陳青青，王加陽

0 引言

自古以來，考試就作為選拔人才最為主要的手段。隨著計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，在教育領(lǐng)域里，信息技術(shù)的發(fā)展對教育的影響也是巨大的，很多院校建立了自己的校園網(wǎng)、網(wǎng)絡(luò)教室，并開始實施網(wǎng)上教學(xué)和網(wǎng)上考試。這使得考試的無紙化、網(wǎng)絡(luò)化成為可能。這種考試手段的現(xiàn)代化是教育發(fā)展的必然趨勢，它可以大大提高考試的效率。各種各樣的考試系統(tǒng)也應(yīng)運而生，但整個考試流程是一樣的，即：命題、考生報名、考生登錄、獲取試題、開始考試、提交試卷、系統(tǒng)評分[1-3]。通過對考試流程的分析，可以發(fā)現(xiàn)，試題是考試過程各個環(huán)節(jié)中的核心，而考試系統(tǒng)中試題庫的安全對于現(xiàn)代化的考試系統(tǒng)來說就顯得尤其重要。

1 題庫建設(shè)簡論

1.1 題庫產(chǎn)生

在1985年，Choppin曾經(jīng)給題庫下過這樣的一個定義：題庫是有組織，分門別類，容易檢索的測試題目的集合，就好象圖書館里的書籍一樣，能夠按要求抽取出一些題目并組成試卷。1992年Melchiori對這個定義進(jìn)行了補充，他認(rèn)為題庫除了是一個信息集合外，還是一個服務(wù)系統(tǒng)。它能恰當(dāng)?shù)乩霉こ谭椒▽W(xué)，經(jīng)濟(jì)地產(chǎn)生和控制相關(guān)的信息流，并根據(jù)用戶的需求做出相應(yīng)的反應(yīng)。張厚粲在《談題庫》一文中說：“題庫乃是大量具有必要參數(shù)的考題的有機(jī)組合”。按照以上定義，第一，題庫的基本組成單位應(yīng)是試題，是試題組成的“倉庫”，而不是其他東西組成的“倉庫”。第二，題庫的題量必須很大，并具有合理的比例結(jié)構(gòu)。第三，題庫中所有試題的考核性能必須查明，試題參數(shù)都應(yīng)表達(dá)在同一度量系統(tǒng)上。第四，題庫中試題必須按科學(xué)原則分類、儲存、形成有機(jī)整體。第五，題庫必須是動態(tài)的。

因此，題庫是保證考試題目具有較高質(zhì)量、水平穩(wěn)定、更好地達(dá)到測試目的的重要手段。

1.2 題庫優(yōu)點

題庫使標(biāo)準(zhǔn)化考試進(jìn)一步地完善，具有以下優(yōu)點：

（1）提高命題工作的效率

題庫是由許多適用于不同目的、知識、技能需要的試題所組成的，如果題庫中包括了學(xué)科中所有內(nèi)容的高質(zhì)量試題，則命題者的工作就會變得簡捷而卓有成效，同時命題所花費的時間也會減少。

（2）提高了平行試卷的一致性

題庫中，由于試題的各種參數(shù)經(jīng)過統(tǒng)一標(biāo)準(zhǔn)的嚴(yán)格核正，用這些試題構(gòu)成的平行試卷，其相關(guān)程度較高，可以使用不同試卷的內(nèi)容、難度穩(wěn)定。

（3）靈活性組卷

由于試題是題庫的最小單位，針對不同內(nèi)容、難度要求，題庫很容易生成不同試卷，因此具有靈活性。從而克服了在沒有題庫前，標(biāo)準(zhǔn)化試卷修訂困難，內(nèi)容、難度不一定適合特定要求等問題。

（4）高效性

由于題庫中的題目是大最命題工作者的智慧，題目都附有參數(shù)，因此可以重復(fù)使用，節(jié)省了大量人力、物力和時間。因此可以說題庫更經(jīng)濟(jì)。

（5）保密性能好

傳統(tǒng)的大規(guī)?？荚嚤Ｃ芄ぷ魇莻€關(guān)鍵問題?？忌绻诳记爸懒祟}目，考試就不能達(dá)到預(yù)期的目的。題庫，由于題量大，即使題目公開，不靠掌握光靠死記也很難得高分；再者，由于題庫可以因時生成幾個平行試卷或隨機(jī)試卷，一旦泄密也可很快補救。

2 試題庫系統(tǒng)的安全性分析

試題庫是組織試卷的基礎(chǔ)，傳統(tǒng)考試出題和試卷制作過程容易發(fā)生泄密事故，在考試現(xiàn)場同一試卷也容易發(fā)生抄襲作弊現(xiàn)象。網(wǎng)絡(luò)考試采用計算機(jī)即時自動組卷，基本上杜絕了出題和試卷制作過程中泄密的可能性，在考試現(xiàn)場，由于試卷內(nèi)容各不相同，也能有效地杜絕各種抄襲作弊現(xiàn)象。

因此，網(wǎng)絡(luò)考試的試題庫安全不僅與考試系統(tǒng)應(yīng)用程序有關(guān)，也與試題庫建設(shè)自身的許多因素有關(guān)，其安全需求必須綜合考慮試題庫系統(tǒng)與考試系統(tǒng)。

1、保證試題數(shù)據(jù)可用性

是指信息可以被授權(quán)用戶方便地訪問到，也就是說，合法考生訪問想要的試題信息，能夠得到快速響應(yīng)，不應(yīng)該受到拒絕。因此，試題庫不僅要進(jìn)行合理設(shè)計，便于檢索和利用，能夠支持多種組卷策略，而且要能夠提供安全服務(wù)?？捎眯员緛聿粚儆诎踩懂?，越來越多的以拒絕服務(wù)為目的的網(wǎng)絡(luò)攻擊，使得它成為試題庫安全的一個基本需求。

2、保證試題數(shù)據(jù)完整性

在計算機(jī)運行過程中，設(shè)備故障是最嚴(yán)重的安全威脅。無論是存儲器發(fā)生故障，還是服務(wù)器出錯，亦或其他設(shè)備被毀，都會導(dǎo)致試題數(shù)據(jù)的丟失或損毀。因此，試題庫一方面要有冗余備份，或者采用鏡像技術(shù)；另一方面要定期查毒殺毒，并及時下載所用軟件的補丁程序，以防止損害或破壞性程序的引入，包括病毒、特洛伊木馬、蠕蟲、邏輯炸彈等。

3、保證試題數(shù)據(jù)秘密性

試題數(shù)據(jù)要加密存儲，禁止非法訪問，防范黑客攻擊?？荚嚻陂g，網(wǎng)絡(luò)考試系統(tǒng)應(yīng)該能夠控制哪些用戶可以登錄到中心服務(wù)器并獲取哪個試題庫的資源，還應(yīng)該能夠控制用戶進(jìn)行登錄的站點并限制用戶登錄的時間。也就是說，網(wǎng)絡(luò)考試系統(tǒng)只允許合法考生通過規(guī)定的考試服務(wù)器，在規(guī)定的考試時間內(nèi)，訪問規(guī)定科目的試題庫。

4、保證系統(tǒng)用戶合法性

試題庫系統(tǒng)的用戶適當(dāng)配置權(quán)限，進(jìn)行嚴(yán)格管理。對試題庫系統(tǒng)的登錄事件要有日志記錄，對試題庫的寫入操作要有明確規(guī)程。

3 在考試過程中遇到的新問題與應(yīng)對

3.1 考試過程中遇到的新問題

在傳統(tǒng)的考試方式中，老師通常會給學(xué)生對考試內(nèi)容進(jìn)行有針對性復(fù)習(xí)和總結(jié)，劃定考試重點、考試范圍，然后學(xué)生有針對性的進(jìn)行練習(xí)。然而在基于試題庫的自動化考試系統(tǒng)中，雖然解決了傳統(tǒng)考試中出現(xiàn)的很多問題，但也遇到了新的挑戰(zhàn)。一方面，試題庫可能會通過老師等某些形式流落到學(xué)生手中；另一方面，在開放式的考試系統(tǒng)中，學(xué)生通過多次上機(jī)或者模擬練習(xí)的方式，累積和總結(jié)考試題目。在今年來進(jìn)行的國家級或省級計算機(jī)等級考試機(jī)試中，就經(jīng)常發(fā)現(xiàn)有學(xué)生利用該方式，在考試進(jìn)行的過程中，通過u盤等外部存儲方式，將收集的試題庫打開。所以試題庫更新不及時或題庫數(shù)量不大的情況下，這些問題將嚴(yán)重影響考試的順利執(zhí)行及其效果。而對于一門固定的課程來說，試題庫大量更新是不太可能的。

3.2 應(yīng)對方式

為了應(yīng)對在考試過程中可能出現(xiàn)的這樣嚴(yán)重問題，最好的方式就是在考試場所禁止u盤的使用，在系統(tǒng)中常用的禁用U盤的方式一般有：

方法一，BIOS設(shè)置法

進(jìn)入BIOS設(shè)置，選擇“Integrated Peripherals”選項，展開后將“USB 1.1 Controller”和“USB 2.0 Contr01ler”選項的屬性設(shè)置為“Disableed”，即可禁用 USB接口。最后別忘記給BIOS設(shè)置上一個密碼，這樣他人就無法通過修改注冊表解“鎖”上述設(shè)備了。

需要注意的是，這個方法是完全禁止USB接口，也就是說各種USB接口的設(shè)備均不能用了，當(dāng)然也包括了U盤和移動盤。

方法二，禁止閃盤或移動硬盤的啟動

打開注冊表編輯器，依次展開如下分支[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]，在右側(cè)的窗格中找到名為“Start”的DWORD值，雙擊，在彈出的編輯對話框中將其數(shù)值數(shù)據(jù)修改為十六位進(jìn)制數(shù)值“4”。點“確定”按鈕并關(guān)閉注冊表編輯器，當(dāng)有人將USB存儲設(shè)備連接到計算機(jī)時，雖然USB設(shè)備上的指示燈在正常閃爍，但在資源管理器當(dāng)中就是無法找到其盤符，因此也就無法使用USB設(shè)備了。同時這種方法只是針對存儲設(shè)備，所以并不影響usb鼠標(biāo)、鍵盤等設(shè)備的使用。

方法三，隱藏盤符和禁止查看

打開注冊表編輯器，依次展開如下分支[HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer]，新建二進(jìn)制值“NoDrives”，其缺省值均是00 00 00 00，表示不隱藏任何驅(qū)動器。鍵值由四個字節(jié)組成，每個字節(jié)的每一位（bit）對應(yīng)從A:到Z:的一個盤，當(dāng)相應(yīng)位為1時，“我的電腦”中相應(yīng)的驅(qū)動器就被隱藏了。第一個字節(jié)代表從A到H的8個盤，即01為A，02為B，04為C……依次類推，第二個字節(jié)代表I到P，第三個字節(jié)代表Q到X，第四個字節(jié)代表Y和Z。比如要關(guān)閉C盤，將鍵值改為04 00 00 00；要關(guān)閉D盤，則改為08 00 00 00，若要關(guān)閉C盤和D盤，則改為0C 00 00 00（C是十六進(jìn)制）。

設(shè)置好后再插入U盤，在我的電腦里看不出來，但在地址欄里輸入I:（假設(shè)我的電腦最后一個盤符是H）還是可以訪問移動盤的。到這里大家都看得出“NoDrives”只是障眼法，所以我們還要做多一步，就是再新建一個二進(jìn)制“NoViewOnDrive”，其值與“NoDrives”相同。這樣一來，既看不到U盤符也訪問不到U盤了。

方法四，禁止安裝USB驅(qū)動程序

在Windows資源管理器中，進(jìn)入到“系統(tǒng)盤:WINDOWSinf”目錄，找到名為“Usbstor.pnf”的文件，右鍵點擊該文件，在彈出菜單中選擇“屬性”，然后切換到“安全”標(biāo)簽頁，在“組或用戶名稱”框中選中要禁止的用戶組，接著在用戶組的權(quán)限框中，選中“完全控制”后面的“拒絕”復(fù)選框，最后點擊“確定”按鈕。

再使用以上方法，找到“usbstor.inf”文件并在安全標(biāo)簽頁中設(shè)置為拒絕該組的用戶訪問，其操作過程同上。完成了以上設(shè)置后，該組中的用戶無法安裝USB設(shè)備驅(qū)動程序，這樣就達(dá)到禁用的目的。

3.3 不同方式的比較

考試系統(tǒng)所使用的計算機(jī)，一般都不是專用的，它們都是平時作為上課用的機(jī)房，考試的時候往往要反復(fù)重裝系統(tǒng)，這給管理人員帶來很大的重復(fù)工作量。通過對上述幾種方法的比較，如表1所示。為了減輕管理人員的工作量，同時考慮到系統(tǒng)的安全性等方面，可以選擇方法二。

以VB為例，可以在考生打開和關(guān)閉（代碼與打開類似）考試客戶端的事件中，在程序中進(jìn)行設(shè)置，其代碼如下：

Private Sub form_load（）

Dim AA As Object Dim RegPath As String

Set AA = CreateObject（"WScript.shell"）

RegPath="HKEY_LOCAL_MACHINESYSTEMCurren tControlSetServicesUSBSTORStart"

AA.regWrite RegPath，4，"REG_DWORD"

Set AA = Nothing

End Sub

表1 考試系統(tǒng)中不同禁止usb方式的比較

4 總結(jié)

整個考試系統(tǒng)以及考試過程是一項復(fù)雜的系統(tǒng)工程，其周期長，形式多變。在長期的研究與開發(fā)過程中，我們需要從多個方面不斷努力，盡最大努力維護(hù)考試的公開、公平和公正。提高考試效果和教學(xué)效果。

[1]黃安健.實現(xiàn)無紙化考試的二項技術(shù)處理[J].上海應(yīng)用技術(shù)學(xué)院學(xué)報，2003，3（1）:66-68.

[2]楊牧祥，王占波.考試系統(tǒng)網(wǎng)絡(luò)版研究與應(yīng)用[J].河北中醫(yī)藥學(xué)報，1999，14（4）:42-44.

[3]Masashi Inoue.Akihiko Suyama.Application of a computer based education system for aged persons and issues arising during the field test.computer Methods and Programs In Biomedicine[J]，1999，59（l）:55-60.