试题库安全在考试过程中新问题的研究与实践

陈青青，王加阳

0 引言

自古以来，考试就作为选拔人才最为主要的手段。随着计算机科学、网络技术的迅猛发展，在教育领域里，信息技术的发展对教育的影响也是巨大的，很多院校建立了自己的校园网、网络教室，并开始实施网上教学和网上考试。这使得考试的无纸化、网络化成为可能。这种考试手段的现代化是教育发展的必然趋势，它可以大大提高考试的效率。各种各样的考试系统也应运而生，但整个考试流程是一样的，即：命题、考生报名、考生登录、获取试题、开始考试、提交试卷、系统评分[1-3]。通过对考试流程的分析，可以发现，试题是考试过程各个环节中的核心，而考试系统中试题库的安全对于现代化的考试系统来说就显得尤其重要。

1 题库建设简论

1.1 题库产生

在1985年，Choppin曾经给题库下过这样的一个定义：题库是有组织，分门别类，容易检索的测试题目的集合，就好象图书馆里的书籍一样，能够按要求抽取出一些题目并组成试卷。1992年Melchiori对这个定义进行了补充，他认为题库除了是一个信息集合外，还是一个服务系统。它能恰当地利用工程方法学，经济地产生和控制相关的信息流，并根据用户的需求做出相应的反应。张厚粲在《谈题库》一文中说：“题库乃是大量具有必要参数的考题的有机组合”。按照以上定义，第一，题库的基本组成单位应是试题，是试题组成的“仓库”，而不是其他东西组成的“仓库”。第二，题库的题量必须很大，并具有合理的比例结构。第三，题库中所有试题的考核性能必须查明，试题参数都应表达在同一度量系统上。第四，题库中试题必须按科学原则分类、储存、形成有机整体。第五，题库必须是动态的。

因此，题库是保证考试题目具有较高质量、水平稳定、更好地达到测试目的的重要手段。

1.2 题库优点

题库使标准化考试进一步地完善，具有以下优点：

（1）提高命题工作的效率

题库是由许多适用于不同目的、知识、技能需要的试题所组成的，如果题库中包括了学科中所有内容的高质量试题，则命题者的工作就会变得简捷而卓有成效，同时命题所花费的时间也会减少。

（2）提高了平行试卷的一致性

题库中，由于试题的各种参数经过统一标准的严格核正，用这些试题构成的平行试卷，其相关程度较高，可以使用不同试卷的内容、难度稳定。

（3）灵活性组卷

由于试题是题库的最小单位，针对不同内容、难度要求，题库很容易生成不同试卷，因此具有灵活性。从而克服了在没有题库前，标准化试卷修订困难，内容、难度不一定适合特定要求等问题。

（4）高效性

由于题库中的题目是大最命题工作者的智慧，题目都附有参数，因此可以重复使用，节省了大量人力、物力和时间。因此可以说题库更经济。

（5）保密性能好

传统的大规模考试保密工作是个关键问题。考生如果在考前知道了题目，考试就不能达到预期的目的。题库，由于题量大，即使题目公开，不靠掌握光靠死记也很难得高分；再者，由于题库可以因时生成几个平行试卷或随机试卷，一旦泄密也可很快补救。

2 试题库系统的安全性分析

试题库是组织试卷的基础，传统考试出题和试卷制作过程容易发生泄密事故，在考试现场同一试卷也容易发生抄袭作弊现象。网络考试采用计算机即时自动组卷，基本上杜绝了出题和试卷制作过程中泄密的可能性，在考试现场，由于试卷内容各不相同，也能有效地杜绝各种抄袭作弊现象。

因此，网络考试的试题库安全不仅与考试系统应用程序有关，也与试题库建设自身的许多因素有关，其安全需求必须综合考虑试题库系统与考试系统。

1、保证试题数据可用性

是指信息可以被授权用户方便地访问到，也就是说，合法考生访问想要的试题信息，能够得到快速响应，不应该受到拒绝。因此，试题库不仅要进行合理设计，便于检索和利用，能够支持多种组卷策略，而且要能够提供安全服务。可用性本来不属于安全范畴，越来越多的以拒绝服务为目的的网络攻击，使得它成为试题库安全的一个基本需求。

2、保证试题数据完整性

在计算机运行过程中，设备故障是最严重的安全威胁。无论是存储器发生故障，还是服务器出错，亦或其他设备被毁，都会导致试题数据的丢失或损毁。因此，试题库一方面要有冗余备份，或者采用镜像技术；另一方面要定期查毒杀毒，并及时下载所用软件的补丁程序，以防止损害或破坏性程序的引入，包括病毒、特洛伊木马、蠕虫、逻辑炸弹等。

3、保证试题数据秘密性

试题数据要加密存储，禁止非法访问，防范黑客攻击。考试期间，网络考试系统应该能够控制哪些用户可以登录到中心服务器并获取哪个试题库的资源，还应该能够控制用户进行登录的站点并限制用户登录的时间。也就是说，网络考试系统只允许合法考生通过规定的考试服务器，在规定的考试时间内，访问规定科目的试题库。

4、保证系统用户合法性

试题库系统的用户适当配置权限，进行严格管理。对试题库系统的登录事件要有日志记录，对试题库的写入操作要有明确规程。

3 在考试过程中遇到的新问题与应对

3.1 考试过程中遇到的新问题

在传统的考试方式中，老师通常会给学生对考试内容进行有针对性复习和总结，划定考试重点、考试范围，然后学生有针对性的进行练习。然而在基于试题库的自动化考试系统中，虽然解决了传统考试中出现的很多问题，但也遇到了新的挑战。一方面，试题库可能会通过老师等某些形式流落到学生手中；另一方面，在开放式的考试系统中，学生通过多次上机或者模拟练习的方式，累积和总结考试题目。在今年来进行的国家级或省级计算机等级考试机试中，就经常发现有学生利用该方式，在考试进行的过程中，通过u盘等外部存储方式，将收集的试题库打开。所以试题库更新不及时或题库数量不大的情况下，这些问题将严重影响考试的顺利执行及其效果。而对于一门固定的课程来说，试题库大量更新是不太可能的。

3.2 应对方式

为了应对在考试过程中可能出现的这样严重问题，最好的方式就是在考试场所禁止u盘的使用，在系统中常用的禁用U盘的方式一般有：

方法一，BIOS设置法

进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disableed”，即可禁用 USB接口。最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

需要注意的是，这个方法是完全禁止USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。

方法二，禁止闪盘或移动硬盘的启动

打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。同时这种方法只是针对存储设备，所以并不影响usb鼠标、键盘等设备的使用。

方法三，隐藏盘符和禁止查看

打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer]，新建二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。键值由四个字节组成，每个字节的每一位（bit）对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。第一个字节代表从A到H的8个盘，即01为A，02为B，04为C……依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。比如要关闭C盘，将键值改为04 00 00 00；要关闭D盘，则改为08 00 00 00，若要关闭C盘和D盘，则改为0C 00 00 00（C是十六进制）。

设置好后再插入U盘，在我的电脑里看不出来，但在地址栏里输入I:（假设我的电脑最后一个盘符是H）还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法，所以我们还要做多一步，就是再新建一个二进制“NoViewOnDrive”，其值与“NoDrives”相同。这样一来，既看不到U盘符也访问不到U盘了。

方法四，禁止安装USB驱动程序

在Windows资源管理器中，进入到“系统盘:WINDOWSinf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权限框中，选中“完全控制”后面的“拒绝”复选框，最后点击“确定”按钮。

再使用以上方法，找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问，其操作过程同上。完成了以上设置后，该组中的用户无法安装USB设备驱动程序，这样就达到禁用的目的。

3.3 不同方式的比较

考试系统所使用的计算机，一般都不是专用的，它们都是平时作为上课用的机房，考试的时候往往要反复重装系统，这给管理人员带来很大的重复工作量。通过对上述几种方法的比较，如表1所示。为了减轻管理人员的工作量，同时考虑到系统的安全性等方面，可以选择方法二。

以VB为例，可以在考生打开和关闭（代码与打开类似）考试客户端的事件中，在程序中进行设置，其代码如下：

Private Sub form_load（）

Dim AA As Object Dim RegPath As String

Set AA = CreateObject（"WScript.shell"）

RegPath="HKEY_LOCAL_MACHINESYSTEMCurren tControlSetServicesUSBSTORStart"

AA.regWrite RegPath，4，"REG_DWORD"

Set AA = Nothing

End Sub

表1 考试系统中不同禁止usb方式的比较

4 总结

整个考试系统以及考试过程是一项复杂的系统工程，其周期长，形式多变。在长期的研究与开发过程中，我们需要从多个方面不断努力，尽最大努力维护考试的公开、公平和公正。提高考试效果和教学效果。

[1]黄安健.实现无纸化考试的二项技术处理[J].上海应用技术学院学报，2003，3（1）:66-68.

[2]杨牧祥，王占波.考试系统网络版研究与应用[J].河北中医药学报，1999，14（4）:42-44.

[3]Masashi Inoue.Akihiko Suyama.Application of a computer based education system for aged persons and issues arising during the field test.computer Methods and Programs In Biomedicine[J]，1999，59（l）:55-60.