大數(shù)據(jù)環(huán)境下在線考試系統(tǒng)安全策略

李曉蝶 哈爾濱金融學(xué)院

引言

現(xiàn)如今在大數(shù)據(jù)這個(gè)網(wǎng)絡(luò)大環(huán)境下學(xué)校和社會(huì)上的很多教育機(jī)構(gòu)已經(jīng)普及了在線考試系統(tǒng)，因?yàn)閭鹘y(tǒng)的考試方式需要消耗大量的人力物力財(cái)力，伴隨著周期長(zhǎng)的問題，投入的資源占比也比較大，而且沒有網(wǎng)絡(luò)在線考試方便且省資源，但是在線考試系統(tǒng)雖然給我們帶來了這么大的便利的同時(shí)，也存在著很大的風(fēng)險(xiǎn)，所以本文選擇研究大數(shù)據(jù)的大環(huán)境下在線考試系統(tǒng)安全策略研究。

1 大數(shù)據(jù)環(huán)境下在線考試系統(tǒng)數(shù)據(jù)安全現(xiàn)狀

隨著互聯(lián)網(wǎng)技術(shù)在大數(shù)據(jù)環(huán)境中的蓬勃發(fā)展，互聯(lián)網(wǎng)技術(shù)已經(jīng)在各個(gè)方面滲透到人們的日常生活中，教育的滲透性相當(dāng)深遠(yuǎn)。在線考試系統(tǒng)需要一個(gè)強(qiáng)大的數(shù)據(jù)庫作為支撐，并且數(shù)據(jù)庫的安全性能正是在數(shù)據(jù)庫系統(tǒng)安全整體中的一個(gè)非常重要的組成部分。外國(guó)在這方面有很大的優(yōu)勢(shì)，并取得了更多的成果。電氣和電子工程師協(xié)會(huì)于1980 年召開計(jì)算機(jī)安全會(huì)議，國(guó)際信息處理委員會(huì)（IFIP）成立于1987 年。成立之后，國(guó)際信息處理委員會(huì)都會(huì)舉辦安全年會(huì)來加進(jìn)安全系統(tǒng)研究進(jìn)度。

有兩種主要方法被廣泛用于提高數(shù)據(jù)庫安全性。如 Trusted Oracle，Informix- online Secure，Trusted Sybase，SQL Server和國(guó)內(nèi)的Cobase V2.0 安全版本等，二是從現(xiàn)在的數(shù)據(jù)庫著手，并通過在線考試平臺(tái)的實(shí)際應(yīng)用中的優(yōu)勢(shì)劣勢(shì)，去開發(fā)不同的保護(hù)手段及其策略。

2 大數(shù)據(jù)環(huán)境下在線考試系統(tǒng)的安全風(fēng)險(xiǎn)

2.1 Web 服務(wù)器的安全風(fēng)險(xiǎn)

Web 服務(wù)器的安全風(fēng)險(xiǎn)主要包括冒充合法用戶、數(shù)據(jù)偽造、通過DNS 攻擊來隔離服務(wù)器、用偽造的請(qǐng)求淹沒機(jī)器、偷竊服務(wù)器信息、病毒攻擊、系統(tǒng)漏洞等。若有黑客利用自己專業(yè)的網(wǎng)絡(luò)工程技術(shù)，對(duì)Web 服務(wù)器進(jìn)行攻擊，那Web 服務(wù)器中被加密技術(shù)保護(hù)的信息也會(huì)被泄露，政府或企業(yè)的信息泄露不止帶來財(cái)產(chǎn)的巨大損失，還會(huì)帶來非常嚴(yán)重的社會(huì)影響，嚴(yán)重影響社會(huì)治安，擾亂社會(huì)秩序，因此帶來的社會(huì)影響是十分巨大的。

2.2 數(shù)據(jù)服務(wù)器的安全風(fēng)險(xiǎn)

大數(shù)據(jù)環(huán)境下在線考試系統(tǒng)的數(shù)據(jù)庫服務(wù)器的安全風(fēng)險(xiǎn)主要包括非法的SQL 注入，對(duì)數(shù)據(jù)進(jìn)行大幅度的修改或破壞，甚至在非法訪問的基礎(chǔ)上進(jìn)行大規(guī)模的數(shù)據(jù)泄露。無論個(gè)人信息還是商業(yè)機(jī)密， 還有更多的交易記錄都會(huì)從數(shù)據(jù)服務(wù)器中傾瀉到在線互聯(lián)網(wǎng)平臺(tái)里面，若有不法分子從中進(jìn)行非法操作，那么這種風(fēng)險(xiǎn)所帶來的巨大損失及其社會(huì)影響也是非常巨大的。

2.3 在線考試過程中的安全風(fēng)險(xiǎn)

在線考試過程的安全風(fēng)險(xiǎn)主要包括偽造考生身份、同一考生重復(fù)登錄、考試過程中斷電或電腦死機(jī)導(dǎo)致考試不能正常進(jìn)行、考生作弊等。若考生在考試過程中進(jìn)行非法操作，那么在線考試系統(tǒng)的存在意義也就沒有了，設(shè)計(jì)在線考試系統(tǒng)是為了讓教育和考試分離，但是可以同步進(jìn)行，為了教育事業(yè)更好的推進(jìn)，在線考試系統(tǒng)是在大數(shù)據(jù)環(huán)境下互聯(lián)網(wǎng)平臺(tái)高度先進(jìn)的基礎(chǔ)上去進(jìn)行設(shè)計(jì)的，但是被設(shè)計(jì)出來的同時(shí)也產(chǎn)生了很多風(fēng)險(xiǎn)及其各種各樣的問題，這些問題同樣帶來了風(fēng)險(xiǎn)。偽造考生身份使得考試不公平，如同現(xiàn)代傳統(tǒng)化考試找人去替考一樣，這個(gè)考生并沒有很高的水平，也使得學(xué)術(shù)造假的情況越來越多。

3 大數(shù)據(jù)環(huán)境下在線考試系統(tǒng)的安全設(shè)計(jì)

3.1 Web 服務(wù)器的安全性

根據(jù)“最少的服務(wù)+最小的權(quán)限=最大的安全”原則上，服務(wù)器運(yùn)轉(zhuǎn)不需要將全部服務(wù)都開啟，在線考試系統(tǒng)的使用是區(qū)分時(shí)間地點(diǎn)的，所以數(shù)據(jù)庫的實(shí)際使用過程中，不必要的端口直接關(guān)掉，直接從根本上切斷與外網(wǎng)的聯(lián)系，每天日常維護(hù)服務(wù)器的安全殺毒軟件，并從中尋找系統(tǒng)漏洞，并及時(shí)打補(bǔ)丁，必須讓在線考試系統(tǒng)正常運(yùn)轉(zhuǎn)的同時(shí)把操作系統(tǒng)的安全進(jìn)行最大程度的防護(hù)。

將用戶信息的數(shù)據(jù)進(jìn)行加密。在線考試系統(tǒng)的數(shù)據(jù)庫是用來存儲(chǔ)考試要參與考試的試題內(nèi)容的，現(xiàn)階段，遠(yuǎn)程教育在線考試系統(tǒng)所采用的是ASP.NET 的技術(shù)，該系統(tǒng)中的要加密的敏感數(shù)據(jù)包含著考生的賬戶信息，試題信息，還有試題的答案。

3.2 在線考試過程的安全

(1）考生身份認(rèn)證機(jī)制。若對(duì)考生身份認(rèn)真機(jī)制做的簡(jiǎn)單并且容易攻破，那么沒有經(jīng)過網(wǎng)絡(luò)授權(quán)的用戶就可以以一個(gè)很低的門檻登錄到系統(tǒng)頁面，并且這種登錄是非法的，若由此進(jìn)入到在線考試系統(tǒng)的數(shù)據(jù)庫平臺(tái)里面，數(shù)據(jù)信息就會(huì)大幅度泄露，在線測(cè)試系統(tǒng)的存在沒有任何意義，將極大地影響在線測(cè)試的正常運(yùn)行。

(2）用戶權(quán)限控制。在線考試系統(tǒng)中，有三種類型的用戶：考生、教師、系統(tǒng)管理員?？忌梢栽诳荚囅到y(tǒng)中用學(xué)號(hào)或者身份證信息進(jìn)行注冊(cè)，并參加考試，考試結(jié)束后，可在系統(tǒng)中查詢到自己的成績(jī)。教師的權(quán)限是管理候選人的個(gè)人信息（包括候選人信息的添加，刪除，修改，查詢和問題庫管理。系統(tǒng)管理員擁有對(duì)在線考試系統(tǒng)的最高權(quán)限。