試題庫安全在考試過程中新問題的研究與實踐

2010-05-05 02:39:40陳青青王加陽

微型電腦應用 2010年4期

陳青青，王加陽

0 引言

自古以來，考試就作為選拔人才最為主要的手段。隨著計算機科學、網(wǎng)絡技術的迅猛發(fā)展，在教育領域里，信息技術的發(fā)展對教育的影響也是巨大的，很多院校建立了自己的校園網(wǎng)、網(wǎng)絡教室，并開始實施網(wǎng)上教學和網(wǎng)上考試。這使得考試的無紙化、網(wǎng)絡化成為可能。這種考試手段的現(xiàn)代化是教育發(fā)展的必然趨勢，它可以大大提高考試的效率。各種各樣的考試系統(tǒng)也應運而生，但整個考試流程是一樣的，即：命題、考生報名、考生登錄、獲取試題、開始考試、提交試卷、系統(tǒng)評分[1-3]。通過對考試流程的分析，可以發(fā)現(xiàn)，試題是考試過程各個環(huán)節(jié)中的核心，而考試系統(tǒng)中試題庫的安全對于現(xiàn)代化的考試系統(tǒng)來說就顯得尤其重要。

1 題庫建設簡論

1.1 題庫產(chǎn)生

在1985年，Choppin曾經(jīng)給題庫下過這樣的一個定義：題庫是有組織，分門別類，容易檢索的測試題目的集合，就好象圖書館里的書籍一樣，能夠按要求抽取出一些題目并組成試卷。1992年Melchiori對這個定義進行了補充，他認為題庫除了是一個信息集合外，還是一個服務系統(tǒng)。它能恰當?shù)乩霉こ谭椒▽W，經(jīng)濟地產(chǎn)生和控制相關的信息流，并根據(jù)用戶的需求做出相應的反應。張厚粲在《談題庫》一文中說：“題庫乃是大量具有必要參數(shù)的考題的有機組合”。按照以上定義，第一，題庫的基本組成單位應是試題，是試題組成的“倉庫”，而不是其他東西組成的“倉庫”。第二，題庫的題量必須很大，并具有合理的比例結構。第三，題庫中所有試題的考核性能必須查明，試題參數(shù)都應表達在同一度量系統(tǒng)上。第四，題庫中試題必須按科學原則分類、儲存、形成有機整體。第五，題庫必須是動態(tài)的。

因此，題庫是保證考試題目具有較高質量、水平穩(wěn)定、更好地達到測試目的的重要手段。

1.2 題庫優(yōu)點

題庫使標準化考試進一步地完善，具有以下優(yōu)點：

（1）提高命題工作的效率

題庫是由許多適用于不同目的、知識、技能需要的試題所組成的，如果題庫中包括了學科中所有內容的高質量試題，則命題者的工作就會變得簡捷而卓有成效，同時命題所花費的時間也會減少。

（2）提高了平行試卷的一致性

題庫中，由于試題的各種參數(shù)經(jīng)過統(tǒng)一標準的嚴格核正，用這些試題構成的平行試卷，其相關程度較高，可以使用不同試卷的內容、難度穩(wěn)定。

（3）靈活性組卷

由于試題是題庫的最小單位，針對不同內容、難度要求，題庫很容易生成不同試卷，因此具有靈活性。從而克服了在沒有題庫前，標準化試卷修訂困難，內容、難度不一定適合特定要求等問題。

（4）高效性

由于題庫中的題目是大最命題工作者的智慧，題目都附有參數(shù)，因此可以重復使用，節(jié)省了大量人力、物力和時間。因此可以說題庫更經(jīng)濟。

（5）保密性能好

傳統(tǒng)的大規(guī)模考試保密工作是個關鍵問題。考生如果在考前知道了題目，考試就不能達到預期的目的。題庫，由于題量大，即使題目公開，不靠掌握光靠死記也很難得高分；再者，由于題庫可以因時生成幾個平行試卷或隨機試卷，一旦泄密也可很快補救。

2 試題庫系統(tǒng)的安全性分析

試題庫是組織試卷的基礎，傳統(tǒng)考試出題和試卷制作過程容易發(fā)生泄密事故，在考試現(xiàn)場同一試卷也容易發(fā)生抄襲作弊現(xiàn)象。網(wǎng)絡考試采用計算機即時自動組卷，基本上杜絕了出題和試卷制作過程中泄密的可能性，在考試現(xiàn)場，由于試卷內容各不相同，也能有效地杜絕各種抄襲作弊現(xiàn)象。

因此，網(wǎng)絡考試的試題庫安全不僅與考試系統(tǒng)應用程序有關，也與試題庫建設自身的許多因素有關，其安全需求必須綜合考慮試題庫系統(tǒng)與考試系統(tǒng)。

1、保證試題數(shù)據(jù)可用性

是指信息可以被授權用戶方便地訪問到，也就是說，合法考生訪問想要的試題信息，能夠得到快速響應，不應該受到拒絕。因此，試題庫不僅要進行合理設計，便于檢索和利用，能夠支持多種組卷策略，而且要能夠提供安全服務。可用性本來不屬于安全范疇，越來越多的以拒絕服務為目的的網(wǎng)絡攻擊，使得它成為試題庫安全的一個基本需求。

2、保證試題數(shù)據(jù)完整性

在計算機運行過程中，設備故障是最嚴重的安全威脅。無論是存儲器發(fā)生故障，還是服務器出錯，亦或其他設備被毀，都會導致試題數(shù)據(jù)的丟失或損毀。因此，試題庫一方面要有冗余備份，或者采用鏡像技術；另一方面要定期查毒殺毒，并及時下載所用軟件的補丁程序，以防止損害或破壞性程序的引入，包括病毒、特洛伊木馬、蠕蟲、邏輯炸彈等。

3、保證試題數(shù)據(jù)秘密性

試題數(shù)據(jù)要加密存儲，禁止非法訪問，防范黑客攻擊?？荚嚻陂g，網(wǎng)絡考試系統(tǒng)應該能夠控制哪些用戶可以登錄到中心服務器并獲取哪個試題庫的資源，還應該能夠控制用戶進行登錄的站點并限制用戶登錄的時間。也就是說，網(wǎng)絡考試系統(tǒng)只允許合法考生通過規(guī)定的考試服務器，在規(guī)定的考試時間內，訪問規(guī)定科目的試題庫。

4、保證系統(tǒng)用戶合法性

試題庫系統(tǒng)的用戶適當配置權限，進行嚴格管理。對試題庫系統(tǒng)的登錄事件要有日志記錄，對試題庫的寫入操作要有明確規(guī)程。

3 在考試過程中遇到的新問題與應對

3.1 考試過程中遇到的新問題

在傳統(tǒng)的考試方式中，老師通常會給學生對考試內容進行有針對性復習和總結，劃定考試重點、考試范圍，然后學生有針對性的進行練習。然而在基于試題庫的自動化考試系統(tǒng)中，雖然解決了傳統(tǒng)考試中出現(xiàn)的很多問題，但也遇到了新的挑戰(zhàn)。一方面，試題庫可能會通過老師等某些形式流落到學生手中；另一方面，在開放式的考試系統(tǒng)中，學生通過多次上機或者模擬練習的方式，累積和總結考試題目。在今年來進行的國家級或省級計算機等級考試機試中，就經(jīng)常發(fā)現(xiàn)有學生利用該方式，在考試進行的過程中，通過u盤等外部存儲方式，將收集的試題庫打開。所以試題庫更新不及時或題庫數(shù)量不大的情況下，這些問題將嚴重影響考試的順利執(zhí)行及其效果。而對于一門固定的課程來說，試題庫大量更新是不太可能的。

3.2 應對方式

為了應對在考試過程中可能出現(xiàn)的這樣嚴重問題，最好的方式就是在考試場所禁止u盤的使用，在系統(tǒng)中常用的禁用U盤的方式一般有：

方法一，BIOS設置法

進入BIOS設置，選擇“Integrated Peripherals”選項，展開后將“USB 1.1 Controller”和“USB 2.0 Contr01ler”選項的屬性設置為“Disableed”，即可禁用 USB接口。最后別忘記給BIOS設置上一個密碼，這樣他人就無法通過修改注冊表解“鎖”上述設備了。

需要注意的是，這個方法是完全禁止USB接口，也就是說各種USB接口的設備均不能用了，當然也包括了U盤和移動盤。

方法二，禁止閃盤或移動硬盤的啟動

打開注冊表編輯器，依次展開如下分支[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]，在右側的窗格中找到名為“Start”的DWORD值，雙擊，在彈出的編輯對話框中將其數(shù)值數(shù)據(jù)修改為十六位進制數(shù)值“4”。點“確定”按鈕并關閉注冊表編輯器，當有人將USB存儲設備連接到計算機時，雖然USB設備上的指示燈在正常閃爍，但在資源管理器當中就是無法找到其盤符，因此也就無法使用USB設備了。同時這種方法只是針對存儲設備，所以并不影響usb鼠標、鍵盤等設備的使用。

方法三，隱藏盤符和禁止查看

打開注冊表編輯器，依次展開如下分支[HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer]，新建二進制值“NoDrives”，其缺省值均是00 00 00 00，表示不隱藏任何驅動器。鍵值由四個字節(jié)組成，每個字節(jié)的每一位（bit）對應從A:到Z:的一個盤，當相應位為1時，“我的電腦”中相應的驅動器就被隱藏了。第一個字節(jié)代表從A到H的8個盤，即01為A，02為B，04為C……依次類推，第二個字節(jié)代表I到P，第三個字節(jié)代表Q到X，第四個字節(jié)代表Y和Z。比如要關閉C盤，將鍵值改為04 00 00 00；要關閉D盤，則改為08 00 00 00，若要關閉C盤和D盤，則改為0C 00 00 00（C是十六進制）。

設置好后再插入U盤，在我的電腦里看不出來，但在地址欄里輸入I:（假設我的電腦最后一個盤符是H）還是可以訪問移動盤的。到這里大家都看得出“NoDrives”只是障眼法，所以我們還要做多一步，就是再新建一個二進制“NoViewOnDrive”，其值與“NoDrives”相同。這樣一來，既看不到U盤符也訪問不到U盤了。

方法四，禁止安裝USB驅動程序

在Windows資源管理器中，進入到“系統(tǒng)盤:WINDOWSinf”目錄，找到名為“Usbstor.pnf”的文件，右鍵點擊該文件，在彈出菜單中選擇“屬性”，然后切換到“安全”標簽頁，在“組或用戶名稱”框中選中要禁止的用戶組，接著在用戶組的權限框中，選中“完全控制”后面的“拒絕”復選框，最后點擊“確定”按鈕。

再使用以上方法，找到“usbstor.inf”文件并在安全標簽頁中設置為拒絕該組的用戶訪問，其操作過程同上。完成了以上設置后，該組中的用戶無法安裝USB設備驅動程序，這樣就達到禁用的目的。

3.3 不同方式的比較

考試系統(tǒng)所使用的計算機，一般都不是專用的，它們都是平時作為上課用的機房，考試的時候往往要反復重裝系統(tǒng)，這給管理人員帶來很大的重復工作量。通過對上述幾種方法的比較，如表1所示。為了減輕管理人員的工作量，同時考慮到系統(tǒng)的安全性等方面，可以選擇方法二。

以VB為例，可以在考生打開和關閉（代碼與打開類似）考試客戶端的事件中，在程序中進行設置，其代碼如下：

Private Sub form_load（）

Dim AA As Object Dim RegPath As String

Set AA = CreateObject（"WScript.shell"）

RegPath="HKEY_LOCAL_MACHINESYSTEMCurren tControlSetServicesUSBSTORStart"

AA.regWrite RegPath，4，"REG_DWORD"

Set AA = Nothing

End Sub

表1 考試系統(tǒng)中不同禁止usb方式的比較

4 總結

整個考試系統(tǒng)以及考試過程是一項復雜的系統(tǒng)工程，其周期長，形式多變。在長期的研究與開發(fā)過程中，我們需要從多個方面不斷努力，盡最大努力維護考試的公開、公平和公正。提高考試效果和教學效果。

[1]黃安健.實現(xiàn)無紙化考試的二項技術處理[J].上海應用技術學院學報，2003，3（1）:66-68.

[2]楊牧祥，王占波.考試系統(tǒng)網(wǎng)絡版研究與應用[J].河北中醫(yī)藥學報，1999，14（4）:42-44.