市民亲历

 

　　遭“保过”短信电话狂轰滥炸

 

　　今年3月份，市民赵先生报名参加北京地区2014年度全国专业技术人员职称外语等级考试。然而从去年年底报名至考试前一周，他接连不断地接到垃圾短信和电话的疯狂骚扰，都是向他兜售考试真题和答案。“让我惊讶的是，电话号码显示来自全国各地，有上海的、深圳的，为什么外地的培训机构都知道我要考职称外语了，我的信息只提供给了报名的网站，这些信息是如何泄露的？”赵先生上网一搜，发现与他有相同经历的考生大有人在，有北京的，还有云南、福建等地的。

 

　　考试结束已经两个多月了，本月初，赵先生再次接到一条短信：“京职称外语朋友们，不要因为成绩不理想而烦恼，内部渠道帮你操作加分”，同时附上了一串QQ号。对此，赵先生很担心他的信息到底泄露了多少，他是在市人力资源和社会保障局的“人事考试”板块报的名，希望组织考试的机构能给他个说法。

 

　　记者调查

 

　　职称外语考试改分叫价600元

 

　　按照赵先生提供的加分QQ号，北京晨报记者与QQ名为“北京职称英语”的网友联系上了。对方首先发了一条“2014年公路水运考试”的报价表，称考前三天发100%原题，现在办理8折。随后对方表示“发错了”，又发了一条北京职称外语改分的报价表：改前一次付清为600元，考生需提供姓名、身份证号码；改后付800元，提供身份证、准考证、户口簿、房产证扫描件及承诺书一份，若证件不齐交300元押金。他同时表示，考生可以通过银行汇款、ATM自动转账和网银转账交费。

 

　　记者表示，担忧付了款但分数没改。“北京职称英语”说，“如果没有百分百把握我们是不操作的，现在办理，晚上8点可以查到，你放心吧。”记者进而询问，“你是怎么知道我报名的？”对方称，他们是“内部人员”。

 

　　12333：改分短信均属诈骗

 

　　上周，北京晨报记者以考生身份，向人力资源和社会保障政策咨询电话12333反映考生报名信息泄露一事，工作人员称，确实也有其他考生反映过这个问题，这可能是由于黑客攻击了报名网站，并盗取了考生的个人信息。考生接到兜售真题和改分的电话短信，可以举报。

 

　　记者询问网站是否可以采取技术手段防范黑客，这名工作人员表示，“正在采取手段逐步恢复，但一下子完不成这个工作。”她同时表示，考生如果想反映具体情况，可以提供自己的身份证号、姓名和联系方式，她会将考生反映的情况交给相关人员处理并回复。这名工作人员称，经过调查，没有市人事考试中心内部泄密的可能。另外，改分短信也均属诈骗，考试成绩公布后不可能改分。

 

　　网络安全专家：泄露原因或有三个

 

　　北邮教授曾剑秋告诉北京晨报记者，考生信息泄露有三种可能：一是报名网站的工作人员将考生信息泄露；二是报名网站系统存漏洞，黑客侵入盗取信息牟利；三是考生个人电脑中了病毒，被黑客攻击。不过他表示，如果大量考生接到广告短信和电话而非个案，那么第三种可能基本可以排除。

 

　　他建议，考生遇到这种情况应该立即举报，举报查实应该严厉打击并重罚。另外，他建议，报名网站是否可以不那么复杂，报名是否可以不提交那么多核心信息。

 

　　代表建议

 

　　用技术手段堵住考生信息泄露漏洞

 

　　市人大代表李辉去年、今年连续两年在市人代会上建议：堵住考试报名个人信息泄露的漏洞。

 

　　“也许你今天刚报完名，第二天就会接到广告电话信息。最早是建议你报班，近两年出现了非常规手段作弊、改成绩的短信”。李辉记得，有一次他的好几个同事一起报的名，大家正坐着聊天呢，轮着接到了电话。在2013年市人代会上，李辉提交了《提高防范措施堵住北京考试报名个人信息泄露的漏洞》的建议。

 

　　李辉告诉北京晨报记者，市人事考试中心很积极处理此事，更换了考试报名界面，提高了安全防范等级，2013年上半年基本没有信息泄露的情况。但从下半年开始，信息又开始泄露。为此，他特意就此事找附近居民和同事开了一个小座谈会，通过大家叙述经历，他了解到，现在不仅仅是职称考试，只要是热门考试，包括公务员考试和人事单位考试，考生信息泄露的现象很普遍。“虽然对有些需要培训的人来说，培训机构的广告信息可能有用，但关键问题是，大多数考生的报名信息怎么会被那些机构拿到的？另外，考生信息泄露的后果可能不单是受到广告短信骚扰，也会对个人隐私构成威胁”。今年年初的市人代会上，李辉再次建议通过技术手段防范考生个人信息泄露。

 

　　部门回复

 

　　工作人员上月起不能查看考生电话

 

　　对于李辉代表的建议，市人事考试中心回复称，2012年年底，新版人事考试系统上线试运行，从多层面采取了有效措施提高系统安全。但在2013年10月职称外语报名过程中，再次发现考试信息泄露问题，为此邀请了国家信息安全工程技术研究中心对考务系统安全进行全面排查分析，并针对排查过程中发现的问题从技术和管理两方面进行了整改：

 

　　技术层面上，督促应用系统和安全系统承建商对敏感数据在互联网传输、保存中进行加密，通过身份认证系统，对相关操作人员的操作行为进行记录，所有数据和功能全部受控访问；通过安全技术手段收集分析敏感数据和操作行为等信息，对数据风险和行为风险进行监督，为维护数据的完整性及防范内部违规、事后取证起到重要作用。

 

　　管理层面上，制定严格规范的规章制度。一是制定《机房管理规范》，考务系统所使用的全部硬件设备部署在中塔机房，有完备的进出管理制度。制定《业务系统运维规范》和《数据库运维规范》，制定相关运维规范和密码管理规范，有完整的数据库开库申请审批流程。

 

　　二是针对系统使用部门和操作人员制定《北京市人事考务系统数字证书管理办法》和《北京市人事考务系统权限管理办法》。从2014年5月份开始，所有考试考生信息的电话号码查看权限将收归市人事考试中心，市人事考试中心只有主任和主管信息化建设的副主任拥有相关权限。工作人员不能直接查看考生电话号码，只能使用相关功能。在特殊情况下，需经过审批流程，在可控的监管下，经市人事考试中心主任签字确认后，才能调取考生电话号码。

 

　　针对当前社会不法集团采用非法手段盗取考生信息的违法行为，目前人力资源和社会保障部已成立专门机构，加大打击力度，保障人事考试信息安全和考务组织工作顺利进行。