一、 建设背景
考试不仅是个人发展的一条途径,而且关系国家安定、个人未来发展的大事,而阅卷则是考试的一个必要环节至关重要。当前,重要考试均采用网上阅卷方式,网上阅卷系统一般是将考生的答卷电子化后,在阅卷系统控制下在网络上发布,评分教师在计算机终端上对经过加密传输后的电子答卷进行评阅。
基于互联网的网上阅卷系统,不仅能有效降低评卷误差,提高评卷后期的工作效率,也为评分教师提供了较大的时间和空间的灵活性。但是在提供诸多便利的同时,新的问题随之出现。试题信息、学生信息和评卷分数等敏感信息在网络中传输,基于互联网的网络阅卷系统面临的安全形势越来越严峻:阅卷相关信息是否被拦截,是否被篡改,敏感信息是否被泄露,账号失窃、密码被盗造成评分教师被假冒,黑客入侵造成的系统失控,非法操作造成的行为不可追溯等信息安全问题都已经成为招生考试阅卷环节中不可避免的问题。
因此,如何保证阅卷相关信息传输的安全,如何保证评分教师的身份可信,如何保证考试成绩发布网站的安全,如何保证系统内重要敏感数据的存储安全。构建教育行业网络安全防护体系,构建可信、可控、可查的数据安全防护体系,提高信息安全防护能力和水平,实现网上阅卷相关信息的全方位、全过程有效监督成为教育管理者亟需解决的问题。
二、 系统现状
网上阅卷已经逐渐替代手工阅卷,成为我国大规模考试的主流评卷方式。目前,我国全部的省市(区)考试机构在中考、高考、成人高考、自学考试及研究生招生考试中已经实施了全部或部分科目的网上阅卷。下图所示为传统的网上阅卷系统的网络模型,从中我们可以看出以下几点:
(一) 阅卷信息明文传输
网上阅卷均为异地阅卷,阅卷场地分布在不同的学校专设阅卷场地。各评分教师用阅卷专用计算机通过教育专网连接位于教育局的阅卷系统,登录网上阅卷系统进行评分阅卷。从图中可以看出,教育局与各评分点之间的网络中的数据无安全防护,考试阅卷系统客户端与服务器之间无专用的加密通道进行信息传输。这样的网络给同样在教育专网内的其他不法分子造成可乘之机,阅卷信息在传输途中存在被截获、被篡改的风险。
(二) 缺乏安全有效的身份认证机制
目前,大部分网上考试阅卷系统登录方式还在采用“账户+口令”的方式登录系统,由于这种登录方式账户和口令易丢失的特性,不法分子在获取账户和口令之后完全可以以合法身份登录阅卷系统,冒充评分教师进行考试评分。因此这种方式无法保证登录评分教师的身份可信。
(三) 招生考试网站缺少安全防护
招生考试信息网是对外发布考试信息和进行考试成绩查询的主要网站,缺少对网站安全防护方面的网站存在被假冒和挂马的风险,发布的考试成绩存在被不发分子篡改的风险,这些都会造成不必要的麻烦,甚至引发群体性事件。
(四) 重要敏感信息保护
目前,市场上大多数网上阅卷系统对系统内重要敏感信息采用明文方式存储在数据库中,一旦数据库管理员账号信息被泄漏,黑客入侵数据库成功,很容易对重要敏感数据进行窃取或篡改,数据的安全性得不到有效保障。同时,网上阅卷系统中重要的统计报表几乎都以明文方式进行显现,非授权人员可通过屏幕截图、手机拍照等方式获取统计数据,因此有必要对统计数据的呈现进行安全管控。
三、 解决方案
(一) 方案概述
针对网上阅卷系统存在的信息安全问题,山东渔翁信息技术股份有限公司以自主研发的国产密码技术为核心,提供一套基于国产密码技术的阅卷安全保障系统解决方案,该方案可为网上阅卷系统提供统一身份认证、数据加密传输、网站防篡改、数据安全存储等一站式网络与信息安全服务,从用户安全注册预登陆,信息安全传输,系统门户网站安全加固、数据库存储安全加固等几个方面提供全方位信息安全防护服务,从而形成网上阅卷系统数据在全网的可控、可信、可管、可监督和可追溯。
(二) 网络架构
山东渔翁信息技术股份有限公司的基于国产密码技术的阅卷安全保障系统解决方案的网络拓扑示意图如上图所示。本方案由身份认证系统、网页防篡改系统、数据库安全网关组成,在保证网络安全通信的同时做到操作安全简单、不需要二次开发即可达到效果。
如上图所示,本方案对原有的网络架构基本不做改动。在教育局数据的阅卷系统网络前增加国密SSL VPN设备后即可形成加密链路,阅卷数据加密后在教育专网中进行传输,从而保证信息的安全。
通过部署身份认证系统,为每一个评分教师和管理人员配发智能密码钥匙,即可保证有权限的人员才能够使用加密链路。智能密码钥匙的权限提前设定,并有自己的登录密码,再配合阅卷系统的“账户+口令”登录,形成“双因子”认证,有效保障用户可信身份的认证。
通过部署网页防篡改系统,对招生考试网进行安全加固,防止恶意攻击和篡改网页信息,实时监控网站和及时复原正确的网站内容,确保网站安全、可靠和稳定运行。
通过在存储数据库服务器前端部署数据库安全网关,可对非授权用户访问数据库进行有效阻断,对指定的数据库内数据项提供加密服务,以密文方式进行存储,配合网上阅卷系统可实现各类统计报表中重要敏感信息以“****”形式进行隐藏显示。
(三) 可信身份认证
身份认证系统为用户提供基于数字证书和USBKey的“双因子”强身份认证服务。需配合智能密码钥匙USBKey进行使用,实现市教育局招生考试办公室、学校等用户统一的身份管理与授权管理,保障用户身份可信及安全访问。
工作流程如下:
(1) 用户插入Ukey,刷新系统登录页面。
(2) 客户端向服务器提交访问请求。
(3) 服务器首先调用身份认证模块来验证客户端的身份是否合法,如果验证通过则调用访问控制模块返回该用户所能够访问的资源列表。其中权限是用户所代表的每一个角色所具有的权限集合。
(4) 用户选择资源进行访问,即将用户的请求数据从SSL隧道传输到服务器端。
(5) 服务器端接收用户的请求数据并调用数据检测模块进行检测,如果检测中发现非法的访问数据将转向访问控制模块,对该用户所具有的权限进行分级调整撤销该用户对当前资源的访问或执行权限。
(6) 如果请求数据在数据检测模块中未发现异常,则通过系统的请求转发模块为用户请求响应的资源。
(7) 系统的请求转发模块将内网资源返回的数据送到SSL 隧道中传输给客户端。
(四) 网站安全防护
包含监控代理、同步代理和管理中心三部分,具有阻止文件被恶意篡改、识别并阻断常见的应用层攻击、文件层安全加固等功能,可防止网站和应用系统文件被恶意篡改,同时弥补防护规则总是滞后于漏洞的短板。
1) 监控与恢复
针对网站文件安全的保障机制,实时监控网站文件的变更,防止非法页面被展示,并对受到破坏的页面文件进行实时的自动恢复。此外,对所有互联网访问进行内容过滤,以确保发布内容的正确性、权威性。
2) 同步与备份
与各类网站发布方式(如FTP、CMS 等)无缝集成,确保网站内容正常更新维护的自动化、实时性。同时,提供网站备份的能力,以便保障系统实施过程中的初始化可以在不借助第三方软件的情况下顺利进行。
3) 告警与应急响应
支持声音、电子邮件、手机短信等多种告警模式,提供灵活完善的告警策略定制机制。针对网站进行的各类篡改企图或篡改操作,实时地以告警的方式提交给网站管理人员。针对告警预警,系统提供应急响应能力,并支持处理流程及策略的灵活设置。
4) 动态防护
提供了全面防御WEB应用层攻击的完善功能,包括SQL注入防护、跨站攻击防护、危险命令防护等。采用规则的内核过滤技术加固WEB站点,通过对关键信息的检查验证,能够有效抵御黑客的各种攻击手段。
5) 安全统一监管
针对当前诸多行业或机构网站分布部署的现状,系统通过监管平台SP为用户提供跨互联网的、多层级的安全事件统一监管功能。这不仅降低了分布式网站安全管理方面的难度和成本,同时也极大地提高了管理效能。
6) 威胁分析与报告
基于详尽的安全信息,系统提供灵活的查询统计,支持列表、图表等多种展示方式,便于管理人员直观全面的了解网站安全和系统运行状况。同时,系统具备一定的事件关联与分析能力,能够为管理者及时提供网站运维、安全审计和威胁分析等多业务视角的数据报告,支持pdf、word、html格式。
(五) 重要敏感数据保护
1) 数据库管理
数据库操作包括数据库连接设置和用户表权限设置。数据库连接设置主要包括数据库安全用户的初始化创建、修改、删除、连接及断开。用户表权限设置主要包括加密列的配置和用户的对加密列的权限设置。加密列配置有加密算法、加密模式、加密密钥号、是否索引,用户权限设置有对加密列的读、写权限。
2) 日志管理
日志管理包括已接入的数据库日志等级设置、下载、清空等操作,数据库安全网关系统日志等级设置、下载、清空等操作,以及数据库安全网关操作日志查询、审计等操作。
日志级别主要分为FATAL:非常严重,ERROR:错误,WARN:警告,INFO:一般信息,DEBUG:一般调试信息。
3) 密钥管理
密钥管理主要包括密钥的生成、删除及密钥的使用情况。
4) 权限管理
权限管理功能主要是进行数据库安全网关操作员的相关操作。数据库安全网关操作员根据角色进行权限授权,管理员可根据实际情况创建相应的操作员,分配系统的管理功能。
5) 系统管理
系统管理功能主要是进行数据库安全网关服务器初始化配置、数据备份恢复、双机热备配置、系统升级等相关操作。
四、方案特点
1.不改变现有网络结构
本方案对原有的网络架构基本不做改动。在每个评分点增加链路数据加密服务器,在教育局数据的阅卷系统网络前增加链路加密服务器后即可形成加密链路,阅卷信息在加密的专用链路中进行传输,从而保证信息的安全。
2.不对阅卷系统做二次开发
本方案不对原有的阅卷系统做二次开发,通过服务代理方式进行,只有先通过身份认证建立加密通道后,才能访问网上阅卷系统,登陆阅卷系统依然使用原来的账户和密码即可。
3.易改造、部署快
基于以上两点,既不用对用户已有的网络架构做大的改动,又不需要进行阅卷系统的二次开发,因此本方案具有易改造、部署快的特点。百人阅卷规模2天即可改造部署完成。
4.重要敏感信息的可管可控
基于专用的数据库安全网关,为网上阅卷系统提供重要敏感数据加密存储服务、基于国产密码技术的数据库访问控制服务,关键统计信息安全显示服务,满足管理部门和校方领导对重要敏感信息的安全可控管理需求。
五、 方案设备清单
