基于ISO27001標(biāo)準(zhǔn)的計(jì)算機(jī)化考試信息安全防護(hù)策略設(shè)計(jì)

韓春梅

隨著信息技術(shù)的迅猛發(fā)展和普遍運(yùn)用，計(jì)算機(jī)化考試將代替紙筆考試，成為未來考試的主要手段。計(jì)算機(jī)化考試可以呈現(xiàn)高保真和高清晰度的圖片、視頻和音頻資料，可以使用模擬技術(shù)和動(dòng)畫技術(shù)生動(dòng)地模擬真實(shí)情境，使得現(xiàn)代考試的內(nèi)容更豐富，形式更多樣，考試成績(jī)更能接近受試者的心理特質(zhì)和真實(shí)能力水平。計(jì)算機(jī)化考試在節(jié)約大量人力物力的同時(shí)提高了數(shù)據(jù)采集的準(zhǔn)確性和工作效率，但是也對(duì)信息化條件下的考試信息安全工作帶來前所未有的挑戰(zhàn)，一方面是新的運(yùn)行模式下考試主管部門對(duì)相關(guān)涉密信息的存載、傳輸、使用面臨的安全風(fēng)險(xiǎn)控制要求提高；另一方面管控對(duì)象從單一的信息內(nèi)容擴(kuò)展到多樣化信息存載形式和基礎(chǔ)設(shè)施，管控范圍從保護(hù)單元信息安全，擴(kuò)展到保護(hù)系統(tǒng)信息安全。因此，信息安全管理的體系化和專業(yè)化程度體現(xiàn)了考試機(jī)構(gòu)管理的現(xiàn)代化和專業(yè)化水平。中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布的《信息技術(shù)安全技術(shù)信息安全管理體系要求》GB/T ISO/IEC 27001:2005（以下簡(jiǎn)稱ISO27001）作為信息安全管理體系的國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)考試系統(tǒng)信息安全管理體系（Information Security Management System，ISMS）提供了一套詳實(shí)可靠的規(guī)范體系，計(jì)算機(jī)化考試可依據(jù)ISO27001標(biāo)準(zhǔn)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估并設(shè)計(jì)和制定符合ISO27001標(biāo)準(zhǔn)的信息安全防護(hù)策略。[1]

1 信息安全風(fēng)險(xiǎn)分析

計(jì)算機(jī)化考試的信息高度依賴于網(wǎng)絡(luò)進(jìn)行收集和使用，如受試者個(gè)人信息收集、電子試卷存儲(chǔ)、考試系統(tǒng)建立和維護(hù)、受試者作答記錄、成績(jī)生成、成績(jī)發(fā)布等，每一個(gè)環(huán)節(jié)都存在信息安全風(fēng)險(xiǎn)，而這些環(huán)節(jié)的風(fēng)險(xiǎn)控制難度較大，主要原因有以下幾個(gè)方面。

（1）考試系統(tǒng)信息安全的防護(hù)能力較弱。計(jì)算機(jī)化考試對(duì)信息技術(shù)和信息安全的專業(yè)化要求高，多數(shù)考試設(shè)計(jì)人員并非計(jì)算機(jī)專業(yè)人員，他們?cè)谟?jì)算機(jī)網(wǎng)絡(luò)、信息安全技術(shù)手段、信息安全防護(hù)等方面的專業(yè)技能不能滿足所施行考試的需要，而計(jì)算機(jī)化考試系統(tǒng)的維護(hù)人員對(duì)所施行考試的專業(yè)特點(diǎn)理解也有限，信息系統(tǒng)所提供的信息防護(hù)功能與考試信息安全要求的特殊性不能完全匹配，導(dǎo)致信息安全的整體防護(hù)能力弱。

（2）計(jì)算機(jī)化考試對(duì)信息系統(tǒng)的依賴程度高。計(jì)算機(jī)化考試信息系統(tǒng)一旦受到入侵、攻擊，有可能直接破壞整個(gè)網(wǎng)絡(luò)和信息系統(tǒng)，導(dǎo)致計(jì)算機(jī)化考試的中斷或記錄錯(cuò)誤等嚴(yán)重后果，給受試者和考試機(jī)構(gòu)帶來不可挽回的損失。

（3）信息犯罪在我國(guó)有快速發(fā)展趨勢(shì)。網(wǎng)絡(luò)攻擊已經(jīng)從原始的技術(shù)炫耀逐漸轉(zhuǎn)向利益驅(qū)動(dòng)，惡意攻擊計(jì)算機(jī)化考試系統(tǒng)、盜竊考試信息、篡改考試成績(jī)并通過第三方平臺(tái)銷贓在內(nèi)的不法行為屢禁不止。

（4）隨著信息技術(shù)的進(jìn)步，數(shù)據(jù)泄密渠道不斷增多。大量與考試相關(guān)的信息可以通過U盤、智能手機(jī)等各種固定或移動(dòng)設(shè)備通過互聯(lián)網(wǎng)、WiFi等途徑進(jìn)行傳輸、攜帶、交換、處理和應(yīng)用。泄密隱患增多，防范難度加大，增加了考試信息安全的管理難度。

2 ISO27001信息安全管理體系簡(jiǎn)介

考試信息安全體系建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，內(nèi)容涵蓋物理安全、密碼技術(shù)、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等，任何一種單一的技術(shù)或產(chǎn)品都無法滿足對(duì)信息安全的要求。只有將人、技術(shù)和管理有機(jī)地結(jié)合起來，建立符合信息安全管理國(guó)際標(biāo)準(zhǔn)的體系化信息安全策略才能提高整體的信息安全管理水平。建立符合標(biāo)準(zhǔn)要求的信息安全管理體系對(duì)計(jì)算機(jī)化考試具有重要的現(xiàn)實(shí)意義：一是在持久的信息安全基礎(chǔ)上對(duì)計(jì)算機(jī)化考試相關(guān)的信息資產(chǎn)實(shí)現(xiàn)更充分的保護(hù)；二是通過保持結(jié)構(gòu)化的信息安全綜合架構(gòu)來識(shí)別和評(píng)估信息安全風(fēng)險(xiǎn)，幫助計(jì)算機(jī)化考試選擇和采取適當(dāng)?shù)目刂拼胧?，提高測(cè)量和改進(jìn)這些措施的有效性；三是有效地實(shí)現(xiàn)對(duì)相關(guān)法律法規(guī)的合規(guī)性；四是持續(xù)地改進(jìn)組織的信息安全受控環(huán)境。

建立信息安全管理體系要以國(guó)際或國(guó)家的相關(guān)標(biāo)準(zhǔn)為依據(jù)。ISO27001作為信息安全管理體系的國(guó)際標(biāo)準(zhǔn)，來源于英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）1995年制定的信息安全管理標(biāo)準(zhǔn)BS7799，2005年全部被我國(guó)國(guó)家標(biāo)準(zhǔn)化組織吸納，目前由ISO/IEC JTC1下的IT安全技術(shù)分委員會(huì)SC27組織負(fù)責(zé)編制。ISO/IEC270001已經(jīng)形成了標(biāo)準(zhǔn)族，包括基礎(chǔ)和術(shù)語、信息安全管理體系要求、最佳實(shí)踐、實(shí)施指南、度量和改進(jìn)。其中，ISO27799:2008《健康信息應(yīng)用ISO/IEC 27002時(shí)的醫(yī)療信息安全管理》為醫(yī)療部門提供了信息安全指引。在國(guó)內(nèi)，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化辦公室制定了《信息安全等級(jí)保護(hù)管理辦法》。計(jì)算機(jī)化考試中的信息安全體系化建設(shè)需要遵循相關(guān)標(biāo)準(zhǔn)，進(jìn)一步了解相關(guān)的過程、方法和實(shí)踐，在建立體系化安全策略的活動(dòng)中不斷提升管理能力，更有效地保護(hù)計(jì)算機(jī)化考試的信息安全。

建立符合信息安全管理國(guó)際標(biāo)準(zhǔn)的信息安全管理體系應(yīng)明確其核心和基礎(chǔ)。建立體系化信息安全管理的目標(biāo)是確保計(jì)算機(jī)化考試有效運(yùn)作，它的核心是基于持續(xù)的風(fēng)險(xiǎn)評(píng)估，建立和實(shí)施體系化信息安全管理策略，并對(duì)運(yùn)行進(jìn)行監(jiān)督、評(píng)審和改進(jìn)。ISO27001信息安全管理過程的PDCA（Plan Do Check Action）模型見圖1。

規(guī)劃（Plan）：建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。在規(guī)劃階段，需要明確信息安全管理的范圍和邊界，如明確計(jì)算機(jī)化考試業(yè)務(wù)以及影響業(yè)務(wù)的安全風(fēng)險(xiǎn)，基于業(yè)務(wù)過程、應(yīng)用的技術(shù)、管理模式、信息流模式和各相關(guān)方面的要求，哪些信息要保護(hù)？這些信息在生成、處理、傳輸/傳遞、使用、存儲(chǔ)、銷毀過程中涉及的相關(guān)資產(chǎn)有哪些？這些信息和相關(guān)資產(chǎn)需要保護(hù)到什么程度？適合的風(fēng)險(xiǎn)評(píng)估技術(shù)有哪些？分別可用于哪些過程？

實(shí)施（Do）：實(shí)施和運(yùn)行ISMS方針、控制措施、過程和程序。全面實(shí)施信息安全管理體系，落實(shí)實(shí)施信息安全管理技術(shù)計(jì)劃，執(zhí)行信息安全管理控制措施，測(cè)試體系的有效性和穩(wěn)定性。

檢查（Check）：對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)測(cè)量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。在檢查階段，需對(duì)處置實(shí)施監(jiān)視、測(cè)量和持續(xù)改進(jìn)。監(jiān)視、測(cè)量包括管理性監(jiān)視測(cè)量和技術(shù)性監(jiān)視測(cè)量，要明確目的、范圍，如測(cè)量方法、測(cè)量時(shí)間、測(cè)量執(zhí)行者和測(cè)量數(shù)據(jù)應(yīng)用等。各種測(cè)量的結(jié)果為改進(jìn)措施提供輸入，可能的改進(jìn)措施包括：系統(tǒng)的更新或升級(jí)、管理流程的更新或升級(jí)、人員的持續(xù)教育等。

處置（保持和改進(jìn)ISMS）：基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。在處置階段，針對(duì)風(fēng)險(xiǎn)有選擇地實(shí)施風(fēng)險(xiǎn)處置，包括確定風(fēng)險(xiǎn)處置的目標(biāo)、處置計(jì)劃和處置計(jì)劃實(shí)施。一個(gè)可執(zhí)行的處置計(jì)劃應(yīng)包括計(jì)劃的任務(wù)內(nèi)容、任務(wù)開展需要的職務(wù)權(quán)限和職責(zé)指派、技術(shù)方案和資金預(yù)算以及資源提供。

3 基于ISO27001標(biāo)準(zhǔn)的信息安全策略設(shè)計(jì)

通過建立系統(tǒng)化信息安全管理體系來保障信息安全是考試組織者的一項(xiàng)戰(zhàn)略決策。在ISO27001標(biāo)準(zhǔn)及管理理念指導(dǎo)下設(shè)計(jì)計(jì)算機(jī)化考試體系信息安全策略時(shí)，需要考慮三個(gè)基本問題：一是哪些信息需要被保護(hù)，二是需要保護(hù)到什么程度，三是需要保護(hù)多久。計(jì)算機(jī)化考試的信息安全從防范策略上來講，可以采用技術(shù)、管理和法律三大手段。

3.1 保護(hù)計(jì)算機(jī)化考試信息安全的技術(shù)手段

3.1.1 計(jì)算機(jī)化考試的安全域劃分

圖1 信息安全管理過程的PDCA模型

根據(jù)ISO27001信息安全管理體系對(duì)訪問控制的要求，針對(duì)不同安全級(jí)別劃分不同的安全區(qū)域。安全區(qū)域的劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等。[2]典型的安全域劃分為：核心域（包括承載關(guān)鍵業(yè)務(wù)的服務(wù)器系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和網(wǎng)絡(luò)設(shè)備等）、公共域（包括內(nèi)部辦公系統(tǒng)、內(nèi)部E-mail等系統(tǒng)和相關(guān)網(wǎng)絡(luò)設(shè)備）、接入域（包括內(nèi)部終端接入域、互聯(lián)網(wǎng)接入域等）。在安全域的安全措施方面要進(jìn)行如下考慮：利用防火墻技術(shù)實(shí)現(xiàn)安全域邊界隔離與訪問控制，通過在核心域、公共域等邊界采用邊界隔離防護(hù)設(shè)備，使用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，對(duì)出入各區(qū)域網(wǎng)絡(luò)的信息流進(jìn)行全面的控制。[3]利用入侵檢測(cè)/防御系統(tǒng)實(shí)現(xiàn)核心域、公共域等重點(diǎn)區(qū)域的惡意攻擊防范。入侵防御系統(tǒng)是集訪問控制、透明代理、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報(bào)文完整性分析為一體的網(wǎng)絡(luò)安全設(shè)備，可以提供更加完整的立體式網(wǎng)絡(luò)安全防護(hù)。[4]

3.1.2 計(jì)算機(jī)化考試的多層次終端防護(hù)

通過保護(hù)多個(gè)位置、分層防御，同時(shí)考慮信息價(jià)值和安全管理的平衡，對(duì)計(jì)算機(jī)化考試的終端進(jìn)行防護(hù)。[5]廣義的終端泛指可以接觸考試信息的所有計(jì)算設(shè)備，如辦公PC、智能手機(jī)、PDA等。終端具有類型多、角色復(fù)雜、流動(dòng)性強(qiáng)等特點(diǎn)，根據(jù)ISO27001信息安全管理體系設(shè)備安全的要求，預(yù)防資產(chǎn)的丟失、損壞或被盜，以及對(duì)組織業(yè)務(wù)活動(dòng)的干擾。在身份認(rèn)證方面，可采用USB KEY的方式對(duì)用戶身份進(jìn)行有效認(rèn)證，USB KEY中可以嵌入安全芯片控制模塊，結(jié)合集成電路技術(shù)、密碼技術(shù)、訪問控制技術(shù)、智能IC卡技術(shù)、嵌入式操作系統(tǒng)等技術(shù)，從而提升PC機(jī)的安全性[6]。針對(duì)桌面系統(tǒng)的操作系統(tǒng)漏洞，在PC終端安裝補(bǔ)丁自動(dòng)檢測(cè)、下發(fā)和安裝，修復(fù)存在的安全漏洞。針對(duì)PC終端的應(yīng)用安全，通過安裝相關(guān)軟件，監(jiān)管桌面行為，包括限制非法打印行為、禁止U盤、移動(dòng)硬盤等外部存儲(chǔ)設(shè)備的使用和監(jiān)控，避免內(nèi)部保密數(shù)據(jù)通過終端泄露。同時(shí)，對(duì)內(nèi)部的終端行為進(jìn)行全面監(jiān)管，檢測(cè)并保障桌面系統(tǒng)的安全合規(guī)性，統(tǒng)一定制、下發(fā)安全策略和強(qiáng)制執(zhí)行的機(jī)制，實(shí)現(xiàn)對(duì)桌面系統(tǒng)的管理和維護(hù)，保障桌面系統(tǒng)及涉密數(shù)據(jù)的安全。

3.1.3 電子知識(shí)文檔的信息安全管理

根據(jù)ISO27001信息安全管理體系附錄A12.4系統(tǒng)文檔安全的要求，確保系統(tǒng)文檔的安全。計(jì)算機(jī)化考試的大部分信息數(shù)據(jù)以電子文檔的形式存在。這其中產(chǎn)生最有價(jià)值的信息資產(chǎn)大都是非結(jié)構(gòu)化的，這些非結(jié)構(gòu)化的信息代表著一個(gè)考試機(jī)構(gòu)幾十年來積累的知識(shí)和智力資產(chǎn)，如題庫中的試題信息、圖片、音頻和視頻文件等，它代表了考試機(jī)構(gòu)在智力資產(chǎn)、時(shí)間和金錢上的巨大投入以及核心價(jià)值的積累。電子知識(shí)的保護(hù)首先需要細(xì)化文檔數(shù)據(jù)的管理權(quán)限，在服務(wù)器端部署專門的文件保護(hù)措施。針對(duì)不同的權(quán)限、角色為不同的數(shù)據(jù)文件設(shè)置細(xì)粒度的訪問權(quán)限。通過部署相關(guān)的配置，對(duì)這些知識(shí)文檔的獲取、審批、存儲(chǔ)、保護(hù)和呈現(xiàn)都須經(jīng)過嚴(yán)格的審批流程。對(duì)核心的數(shù)據(jù)文件的訪問必須通過服務(wù)器的認(rèn)證，實(shí)現(xiàn)無法獲得認(rèn)證時(shí)不能打開該文檔，達(dá)到即使數(shù)據(jù)外泄，也能夠有效地進(jìn)行控制的目的。

3.1.4 提升密碼技術(shù)

根據(jù)ISO27001信息安全管理體系附錄A12.3加密控制的要求，通過加密手段來保護(hù)信息的保密性、真實(shí)性或完整性。密碼加密與認(rèn)證密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一，信息加密，可以有效保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。通過信息加密，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法之一。

3.1.5 保證數(shù)據(jù)的容災(zāi)

信息系統(tǒng)災(zāi)難恢復(fù)能力等級(jí)與恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）具有一定的對(duì)應(yīng)關(guān)系。[7]根據(jù)ISO27001信息安全管理體系附錄A10.5備份的要求，保持信息和信息處理設(shè)施的完整性和可用性。將計(jì)算機(jī)系統(tǒng)、應(yīng)用系統(tǒng)或硬盤中的數(shù)據(jù)定期地通過適當(dāng)?shù)男问奖４娴娇擅摍C(jī)保存的介質(zhì)（如移動(dòng)硬盤、光盤或容災(zāi)存儲(chǔ)系統(tǒng)）上，在需要時(shí)通過技術(shù)手段進(jìn)行恢復(fù)，它是計(jì)算機(jī)化考試信息安全的保障。在做好數(shù)據(jù)備份的同時(shí)，還要制定應(yīng)急處理計(jì)劃，保證操作系統(tǒng)遭到破壞后能夠迅速恢復(fù)這些數(shù)據(jù)。

3.1.6 Web安全防護(hù)措施

根據(jù)ISO27001信息安全管理體系附錄A10.9電子商務(wù)服務(wù)的要求，Web網(wǎng)站作為與外部交互的計(jì)算機(jī)化考試網(wǎng)站，肩負(fù)宣傳、信息發(fā)布、獲取信息和交流的重要任務(wù)，也容易遭受各類Web攻擊，如緩沖區(qū)溢出攻擊，攻擊者通過非法獲得管理員權(quán)限，竊取信息，從而任意修改網(wǎng)站內(nèi)容。攻擊者還能利用網(wǎng)站的漏洞，使用SQL注入或跨站腳本進(jìn)行攻擊，可利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼，破壞系統(tǒng)。在安全措施方面要對(duì)網(wǎng)站服務(wù)器安裝專門的網(wǎng)頁防纂改子系統(tǒng)，保護(hù)Web服務(wù)器的網(wǎng)頁不被纂改；在Web區(qū)域前部署硬件設(shè)備，防止SQL語句注入，從而避免數(shù)據(jù)庫服務(wù)器被黑客使用SQL語句注入的方式進(jìn)行違法操作。

Section 3: Theoretical derivation of the imaging principles

3.1.7 定期進(jìn)行信息安全的風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，要貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段。[8]根據(jù)ISO27001信息安全管理體系附錄A12.6技術(shù)漏洞管理的要求，減少利用公開的技術(shù)漏洞帶來的風(fēng)險(xiǎn)。計(jì)算機(jī)化考試后續(xù)安全策略與響應(yīng)的弱化、系統(tǒng)的配置錯(cuò)誤、安全風(fēng)險(xiǎn)的感知程度低、動(dòng)態(tài)變化的應(yīng)用環(huán)境有安全漏洞等，這些都是信息安全的風(fēng)險(xiǎn)。應(yīng)當(dāng)使用漏洞掃描系統(tǒng)對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備及系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過使用安全性分析系統(tǒng)，及時(shí)發(fā)現(xiàn)系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報(bào)告網(wǎng)絡(luò)及系統(tǒng)存在的弱點(diǎn)、漏洞與不安全配置，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)安全性的目的。[9]

3.2 保護(hù)計(jì)算機(jī)化考試信息安全的管理手段

3.2.1 強(qiáng)化計(jì)算機(jī)化考試工作人員的信息安全意識(shí)

根據(jù)ISO27001信息安全管理體系附錄A8人力資源安全的要求，計(jì)算機(jī)用戶管理部門應(yīng)結(jié)合自身硬軟件、數(shù)據(jù)和網(wǎng)絡(luò)等方面實(shí)際情況，提高工作人員的保密觀念、責(zé)任心和安全意識(shí)，加強(qiáng)業(yè)務(wù)技術(shù)培訓(xùn)。設(shè)置身份限制，對(duì)不同設(shè)備設(shè)置訪問權(quán)限，各系統(tǒng)工作人員每人設(shè)置一個(gè)賬號(hào)，并且每個(gè)賬號(hào)設(shè)置口令，并要求定期進(jìn)行更改口令。

3.2.2 制定符合計(jì)算機(jī)化考試特征的信息安全策略

3.2.3 建立和健全計(jì)算機(jī)化考試信息安全管理制度和操作規(guī)程制度

安全管理制度和操作規(guī)程制度是確保計(jì)算機(jī)化考試信息安全的關(guān)鍵。因此，建立和健全安全管理制度，確保所有的安全管理措施落到實(shí)處，比如機(jī)房管理制度、系統(tǒng)操作人員管理制度、終端病毒防護(hù)制度、設(shè)備管理維護(hù)制度等。制定詳細(xì)的操作規(guī)程、規(guī)范和應(yīng)急預(yù)案，確保信息系統(tǒng)的安全管理。

3.3 保護(hù)計(jì)算機(jī)化考試信息安全的法律手段

我國(guó)于1994年2月頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》是我國(guó)信息安全領(lǐng)域內(nèi)第一個(gè)全國(guó)性的行政法規(guī)，它標(biāo)志我國(guó)的計(jì)算機(jī)安全工作開始走上規(guī)范化的法制軌道?！吨腥A人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理?xiàng)l例》、《計(jì)算機(jī)病毒防治管理方法》等一系列法律法規(guī)的出臺(tái)，成為企事業(yè)單位信息安全的有力保障。對(duì)于惡意侵犯信息安全的不法行為，應(yīng)當(dāng)堅(jiān)決運(yùn)用法律武器，制止侵犯行為，捍衛(wèi)計(jì)算機(jī)化考試的信息安全。同時(shí)，考試機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)考試工作人員的教育和培訓(xùn)，認(rèn)真學(xué)習(xí)領(lǐng)會(huì)相關(guān)法律條款的精神和規(guī)定，從思想上真正認(rèn)識(shí)到信息安全問題的重要性和必要性。落實(shí)工作人員的法律責(zé)任，建立健全合法性的責(zé)任追究制，明確機(jī)構(gòu)、人員的職責(zé)和要求，從制度上規(guī)定各級(jí)人員需履行的責(zé)任和義務(wù)，避免出現(xiàn)相互推諉、責(zé)權(quán)不明等威脅信息安全的風(fēng)險(xiǎn)。

電子化考試是考試工作改革和發(fā)展的趨勢(shì)?？荚噷?duì)教育本身而言發(fā)揮著評(píng)價(jià)和引導(dǎo)作用，對(duì)用人單位而言是錄用、考核人才的常用手段，對(duì)參加考試的個(gè)體而言是客觀地反映個(gè)人心理特質(zhì)的途徑。[10]因此，最大程度地保護(hù)電子化考試信息的安全，維護(hù)考試的公平和公正是考試機(jī)構(gòu)的職責(zé)所在，是考試機(jī)構(gòu)需要長(zhǎng)期堅(jiān)持的工作。利用權(quán)威的信息安全管理標(biāo)準(zhǔn)來評(píng)價(jià)考試信息和系統(tǒng)安全管理是否合規(guī)，并按照相關(guān)標(biāo)準(zhǔn)要求建立考試信息的安全管理體系，對(duì)考試機(jī)構(gòu)而言具有重要的現(xiàn)實(shí)意義。

[1] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 22080-2008/ISO/IEC 27001:2005，信息技術(shù)安全技術(shù)信息安全管理體系要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社.2008.

[2] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 22240-2008，信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南[S].北京：中國(guó)標(biāo)準(zhǔn)出版社.2008.

[3] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 20281-2006，信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)辦法[S].北京：中國(guó)標(biāo)準(zhǔn)出版社.2006.

[4] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 20275-2006，信息安全技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)辦法[S].北京：中國(guó)標(biāo)準(zhǔn)出版社.2006.

[5] 美國(guó)國(guó)家安全局.信息保障技術(shù)框架IATF（Information Assurance Technical Framework）V3.1版[EB/OL].[2013-01-15].http://www.iatf.net.

[6] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 21053-2007，信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社.2007.

[7] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 20988-2007，信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范[S].北京：中國(guó)標(biāo)準(zhǔn)出版社.2008.

[8] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 20984-2007，信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].北京：中國(guó)標(biāo)準(zhǔn)出版社.2007.

[9] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 20278-2006，信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社.2006.

[10] 王和軍.試論教育考試制度創(chuàng)新需求與制約因素[J].中國(guó)考試，2009（2）：53-56.