◆王 鵬 王 濤

考評(píng)系統(tǒng)安全性設(shè)計(jì)

◆王 鵬 王 濤

（中國(guó)電子科技集團(tuán)公司第二十八研究所 江蘇 210007）

分析了安全性對(duì)考評(píng)系統(tǒng)的重要影響程度，從系統(tǒng)安全、身份安全、數(shù)據(jù)安全、訪問(wèn)安全等角度對(duì)系統(tǒng)安全性分別進(jìn)行研究，給出了系統(tǒng)安全性的可操作的思路和方法，為考評(píng)系統(tǒng)安全性設(shè)計(jì)提供借鑒和參考。

考評(píng)系統(tǒng)；安全性

0 引言

考評(píng)系統(tǒng)承擔(dān)著對(duì)參考人員進(jìn)行考核的職責(zé)，對(duì)人員能力的檢查和工作人員選撥等方面具備重要的指導(dǎo)作用。因此，考評(píng)是一個(gè)十分嚴(yán)肅的事情，系統(tǒng)安全性設(shè)計(jì)是考評(píng)系統(tǒng)的一個(gè)非常重要的部分。為了保證考評(píng)的公平性，要求考核試題、參考人員、答題記錄、評(píng)分過(guò)程等數(shù)據(jù)均需要進(jìn)行保密管理，必須增加各種加密規(guī)范。系統(tǒng)應(yīng)具有身份校驗(yàn)、權(quán)限設(shè)置、防止非法用戶的竊取和攻擊等功能，能夠處理系統(tǒng)操作安全和數(shù)據(jù)安全，能夠處理可能出現(xiàn)的各種異?，F(xiàn)象。

1 系統(tǒng)安全

考評(píng)系統(tǒng)在軟硬件平臺(tái)上運(yùn)行，軟硬件系統(tǒng)的安全在根子上決定考評(píng)系統(tǒng)的安全。

在硬件平臺(tái)上，一般選用國(guó)際知名廠商的計(jì)算機(jī)產(chǎn)品，這些產(chǎn)品經(jīng)過(guò)了市場(chǎng)的多年考驗(yàn)，具備較高的安全性和穩(wěn)定性；在考慮某些特殊考評(píng)系統(tǒng)，比如軍用考評(píng)系統(tǒng)，應(yīng)當(dāng)優(yōu)選國(guó)內(nèi)廠家研制的具備自主可控能力的計(jì)算機(jī)類產(chǎn)品，而且應(yīng)當(dāng)選擇通過(guò)國(guó)家保密審查的產(chǎn)品。

在操作系統(tǒng)平臺(tái)上，一般有兩種選擇。一是選用國(guó)際通用的操作系統(tǒng)，比如Windows操作系統(tǒng)，這些系統(tǒng)本身安全性考慮的比較充分，也經(jīng)過(guò)了市場(chǎng)的考驗(yàn)，系統(tǒng)維護(hù)商也在不斷的更新補(bǔ)丁，商用的安全防護(hù)軟件也比較多，這些都使得系統(tǒng)的安全性比較高；特別是服務(wù)器版本，比如Windows Server版本，在設(shè)計(jì)上就優(yōu)先考慮了系統(tǒng)安全性。二是選用開源的操作系統(tǒng)，比如Linux操作系統(tǒng)，這些系統(tǒng)本身的安全性考慮也比較充分；主要是具備開源的特征，在考評(píng)系統(tǒng)研制和維護(hù)技術(shù)人員實(shí)力較強(qiáng)的條件下，可以深入代碼層面進(jìn)行安全性的定制開發(fā)，能夠充分發(fā)揮技術(shù)人員實(shí)力；而且由于安全系統(tǒng)定制，防護(hù)策略相對(duì)封閉和獨(dú)立，入侵人員難以采用常用方法進(jìn)行攻擊，能夠有效保護(hù)系統(tǒng)安全。

操作系統(tǒng)本身均具備安全性處理措施。首先，在進(jìn)入操作系統(tǒng)時(shí)，需要經(jīng)過(guò)嚴(yán)格的用戶名和密碼認(rèn)證，只有提供了合法的用戶名和與之匹配的正確密碼時(shí)，才可能進(jìn)入系統(tǒng)；利用錯(cuò)誤的用戶名或者錯(cuò)誤密碼登錄均會(huì)導(dǎo)致登錄被拒絕。不同的用戶具備的權(quán)限，用戶登錄后，操作系統(tǒng)會(huì)根據(jù)用戶權(quán)限來(lái)啟用相應(yīng)的功能和限制。其次，系統(tǒng)具備安全日志，這個(gè)日志記錄了操作系統(tǒng)認(rèn)為正確的操作記錄，包括資源操作事件、文件的處理等事件，另外也記錄了非法登錄信息，可以限制非法用戶登錄次數(shù)，同時(shí)提供了選擇性地指定安全日志記錄內(nèi)容的功能。

2 身份安全

考評(píng)系統(tǒng)的身份主要分為管理員、評(píng)審組、參考人員等三類角色。每類角色具備相應(yīng)的權(quán)限，均由多個(gè)用戶組成。對(duì)參考人員角色而言，數(shù)量較為龐大，核對(duì)人員身份是保障考評(píng)公平、嚴(yán)肅考評(píng)紀(jì)律的重要保障；對(duì)管理員和評(píng)審組而言，雖然其用戶數(shù)量相對(duì)較少，但是其重要性相對(duì)較高，只有充分的身份認(rèn)證才能保證考評(píng)系統(tǒng)的可信性。

身份認(rèn)證是設(shè)置在考評(píng)系統(tǒng)安全保障措施中的第一個(gè)也是最重要的一個(gè)措施，考評(píng)系統(tǒng)通過(guò)設(shè)計(jì)識(shí)別企圖登錄系統(tǒng)的用戶身份的合法性，來(lái)決定是否允許該用戶登錄系統(tǒng)并進(jìn)行相關(guān)操作訪問(wèn)以及訪問(wèn)相關(guān)系統(tǒng)的各項(xiàng)資源。在此之后諸如訪問(wèn)控制等安全措施的實(shí)現(xiàn)都是在身份認(rèn)證完成的基礎(chǔ)上開展的。身份認(rèn)證的基本功能，就是對(duì)合法用戶進(jìn)行識(shí)別和驗(yàn)證。

（1）用戶識(shí)別。用戶識(shí)別就是明確企圖登錄系統(tǒng)的訪問(wèn)者的身份，只有正確的識(shí)別出訪問(wèn)者的身份，才能調(diào)用相關(guān)措施進(jìn)行用戶的驗(yàn)證。用戶識(shí)別功能必須能夠?qū)戏ù嬖谟谙到y(tǒng)用戶名單中的各類用戶予以有效的識(shí)別，識(shí)別的方法是核對(duì)系統(tǒng)訪問(wèn)者提供的標(biāo)識(shí)符（ID），每個(gè)用戶的ID在系統(tǒng)中應(yīng)該是唯一的。

（2）用戶驗(yàn)證。用戶驗(yàn)證是在企圖登錄的用戶向系統(tǒng)提交用戶身份識(shí)別標(biāo)識(shí)符時(shí)，系統(tǒng)根據(jù)內(nèi)部存儲(chǔ)的身份信息予以核對(duì)，從而達(dá)到證實(shí)訪問(wèn)者身份的目的。除了處理提供用戶標(biāo)識(shí)符之外，在訪問(wèn)者登錄系統(tǒng)時(shí)，還應(yīng)提供與之匹配的能夠證明其合法身份的信息，一般來(lái)說(shuō)這個(gè)信息就是登錄密碼。

在考評(píng)系統(tǒng)中，一般采用口令認(rèn)證的方式來(lái)實(shí)現(xiàn)身份認(rèn)證。其基本原理是：系統(tǒng)中的每一個(gè)合法用戶都有自己專門的登錄口令。當(dāng)用戶需要登錄系統(tǒng)時(shí)，向系統(tǒng)提供用戶ID和口令。系統(tǒng)根據(jù)輸入的用戶ID在內(nèi)部列表中搜索，找到該用戶ID對(duì)應(yīng)的口令，再將該口令與輸入的口令進(jìn)行比較，在兩者完全一致的情況下認(rèn)為用戶身份是合法的，允許登錄系統(tǒng)。在沒(méi)有搜索到對(duì)應(yīng)的口令，或者兩個(gè)口令比較不一致時(shí)，認(rèn)為該用戶是非法用戶，從而拒絕該用戶登錄系統(tǒng)。這就要求在考評(píng)系統(tǒng)內(nèi)部存在一個(gè)數(shù)據(jù)庫(kù)表，存儲(chǔ)著所有合法用戶的用戶ID和口令對(duì)照關(guān)系，用戶ID是唯一的，每個(gè)用戶ID必然對(duì)應(yīng)一個(gè)口令，這個(gè)口令可以是相同的；在系統(tǒng)初始時(shí)，應(yīng)該具備默認(rèn)值，而且口令可以為空。主要流程如圖1所示。

不同的用戶具備不同的權(quán)限，管理員、評(píng)審組、參考人員均能夠修改自身用戶對(duì)應(yīng)的口令，并存儲(chǔ)到數(shù)據(jù)庫(kù)表中。但是，評(píng)審組和參考人員不具備用戶和口令信息的新增和刪除功能，這些需要由管理員完成。管理員能夠根據(jù)需要修改或者初始化各用戶口令，能夠向外提供注冊(cè)和注銷手段，使得評(píng)審組和參考人員也能對(duì)自身身份和口令進(jìn)行增刪管理。

隨著技術(shù)的不斷發(fā)展，也可以采用指紋識(shí)別等生理特征以及專用工具（USB身份識(shí)別工具）來(lái)登錄系統(tǒng)，這些需要增加專用的設(shè)備以及相應(yīng)的軟件系統(tǒng)來(lái)提供支撐。

3 數(shù)據(jù)安全

考評(píng)系統(tǒng)中的數(shù)據(jù)主要指考題數(shù)據(jù)、考試人員數(shù)據(jù)、評(píng)審組成員數(shù)據(jù)。特別是其中的考題數(shù)據(jù)，在安全性設(shè)計(jì)不足的情況下，存在泄露的可能，一旦泄露將導(dǎo)致考評(píng)活動(dòng)難以進(jìn)行，考評(píng)結(jié)論將不具備合法性。因此，需要從文件加密、數(shù)據(jù)備份、安全控制等方面進(jìn)行安全防護(hù)。

圖1 用戶身份識(shí)別流程圖

（1）文件加密。對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行加密，如果沒(méi)有解密的方法，即使獲得文件也無(wú)法解析使用。一般可以采用加密算法對(duì)數(shù)據(jù)進(jìn)行加密，由噪聲發(fā)生器產(chǎn)生隨機(jī)秘鑰，由專門的組織機(jī)構(gòu)負(fù)責(zé)公鑰的產(chǎn)生和保管。

（2）數(shù)據(jù)備份。對(duì)于參考人員提交的答題數(shù)據(jù)，系統(tǒng)應(yīng)進(jìn)行自動(dòng)備份，以便事后核對(duì)。一種方式在本地和數(shù)據(jù)庫(kù)服務(wù)器上都進(jìn)行存儲(chǔ)，數(shù)據(jù)庫(kù)上數(shù)據(jù)作為備份使用。另一種方式是答題數(shù)據(jù)直接存儲(chǔ)到數(shù)據(jù)庫(kù)中，在數(shù)據(jù)庫(kù)中另外復(fù)制一份作為備份使用。

（3）安全控制。在參考人員結(jié)束答題前檢查相關(guān)程序是否已經(jīng)關(guān)閉，如果沒(méi)有則提醒關(guān)閉相關(guān)軟件。在長(zhǎng)時(shí)間沒(méi)有得到關(guān)閉反饋的情況下，系統(tǒng)自動(dòng)關(guān)閉相關(guān)程序，完成答題提交程序。提交后，參考人員將無(wú)法再繼續(xù)進(jìn)行答題操作。

4 訪問(wèn)安全

在考評(píng)過(guò)程中，各類數(shù)據(jù)在操作臺(tái)位和服務(wù)器之間進(jìn)行互相傳遞。為了減少在信息傳遞過(guò)程中的泄露風(fēng)險(xiǎn)，需要在訪問(wèn)權(quán)限控制和網(wǎng)絡(luò)控制等方面加強(qiáng)安全防護(hù)。

（1）訪問(wèn)權(quán)限控制。在進(jìn)行考題增刪改等操作時(shí)，進(jìn)行用戶名和口令的再次檢查，還可以設(shè)置獨(dú)立的用戶名及其對(duì)應(yīng)口令，只有在輸入正確的用戶名及密碼條件下，才允許進(jìn)行考題系統(tǒng)并進(jìn)行相應(yīng)操作。

（2）網(wǎng)絡(luò)控制。限定訪問(wèn)數(shù)據(jù)服務(wù)器計(jì)算機(jī)的IP地址范圍，只允許考試用機(jī)連接服務(wù)器，可以減少外部訪問(wèn)的可能。

5 結(jié)束語(yǔ)

安全性是考評(píng)系統(tǒng)的重要指標(biāo)，直接關(guān)系著考評(píng)系統(tǒng)是否可用。通過(guò)從系統(tǒng)安全、身份安全、數(shù)據(jù)安全、訪問(wèn)安全等方面的分析，提供了可操作的思路和方法，為考評(píng)系統(tǒng)安全性的提高提供了有益的指導(dǎo)和參考。

[1]謝建東,郭平.通用題庫(kù)管理系統(tǒng)的要求與應(yīng)用.廣東交通職業(yè)技術(shù)學(xué)院報(bào),2005:4(2).

[2]Joseph Giarralano,Gray Rileyo.專家系統(tǒng)原理與編程.北京:機(jī)械工業(yè)出版社,2000.

[3]鞏超.指揮信息系統(tǒng)安全性分析與設(shè)計(jì)貫標(biāo)思路. 指揮信息系統(tǒng)與技術(shù),2018:8(74).