部門的要求。對于存儲在計算機系統(tǒng)中的高敏感數據，要充分利用操作系統(tǒng)和數據庫管理系統(tǒng)的安全控制策略進行保護，同時對重要數據可根據需要采取相應的密碼技術進行加密保護。

3.4 北京教育考試院信息安全管理實踐

按照國家信息系統(tǒng)等級保護的要求，考試院每年對3個三級信息系統(tǒng)進行一次等級保護測評，每兩年對10個二級信息系統(tǒng)進行一次等級保護測評。通過等級保護測評工作，發(fā)現了現存系統(tǒng)中存在的一些風險點，按照對3級、2級信息系統(tǒng)的重要程度明確的制定出相應的保護措施，使考試院的信息系統(tǒng)滿足等級化保護的具體要求，增加信息系統(tǒng)安全的規(guī)范性和有效性，提高客戶的安全意識，增強網絡的抗攻擊能力，以保證對考試院各級信息系統(tǒng)的正常運轉，對社會的正常和諧發(fā)展起到促進作用。

在2016年的中國互聯(lián)網安全大會中，“協(xié)同聯(lián)動、共建安全命運共同體”作為本次大會的主題，也體現了網絡安全防范工作不只是單獨一個部門所能完成的工作。為了提高抵御惡意攻擊、處理各種突發(fā)事件的能力，考試院通過三方面手段建立網絡安全應急處置機制。一是加強與網絡安全部門的溝通，與網安文?？傟?、市教委信息中心建立密切的聯(lián)動機制，重大活動前請相關部門去現場檢查；二是完善信息安全監(jiān)控手段，指定處內專人掌握360補天平臺和烏云平臺發(fā)布的最新漏洞，及時清除漏洞；三是加強關鍵敏感時段的人員值守,必要時采取暫停系統(tǒng)服務的手段。

根據ISO27001信息安全管理體系要求，考試院結合考試業(yè)務管理系統(tǒng)的硬軟件、數據和網絡等方面實際情況，提高工作人員的保密觀念、責任心和安全意識，加強業(yè)務技術培訓。最近一年組織院內6名信息技術同志參加清華大學的高校信息技術安全研修班，把握信息安全新形勢，增強信息安全意識；還組織2名同志參加CISM注冊信息安全員培訓認證，逐步推行安全工作持證上崗，提高安全防范能力。

4 結論

國家教育考試信息安全工作關系到國家人才選拔的公平公正，關系到千萬社會公眾的切身利益，國家教育考試信息安全管理系統(tǒng)體系建設需要常抓不懈、需要不斷改進和完善。作為省級教育考試管理部門，北京教育考試院在建立信息安全管理體系時，嘗試以落實等級保護作為主線來推進組織的信息安全管理，同時，借鑒了ISO 27001的標準流程框架，將等級保護檢查準則和ISO 27001標準的實施指南結合起來，相互借鑒共同實施。近幾年，我院較好地完成了信息安全管理工作，未發(fā)生重大安全事故，對實現“專業(yè)化、多功能、服務型”的建院目標起到了保障支撐作用。當然，信息安全工作是一項永無止境的工作，只有不斷加強信息安全管理體系建設，改進安全保障能力，實現螺旋式上升，才能滿足國家教育招生考試工作需要。

[1]韓春梅． 基于ISO27001標準的計算機化考試信息安全防護策略設計[J]．中國考試，2013．

[2]馬彪,王繼東． 基于云平臺的省級教育考試機構數據中心建設初探-以江蘇教育考試院為例[J]．中國考試，2012．

[3]蘭潔, 趙鑫． 清華大學:網絡安全管理模式及防范體系[J]．中國教育裝備，2015．

[4]謝宗曉，劉斌．ISO/IEC 27001與等級保護的整合應用指南[M]．北京：中國質檢出版社、中國標準出版社，2015．

[5]萬雅奇, 段立娟, 張書杰． 教育考試信息化系統(tǒng)中的安全問題研究 [J]．計算機應用研究，2015．

全國教育科學規(guī)劃課題，DCA120191，國家教育考試考務管理信息化建設及關鍵技術研究。