◆李鸿江 徐 玮 朱汝光

（北京教育考试院 北京 100083）

国家教育考试信息安全管理体系实践—以北京市为例

◆李鸿江 徐 玮 朱汝光

（北京教育考试院 北京 100083）

国家教育考试的安全关系到政府公信力、社会公平，关系到广大考生的切身利益，国家教育考试信息系统一旦被不法分子通过网络攻入，考试管理和考试个人数据泄露或被篡改，将会严重影响到社会的安全稳定。从国家教育考试管理系统安全现状入手，以ISO27001信息安全管理标准和等级保护制度为基础，提出适合于国家教育考试的信息安全管理体系，并以北京教育考试院的应用实践为例，介绍信息安全管理体系的总体框架、详细设计、实践等，以期对国家教育考试信息安全工作提供借鉴意义。

教育考试; 信息安全管理体系; 等级保护; 风险评估; 安全测评

0 引言

随着网络和信息技术的迅速发展，国家教育考试考务管理工作已经与网络和信息技术深度融合，各类招生考试业务的正常开展高度依赖于信息系统的稳定运行。国家教育考试是国家人才选拔的重要手段和方式，事关广大人民群众的切身利益，社会关注度高。考试安全是考试招生工作的生命线，“没有信息安全就没有考试安全”成为考试领域的一种共识。

与此同时，教育行业正在面临着非常严峻的网络安全形势，许多在京高校都遭受过黑客的网络攻击。黑客的网络攻击也已从最初的单纯炫耀技术逐渐转向以窃取考生个人信息、篡改考试成绩和录取结果等为目的的非法牟利行为，各种恶意攻击、造成系统无法正常提供服务的不法行为屡禁不止。

虽然各级教育考试管理机构一直高度重视信息安全工作，采用了多种安全技术防护产品和手段，如：防火墙、杀毒软件、入侵检测、WEB防火墙等，但各种信息安全事件依然频发，这说明简单地堆砌各种信息安全产品和技术并不能完全解决信息安全风险。实践证明，只有建立将管理和技术有机结合的信息安全管理体系，才能切实提高教育考试管理机构的信息安全管理水平。

本文将从国家教育考试安全管理现状入手，基于当前主流的信息安全管理体系标准，提出一种适合于国家教育考试的信息安全管理体系，结合北京教育考试院的信息安全管理实践工作展开讨论，以期对提高国家教育考试领域的信息安全保障水平有所帮助。

1 国家教育考试安全管理现状

国家教育考试通常指的是由国家教育行政部门主办的、与升学或学历教育相关的考试项目。省级教育考试机构承担的招考项目种类复杂，有招生类考试、自学考试、非学历证书考试，各类考试项目本身存在着阶段性强、业务项目之间耦合性较低的特点。从考试项目上划分，教育考试信息系统通常包括：高考业务系统、研考业务系统、自考业务系统、成考业务系统、社考业务系统等，部分直辖市还包括：中考业务系统、会考（学考）业务系统等。从考试环节上划分有：计划管理系统、考生报名系统、考务管理系统、命题制卷系统、网上评卷系统、录取系统、成绩查询系统、评价分析系统等。从产生信息的类型划分有：计划类数据、报名类数据、试卷类数据、报考类数据、成绩类数据、录取结果类、评价类、统计分析类数据等。

经过十多年的发展，国家教育考试信息系统已基本实现“全流程上网”，从考生报名、网上缴费、考务管理、网上阅卷、成绩合成发布、成绩查询到录取结果查询，各类考试信息的采集、使用和存储都在网络中完成。这些重要子系统通常由多个不同的软件开发方提供服务，各个子系统之间既各自独立又相互交叉，采用的数据标准、开发标准、中间件平台和数据库也不尽相同，这些都带来了潜在的信息安全风险。此外，招生考试信息系统的使用人员包括考生、报名校、考点校、区县、市招办等多个用户，这些用户访问、存储和管理信息的方式不一定符合信息安全要求，这些都可能增加新的信息安全风险。

图1 教育部考试中心信息化规划系统架构

图2 北京教育考试院信息化顶层设计

在省级教育考试机构中，网络信息安全管理团队的欠缺也是目前突出的问题之一，省级教育考试机构的网络安全管理队伍中的专职人员很少，具体工作人员通常兼职处理网络安全工作，在网络安全重要性方面还存在轻视和认知滞后，常常出现问题后才意识到严重性，例如近几年经常出现考生信息泄露的事件。此外，省级教育考试机构还未充分认识到当前网络安全方面的严重形势，在网络防范意识和管理制度建设方面普遍薄弱，网络安全管理制度不完善、缺乏对实际工作的具体指导，某些关键技术岗位缺少有效的监督机制，这些都给信息安全管理工作带来极大的安全风险。

通过建立国家教育考试信息安全管理体系来保障信息安全、考试安全是考试组织管理者的一项战略决策。各级教育考试机构都十分重视信息安全管理系统建设，在信息化中长期规划中都把信息安全管理系统作为重要一环，例如：教育部考试中心在信息化“四层两翼”系统架构（图1）中，其中一翼就是信息安全保障系统；北京教育考试院在信息化顶层设计方案（图2）中，信息安全体系也同样是跨越各平台层的重要保障措施。

2 ISO 27001信息安全管理标准和信息系统等级保护制度

信息安全必须依靠信息安全措施来保证，信息安全措施需要适当的安全标准来指导和管理。建立信息安全管理体系要以国际或国家的相关标准为依据，目前业界流行的两套信息安全管理标准体系是源于英国的ISO/IEC 27001信息安全管理标准和源于美国的信息系统等级保护制度。ISO/IEC 27001起源于英国标准协会（BSI）1995年制定的信息安全管理标准BS7799，最新版于2013年发布；信息系统等级保护制度的思想起源于美国，我国结合国家实际情况，于1994年制定“我国计算机系统施行安全等级保护”的基本政策。

信息安全管理体系国际标准主要由两大部分组成：ISO/IEC 17799和ISO/IEC 27001。ISO /IEC 17799即“信息安全管理实施指南” （Code of practice for Information Security Management Systems），提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则，包括11个要素，39个控制目标和133种控制措施；ISO/IEC 27001是“信息安全管理体系要求”（Specification for Information Security Management Systems），是在组织内部建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求，可用来指导相关人员应用ISO/IEC 17799，其最终目的，通过规范的过程，建立适合组织实际要求的信息安全管理体系。

从标准的两个部分来理解，ISO/IEC 27001是一个总的指导思想，核心是基于持续的风险评估，建立和实施体系化的信息安全管理策略，并对运行进行监督、评审和改进。ISO27001信息安全管理过程的PDCA（Plann Do Check Action）模型如图3，强调的是建立一个持续循环的长效管理机制；而ISO/IEC 17799就是具体的信息安全管理流程，是在ISO 27001整体框架指导下具体的信息安全细节。组织通过若干管理和技术措施，形成一个以体系文档为保证的控制流程，从而保证组织业务的连续性，并可以通过国际认证机构的严格审核，获得国际信息安全认证证书。

图3 ISO27001标准的PDCA循环

我国从1999年正式颁布《计算机信息系统安全保护等级划分标准》（GB17859-1999），此后相继发布了40多个与等级保护相关技术的标准。特别是《信息系统安全等级保护基本要求》（GB/T 22239-2008）、《信息系统安全等级保护定级指南》（GB/T 22240-2008）、《信息系统安全等级保护安全设计技术要求》（GB/T 25070-2010）和《信息系统安全等级保护定级指南》（GB/T 25058-2010）四个标准的发布奠定了我国信息系统安全等级保护标准体系。

GB/T 22240-2008指导信息系统运营单位如何对信息系统进行定级。GB/T 25058-2010规定了信息系统安全等级保护实施的过程，指导组织实施信息系统安全等级保护，使组织的信息系统从规划、设计、实施、运行到废弃阶段的过程中按照信息系统安全等级保护政策、标准要求实施等级保护工作。信息系统等级保护的实施流程被分为五个阶段（信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止）。

ISO 27001信息安全管理体系和信息安全等级保护标准体系是两大不同的信息安全标准体系，分析和理解这两个标准体系的异同点，有利于国家教育考试机构整合实施、推进、改进、融合这两大管理体系。他们之间的相同点有3个：（1）目的都是为了处理信息安全风险，提高信息安全性，保护组织的利益；（2）都明确规定了采用过程方法来建立、实施、运行、监视、改进组织的安全；（3）都发布了各自的基本安全要求，虽然在安全措施分类上存在差别，并还是存在或多或少的共同点。他们之间的不同点有2个：（1）立足点不同，ISO27001主要是保证组织的业务安全，而信息系统等级保护出发点是以保护国家安全、社会秩序和公共利益为立足点，从宏观上制度全国的信息安全工作；（2）确定安全需求的方法不同，ISO27001通过信息安全风险管理中规定的风险评估的方法来确定安全需求，等级保护制度则是通过系统定级、等保安全测评和安全需求分析来确定其安全需求。

3 国家教育考试信息安全管理体系实践（以北京市为例）

国家教育考试信息系统为广大考生和社会公众服务，直接关系到政府公信力、人才选拔和社会公平。信息系统等级保护作为我们国家信息安全的基本国策，其出发点就是保护公共利益，因此，北京教育考试院在建立信息安全管理体系时，采取的是以落实等级保护作为主线、参考ISO27001标准为辅助的方式来推进信息安全管理，通过整合各类信息资源和安全资源，对不同信息实现分级分类保护，充分利用技术、管理和法律三方面手段，不断提高信息安全的保障管理水平。

3.1 北京教育考试院信息系统等级保护定级情况

北京教育考试院是北京地区教育招生考试的管理机构，目前，每年北京教育考试院组织各类考试约200次，有200余万考生参加考试。北京教育考试院信息化建设已初具规模，目前已建成10多个业务系统，系统汇总了全市的高考招生、中考招生、会考、自考、研招、成人高等学校招生考试等信息，目前北京教育考试院业务已高度依赖信息系统的稳定运行。信息系统的安全保障工作是信息化建设的关键，其直接制约着北京教育考试院的服务质量，以及高考及各种招生数据的机密性、完整性和可用性。特别是中高考业务管理系统存有当年全北京市中高考报名、招生、录取等相关数据，安全敏感程度高。

2010年5月，北京教育考试院对所管理的全部教育考试信息系统进行了风险评估工作，按照国家等级保护的要求对信息系统进行了定级，总体确定了12个业务系统，经过专家评审讨论后，向市公安局提交了信息系统等级保护等级报告。这12个业务系统中有3个3级信息系统，9个为2级信息系统。2012年，我院又为命题一处新建成的高考试题资源库系统进行了2 级信息系统备案。这些应用系统都是承载考试院业务运行的重要业务系统。表1为考试院现有信息系统定级情况。

表1 北京教育考试院信息系统等级保护定级情况表

3.2 北京教育考试院信息安全管理体系

信息安全是考试招生安全的基础，没有信息安全就没有考试安全。2014-2015年，考试院按照上级要求开展了一次全面的网络信息安全专项检查，主要从信息安全管理组织、操作系统安全、数据库系统安全、应用系统安全、数据备份五方面进行，总共发现了262个潜在的安全问题，最后按照清单管理方式进行了逐项整改落实。

通过这次安全专项检查工作，我们也发现了一些存在的隐患和漏洞，例如：有些系统的操作系统和数据库安全角色没有分离，有些部署在外部的系统缺少完整的安全保障方案。为了持续改进安全管理工作，共同应对日益严峻的网络及信息安全形势，按照国家和北京市有关信息安全管理的法律法规精神，结合考试院的工作实际，制定了《网络及信息安全管理体系总体框架》（如图4所示），并编写了《信息安全管理体系总纲》、《安全事件应急响应管理办法》、《岗位及第三方人员管理办法》、《数据安全管理办法》、《运维维护管理办法》、《网络设备安全配置规范》、《软件系统安全管理规范》等制度，作为我院各部门进行信息安全管理的指导思想和具体参考。

图4 北京教育考试院信息安全管理系统总体框架

考试院信息安全管理体系是由两部分组成的。一部分是一系列网络和信息安全的策略和技术管理规范，另一部分是具体的操作手册、具体实施细则和流程。信息安全管理体系总纲位于整个管理体系的第一层，是最高纲领，它具有高度的概括性，涵盖了技术和管理两个方面，对考试院各方面的安全工作具有总体指导意义。信息安全管理体系的第二层是一系列的管理规定和技术规范，是对总纲的分解和详细阐述，提出具体的要求，对安全工作具有实际的指导作用。信息安全管理体系的第三层是操作和流程层面，它根据第一层和第二层的要求，结合具体的网络和应用环境，制订具体实施的细则、流程等,对各部门具有直接的可操作性。

3.3 北京教育考试院信息安全管理技术措施

按照信息系统等级保护制度的基本思想，考试院信息安全管理体系的详细设计方针是：从物理安全、网络安全、系统安全、数据安全等多个层次，分层单独设防，在网络边界区域采用多种安全技术整体防御外部威胁，在局域网环境注重内部威胁；特别关注以考试院网络承载的业务数据，以高敏感数据为核心进行防范；同时要尽可能减少安全漏洞、阻止安全威胁、减小安全事件造成的损失，加强安全防范手段，通过保护、检测和响应和强化安全管理等行为把安全风险减轻到最低程度。最终保证网络及主机资源的可控性、可用性，以及信息资源的保密性、完整性、可用性及抗否认性。考试院信息安全管理体系的物理安全、网络安全、系统安全、数据安全等几个层次描述如下。

（1）物理安全：保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。考试院网络的物理安全主要包括以下几个方面：环境安全（网络中心机房）、设备安全(服务器和网络设备)和介质安全(存储介质)。

（2）网络安全：就是保障各种网络资源稳定、可靠地运行，同时要受控、合法地使用。具体包括：必须采取有效措施保护网络设备等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；网络接入应有备份线路；在各局部计算环境的边界区域、各计算环境局部网络进行多处防御；部署多种防御机制，每一种机制应该包括“保护”和“检测”措施；对于数据中心或其他重要的局部网络，划分VLAN分区保护；加强防止内部威胁的措施；采取措施使系统能够及时检测到安全漏洞和入侵，并能够及时作出反应；将网络管理数据与用户数据分离，以提高网络的可用性；对网络管理系统实施良好的配置管理策略，以便有助于灾后迅速恢复和使用新的安全措施。

（3）系统安全：包括操作系统安全和应用系统安全。所有的应用系统都运行在特定操作系统上，失去操作系统安全，应用系统就失去了安全基础。操作系统不同程度上都存在一些安全漏洞。针对应用系统的攻击，往往是防火墙等设备所无法控制的。所有应用系统和用户终端必须确保用户采用安全身份鉴别、访问控制以及审计措施。

（4）数据安全：采用分类数据保护策略。考试院处理的数据，主要分为公开、内部和高敏感数据三类。对这三类数据要采取相应的保护策略：高敏感数据的敏感度最高，与之相关的软硬件设施均是重点的安全防护的对象，应用系统应严格控制访问机密数据对象；对其它数据，应用系统应建立完善的访问控制策略，对各类用户或角色要按照“知其所必需”和“最低特权”的原则分配访问信息的权限。高敏感数据在传输过程中必须采用密码进行保护，所采用的密码算法应符合国家有关部门的要求。对于存储在计算机系统中的高敏感数据，要充分利用操作系统和数据库管理系统的安全控制策略进行保护，同时对重要数据可根据需要采取相应的密码技术进行加密保护。

3.4 北京教育考试院信息安全管理实践

按照国家信息系统等级保护的要求，考试院每年对3个三级信息系统进行一次等级保护测评，每两年对10个二级信息系统进行一次等级保护测评。通过等级保护测评工作，发现了现存系统中存在的一些风险点，按照对3级、2级信息系统的重要程度明确的制定出相应的保护措施，使考试院的信息系统满足等级化保护的具体要求，增加信息系统安全的规范性和有效性，提高客户的安全意识，增强网络的抗攻击能力，以保证对考试院各级信息系统的正常运转，对社会的正常和谐发展起到促进作用。

在2016年的中国互联网安全大会中，“协同联动、共建安全命运共同体”作为本次大会的主题，也体现了网络安全防范工作不只是单独一个部门所能完成的工作。为了提高抵御恶意攻击、处理各种突发事件的能力，考试院通过三方面手段建立网络安全应急处置机制。一是加强与网络安全部门的沟通，与网安文保总队、市教委信息中心建立密切的联动机制，重大活动前请相关部门去现场检查；二是完善信息安全监控手段，指定处内专人掌握360补天平台和乌云平台发布的最新漏洞，及时清除漏洞；三是加强关键敏感时段的人员值守,必要时采取暂停系统服务的手段。

根据ISO27001信息安全管理体系要求，考试院结合考试业务管理系统的硬软件、数据和网络等方面实际情况，提高工作人员的保密观念、责任心和安全意识，加强业务技术培训。最近一年组织院内6名信息技术同志参加清华大学的高校信息技术安全研修班，把握信息安全新形势，增强信息安全意识；还组织2名同志参加CISM注册信息安全员培训认证，逐步推行安全工作持证上岗，提高安全防范能力。

4 结论

国家教育考试信息安全工作关系到国家人才选拔的公平公正，关系到千万社会公众的切身利益，国家教育考试信息安全管理系统体系建设需要常抓不懈、需要不断改进和完善。作为省级教育考试管理部门，北京教育考试院在建立信息安全管理体系时，尝试以落实等级保护作为主线来推进组织的信息安全管理，同时，借鉴了ISO 27001的标准流程框架，将等级保护检查准则和ISO 27001标准的实施指南结合起来，相互借鉴共同实施。近几年，我院较好地完成了信息安全管理工作，未发生重大安全事故，对实现“专业化、多功能、服务型”的建院目标起到了保障支撑作用。当然，信息安全工作是一项永无止境的工作，只有不断加强信息安全管理体系建设，改进安全保障能力，实现螺旋式上升，才能满足国家教育招生考试工作需要。

[1]韩春梅． 基于ISO27001标准的计算机化考试信息安全防护策略设计[J]．中国考试，2013．

[2]马彪,王继东． 基于云平台的省级教育考试机构数据中心建设初探-以江苏教育考试院为例[J]．中国考试，2012．

[3]兰洁, 赵鑫． 清华大学:网络安全管理模式及防范体系[J]．中国教育装备，2015．

[4]谢宗晓，刘斌．ISO/IEC 27001与等级保护的整合应用指南[M]．北京：中国质检出版社、中国标准出版社，2015．

[5]万雅奇, 段立娟, 张书杰． 教育考试信息化系统中的安全问题研究 [J]．计算机应用研究，2015．

全国教育科学规划课题，DCA120191，国家教育考试考务管理信息化建设及关键技术研究。