曾凡鋒 孫亮

摘 要 隨著計算機(jī)技術(shù)的發(fā)展，越來越多的高校采用在線考試的方式。同時，在線考試系統(tǒng)的安全性，就愈加的重要。本文主要對在線考試系統(tǒng)的安全性進(jìn)行了闡述，對該系統(tǒng)的安全性和可靠性進(jìn)行了論證。希望在深入地探討和交流中，系統(tǒng)能夠得到進(jìn)一步改進(jìn)和完善，功能得到提升。

【關(guān)鍵詞】安全 在線考試 身份認(rèn)證 數(shù)據(jù)庫

隨著信息化和網(wǎng)絡(luò)化在高校的迅速發(fā)展，也隨著高校IT基礎(chǔ)建設(shè)的不斷加強(qiáng)，無紙化考試成為一種最新趨勢，逐步代替?zhèn)鹘y(tǒng)的紙質(zhì)化考試。由于Web自身存在的安全性問題，以及web系統(tǒng)開發(fā)人員對安全問題的疏忽，導(dǎo)致系統(tǒng)極易受到黑客的攻擊或被黑客篡改了數(shù)據(jù)，導(dǎo)致系統(tǒng)崩潰或其他問題。本文就基于Web系統(tǒng)安全機(jī)制方面的問題進(jìn)行了分析，Web系統(tǒng)的安全性除了受Web應(yīng)用程序設(shè)計的影響，還包括運(yùn)行Web應(yīng)用程序的操作系統(tǒng)及數(shù)據(jù)庫等因素的影響。

1 訪問控制

在線考試系統(tǒng)的數(shù)據(jù)庫服務(wù)器采用Mysql，后臺包含了與考試相關(guān)的各種數(shù)據(jù)，包括用戶信息、試題信息、組卷方案信息、成績信息等。除了采用Mysql與Windows 相結(jié)合的方式登錄數(shù)據(jù)庫服務(wù)器來實(shí)現(xiàn)安全性的身份驗(yàn)證方式以外，還根據(jù)不同用戶權(quán)限的設(shè)定和劃分，避免使得用戶在使用時獲取到身份不相符權(quán)限，或者頁面缺少身份驗(yàn)證，用戶不經(jīng)身份驗(yàn)證就打開相應(yīng)的頁面等問題。不同類別用戶的功能確定不同的操作對象和操作級別，從源頭保證數(shù)據(jù)操作的安全。通過建立角色，將訪問許可集中授予角色，之后將需要擁有這一許可的用戶加到角色中，這些用戶即繼承角色的訪問許可。需要撤銷用戶的訪問許可時，將用戶從角色中刪除即可。

本系統(tǒng)中，有三種用戶角色，分別為管理員、教師、學(xué)生，其有各自權(quán)限：

（1）管理員權(quán)限：可以對教師、學(xué)生、試題信息進(jìn)行增刪改查。

（2）教師權(quán)限：組卷管理，查看學(xué)生信息（包括每個學(xué)生的試卷信息）。

（3）學(xué)生權(quán)限：考試，查詢成績。

2 程序設(shè)計問題漏洞

不管Web程序設(shè)計基于哪種語言或腳本，因使用語言或腳本本身就有部分缺陷導(dǎo)致產(chǎn)生安全漏洞，比如對特殊字符的判斷或者會話管理漏洞等。例如在php中的“cookie會話”漏洞，入侵者自己在URL中創(chuàng)造一個假的會話標(biāo)識（ID），并將其提交給服務(wù)器，服務(wù)器被欺騙以為會話是合法的，會創(chuàng)建一個會話。這個漏洞使得攻擊者可以竊取會話并裝扮成一個合法用戶自由訪問程序。

我們需要對特殊字符進(jìn)行轉(zhuǎn)義，代碼如下：

if （！function_exists（'func_safe'）） {

function func_safe（$data， $ignore_magic_quotes = false） {

if （is_string（$data）） {

$data = trim（htmlspecialchars（$data））； //防止被掛馬，跨站攻擊

if （（$ignore_magic_quotes == true） || （！get_magic_quotes_gpc（））） {

$data = addslashes（$data）； //防止sql注入

}

return $data；

} else if （is_array（$data）） //如果是數(shù)組采用遞歸過濾

{

foreach （$data as $key => $value） {

$data[$key] = func_safe（$value）；

}

return $data；

} else {

return $data；

}

}

}

3 腳本語言等惡意代碼的防范

惡意代碼不同于網(wǎng)絡(luò)病毒，雖然它的破壞力和對系統(tǒng)造成的損害沒有病毒和木馬程序那么大，但對系統(tǒng)的穩(wěn)定運(yùn)行而言依然是必須根除的隱患。網(wǎng)絡(luò)考試平臺系統(tǒng)特別要注意防范這一類的安全性問題，所以相關(guān)的系統(tǒng)安全設(shè)置是必須的，有一類安全漏洞對于系統(tǒng)管理員來講是很常見的，那就是系統(tǒng)中的復(fù)制功能?？蛻舳说挠脩艨梢酝ㄟ^鼠標(biāo)的右鍵來查看相關(guān)頁面的屬性，從而獲取系統(tǒng)的部分源代碼，這對于服務(wù)器的安全穩(wěn)定是非常有害的，所以必須通過相關(guān)手段禁止使用鼠標(biāo)右鍵。

采用JavaScript腳本語言來取消右鍵、中鍵功能并通過偽靜態(tài)技術(shù)隱藏源代碼的示例如下：

function whichButton（e）{

var ev = window.event || e；

var code = ev.keyCode || ev.which；

var btnNum = ev.button；

if （btnNum==2）{

alert（"禁止鼠標(biāo)右鍵！"）；

ev.preventDefault（）；

ev.returnValue = false；

} else if（btnNum==1）{

alert（"禁止鼠標(biāo)中鍵！"）；

ev.preventDefault（）；

ev.returnValue = false；

}

}

4 通信的安全性

為保證試卷等數(shù)據(jù)在傳輸過程中的安全，確保私有性和保密性，不會被可能使用網(wǎng)絡(luò)監(jiān)控軟件的竊聽者查看到，系統(tǒng)采用SSL加密傳輸。SSL是一個用來保證文件安全傳輸?shù)膮f(xié)議，可以在服務(wù)器和客戶機(jī)之間建立一條安全通道，從而實(shí)現(xiàn)在Internet中傳輸保密數(shù)據(jù)。在TCP協(xié)議族中，SSL位于TCP層之上、應(yīng)用層之下。這使它可以獨(dú)立于應(yīng)用層，從而使應(yīng)用層協(xié)議（諸如http）可以直接建立在SSL上。SSL協(xié)議由SSL記錄協(xié)議和SSL握手協(xié)議兩部分組成：SSL記錄協(xié)議建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持；SSL握手協(xié)議建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開始前通信雙方進(jìn)行身份認(rèn)證（協(xié)商加密算法、交換加密密鑰等）。

5 結(jié)束語

保證系統(tǒng)的安全穩(wěn)定運(yùn)行是一切工作的基礎(chǔ)。由于網(wǎng)絡(luò)本身的原因，給在線考試的安全和管理帶來了潛在的威脅。本文針對在線考試系統(tǒng)數(shù)據(jù)安全性要求較高的特點(diǎn)，在系統(tǒng)中采用了多層次的安全技術(shù)，并以案例驗(yàn)證了策略方法的可行性和有效性。

參考文獻(xiàn)

[1]馬玉芳.淺析Web服務(wù)器安全策略[J].信息安全與技術(shù)，2014（6）.

[2]王重英，李艷，盧瓊.基于Web架構(gòu)模式的安全性能分析與研究[J].信息技術(shù)，2014（9）.

[3]譚前進(jìn)，趙前程.Web系統(tǒng)安全威脅研究[J].洛陽師范學(xué)院學(xué)報，2014（2）.

作者簡介

曾凡鋒，現(xiàn)為北方工業(yè)大學(xué)計算機(jī)學(xué)院副教授。研究方向?yàn)樾畔踩?/p>

作者單位

北方工業(yè)大學(xué)計算機(jī)學(xué)院 北京市 100144