半封闭环境下网络考试系统的防作弊研究

实验研究

半封闭环境下网络考试系统的防作弊研究

作者/陈晨、陈景亮、张金石，海军航空大学青岛校区

摘要：在对网络考试中常见作弊手段、防范措施和主流网络考试系统进行研究的基础上，综合运用安全防护技术构建了一套网络考试系 统。实践证明，该系统在客户机不可控的半封闭环境考试中有很好的安全防护效果。

关键词：计算机应用技术；网络考试系统；半封闭环境；防作弊；安全策略

引言

确保考试成绩的真实性、公平性和公正性是设计网络考 试系统时需要考虑的重点内容。目前的网络考试系统在这方 面做得比较完善的主要还是依赖环境的完全封闭，使用专用 机房、专用客户机以及部署专用的考试软件。如何在没有专 用考试环境的半封闭环境下，防范作弊行为，确保考试成绩 真实有效，使网络考试系统更为完善，适应性更强，具有_定的现实意义和研究价值。

1. 网络考试中的作弊手段

数字化信息易于复制、传递和查找，因而在网络考试中 有比传统考试更多样化的作弊手段，如在考试中查看预先存 储在考试终端机中的答案，通过网络共享和即时通讯工具相 互传递答案，使用搜索引擎在internet上快速查找答案，利用翻译软件的屏幕取词功能和自定义词库功能，将关键 词、句与正确答案建立映射，与之类似的还有利用系统输入 法的自定义词库功能预存答案，自动化程度更高的作弊软件 可以通过截取和分析网络封包，伪造含有正确答案的封包返 回给服务器。更高级的作弊者还可能利用服务器和数据库的 漏洞获取相应权限，直接更改考试结果。除了这些作弊手段 外，使用他人信息进行替考、偷窥他人答案等行为也是需要 防范的。

2. 防作弊的相关研究

网络考试系统的应用非常广泛，与之相关的安全策略研 究也很多。文献[1]提出通过修改改注册表禁止访问网上邻居、共享资源和本地磁盘；文献[2]给出了通过控制窗体和屏蔽 操作系统热键来防范作弊的方法；一些研究[2][3]提出基于 进程名称监控和屏蔽非法程序，如词霸等取词软件；文献[3] [4]还给出了采用侦听和过滤网络数据包来屏蔽客户机与其他 网络资源的连接的方法；文献[5]重点讨论了服务器端的安 全防护，如限制i p范围、阻断无用端口、数据加密以及使 用VPN专网考试等；用户身份验证、权限控制、防多点登陆、

防偷窥等方面也有一些研究给出了不同的解决方案；另外，张萍等m对粗糙集、免疫系统等理论在网络考试系统中

的应用做了研究。3.半封闭环境下网络考试系统的防作弊方法

通过对考试系统安全策略的综合分析可以发现，环境的

封闭性是影响网络考试安全性的关键因素。为了在半封闭环

境下更好的确保考试成绩的真实性，设计并开发了一套部署

方便、适应性强的网络考试系统，系统采用了多种安全技术，

对已知的作弊手段进行了多方位的防护。

■ 3.1网络考试系统的软件架构

考试系统采用了 C/S+B/混合结构，服务器端为IIS提

供的web服务器，数据库为微软的SQL Server;客户端针

对目前主流的Windows系列桌面操作系统设计。客户端由 Delphi开发，负责实现完成控制窗体、屏蔽热键、监控取

证等功能，在主窗体中使用TWebBrowser构件调用一个标

准浏览器，由浏览器与服务器进行交互，B/S结构完成考试

系统的主要业务逻辑。客户端设计为可直接运行的绿色软

件，尺寸不到1M，用户只需在考试准备阶段下载运行即可

参加考试。这种设计既充分利用了 B/S结构良好的的扩展

性和便利性，又利用客户端克服了浏览器对系统控制能力弱

的短板，且兼顾了部署的成本。

■ 3.2客户端的安全措施

客户端主要实现了浏览器身份验证、系统窗体控制、系

统热键控制和实时监控取证这4个功能。

(1)浏览器身份验证。获取并修改客户端调用的览器 的User-Agent,服务器端通过验证User-Agent来确认接

入考核系统的浏览器是否是基于指定客户端的，从而防止考

生通过普通浏览器访问考核系统，规避考核系统的控制；

(2)窗体控制。客户端采用单窗体运行模式，成功连 接服务器后，窗体改为全屏模式并设置到Z序的顶部。客

户端每秒钟检查1次窗体的Z序，如果发现有其他窗口被

置顶，则启动监控模块进行截屏，再强制将客户端窗体重新

置顶，同时警报计数器+1，当警报计数器达到阙值时，客

户端会向监考服务器发出报警信息。由于检测间隔短，即使

考生调取了其他窗口也很难看清其中的内容，对于一些支持

屏幕取词的软件，则会因窗口置顶权的反复争夺而出现严重

的屏闪，考生根本无法继续任何操作。

(3)系统热键控制。使用了低级键盘钩子来过滤和屏 蔽特定的按键消息，从而使所有系统热键失效，直到检测到

|21

实验研究

浏览器访问代表考试终止的特定URL后释放钩子，恢复系 统。结合屏蔽鼠标右键功能，使考生无法手动进行任何与考 试无关的操作。

(4)监控取证功能。客户端可以对客户机屏幕图像进 行截取，存储在本地磁盘或传送给监考服务器，用于对考试 状态的实时监控和对可疑行为的取证。客户端通常在四种情 形下进行截屏取证：一是以固定时间间隔进行取证，二是在 考生每次提交答案时取证，三是客户端监测到有其他窗口置 于考试窗口之上时进行取证，这三种情形下客户端都会将取 证结果保存在本地磁盘的特殊文件夹，用于考试结束后的查 证。第四种情况是在接收到监考服务器的远程监控请求后进 行取证并回传，对客户机进行实时监控。

■ 3.3浏览器的配霣

屏蔽浏览器的地址栏、菜单栏、工具栏、状态栏和鼠标 右键功能，防止考生利用浏览器访问与考试无关的位置和功 能；全局禁用ime,当任何文本框获得焦点时都无法调用本 地输入法，由js脚本控制使用在线输入法完成输入，从而 防止利用输入法作弊的手段。

■ 3.4考生信息及状态的多重验证

条件允许时，可采取考生姓名、考号、Mac地址和IP 地址的前置绑定策略，快速组考时，可在考生登录备考时获 取和绑定相关信息。系统设计了待考、考试、完考3种考 生状态，通过在关键环节对考生状态的设置和检查，可以禁 止多点登陆、私自重启客户机后再次登入考试系统、交卷后 重新修改并提交答案等违规行为。

■ 3.5服务器端的安全防护措施

将TCP/IP、SQL Server使用的常用端口配置为其他端 口，关闭其他与考试系统无关的端口，为服务器和数据库更 新补丁，封堵已知漏洞，严格身份验证和文件权限管理，加密数据库文件，网络数据传输采取加密方式，对网络连接进 行IP限制。

■ 3.6其他安全措施

系统还采取了随机组卷、随机变换选项顺序等技术防止 偷窥作弊。每次考试前更换客户端验证字符串并生成新的客 户端，防止用户使用修改过的客户端参加考试。

4.结束语

考试中的作弊和安全防护是一对将长期存在的矛盾。随 着软硬件技术的不断发展，信息化作弊方式不断翻新，例如 利用图像识别技术进行作弊，而考试系统的安全防护乃至整 个考试模式也必将不断进化，在这一领域有很多工作需要更 加深入的研究。

参考文献

氺[1]马颖，唐文胜.考试系统安全环境的优化[」].计算机与现代 化 IDC,2002(7):42-43

氺[2]田民格.无纸化考试系统防止考生作弊的实现措施[J].三明 学院学报，2007, 24⑷:456-459

氺[3]郭东恩，贾满磊，王绪宛.考试系统防作弊功能的实现[J].

南阳理工学院学报，2010, 2⑵:21-23

氺[4]武伟，魏晓.在线考试作弊防御方法的设计与实现[J].上海 应用技术学院学报，2006, 6(1):49-51

氺[5]王世伦.基于城域网的考试系统中系统安全策略研究[J].计 算机科学，2005, 32(9):140-141

氺[6]张萍，王建忠，吴倩等.基于粗糙集理论的安全考试系统[J].

计算机应用研究.2010, 27(3):1013-1014

氺[7]张萍，王建忠，佘堃等.免疫网络安全考试系统[J].计算机 应用研究.2007, 24(8):163-164

(上接第10页) 4.结论

硬软件开发完成后，对无线遥控控制系统的控制能力进 行测试，测试结果表明，使用通用简易遥控器可以实现在 10m距离时对氡室内的载物车进行前进、后退、连续移动、点动移动等控制，该装置的使用可以直接去除氡室手套密封 操作窗口，进而彻底解决其带来的漏气隐患。参考文献

氺[1]余柏林，郭鹏，周立伟，张卫丰.红外通信技术在智能家电控 制系统中的应用[J].仪表技术,2011⑶:8-10.

氺[2]张勇.红外线遥控解码原理及其在单片机中的应用[J].科技 信息,2008⑷:216-218.

氺[3]赵奉先.提高步进电机运行速度的研究[J].仪表技术与传感 器,2000(02):45-46.

22丨电子制作2017年7月