考试系统安全性论文：计算机考试系统安全性能的改进.doc

文章源于科技论文发表网： QQ:1003 59168 考试系统安全性论文：计算机考试系统安全性能的改进摘要随着计算机网络技术的飞速发展，现在很多大学和社会教育部门都已经开设了基于计算机的考试系统，但在安全性能这个功能上并不是很完善，本文针对这个功能进行了改进，给开发此项功能时指出了一个方向。关键词计算机考试系统；B/S模式；安全性；考试网关随着计算机网络技术的飞速发展，现在很多大学和社会教育部门都已经开设了在线的学习系统，学生可以通过计算机网络实现在线学习与考试。目前学校与社会上的各种考试大都采用传统的考试方式，在此方式下，组织一次考试至少要经过5个步骤，即人工出题、考生考试、人工阅卷、成绩评估和试卷分析。显然，随着考试类型的不断增加及考试要求的不断提高，教师的工作量将会越来越大，并且其工作将是一件十分繁琐和非常容易出错的事情，传统的考试方式已经不能适应现阶段考试的需要。随着计算机网络技术的普及与应用，可以开发出一些在线考试系统，既减少了教学工作人员的工作量，同时也节约了纸张等考试资源，保护了环境。现阶段有很多在线考试系统，但在安全性这个功能上并不是很完善。考试系统一般采用Browser/Server模式。首先在服务器上配置好考试WEB站点（比如采用ASP或JSP等动态网页技术）和相应的后台数据库，然后用户就可通过浏览器登陆服务器进行考试。这种结构的考试系统配置简单，易于部署，对客户机的要求低，适合网络环境下的小规模考试。但此类系统应用于较大规模考试时，则存在一些缺陷：1）安全性不高。目前学校与社会上的各种考试大都采用传统的考试方式，在此方式下，组织一次考试至少要经过5个步骤，即人工出题、考生考试、人工阅卷、成绩评估和试卷分析。如果客户机在考试过程中出现死机等故障，考生的数据将会丢失。并且，考试数据在传输给服务器的过程中，因一般采用明文或者简单加密方式传送，利用抓包工具很容易得到考生的全部数据，甚至分析出加密算法，危及整个考试系统的安全。2）稳定性不强。由于采用传统Brow s e r/Se rve r这种瘦客户机模式，考生所有的操作都提交到服务器进行处理，当存在大量并发访问时，目前学校与社会上的各种考试大都采用传统的考试方式，在此方式下，组织一次考试至少要经过5个步骤，即人工出题、考生考试、人工阅卷、成绩评估和试卷分析。服务器的负担就特别重，可能造成其他考生不能正常登陆考试，甚至有服务器崩溃的危险。1系统分析1.1总体结构设计基于Web的计算机考试系统采用B/S模式的3层架构：第1层是客户层，为不同用户设计了相应的接口，从而学生可以进行网上考试，而教师也可组织考试，管理员则负责设置考试。目前学校与社会上的各种考试大都采用传统的考试方式，在此方式下，组织一次考试至少要经过5个步骤，即人工出题、考生考试、人工阅卷、成绩评估和试卷分析。第2层是应用服务层，由Web服务器负责试卷的生成、分发和接收，管理监控考试。第3层是数据层，通过数据库服务器实现用户管理和试题管理。计算机考试系统结构图构建在Internet上的Web访问方式很难实现严格、安全的考试。为实现安全的考试系统，可以采用在每个分考场设置一个考试网关的形式，即每个分考场形成一个局域网，考场内的所有考生计算机必须通过分考场网关才能访问公共的Internet网，再连接到考试服务器。操作界面和操作方法简单。如果操作过于复杂化的化，老师培训学生考试操作就得很长得时间，这样使用无纸化考试系统可以说是得不偿失。所以操作界面一定要简单，操作方法也一定要简单。1.2系统安全性分析按照国际标准化组织ISO定义的网络安全体系结构，可描述为7类安全服务，具体到基于Web的计算机考试系统中。结合远程考试系统的结构，可以从以下几个方面考虑系统的安全性问题：、安全服务与考试系统的对应关系考试服务器的安全性主要包括数据窃取、后门入侵、病毒攻击、拒绝服务等行为的防范和检测，可采用数据加密、病毒查杀、防火墙、入侵检测等技术实现。1.2.1数据库的安全性由于试题、成绩、考生信息等重要数据都是存放在数据库服务器中，因此可以使用数据库提供的安全机制来确保数据的安全性，还可以对试题、成绩等重要数据单独进行加密，密钥由指定的特权管理员掌握。可以通过访问控制技术，特定的考生只能访问属于他自己的特定的数据，目前学校与社会上的各种考试大都采用传统的考试方式，在此方式下，组织一次考试至少要经过5个步骤，即人工出题、考生考试、人工阅卷、成绩评估和试卷分析。而且要对管理员、操作员、题库维护员等人员进行身份认证和权限的分配。1.2.2考试网关的安全性考试网关对考试服务器进行安全认证，以保证所有的考试在合法的考场内进行。同时，还可以对考生进行相应的访问控制。1.2.3通信的安全性由于试题在网络中传输时，有可能发生数据被监听，因此，可以对考试过程中传输的敏感数据（如试题、答案等）采用加密和数字摘要技术。数据加密是为了保证他人无法看到试题内容，目前学校与社会上的各种考试大都采用传统的考试方式，在此方式下，组织一次考试至少要经过5个步骤，即人工出题、考生考试、人工阅卷、成绩评估和试卷分析。而数据摘要可以保证数据的完整性，防止数据被篡改。1.2.4考场的安全性在考试现场，目前学校与社会上的各种考试大都采用传统的考试方式，在此方式下，组织一次考试至少要经过5个步骤，即人工出题、考生考试、人工阅卷、成绩评估和试卷分析。首先应对考生进行身份认证，即确认考生是否合法；其次，要保证考生考试过程的安全，防止考生答案被窃取和篡改；另外，还要防止考生误操作和进行故障处理。2结语文中并没有详细叙述该系统使用的开发语言、开发环境和数据库的选择，目前学校与社会上的各种考试大都采用传统的考试方式，在此方式下，组织一次考试至少要经过5个步骤，即人工出题、考生考试、人工阅卷、成绩评估和试卷分析。读者可根据需要自行选择开发语言、开发环境和数据库。1.对等实体认证考生和考试服务器能够互相确认合法性2.访问控制保证考生只能在特定的时间段，访问特定的试题库3.数据保密保护试题信息，防止泄露和破坏4.数据完整性防止试题及考生的答案，成绩被人篡改5.信息流安全保证考生与服务器之间的信息流正确可靠6.信源确认确保考题来自合法的服务器，答案来自合法的考生目前学校与社会上的各种考试大都采用传统的考试方式，在此方式下，组织一次考试至少要经过5个步骤，即人工出题、考生考试、