本站原创摘 要:计算机考试越来越普遍的情况下,系统方面的安全尤其凸显其重要性.本文从考务范畴内的系统安全方面考虑,主要从三个方面进行探究,以期防范于未然.
关 键 词:计算机;考试系统;安全防范
在信息技术飞速发展的今天,计算机、网络技术越来越广泛的应用于各个领域,新形势下,依托计算机及网络系统进行也越来越普遍.
传统的考试模式,在信息化的今天,弊端逐渐显现.计算机考试系统是采用先进的网络技术、数据库技术,由局域网、考试管理软件和专用题库等构成的一个完整的系统,是在传统考试模式上的延伸,它可以利用新技术的优势,大大减轻了传统考试的负担,传统考试的出卷、答卷以及成绩管理正发生着巨大的变革.因而不仅应用在中小学计算机考试,而且包括各系统职称计算机考试、机动车驾驶员理科考试等等,也包括了GRE、CISCO等国际性的计算机化考试.
然而在越来越多的考试采用了计算机考试模式之后,考试系统的安全却受到了挑战.以下主要从考务技术方面对系统安全的要求进行探究,主要包括以下几个方面:
一、技术层面的威胁的安全探究
考试系统所受的外部攻击,主要指基于技术的攻击行为,对怎么写作器及客户端的系统及数据安全造成威胁,包括主动性的针对本系统的攻击行为和无意识的网络扫描侵入.无论是基于CS架构的系统还是BS模式,开放于Inter网络的系统,永远意味着不安全.
2013年10月,天津某大学考务系统遭软件入侵,并被修改考生成绩.校方报警后,犯罪嫌疑人最终被抓获.
技术和网络安全是分不开的.可以说技术的存在导致了网络安全行业的产生.在考试系统需要高度安全的情况下,重要的计算机考试一般对考试系统进行物理隔离,也就是把考试系统局限在局域网内,隔离于Inter而存在.在进行物理的隔离后,依赖于网络的技术无法再直接通过Inter网络进行攻击行为.从某些意义上来说,通过外界向考试系统内部的安全渗透,是最容易解决的,而解决问题的关键,是事先有所防范并加以解决.
二、考务层面的数据处理的安全探究
这个方面主要是包括考试前、考试时、考试后三个阶段.
1.考试前主要是对考试系统研发安全、系统稳定性和软件题库安全的考虑.在考试前出现系统代码和题库的泄密,对整个考试安全责任是巨大的考验;对系统本身的稳定性的要求,也是保证考试顺利进行的重要基础.
2.考试时的数据安全,主要考虑可能出现的系统故障的防范,以及在系统发生故障时候,需要对数据进行有效还原.
3.考试后的数据安全主要是针对不实时公布的成绩,其数据需要汇总上报,并且对数据的保密及留存备份.
如何有效的对其进行防范控制是一系列考试管理人员的责任所在,下面就这几个方面对系统安全的考虑提出想法与对策:
1.考试前的考务安全,主要考验对研发团队的保密性要求.能够在无外网环境下开展的研发,从根本上避免了侵入系统的可能.而系统稳定性则是需要在怎么写作器、大批量客户端、不同软件环境等的测试下,系统都具有良好的兼容性.
如果是在考前对考务系统数据保密要求严格的情况下,数据发布到各个单位时,则宜采取多种措施并行的方式.例如在限时加密的基础上,采用传统的人工方式发送,而非通过网络传输等.传统的人工发送考试系统数据,防止了在考前系统数据发放的过程中,被非正常复制、,从而威胁系统安全.
至于对通过性考试的题库安全,一般采用大容量题库方式,此种情况对题库并没有过多要求,在正常考试环境下的系统抽题的随机性已经能很好地保证安全.
试场准备对于系统的非正常故障,在考试系统安装之前,首先得确保整个网络系统、怎么写作器端、客户端单机系统的系统稳定性与考试系统的兼容性.目前一般的方式,如系统进行恢复,以保证全新的安全系统来安装考试系统;取消还原卡保护等,以保证与考试系统的兼容;大批量的考前试运行等.
2.考试中数据安全,则需要考试系统在研发时,就具有实时备份功能,包括怎么写作器端和客户端.以保证在出现意外时候,至少有一处可以导出有效数据.一般系统均考虑到此项功能,包括自动的实时备份和手工备份,在此不再赘述.
3.考试后的数据安全,则是要求考务人员,必须严格按照考务要求,对备份的资料进行保密性封存.不少考试,鉴于保密等级不高,一般不会对客户端内数据进行处理,由网管人员负责保密及删除.而对于保密需要较高的考试,则需要制定严格的保密制度,实施方法如怎么写作器封存、机房封闭一段时间等.
三、考生层面的预防舞弊的安全探究
在排除基于网络攻击模式,考务层面的处理要求后,还需要考虑从考生主观出发,进行技术性的可能.
针对一般机房客户端系统的漏洞,笔者设计了一种在考务管理中需要预防的舞弊模式:
普通机房系统配置举例如下:台式机:WindowsXP+Office2003+各类软件配置、USB启用(因支持鼠标、键盘需要)
准备工作:免驱USB无线网卡、支持热点手机(安卓以后2.2版本、iPhone3G版)、远程控制软件(PcAnywhere、TeamViewer、等)
操作过程:插入并安装USB无线网卡——寻找热点——进入Inter网络——启动远程控制软件——外部连接进入.
过程分析:USB无线网卡安装方便快捷,隐蔽性好,插入并安装完USB无线网卡之后即可寻找已经打开在附近的热点,如身上的或者在机房上交的手机,然后进入Inter,之后可以使用远程控制软件等寻求支持.
此种行为的产生,是基于技术更新上的防不胜防.考生甚至可以根据编辑好的程序,在后台进行程序安装、执行,外观上很难发现,并由远程控制答题或进行有针对的答复.
通晓了舞弊的手段方式,进行预案防范则显得微不足道.一般的技术处理主要是针对无线网络连接,对于USB无线网卡模式的操作,在现场的机房环境下,锁机箱、处置USB口即可解决.
道高一尺,魔高一丈,利用新技术对系统安全进行突破的可能性一直存在.不断地发现问题、提出问题、交流问题、解决问题,是我们需要共同的努力方向.计算机考试系统的尽可能完善,需要考务管理人员一直不懈的追求.