◆王登奎 徐瑋 劉曉 郭明

（北京教育考試院 北京 100083）

隨著國家高考綜合改革意見的實(shí)施，近幾年借助于網(wǎng)絡(luò)和人工智能技術(shù)的迅猛發(fā)展，全國各省市中考、高考等高利害性考試中開始逐步采用計算機(jī)化考試形式，如：廣東省2011年開始的英語聽力機(jī)考（分值10分）、北京市從2018年開始啟動的英語聽說機(jī)考（分值50分），上海市即將從2022年開始啟動的普通高中學(xué)業(yè)水平合格性考試等。與傳統(tǒng)紙筆考試流程相比較，計算機(jī)化考試能夠更加有效地確?？荚嚨目陀^性、公正性、實(shí)時性，具有提高管理工作效率、節(jié)約考試資源、規(guī)范考試管理、方便考生應(yīng)考等傳統(tǒng)考試不可替代的優(yōu)勢。

但由于英語聽說機(jī)考在外語科目考試中的分值所占比重較大，涉及高利害性，對考試組考安全方面提出了更高的要求[1]。各省在實(shí)施這類考試的過程中，大多數(shù)還是采取考前復(fù)制試卷光盤和加密鎖、在考點(diǎn)校采用局域網(wǎng)方式運(yùn)行的模式。這種方式帶來的問題是需要花費(fèi)大量的人力、物力成本，用在試卷光盤的復(fù)制、運(yùn)輸和大量保密人員、公安的值守投入，不能很好地適應(yīng)新時代信息化發(fā)展技術(shù)需求。此外，試卷命制后到開考前，由于試題光盤需要大批量復(fù)制，不可避免地會帶來失泄密的潛在風(fēng)險和隱患；一旦發(fā)現(xiàn)試題錯誤或者其他紕漏，幾乎沒有時間進(jìn)行調(diào)整，只能推遲考試時間，不利于大規(guī)模重要考試的組織和管理。

為了解決這一問題，按照教育部考試中心統(tǒng)一部署，結(jié)合國家教育考試綜合管理平臺建設(shè)，各省市陸續(xù)開始建設(shè)覆蓋市、區(qū)、考點(diǎn)的考務(wù)專用網(wǎng)絡(luò)?？紕?wù)專用網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離，為各省考試機(jī)構(gòu)依托專網(wǎng)來開展各類網(wǎng)絡(luò)化應(yīng)用提供了有利的基礎(chǔ)環(huán)境支撐。但是，考務(wù)專網(wǎng)不是絕對安全的，如果在考務(wù)專網(wǎng)環(huán)境下實(shí)現(xiàn)高利害性考試試題的網(wǎng)絡(luò)化下發(fā)，是否能夠確保計算機(jī)化考試的安全和公平，需要進(jìn)行相關(guān)的安全性驗證實(shí)驗，并采取有效的措施和技術(shù)方案。本文將從英語聽說機(jī)考的系統(tǒng)架構(gòu)入手進(jìn)行分析，逐步開展安全性驗證研究。

1 英語聽說機(jī)考系統(tǒng)架構(gòu)分析

英語聽說機(jī)考采取人機(jī)對話形式，需要建設(shè)專用的聽說測試標(biāo)準(zhǔn)化考場[2]，每個考場要按照標(biāo)準(zhǔn)配備一定數(shù)量的計算機(jī)、耳麥，并具備身份驗證、作弊防控、視頻監(jiān)控和考場環(huán)境獨(dú)立、實(shí)施數(shù)據(jù)檢查等功能[3]。由于機(jī)考考場建設(shè)的成本和考點(diǎn)場地的限制，英語聽說機(jī)考需要每天安排4-6場進(jìn)行，不同場次使用不同的電子試卷。

為了完成英語聽說機(jī)考考試組織實(shí)施，英語聽說機(jī)考系統(tǒng)通常包含四個子系統(tǒng)：命題制卷子系統(tǒng)、計算機(jī)考試子系統(tǒng)、考務(wù)管理子系統(tǒng)和試卷評分子系統(tǒng)。命題制卷子系統(tǒng)用于完成英語聽說機(jī)考的電子化試卷的命制工作，需要滿足命題人員在命制英語聽說機(jī)考電子試卷中的各種需求。計算機(jī)考試子系統(tǒng)用于完成考生在英語聽說機(jī)考考場內(nèi)的考試過程，包含管理機(jī)程序和考試機(jī)程序，功能是：考場環(huán)境檢測、考試過程管理、考試答題、考試數(shù)據(jù)導(dǎo)入、考試狀態(tài)監(jiān)控、異常情況處理和考試數(shù)據(jù)回收?？紕?wù)管理子系統(tǒng)用于完成與英語聽說機(jī)考相關(guān)的各項考務(wù)管理工作，包括：考試任務(wù)管理、考試報名管理、考試成績查詢、考務(wù)組織管理和考生身份認(rèn)證。閱卷評分子系統(tǒng)用于在閱卷場地內(nèi)完成對考生答題結(jié)果的閱卷評分工作，包括：考生考試答題數(shù)據(jù)的導(dǎo)入，人工網(wǎng)上評卷、計算機(jī)自動閱卷評分和考試成績導(dǎo)出等功能。英語聽說機(jī)考系統(tǒng)的業(yè)務(wù)流程圖及其與公共服務(wù)平臺之間的關(guān)系圖如圖1所示。

從圖1的英語聽說機(jī)考業(yè)務(wù)流程圖中可以發(fā)現(xiàn)，英語聽說機(jī)考管理系統(tǒng)的總體業(yè)務(wù)流程環(huán)節(jié)如下：

圖1 英語聽說機(jī)考業(yè)務(wù)流程圖

（1）在公眾服務(wù)平臺完成當(dāng)次考試的報名和身份識別后，考務(wù)管理子系統(tǒng)完成當(dāng)次考試的考點(diǎn)、考場編排；

（2）命題老師在封閉場地內(nèi)完成電子試卷的命制工作，生成電子試卷文件并由印廠批量復(fù)制送至考點(diǎn)校；

（3）考點(diǎn)校在考試當(dāng)天打開電子試卷文件，將本次考試的試題數(shù)據(jù)導(dǎo)入到計算機(jī)考試子系統(tǒng)中。

（4）考生進(jìn)入考場后在計算機(jī)考試子系統(tǒng)中完成身份認(rèn)證，并開始進(jìn)行答題，形成的結(jié)果送到閱卷評分子系統(tǒng)內(nèi)，完成評卷工作，并將最終考試成績傳送給公眾服務(wù)平臺，供考生查詢。

從英語聽說機(jī)考系統(tǒng)的架構(gòu)分析可以發(fā)現(xiàn)，在命題制卷子系統(tǒng)中產(chǎn)生的電子試卷是整個英語聽說機(jī)考中最為關(guān)鍵的信息，它在全封閉的入闈場所內(nèi)完成命制，直接關(guān)系到整個考試的安全保密工作。考生的答題信息也是關(guān)鍵的原始數(shù)據(jù)，對于整個考試的結(jié)果有效性來說至關(guān)重要。因此，要找到英語聽說機(jī)考的安全薄弱點(diǎn)，可以對電子試卷和考生答題數(shù)據(jù)的安全可靠性進(jìn)行充分的實(shí)驗驗證。

2 安全性驗證方案設(shè)計

考試機(jī)構(gòu)的網(wǎng)絡(luò)和信息系統(tǒng)存在安全問題主要原因有：一是對網(wǎng)絡(luò)安全工作不夠重視，考試工作人員安全意識不強(qiáng)，安全技術(shù)人員力量不足，經(jīng)費(fèi)投入與安全建設(shè)實(shí)際需求不匹配，安全管理制度不健全，安全防護(hù)措施不到位；二是網(wǎng)絡(luò)基礎(chǔ)設(shè)施存在漏洞，信息系統(tǒng)代碼編寫不規(guī)范，存在技術(shù)缺陷；三是外部社會環(huán)境復(fù)雜，考試數(shù)據(jù)和考生信息對于不法分子具有較高利用價值，考試機(jī)構(gòu)的網(wǎng)絡(luò)和信息系統(tǒng)成為不法分子的潛在攻擊和破壞對象[4]。

教育考試面臨的安全風(fēng)險和威脅主要來自內(nèi)部和外部兩個方面：內(nèi)部安全風(fēng)險主要包括內(nèi)部人員對信息系統(tǒng)的錯誤操作、越權(quán)訪問、惡意操作、蓄意破壞；外部安全風(fēng)險主要包括黑客或者非授權(quán)人員對信息系統(tǒng)的惡意攻擊和非法入侵。按照利害關(guān)系以及威脅來源等情況，通過分析機(jī)考具體流程中可能涉及重點(diǎn)的技術(shù)安全風(fēng)險環(huán)節(jié)，我們認(rèn)為機(jī)考系統(tǒng)的安全性驗證應(yīng)該集中關(guān)注英語聽說機(jī)考系統(tǒng)的安全性，特別是電子試卷和考生答題數(shù)據(jù)的安全可靠和防破解能力。因此，在設(shè)計安全性驗證方案時，擬著重從兩個方面來進(jìn)行攻擊測試：一是分析命題制卷子系統(tǒng)產(chǎn)生的試卷包文件的加密安全性，如果在專網(wǎng)內(nèi)或其他網(wǎng)絡(luò)情況下發(fā)試卷包被攔截破解的可能性；二是分析計算機(jī)考試子系統(tǒng)的安全性，研究一下將考試答題數(shù)據(jù)通過專網(wǎng)或其他網(wǎng)絡(luò)情況下直接回傳到閱卷點(diǎn)的安全可行性。

基于以上分析，我們確定的安全性驗證方案由兩組攻擊實(shí)驗組成，分別是：破解試卷包文件和篡改或損壞考生答題數(shù)據(jù)，具體的安全性測試場景、條件和目標(biāo)如下所示。

2.1 攻擊實(shí)驗一：破解試卷包文件

1）場景一

攻擊條件：由用戶方提供一個試卷包文件。

攻擊目標(biāo)：由攻擊方對試卷包文件進(jìn)行數(shù)據(jù)分析解密，看能否提取到試題有關(guān)數(shù)據(jù)。

2）場景二

攻擊條件：由用戶方提供一套完整的試卷包和閱卷包文件

攻擊目標(biāo)：由攻擊方對試卷包和閱卷包文件進(jìn)行數(shù)據(jù)分析解密，看能否提取試題有關(guān)數(shù)據(jù)。

2.2 攻擊實(shí)驗二：篡改或損壞考生答題數(shù)據(jù)

1）場景一

攻擊條件：由用戶方提供數(shù)據(jù)回傳服務(wù)器IP地址，通過VPN登錄方式模擬進(jìn)入專網(wǎng)

攻擊目標(biāo)：破解數(shù)據(jù)回傳系統(tǒng)，對回傳服務(wù)器數(shù)據(jù)進(jìn)行篡改或損毀。

2）場景二

攻擊條件：由用戶方提供機(jī)考考場模擬環(huán)境（包含：機(jī)考監(jiān)考程序、考試機(jī)程序，加密狗U盤，考試計劃，考生相關(guān)信息）。

攻擊目標(biāo)：對考場內(nèi)考試系統(tǒng)和答題數(shù)據(jù)進(jìn)行篡改或損毀。

2.3 攻擊結(jié)果

實(shí)驗一在只有試題文件時，3天時間內(nèi)無任何進(jìn)展；但是在告知加解密算法后，通過暴力破解等技術(shù)手段可以破解試卷中部分信息。實(shí)驗二在只有接入網(wǎng)絡(luò)環(huán)境下，無法對服務(wù)器產(chǎn)生影響；但是在告知服務(wù)器登錄信息和加解密算法后，可以嘗試對答卷數(shù)據(jù)進(jìn)行部分篡改。由此可見，使用現(xiàn)在的模式還不能完全滿足高利害性考試的需要，必須進(jìn)行相應(yīng)的安全性改造，提高機(jī)考系統(tǒng)的安全性等級。

3 安全性改進(jìn)方案

作為計算機(jī)化考試中的核心組成部分，電子試卷關(guān)系到整個考試過程是否安全。從上面的實(shí)驗可以發(fā)現(xiàn)，既然單一的試題文件還是存在一定的安全風(fēng)險和隱患，在攻擊方掌握到足夠多的信息時存在破解的可能。如果要在專網(wǎng)條件下傳輸試卷，防止試卷內(nèi)的數(shù)據(jù)不被竊取，需要從多個方面進(jìn)行改進(jìn)。在采用加密狗加密、審核流程、登錄密鑰、端點(diǎn)控制、數(shù)據(jù)生命周期、發(fā)放授權(quán)碼和統(tǒng)一開考時間技術(shù)等多種技術(shù)基礎(chǔ)上，我們設(shè)計一種新的試卷下發(fā)方案，將電子試題拆分分段傳輸?shù)姆绞?，通過考務(wù)專網(wǎng)下發(fā)加密電子試題到各考場，在保證試卷安全可靠的前提下，實(shí)現(xiàn)機(jī)考電子試題的高效傳輸，如圖2所示。

圖2 英語聽說機(jī)考試題下發(fā)流程圖

3.1 試卷包文件加密改進(jìn)

在考試前1小時將命題入闈場所內(nèi)生成的電子試題導(dǎo)入計算機(jī)考試服務(wù)器，在服務(wù)器內(nèi)完成試題包的分拆加密工作，分成兩次將加密試題包1和加密試題包2分別通過網(wǎng)絡(luò)下發(fā)到計算機(jī)考試子系統(tǒng)（監(jiān)考機(jī)），加密試題包1于考前1小時下發(fā)，加密試題包2于考前30分鐘下發(fā)。下載完成后，在計算機(jī)考試子系統(tǒng)（監(jiān)考機(jī)）進(jìn)行試題包完整性校驗，驗證無誤后斷開考場與外部的網(wǎng)絡(luò)連接。

每場考試開考前5分鐘，計算機(jī)考試子系統(tǒng)（考試機(jī)）通過特定的解密算法，再將加密試題包1和加密試題包2合成完整試卷包。每場考試開考時，考生進(jìn)入考生界面，才能看到試題內(nèi)容?？忌卿洿痤}系統(tǒng)之后，考生答題系統(tǒng)自動鎖定屏幕，考生只能操作答題界面，無法訪問文件系統(tǒng)，也無法打開其他應(yīng)用程序，考生無法從考試機(jī)上獲取到試卷包相關(guān)文件?？忌痪碇螅嬎銠C(jī)考試子系統(tǒng)（考試機(jī)）自動銷毀考試機(jī)上本場考試的試卷包相關(guān)文件。整場考試結(jié)束之后，計算機(jī)考試子系統(tǒng)（監(jiān)考機(jī)）自動銷毀考場服務(wù)器上本場考試的試卷包相關(guān)文件。

3.2 考試程序代碼加密改進(jìn)

采取多種加密方法改進(jìn)考試程序：（1）代碼混淆：對代碼進(jìn)行混淆處理，隱藏關(guān)鍵代碼段和系統(tǒng)變量，進(jìn)行代碼加密混淆處理；（2）程序加殼：對監(jiān)考程序的原始的函數(shù)加密保護(hù)，干擾逆向分析、防脫殼破解；（3）關(guān)鍵密碼常量隱藏：消除系統(tǒng)所有定義的密碼常量，采用動態(tài)變量的方式獲取，防止通過內(nèi)存掃描的方式拿到關(guān)鍵信息；（4）升級壓縮加密算法：對文件名進(jìn)行加密，杜絕攻擊者獲取有效信息；（5）密碼常量隱藏：消除系統(tǒng)所有定義的密碼常量，采用動態(tài)變量的方式獲取，防止通過內(nèi)存掃描的方式拿到關(guān)鍵信息；（6）程序加殼：確保代碼不被反編譯；（7）升級壓縮加密算法：采用7z格式進(jìn)行壓縮加密處理，并對文件名進(jìn)行加密，杜絕攻擊者獲取有效信息；（8）定制壓縮組件：修改文件頭和格式，徹底隱藏資源格式信息；（9）試卷包分片處理：小題資源包進(jìn)行分片混淆處理，將小題資源包進(jìn)行分片處理，混淆部分內(nèi)容，杜絕暴力破解的可能性；（10）增加密碼函的長度：擴(kuò)展到20位，并增加防暴力破解機(jī)制，密碼輸入錯誤時隨機(jī)進(jìn)行延時返回處理，并有一定概率返回校驗成功的結(jié)果，用于防暴力破解混淆。

3.3 考試數(shù)據(jù)回傳加密

考試完成后，對考生答卷包進(jìn)行完整性和有效性校驗，確保每個小題的文件均完整無缺，并上傳到監(jiān)考機(jī)，并記錄加密校驗碼到考生軌跡庫中?？忌恼Z音答題文件使用專研的加密算法和文件格式，具有高壓縮比和安全性的優(yōu)勢?？忌鹁戆涂荚囓壽E庫文件采取加密存儲格式，且軌跡庫中記錄每個考生答卷包的校驗碼，可驗證考生數(shù)據(jù)的有效性?；貍鬟^程中，會對答卷包和考試軌跡庫等文件進(jìn)行加密壓縮，采用特定算法，并對加密后的文件進(jìn)行分片上傳，支持?jǐn)帱c(diǎn)續(xù)傳功能。考試軌跡庫為加密的數(shù)據(jù)庫文件，其中記錄每個考生答卷包的校驗信息，且考生答卷包同樣采用加密壓縮，一人一鑰，可以有效規(guī)避傳輸過程中出現(xiàn)的被篡改或損壞的問題。

3.4 考務(wù)專網(wǎng)

考務(wù)專網(wǎng)是一個從考試院到考區(qū)、考點(diǎn)、考場四級聯(lián)通的考務(wù)專用網(wǎng)絡(luò)，與互聯(lián)網(wǎng)實(shí)現(xiàn)了物理隔離，通過安全、可靠、高效的數(shù)據(jù)傳輸通道，實(shí)現(xiàn)考試信息和視頻的傳輸?？紕?wù)專網(wǎng)依托教育網(wǎng)鏈路資源，市級采用波分技術(shù)建設(shè)，區(qū)級采用獨(dú)立光纖、波分或?qū)＞€技術(shù)建設(shè)。形成與現(xiàn)有業(yè)務(wù)網(wǎng)絡(luò)、互聯(lián)網(wǎng)隔離的專網(wǎng)；專網(wǎng)專用，使用獨(dú)立的子網(wǎng)或網(wǎng)段，獨(dú)立承載考試相關(guān)數(shù)據(jù)的傳輸需要；網(wǎng)絡(luò)分級建設(shè)管理，確保數(shù)據(jù)安全、傳輸通暢、訪問可控。依托考務(wù)專網(wǎng)來實(shí)現(xiàn)英語聽說機(jī)考的關(guān)鍵數(shù)據(jù)傳輸，結(jié)合前面的安全加固方案，可有效提升機(jī)考系統(tǒng)的整體安全性。

4 小結(jié)

英語聽說機(jī)考是英語教育教學(xué)改革的發(fā)展方向，通過評價內(nèi)容、方法和形式的深刻變革，為考生提供了更加“靈活、方便、科學(xué)、公平”的“測評服務(wù)”，解決了英語教學(xué)“聽說”的難點(diǎn)。本文通過對英語聽說機(jī)考系統(tǒng)的系統(tǒng)架構(gòu)進(jìn)行了深入分析，并從其中分析了可能存在的風(fēng)險和隱患，設(shè)計了幾組攻擊實(shí)驗的場景、分析了實(shí)驗結(jié)果，最后提出了一個安全性改進(jìn)解決方案。本文的研究成果將在下一步的英語聽說機(jī)考中進(jìn)行驗證，并逐步在其他類型考試中進(jìn)行推廣。