1、网络考试系统中安全技术研究摘要: 随着计算机技术的飞速发展和社会信息化水平的不断提高,网络应用范围也不断扩大,发展以互联网为主要手段的教育信息化对传统的教学方法、考试方法及教育手段提出了新的挑战。其中作为教育评价的考试从传统的笔试转向网络化和无纸化的飞跃也成为一种趋势,出现了基于 B/S 模式的网络考试系统。 关键词: 网络考试系统;安全 中图分类号:F49 文献标识码:A 文章编号:16723198(2013)02016101 1 安全模型介绍 国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术以及管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭
2、到破坏、更改和泄露。如何有效地保护数据将变得更为重要。由于网络安全的重要性,ASP.NET 采用了身份验证和授权机制维护网络的安全。 验证(authentication):我们把确定请求对实体身份的验证行为称之为身份验证。身份验证一般的做法是让用户自行输入用户名和密码来确定用户的身份。 授权(authorization):经过身份验证后,确定此用户是否可以访问给定的资源或者访问操作资源的权限。 验证和授权的区别简单地说就是验证要知道“你是谁” 。而授权要知道“你可以做什么” 。因此验证是授权的先决条件。只有通过了身份验证后,才能谈得上授权。 2ASP.NET 中的安全访问模式 ASP.NET
3、在网络安全方面采取了双重的保护。可以选用的验证有基于Windows 的身份验证、基于 Forms 的身份验证和基于 Passport 的身份验证,可选的授权有基于文件访问权限控制(ACL)授权和基于 URL 的授权。身份验证和授权是紧密联系在一起的,没有验证只授权或者验证了没有授权都失去了实际意义。如果验证模式为 Windows,一般采用基于Windows 的身份验证和基于文件授权的安全模式;如果验证模式是Forms,一般采用基于 Forms 的身份验证和基于 URL 授权的安全模式。 系统采用基于 Forms 的身份验证和基于 URL 的授权。基于 Forms 的身份验证和基于 URL 的授
4、权主要使用 ASP.NET 自身的功能进行验证判别。3 系统安全性的实现 3.1 角色管理配置 对于配置角色管理、定义角色、向角色中添加用户和创建访问规则而言,最简单的方法是使用网站管理工具。在应用程序的 Web.config 文件中启用它。 角色的典型应用是建立规则,用于允许或拒绝对页面或文件夹的访问。可以在 Web.config 文件的 authorization 元素(ASP.NET 设置架构)部分中设置此类访问规则。配置允许 testManager 角色的用户查看名为store 的文件夹中的页面,同时拒绝任何其他用户的访问。创建完TestManager 角色后,并将用户的 ID 分配给
5、这些角色。 3.2 在运行时使用角色 在运行时,当用户访问站点时,他们将以 Windows 帐户名建立标识或通过登录应用程序建立标识。 (在 Internet 站点中,如果用户未经登录而访问站点,即匿名访问,他们将没有用户标识,因此不属于任何角色。 )应用程序可从 User 属性获取有关已登录用户的信息。启用角色后,ASP.NET 将查找当前用户的角色,并将其添加到 User 对象中,以便于检查。 3.3 配置文件的使用 对于每一个角色,能够访问的文件存放于一个指定的文件夹下。在Web.config 中进行配置访问权限。其中任课老师的配置和考生用户的配置可根据需要定义。 3.4 其他安全措施
6、网络考试系统和 Microsoft Windows 2000 操作系统完全紧密地结合在一起。Microsoft Windows 2000 操作系统为网络考试系统提供了完整的安全保护,包括内植于系统架构中的访问控制和认证。 对于需要进入系统的用户,系统发生的异常,进行日志的登记。根据日志提供的信息,保证系统的安全。由于系统的应用领域特殊性,保护数据库服务模块不受外来非法用户的入侵在数据库模块的设计中占有十分重要的地位。我们使用的 Microsoft SQL Server 2000 数据库管理系统中已经含有许多数据安全管理方面的实用工具(如数据完整性检查、数据安全管理机制、数据备份/恢复功能等)
7、,这些可以通过数据库对用户帐户的安全性、对象权限、系统级角色和权限等在一定程度上实现数据的安全管理。Microsoft Internet Information(IIS)为基于因特网的服务提供了另外的安全选择。 网络考试系统具有瞬间数据量大、安全性要求较高和数据准确性的特点,应该采用多服务器的模式,共同承担数据的存储、访问和管理。在考试系统中,需要保密的环节非常多,例如防止考前考题泄露、考试结束后学生答卷被恶意篡改以及考试数据在传输过程中被截取等等,解决这些问题可以采用文件加密的技术。 参考文献 1刘婕,孙莉.基于专家知识的试题库系统的研究与开发J.微型电脑应用,2004,20(6):4849,64. 2王明宝,洪力奋,陈凯明.基于 Web 的智能组卷的研究与应用J.计算机应用,2003,23(8):121123. 3汪捷.标准化网络考试系统的研究与实现D.武汉:华中科技大学,2005.
