在线考试系统安全性研究.docVIP

在线考试系统安全性研究 　　摘 要 随着计算机技术的发展，越来越多的高校采用在线考试的方式。同时，在线考试系统的安全性，就愈加的重要。本文主要对在线考试系统的安全性进行了阐述，对该系统的安全性和可靠性进行了论证。希望在深入地探讨和交流中，系统能够得到进一步改进和完善，功能得到提升。 　　【关键词】安全 在线考试 身份认证 数据库 　　随着信息化和网络化在高校的迅速发展，也随着高校IT基础建设的不断加强，无纸化考试成为一种最新趋势，逐步代替传统的纸质化考试。由于Web自身存在的安全性问题，以及web系统开发人员对安全问题的疏忽，导致系统极易受到黑客的攻击或被黑客篡改了数据，导致系统崩溃或其他问题。本文就基于Web系统安全机制方面的问题进行了分析，Web系统的安全性除了受Web应用程序设计的影响，还包括运行Web应用程序的操作系统及数据库等因素的影响。 　　1 访问控制 　　在线考试系统的数据库服务器采用Mysql，后台包含了与考试相关的各种数据，包括用户信息、试题信息、组卷方案信息、成绩信息等。除了采用Mysql与Windows 相结合的方式登录数据库服务器来实现安全性的身份验证方式以外，还根据不同用户权限的设定和划分，避免使得用户在使用时获取到身份不相符权限，或者页面缺少身份验证，用户不经身份验证就打开相应的页面等问题。不同类别用户的功能确定不同的操作对象和操作级别，从源头保证数据操作的安全。通过建立角色，将访问许可集中授予角色，之后将需要拥有这一许可的用户加到角色中，这些用户即继承角色的访问许可。需要撤销用户的访问许可时，将用户从角色中删除即可。 　　本系统中，有三种用户角色，分别为管理员、教师、学生，其有各自权限： 　　（1）管理员权限：可以对教师、学生、试题信息进行增删改查。 　　（2）教师权限：组卷管理，查看学生信息（包括每个学生的试卷信息）。 　　（3）学生权限：考试，查询成绩。 　　2 程序设计问题漏洞 　　不管Web程序设计基于哪种语言或脚本，因使用语言或脚本本身就有部分缺陷导致产生安全漏洞，比如对特殊字符的判断或者会话管理漏洞等。例如在php中的“cookie会话”漏洞，入侵者自己在URL中创造一个假的会话标识（ID），并将其提交给服务器，服务器被欺骗以为会话是合法的，会创建一个会话。这个漏洞使得攻击者可以窃取会话并装扮成一个合法用户自由访问程序。 　　我们需要对特殊字符进行转义，代码如下： 　　if （！function_exists（func_safe）） { 　　function func_safe（$data， $ignore_magic_quotes = false） { 　　if （is_string（$data）） { 　　$data = trim（htmlspecialchars（$data））； //防止被挂马，跨站攻击 　　if （（$ignore_magic_quotes == true） || （！get_magic_quotes_gpc（））） { 　　$data = addslashes（$data）； //防止sql注入 　　} 　　return $data； 　　} else if （is_array（$data）） //如果是数组采用递归过滤 　　{ 　　foreach （$data as $key = $value） { 　　$data[$key] = func_safe（$value）； 　　} 　　return $data； 　　} else { 　　return $data； 　　} 　　} 　　} 　　3 脚本语言等恶意代码的防范 　　恶意代码不同于网络病毒，虽然它的破坏力和对系统造成的损害没有病毒和木马程序那么大，但对系统的稳定运行而言依然是必须根除的隐患。网络考试平台系统特别要注意防范这一类的安全性问题，所以相关的系统安全设置是必须的，有一类安全漏洞对于系统管理员来讲是很常见的，那就是系统中的复制功能。客户端的用户可以通过鼠标的右键来查看相关页面的属性，从而获取系统的部分源代码，这对于服务器的安全稳定是非常有害的，所以必须通过相关手段禁止使用鼠标右键。 　　采用JavaScript脚本语言来取消右键、中键功能并通过伪静态技术隐藏源代码的示例如下： 　　function whichButton（e）{ 　　var ev = window.event || e； 　　var code = ev.keyCode || ev.which； 　　var btnNum = ev.button； 　　if （btnNum==2）{ 　　alert（禁止鼠标右键！）； 　　ev.preventDe