基于ISO27001标准的计算机化考试信息安全防护策略设计

韩春梅

随着信息技术的迅猛发展和普遍运用，计算机化考试将代替纸笔考试，成为未来考试的主要手段。计算机化考试可以呈现高保真和高清晰度的图片、视频和音频资料，可以使用模拟技术和动画技术生动地模拟真实情境，使得现代考试的内容更丰富，形式更多样，考试成绩更能接近受试者的心理特质和真实能力水平。计算机化考试在节约大量人力物力的同时提高了数据采集的准确性和工作效率，但是也对信息化条件下的考试信息安全工作带来前所未有的挑战，一方面是新的运行模式下考试主管部门对相关涉密信息的存载、传输、使用面临的安全风险控制要求提高；另一方面管控对象从单一的信息内容扩展到多样化信息存载形式和基础设施，管控范围从保护单元信息安全，扩展到保护系统信息安全。因此，信息安全管理的体系化和专业化程度体现了考试机构管理的现代化和专业化水平。中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会联合发布的《信息技术安全技术信息安全管理体系要求》GB/T ISO/IEC 27001:2005（以下简称ISO27001）作为信息安全管理体系的国内和国际标准，为建立、实施、运行、监视、评审、保持和改进考试系统信息安全管理体系（Information Security Management System，ISMS）提供了一套详实可靠的规范体系，计算机化考试可依据ISO27001标准进行信息安全风险评估并设计和制定符合ISO27001标准的信息安全防护策略。[1]

1 信息安全风险分析

计算机化考试的信息高度依赖于网络进行收集和使用，如受试者个人信息收集、电子试卷存储、考试系统建立和维护、受试者作答记录、成绩生成、成绩发布等，每一个环节都存在信息安全风险，而这些环节的风险控制难度较大，主要原因有以下几个方面。

（1）考试系统信息安全的防护能力较弱。计算机化考试对信息技术和信息安全的专业化要求高，多数考试设计人员并非计算机专业人员，他们在计算机网络、信息安全技术手段、信息安全防护等方面的专业技能不能满足所施行考试的需要，而计算机化考试系统的维护人员对所施行考试的专业特点理解也有限，信息系统所提供的信息防护功能与考试信息安全要求的特殊性不能完全匹配，导致信息安全的整体防护能力弱。

（2）计算机化考试对信息系统的依赖程度高。计算机化考试信息系统一旦受到入侵、攻击，有可能直接破坏整个网络和信息系统，导致计算机化考试的中断或记录错误等严重后果，给受试者和考试机构带来不可挽回的损失。

（3）信息犯罪在我国有快速发展趋势。网络攻击已经从原始的技术炫耀逐渐转向利益驱动，恶意攻击计算机化考试系统、盗窃考试信息、篡改考试成绩并通过第三方平台销赃在内的不法行为屡禁不止。

（4）随着信息技术的进步，数据泄密渠道不断增多。大量与考试相关的信息可以通过U盘、智能手机等各种固定或移动设备通过互联网、WiFi等途径进行传输、携带、交换、处理和应用。泄密隐患增多，防范难度加大，增加了考试信息安全的管理难度。

2 ISO27001信息安全管理体系简介

考试信息安全体系建设是一项复杂的系统工程，内容涵盖物理安全、密码技术、主机安全、网络安全、应用安全等，任何一种单一的技术或产品都无法满足对信息安全的要求。只有将人、技术和管理有机地结合起来，建立符合信息安全管理国际标准的体系化信息安全策略才能提高整体的信息安全管理水平。建立符合标准要求的信息安全管理体系对计算机化考试具有重要的现实意义：一是在持久的信息安全基础上对计算机化考试相关的信息资产实现更充分的保护；二是通过保持结构化的信息安全综合架构来识别和评估信息安全风险，帮助计算机化考试选择和采取适当的控制措施，提高测量和改进这些措施的有效性；三是有效地实现对相关法律法规的合规性；四是持续地改进组织的信息安全受控环境。

建立信息安全管理体系要以国际或国家的相关标准为依据。ISO27001作为信息安全管理体系的国际标准，来源于英国标准协会（BSI）1995年制定的信息安全管理标准BS7799，2005年全部被我国国家标准化组织吸纳，目前由ISO/IEC JTC1下的IT安全技术分委员会SC27组织负责编制。ISO/IEC270001已经形成了标准族，包括基础和术语、信息安全管理体系要求、最佳实践、实施指南、度量和改进。其中，ISO27799:2008《健康信息应用ISO/IEC 27002时的医疗信息安全管理》为医疗部门提供了信息安全指引。在国内，公安部、国家保密局、国家密码管理局、国务院信息化办公室制定了《信息安全等级保护管理办法》。计算机化考试中的信息安全体系化建设需要遵循相关标准，进一步了解相关的过程、方法和实践，在建立体系化安全策略的活动中不断提升管理能力，更有效地保护计算机化考试的信息安全。

建立符合信息安全管理国际标准的信息安全管理体系应明确其核心和基础。建立体系化信息安全管理的目标是确保计算机化考试有效运作，它的核心是基于持续的风险评估，建立和实施体系化信息安全管理策略，并对运行进行监督、评审和改进。ISO27001信息安全管理过程的PDCA（Plan Do Check Action）模型见图1。

规划（Plan）：建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。在规划阶段，需要明确信息安全管理的范围和边界，如明确计算机化考试业务以及影响业务的安全风险，基于业务过程、应用的技术、管理模式、信息流模式和各相关方面的要求，哪些信息要保护？这些信息在生成、处理、传输/传递、使用、存储、销毁过程中涉及的相关资产有哪些？这些信息和相关资产需要保护到什么程度？适合的风险评估技术有哪些？分别可用于哪些过程？

实施（Do）：实施和运行ISMS方针、控制措施、过程和程序。全面实施信息安全管理体系，落实实施信息安全管理技术计划，执行信息安全管理控制措施，测试体系的有效性和稳定性。

检查（Check）：对照ISMS方针、目标和实践经验，评估并在适当时测量过程的执行情况，并将结果报告管理者以供评审。在检查阶段，需对处置实施监视、测量和持续改进。监视、测量包括管理性监视测量和技术性监视测量，要明确目的、范围，如测量方法、测量时间、测量执行者和测量数据应用等。各种测量的结果为改进措施提供输入，可能的改进措施包括：系统的更新或升级、管理流程的更新或升级、人员的持续教育等。

处置（保持和改进ISMS）：基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。在处置阶段，针对风险有选择地实施风险处置，包括确定风险处置的目标、处置计划和处置计划实施。一个可执行的处置计划应包括计划的任务内容、任务开展需要的职务权限和职责指派、技术方案和资金预算以及资源提供。

3 基于ISO27001标准的信息安全策略设计

通过建立系统化信息安全管理体系来保障信息安全是考试组织者的一项战略决策。在ISO27001标准及管理理念指导下设计计算机化考试体系信息安全策略时，需要考虑三个基本问题：一是哪些信息需要被保护，二是需要保护到什么程度，三是需要保护多久。计算机化考试的信息安全从防范策略上来讲，可以采用技术、管理和法律三大手段。

3.1 保护计算机化考试信息安全的技术手段

3.1.1 计算机化考试的安全域划分

图1 信息安全管理过程的PDCA模型

根据ISO27001信息安全管理体系对访问控制的要求，针对不同安全级别划分不同的安全区域。安全区域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。[2]典型的安全域划分为：核心域（包括承载关键业务的服务器系统、数据库系统和网络设备等）、公共域（包括内部办公系统、内部E-mail等系统和相关网络设备）、接入域（包括内部终端接入域、互联网接入域等）。在安全域的安全措施方面要进行如下考虑：利用防火墙技术实现安全域边界隔离与访问控制，通过在核心域、公共域等边界采用边界隔离防护设备，使用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术，对出入各区域网络的信息流进行全面的控制。[3]利用入侵检测/防御系统实现核心域、公共域等重点区域的恶意攻击防范。入侵防御系统是集访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析为一体的网络安全设备，可以提供更加完整的立体式网络安全防护。[4]

3.1.2 计算机化考试的多层次终端防护

通过保护多个位置、分层防御，同时考虑信息价值和安全管理的平衡，对计算机化考试的终端进行防护。[5]广义的终端泛指可以接触考试信息的所有计算设备，如办公PC、智能手机、PDA等。终端具有类型多、角色复杂、流动性强等特点，根据ISO27001信息安全管理体系设备安全的要求，预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰。在身份认证方面，可采用USB KEY的方式对用户身份进行有效认证，USB KEY中可以嵌入安全芯片控制模块，结合集成电路技术、密码技术、访问控制技术、智能IC卡技术、嵌入式操作系统等技术，从而提升PC机的安全性[6]。针对桌面系统的操作系统漏洞，在PC终端安装补丁自动检测、下发和安装，修复存在的安全漏洞。针对PC终端的应用安全，通过安装相关软件，监管桌面行为，包括限制非法打印行为、禁止U盘、移动硬盘等外部存储设备的使用和监控，避免内部保密数据通过终端泄露。同时，对内部的终端行为进行全面监管，检测并保障桌面系统的安全合规性，统一定制、下发安全策略和强制执行的机制，实现对桌面系统的管理和维护，保障桌面系统及涉密数据的安全。

3.1.3 电子知识文档的信息安全管理

根据ISO27001信息安全管理体系附录A12.4系统文档安全的要求，确保系统文档的安全。计算机化考试的大部分信息数据以电子文档的形式存在。这其中产生最有价值的信息资产大都是非结构化的，这些非结构化的信息代表着一个考试机构几十年来积累的知识和智力资产，如题库中的试题信息、图片、音频和视频文件等，它代表了考试机构在智力资产、时间和金钱上的巨大投入以及核心价值的积累。电子知识的保护首先需要细化文档数据的管理权限，在服务器端部署专门的文件保护措施。针对不同的权限、角色为不同的数据文件设置细粒度的访问权限。通过部署相关的配置，对这些知识文档的获取、审批、存储、保护和呈现都须经过严格的审批流程。对核心的数据文件的访问必须通过服务器的认证，实现无法获得认证时不能打开该文档，达到即使数据外泄，也能够有效地进行控制的目的。

3.1.4 提升密码技术

根据ISO27001信息安全管理体系附录A12.3加密控制的要求，通过加密手段来保护信息的保密性、真实性或完整性。密码加密与认证密码技术是网络安全最有效的技术之一，信息加密，可以有效保护网内的数据、文件、口令和控制信息，保护网上传输的数据。通过信息加密，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

3.1.5 保证数据的容灾

信息系统灾难恢复能力等级与恢复时间目标（RTO）和恢复点目标（RPO）具有一定的对应关系。[7]根据ISO27001信息安全管理体系附录A10.5备份的要求，保持信息和信息处理设施的完整性和可用性。将计算机系统、应用系统或硬盘中的数据定期地通过适当的形式保存到可脱机保存的介质（如移动硬盘、光盘或容灾存储系统）上，在需要时通过技术手段进行恢复，它是计算机化考试信息安全的保障。在做好数据备份的同时，还要制定应急处理计划，保证操作系统遭到破坏后能够迅速恢复这些数据。

3.1.6 Web安全防护措施

根据ISO27001信息安全管理体系附录A10.9电子商务服务的要求，Web网站作为与外部交互的计算机化考试网站，肩负宣传、信息发布、获取信息和交流的重要任务，也容易遭受各类Web攻击，如缓冲区溢出攻击，攻击者通过非法获得管理员权限，窃取信息，从而任意修改网站内容。攻击者还能利用网站的漏洞，使用SQL注入或跨站脚本进行攻击，可利用病毒、蠕虫、木马和间谍软件等恶意代码，破坏系统。在安全措施方面要对网站服务器安装专门的网页防纂改子系统，保护Web服务器的网页不被纂改；在Web区域前部署硬件设备，防止SQL语句注入，从而避免数据库服务器被黑客使用SQL语句注入的方式进行违法操作。

Section 3: Theoretical derivation of the imaging principles

3.1.7 定期进行信息安全的风险评估

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段。[8]根据ISO27001信息安全管理体系附录A12.6技术漏洞管理的要求，减少利用公开的技术漏洞带来的风险。计算机化考试后续安全策略与响应的弱化、系统的配置错误、安全风险的感知程度低、动态变化的应用环境有安全漏洞等，这些都是信息安全的风险。应当使用漏洞扫描系统对主机、网络设备及系统进行风险评估，通过使用安全性分析系统，及时发现系统中最薄弱的环节，检查报告网络及系统存在的弱点、漏洞与不安全配置，建议补救措施和安全策略，达到增强安全性的目的。[9]

3.2 保护计算机化考试信息安全的管理手段

3.2.1 强化计算机化考试工作人员的信息安全意识

根据ISO27001信息安全管理体系附录A8人力资源安全的要求，计算机用户管理部门应结合自身硬软件、数据和网络等方面实际情况，提高工作人员的保密观念、责任心和安全意识，加强业务技术培训。设置身份限制，对不同设备设置访问权限，各系统工作人员每人设置一个账号，并且每个账号设置口令，并要求定期进行更改口令。

3.2.2 制定符合计算机化考试特征的信息安全策略

3.2.3 建立和健全计算机化考试信息安全管理制度和操作规程制度

安全管理制度和操作规程制度是确保计算机化考试信息安全的关键。因此，建立和健全安全管理制度，确保所有的安全管理措施落到实处，比如机房管理制度、系统操作人员管理制度、终端病毒防护制度、设备管理维护制度等。制定详细的操作规程、规范和应急预案，确保信息系统的安全管理。

3.3 保护计算机化考试信息安全的法律手段

我国于1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》是我国信息安全领域内第一个全国性的行政法规，它标志我国的计算机安全工作开始走上规范化的法制轨道。《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《计算机病毒防治管理方法》等一系列法律法规的出台，成为企事业单位信息安全的有力保障。对于恶意侵犯信息安全的不法行为，应当坚决运用法律武器，制止侵犯行为，捍卫计算机化考试的信息安全。同时，考试机构应加强对考试工作人员的教育和培训，认真学习领会相关法律条款的精神和规定，从思想上真正认识到信息安全问题的重要性和必要性。落实工作人员的法律责任，建立健全合法性的责任追究制，明确机构、人员的职责和要求，从制度上规定各级人员需履行的责任和义务，避免出现相互推诿、责权不明等威胁信息安全的风险。

电子化考试是考试工作改革和发展的趋势。考试对教育本身而言发挥着评价和引导作用，对用人单位而言是录用、考核人才的常用手段，对参加考试的个体而言是客观地反映个人心理特质的途径。[10]因此，最大程度地保护电子化考试信息的安全，维护考试的公平和公正是考试机构的职责所在，是考试机构需要长期坚持的工作。利用权威的信息安全管理标准来评价考试信息和系统安全管理是否合规，并按照相关标准要求建立考试信息的安全管理体系，对考试机构而言具有重要的现实意义。

[1] 国家质量监督检验检疫总局，国家标准化管理委员会.GB/T 22080-2008/ISO/IEC 27001:2005，信息技术安全技术信息安全管理体系要求[S].北京：中国标准出版社.2008.

[2] 国家质量监督检验检疫总局，国家标准化管理委员会.GB/T 22240-2008，信息安全技术信息系统安全等级保护定级指南[S].北京：中国标准出版社.2008.

[3] 国家质量监督检验检疫总局，国家标准化管理委员会.GB/T 20281-2006，信息安全技术防火墙技术要求和测试评价办法[S].北京：中国标准出版社.2006.

[4] 国家质量监督检验检疫总局，国家标准化管理委员会.GB/T 20275-2006，信息安全技术入侵检测系统技术要求和测试评价办法[S].北京：中国标准出版社.2006.

[5] 美国国家安全局.信息保障技术框架IATF（Information Assurance Technical Framework）V3.1版[EB/OL].[2013-01-15].http://www.iatf.net.

[6] 国家质量监督检验检疫总局，国家标准化管理委员会.GB/T 21053-2007，信息安全技术公钥基础设施PKI系统安全等级保护技术要求[S].北京：中国标准出版社.2007.

[7] 国家质量监督检验检疫总局，国家标准化管理委员会.GB/T 20988-2007，信息安全技术信息系统灾难恢复规范[S].北京：中国标准出版社.2008.

[8] 国家质量监督检验检疫总局，国家标准化管理委员会.GB/T 20984-2007，信息安全技术信息安全风险评估规范[S].北京：中国标准出版社.2007.

[9] 国家质量监督检验检疫总局，国家标准化管理委员会.GB/T 20278-2006，信息安全技术网络脆弱性扫描产品技术要求[S].北京：中国标准出版社.2006.

[10] 王和军.试论教育考试制度创新需求与制约因素[J].中国考试，2009（2）：53-56.