◆王 鹏 王 涛

考评系统安全性设计

◆王 鹏 王 涛

（中国电子科技集团公司第二十八研究所 江苏 210007）

分析了安全性对考评系统的重要影响程度，从系统安全、身份安全、数据安全、访问安全等角度对系统安全性分别进行研究，给出了系统安全性的可操作的思路和方法，为考评系统安全性设计提供借鉴和参考。

考评系统；安全性

0 引言

考评系统承担着对参考人员进行考核的职责，对人员能力的检查和工作人员选拨等方面具备重要的指导作用。因此，考评是一个十分严肃的事情，系统安全性设计是考评系统的一个非常重要的部分。为了保证考评的公平性，要求考核试题、参考人员、答题记录、评分过程等数据均需要进行保密管理，必须增加各种加密规范。系统应具有身份校验、权限设置、防止非法用户的窃取和攻击等功能，能够处理系统操作安全和数据安全，能够处理可能出现的各种异常现象。

1 系统安全

考评系统在软硬件平台上运行，软硬件系统的安全在根子上决定考评系统的安全。

在硬件平台上，一般选用国际知名厂商的计算机产品，这些产品经过了市场的多年考验，具备较高的安全性和稳定性；在考虑某些特殊考评系统，比如军用考评系统，应当优选国内厂家研制的具备自主可控能力的计算机类产品，而且应当选择通过国家保密审查的产品。

在操作系统平台上，一般有两种选择。一是选用国际通用的操作系统，比如Windows操作系统，这些系统本身安全性考虑的比较充分，也经过了市场的考验，系统维护商也在不断的更新补丁，商用的安全防护软件也比较多，这些都使得系统的安全性比较高；特别是服务器版本，比如Windows Server版本，在设计上就优先考虑了系统安全性。二是选用开源的操作系统，比如Linux操作系统，这些系统本身的安全性考虑也比较充分；主要是具备开源的特征，在考评系统研制和维护技术人员实力较强的条件下，可以深入代码层面进行安全性的定制开发，能够充分发挥技术人员实力；而且由于安全系统定制，防护策略相对封闭和独立，入侵人员难以采用常用方法进行攻击，能够有效保护系统安全。

操作系统本身均具备安全性处理措施。首先，在进入操作系统时，需要经过严格的用户名和密码认证，只有提供了合法的用户名和与之匹配的正确密码时，才可能进入系统；利用错误的用户名或者错误密码登录均会导致登录被拒绝。不同的用户具备的权限，用户登录后，操作系统会根据用户权限来启用相应的功能和限制。其次，系统具备安全日志，这个日志记录了操作系统认为正确的操作记录，包括资源操作事件、文件的处理等事件，另外也记录了非法登录信息，可以限制非法用户登录次数，同时提供了选择性地指定安全日志记录内容的功能。

2 身份安全

考评系统的身份主要分为管理员、评审组、参考人员等三类角色。每类角色具备相应的权限，均由多个用户组成。对参考人员角色而言，数量较为庞大，核对人员身份是保障考评公平、严肃考评纪律的重要保障；对管理员和评审组而言，虽然其用户数量相对较少，但是其重要性相对较高，只有充分的身份认证才能保证考评系统的可信性。

身份认证是设置在考评系统安全保障措施中的第一个也是最重要的一个措施，考评系统通过设计识别企图登录系统的用户身份的合法性，来决定是否允许该用户登录系统并进行相关操作访问以及访问相关系统的各项资源。在此之后诸如访问控制等安全措施的实现都是在身份认证完成的基础上开展的。身份认证的基本功能，就是对合法用户进行识别和验证。

（1）用户识别。用户识别就是明确企图登录系统的访问者的身份，只有正确的识别出访问者的身份，才能调用相关措施进行用户的验证。用户识别功能必须能够对合法存在于系统用户名单中的各类用户予以有效的识别，识别的方法是核对系统访问者提供的标识符（ID），每个用户的ID在系统中应该是唯一的。

（2）用户验证。用户验证是在企图登录的用户向系统提交用户身份识别标识符时，系统根据内部存储的身份信息予以核对，从而达到证实访问者身份的目的。除了处理提供用户标识符之外，在访问者登录系统时，还应提供与之匹配的能够证明其合法身份的信息，一般来说这个信息就是登录密码。

在考评系统中，一般采用口令认证的方式来实现身份认证。其基本原理是：系统中的每一个合法用户都有自己专门的登录口令。当用户需要登录系统时，向系统提供用户ID和口令。系统根据输入的用户ID在内部列表中搜索，找到该用户ID对应的口令，再将该口令与输入的口令进行比较，在两者完全一致的情况下认为用户身份是合法的，允许登录系统。在没有搜索到对应的口令，或者两个口令比较不一致时，认为该用户是非法用户，从而拒绝该用户登录系统。这就要求在考评系统内部存在一个数据库表，存储着所有合法用户的用户ID和口令对照关系，用户ID是唯一的，每个用户ID必然对应一个口令，这个口令可以是相同的；在系统初始时，应该具备默认值，而且口令可以为空。主要流程如图1所示。

不同的用户具备不同的权限，管理员、评审组、参考人员均能够修改自身用户对应的口令，并存储到数据库表中。但是，评审组和参考人员不具备用户和口令信息的新增和删除功能，这些需要由管理员完成。管理员能够根据需要修改或者初始化各用户口令，能够向外提供注册和注销手段，使得评审组和参考人员也能对自身身份和口令进行增删管理。

随着技术的不断发展，也可以采用指纹识别等生理特征以及专用工具（USB身份识别工具）来登录系统，这些需要增加专用的设备以及相应的软件系统来提供支撑。

3 数据安全

考评系统中的数据主要指考题数据、考试人员数据、评审组成员数据。特别是其中的考题数据，在安全性设计不足的情况下，存在泄露的可能，一旦泄露将导致考评活动难以进行，考评结论将不具备合法性。因此，需要从文件加密、数据备份、安全控制等方面进行安全防护。

图1 用户身份识别流程图

（1）文件加密。对数据库文件进行加密，如果没有解密的方法，即使获得文件也无法解析使用。一般可以采用加密算法对数据进行加密，由噪声发生器产生随机秘钥，由专门的组织机构负责公钥的产生和保管。

（2）数据备份。对于参考人员提交的答题数据，系统应进行自动备份，以便事后核对。一种方式在本地和数据库服务器上都进行存储，数据库上数据作为备份使用。另一种方式是答题数据直接存储到数据库中，在数据库中另外复制一份作为备份使用。

（3）安全控制。在参考人员结束答题前检查相关程序是否已经关闭，如果没有则提醒关闭相关软件。在长时间没有得到关闭反馈的情况下，系统自动关闭相关程序，完成答题提交程序。提交后，参考人员将无法再继续进行答题操作。

4 访问安全

在考评过程中，各类数据在操作台位和服务器之间进行互相传递。为了减少在信息传递过程中的泄露风险，需要在访问权限控制和网络控制等方面加强安全防护。

（1）访问权限控制。在进行考题增删改等操作时，进行用户名和口令的再次检查，还可以设置独立的用户名及其对应口令，只有在输入正确的用户名及密码条件下，才允许进行考题系统并进行相应操作。

（2）网络控制。限定访问数据服务器计算机的IP地址范围，只允许考试用机连接服务器，可以减少外部访问的可能。

5 结束语

安全性是考评系统的重要指标，直接关系着考评系统是否可用。通过从系统安全、身份安全、数据安全、访问安全等方面的分析，提供了可操作的思路和方法，为考评系统安全性的提高提供了有益的指导和参考。

[1]谢建东,郭平.通用题库管理系统的要求与应用.广东交通职业技术学院报,2005:4(2).

[2]Joseph Giarralano,Gray Rileyo.专家系统原理与编程.北京:机械工业出版社,2000.

[3]巩超.指挥信息系统安全性分析与设计贯标思路. 指挥信息系统与技术,2018:8(74).