考評系統(tǒng)安全性設(shè)計(jì)

◆王 鵬 王 濤

考評系統(tǒng)安全性設(shè)計(jì)

◆王 鵬 王 濤

（中國電子科技集團(tuán)公司第二十八研究所 江蘇 210007）

分析了安全性對考評系統(tǒng)的重要影響程度，從系統(tǒng)安全、身份安全、數(shù)據(jù)安全、訪問安全等角度對系統(tǒng)安全性分別進(jìn)行研究，給出了系統(tǒng)安全性的可操作的思路和方法，為考評系統(tǒng)安全性設(shè)計(jì)提供借鑒和參考。

考評系統(tǒng)；安全性

0 引言

考評系統(tǒng)承擔(dān)著對參考人員進(jìn)行考核的職責(zé)，對人員能力的檢查和工作人員選撥等方面具備重要的指導(dǎo)作用。因此，考評是一個十分嚴(yán)肅的事情，系統(tǒng)安全性設(shè)計(jì)是考評系統(tǒng)的一個非常重要的部分。為了保證考評的公平性，要求考核試題、參考人員、答題記錄、評分過程等數(shù)據(jù)均需要進(jìn)行保密管理，必須增加各種加密規(guī)范。系統(tǒng)應(yīng)具有身份校驗(yàn)、權(quán)限設(shè)置、防止非法用戶的竊取和攻擊等功能，能夠處理系統(tǒng)操作安全和數(shù)據(jù)安全，能夠處理可能出現(xiàn)的各種異常現(xiàn)象。

1 系統(tǒng)安全

考評系統(tǒng)在軟硬件平臺上運(yùn)行，軟硬件系統(tǒng)的安全在根子上決定考評系統(tǒng)的安全。

在硬件平臺上，一般選用國際知名廠商的計(jì)算機(jī)產(chǎn)品，這些產(chǎn)品經(jīng)過了市場的多年考驗(yàn)，具備較高的安全性和穩(wěn)定性；在考慮某些特殊考評系統(tǒng)，比如軍用考評系統(tǒng)，應(yīng)當(dāng)優(yōu)選國內(nèi)廠家研制的具備自主可控能力的計(jì)算機(jī)類產(chǎn)品，而且應(yīng)當(dāng)選擇通過國家保密審查的產(chǎn)品。

在操作系統(tǒng)平臺上，一般有兩種選擇。一是選用國際通用的操作系統(tǒng)，比如Windows操作系統(tǒng)，這些系統(tǒng)本身安全性考慮的比較充分，也經(jīng)過了市場的考驗(yàn)，系統(tǒng)維護(hù)商也在不斷的更新補(bǔ)丁，商用的安全防護(hù)軟件也比較多，這些都使得系統(tǒng)的安全性比較高；特別是服務(wù)器版本，比如Windows Server版本，在設(shè)計(jì)上就優(yōu)先考慮了系統(tǒng)安全性。二是選用開源的操作系統(tǒng)，比如Linux操作系統(tǒng)，這些系統(tǒng)本身的安全性考慮也比較充分；主要是具備開源的特征，在考評系統(tǒng)研制和維護(hù)技術(shù)人員實(shí)力較強(qiáng)的條件下，可以深入代碼層面進(jìn)行安全性的定制開發(fā)，能夠充分發(fā)揮技術(shù)人員實(shí)力；而且由于安全系統(tǒng)定制，防護(hù)策略相對封閉和獨(dú)立，入侵人員難以采用常用方法進(jìn)行攻擊，能夠有效保護(hù)系統(tǒng)安全。

操作系統(tǒng)本身均具備安全性處理措施。首先，在進(jìn)入操作系統(tǒng)時(shí)，需要經(jīng)過嚴(yán)格的用戶名和密碼認(rèn)證，只有提供了合法的用戶名和與之匹配的正確密碼時(shí)，才可能進(jìn)入系統(tǒng)；利用錯誤的用戶名或者錯誤密碼登錄均會導(dǎo)致登錄被拒絕。不同的用戶具備的權(quán)限，用戶登錄后，操作系統(tǒng)會根據(jù)用戶權(quán)限來啟用相應(yīng)的功能和限制。其次，系統(tǒng)具備安全日志，這個日志記錄了操作系統(tǒng)認(rèn)為正確的操作記錄，包括資源操作事件、文件的處理等事件，另外也記錄了非法登錄信息，可以限制非法用戶登錄次數(shù)，同時(shí)提供了選擇性地指定安全日志記錄內(nèi)容的功能。

2 身份安全

考評系統(tǒng)的身份主要分為管理員、評審組、參考人員等三類角色。每類角色具備相應(yīng)的權(quán)限，均由多個用戶組成。對參考人員角色而言，數(shù)量較為龐大，核對人員身份是保障考評公平、嚴(yán)肅考評紀(jì)律的重要保障；對管理員和評審組而言，雖然其用戶數(shù)量相對較少，但是其重要性相對較高，只有充分的身份認(rèn)證才能保證考評系統(tǒng)的可信性。

身份認(rèn)證是設(shè)置在考評系統(tǒng)安全保障措施中的第一個也是最重要的一個措施，考評系統(tǒng)通過設(shè)計(jì)識別企圖登錄系統(tǒng)的用戶身份的合法性，來決定是否允許該用戶登錄系統(tǒng)并進(jìn)行相關(guān)操作訪問以及訪問相關(guān)系統(tǒng)的各項(xiàng)資源。在此之后諸如訪問控制等安全措施的實(shí)現(xiàn)都是在身份認(rèn)證完成的基礎(chǔ)上開展的。身份認(rèn)證的基本功能，就是對合法用戶進(jìn)行識別和驗(yàn)證。

（1）用戶識別。用戶識別就是明確企圖登錄系統(tǒng)的訪問者的身份，只有正確的識別出訪問者的身份，才能調(diào)用相關(guān)措施進(jìn)行用戶的驗(yàn)證。用戶識別功能必須能夠?qū)戏ù嬖谟谙到y(tǒng)用戶名單中的各類用戶予以有效的識別，識別的方法是核對系統(tǒng)訪問者提供的標(biāo)識符（ID），每個用戶的ID在系統(tǒng)中應(yīng)該是唯一的。

（2）用戶驗(yàn)證。用戶驗(yàn)證是在企圖登錄的用戶向系統(tǒng)提交用戶身份識別標(biāo)識符時(shí)，系統(tǒng)根據(jù)內(nèi)部存儲的身份信息予以核對，從而達(dá)到證實(shí)訪問者身份的目的。除了處理提供用戶標(biāo)識符之外，在訪問者登錄系統(tǒng)時(shí)，還應(yīng)提供與之匹配的能夠證明其合法身份的信息，一般來說這個信息就是登錄密碼。

在考評系統(tǒng)中，一般采用口令認(rèn)證的方式來實(shí)現(xiàn)身份認(rèn)證。其基本原理是：系統(tǒng)中的每一個合法用戶都有自己專門的登錄口令。當(dāng)用戶需要登錄系統(tǒng)時(shí)，向系統(tǒng)提供用戶ID和口令。系統(tǒng)根據(jù)輸入的用戶ID在內(nèi)部列表中搜索，找到該用戶ID對應(yīng)的口令，再將該口令與輸入的口令進(jìn)行比較，在兩者完全一致的情況下認(rèn)為用戶身份是合法的，允許登錄系統(tǒng)。在沒有搜索到對應(yīng)的口令，或者兩個口令比較不一致時(shí)，認(rèn)為該用戶是非法用戶，從而拒絕該用戶登錄系統(tǒng)。這就要求在考評系統(tǒng)內(nèi)部存在一個數(shù)據(jù)庫表，存儲著所有合法用戶的用戶ID和口令對照關(guān)系，用戶ID是唯一的，每個用戶ID必然對應(yīng)一個口令，這個口令可以是相同的；在系統(tǒng)初始時(shí)，應(yīng)該具備默認(rèn)值，而且口令可以為空。主要流程如圖1所示。

不同的用戶具備不同的權(quán)限，管理員、評審組、參考人員均能夠修改自身用戶對應(yīng)的口令，并存儲到數(shù)據(jù)庫表中。但是，評審組和參考人員不具備用戶和口令信息的新增和刪除功能，這些需要由管理員完成。管理員能夠根據(jù)需要修改或者初始化各用戶口令，能夠向外提供注冊和注銷手段，使得評審組和參考人員也能對自身身份和口令進(jìn)行增刪管理。

隨著技術(shù)的不斷發(fā)展，也可以采用指紋識別等生理特征以及專用工具（USB身份識別工具）來登錄系統(tǒng)，這些需要增加專用的設(shè)備以及相應(yīng)的軟件系統(tǒng)來提供支撐。

3 數(shù)據(jù)安全

考評系統(tǒng)中的數(shù)據(jù)主要指考題數(shù)據(jù)、考試人員數(shù)據(jù)、評審組成員數(shù)據(jù)。特別是其中的考題數(shù)據(jù)，在安全性設(shè)計(jì)不足的情況下，存在泄露的可能，一旦泄露將導(dǎo)致考評活動難以進(jìn)行，考評結(jié)論將不具備合法性。因此，需要從文件加密、數(shù)據(jù)備份、安全控制等方面進(jìn)行安全防護(hù)。

圖1 用戶身份識別流程圖

（1）文件加密。對數(shù)據(jù)庫文件進(jìn)行加密，如果沒有解密的方法，即使獲得文件也無法解析使用。一般可以采用加密算法對數(shù)據(jù)進(jìn)行加密，由噪聲發(fā)生器產(chǎn)生隨機(jī)秘鑰，由專門的組織機(jī)構(gòu)負(fù)責(zé)公鑰的產(chǎn)生和保管。

（2）數(shù)據(jù)備份。對于參考人員提交的答題數(shù)據(jù)，系統(tǒng)應(yīng)進(jìn)行自動備份，以便事后核對。一種方式在本地和數(shù)據(jù)庫服務(wù)器上都進(jìn)行存儲，數(shù)據(jù)庫上數(shù)據(jù)作為備份使用。另一種方式是答題數(shù)據(jù)直接存儲到數(shù)據(jù)庫中，在數(shù)據(jù)庫中另外復(fù)制一份作為備份使用。

（3）安全控制。在參考人員結(jié)束答題前檢查相關(guān)程序是否已經(jīng)關(guān)閉，如果沒有則提醒關(guān)閉相關(guān)軟件。在長時(shí)間沒有得到關(guān)閉反饋的情況下，系統(tǒng)自動關(guān)閉相關(guān)程序，完成答題提交程序。提交后，參考人員將無法再繼續(xù)進(jìn)行答題操作。

4 訪問安全

在考評過程中，各類數(shù)據(jù)在操作臺位和服務(wù)器之間進(jìn)行互相傳遞。為了減少在信息傳遞過程中的泄露風(fēng)險(xiǎn)，需要在訪問權(quán)限控制和網(wǎng)絡(luò)控制等方面加強(qiáng)安全防護(hù)。

（1）訪問權(quán)限控制。在進(jìn)行考題增刪改等操作時(shí)，進(jìn)行用戶名和口令的再次檢查，還可以設(shè)置獨(dú)立的用戶名及其對應(yīng)口令，只有在輸入正確的用戶名及密碼條件下，才允許進(jìn)行考題系統(tǒng)并進(jìn)行相應(yīng)操作。

（2）網(wǎng)絡(luò)控制。限定訪問數(shù)據(jù)服務(wù)器計(jì)算機(jī)的IP地址范圍，只允許考試用機(jī)連接服務(wù)器，可以減少外部訪問的可能。

5 結(jié)束語

安全性是考評系統(tǒng)的重要指標(biāo)，直接關(guān)系著考評系統(tǒng)是否可用。通過從系統(tǒng)安全、身份安全、數(shù)據(jù)安全、訪問安全等方面的分析，提供了可操作的思路和方法，為考評系統(tǒng)安全性的提高提供了有益的指導(dǎo)和參考。

[1]謝建東,郭平.通用題庫管理系統(tǒng)的要求與應(yīng)用.廣東交通職業(yè)技術(shù)學(xué)院報(bào),2005:4(2).

[2]Joseph Giarralano,Gray Rileyo.專家系統(tǒng)原理與編程.北京:機(jī)械工業(yè)出版社,2000.

[3]鞏超.指揮信息系統(tǒng)安全性分析與設(shè)計(jì)貫標(biāo)思路. 指揮信息系統(tǒng)與技術(shù),2018:8(74).