网络教育系统安全防范的可行性研究
2011-10-18杨敬君杨贤朋
杨敬君,杨贤朋
(1.大连海事大学 教务处,辽宁 大连 116026;
2.大连海事大学 科技处,辽宁 大连 116026)
网络教育系统安全防范的可行性研究
杨敬君1,杨贤朋2
(1.大连海事大学 教务处,辽宁 大连 116026;
2.大连海事大学 科技处,辽宁 大连 116026)
针对目前高校网络教育系统管理与维护中普遍存在的安全防范问题,分析了影响高校网络教育系统安全的问题要点及可能导致的主要威胁,介绍了高校网络教育系统安全防范应采用的技术手段、方法和策略,提供了在日常管理和维护中保障高校网络教育系统安全的、行之有效的解决方案。
高校网络教育;安全性问题;安全策略
计算机网络现已成为一个国家重要的基础设施之一,它的安全性(或可靠性)问题已成为全球关注的焦点。网络教育始于20世纪后期,并伴随着网络时代的到来和发展,高校教育也逐渐介入、依赖计算机网络而形成高校网络教育系统并迅速发展起来。高校网络教育系统是以互联网为载体的教学模式,它充分运用网络资源、促进教师之间、学生之间、师生之间在教学等方面的交流、研讨,激励了学生积极、自主地学习,并增强了协作精神等。在优化教学过程的同时,由于网络教育所具有的开放性、国际性和自由性,网络安全的脆弱性愈加明显。“黑客”极易在网络上以任何漏洞和缺陷作为攻击的突破口,侵入系统、安装木马、盗取网络资源,甚至导致系统瘫痪等。高校网络教育系统安全防范已成为影响网络使用和效能的重要问题,高校网络教育的普及和广泛应用,对网络安全防范提出了更高的要求,成为高校网络教育发展必须思考的重要问题之一。
一、高校网络教育系统存在的安全隐患
能够构成对计算机网络教育系统安全的威胁主要分为两类:一类是对网络教育系统硬件设备的威胁;另一类是对教育系统软件信息的威胁。而形成或导致高校网络教育系统安全的因素也有很多,比如蓄意的或无意的,人为的或非人为的等等。归纳起来主要有以下几个方面:
1.高校网络教育系统自身潜在的安全隐患
首先,由于高校校园网络服务只是学校工作的一个方面,而并非像专业网络公司那样能够全神贯注去运作网络。与此相应的网络安全工作是校园网络其中的一个方面,而教育系统网站安全又是网络安全其中的一个方面。另外,由于学校信息化建设发展尚未达到全校日常工作对其完全依赖的水平。从上述几个方面不难看出,网络安全意识在任何一方的疏忽都能够埋下潜在的安全隐患。
其次,由于种种原因,高校教育系统网站在建设和维护管理中有在校生参与。在校生有的为了节省开发时间,有的是网络安全意识较为淡薄,也有的是受知识、经验局限,总之他们中大都从互联网上找个现成发布系统模板,对表层稍作图片样式修改后就急于建成了新网站。由于网上源代码的公开性,使得别有用心的人不需要专门黑客知识就可以攻击和篡改网站。另外教师、学生通过文件传输账号和后台管理账号对各自网站进行日常管理与维护,由于学生参与活动的流动性和安全意识的薄弱性,一旦管理与维护的账号被泄漏或窃用,网站安全就很难得到保证;与此同时,和它同处一个服务器上的其他教育网络系统的安全也会受到相应的威胁。
2.计算机病毒和软件漏洞对网络安全的威胁
随着计算机网络技术的发展,计算机病毒也在网络中快速蔓延,而且在一定程度上抢在了计算机网络安全技术的前面。相对于计算机病毒种类和数量在网络上日渐剧增而言,安全防范永远处于一种被动状态,威胁网络安全的因素是始终存在的。网络系统一旦感染上病毒后,轻则影响系统运行速度、造成系统部分文件和数据信息损坏与丢失,重则将导致服务器硬件的损坏、系统的瘫痪,损失无法估量。
目前正在应用的多数操作系统和应用软件难免有各种缺陷或漏洞,这些缺陷或漏洞可能是系统或软件本身存在的,例如众所周知的微软Windows视窗操作系统就存在漏洞。有些应用软件预留的“后门”,一旦被打开侵入,将造成数据丢失、泄露的严重后果;再者,局域网内网络用户使用破解的盗版软件,随处下载软件及网络管理员的疏忽等原因,都有可能导致被“黑客”利用能完成密码探测、侵入系统的威胁。
3.教育系统网站频繁受到攻击
随着计算机技术的发展,黑客工具的功能却越来越强,对网站(网络)的威胁越来越大。同时,教育系统参与国家、省、市等级别的评选活动日趋频繁,来自校外(互联网)的“黑客”时常破坏参与评选的教育系统,使用网上存在的、甚至自己研究的各种攻击技术攻击网站和网站服务器,篡改页面,发布能得到收益的木马弹出广告等。同时,校内有部分计算机技术水平较高的学生,针对学校网络防范措施不足的特点,出于对攻击工具付诸于实践的欲望,时常有意无意地破坏校园网系统,尝试攻击教育网站以及网站服务器。根据校园网络使用教育网专线的特性,可以说,来自校园网内部的安全隐患比来自校园网外部的安全隐患破坏力更强、影响更广、威胁更大。[1]
二、高校网络教育系统安全防范策略及技术方案
互联网的一个最大特性就是所有机器的开放性以及相互之间的可访问性,这个特性同样成为Web应用开发人员必须面对的最大挑战。[2]高校网络教育系统安全并非一个绝对概念,系统不存在绝对安全的,因此需要未雨绸缪。安全性问题是不断变化的,唯有积极防御、有效应对,提高应对系统安全问题的策略、技术和日常维护管理水平,才是解决高校网络教育系统安全性问题的根本策略。
1.防火墙的解决策略
防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。它具有以下特性:所有从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。[3]防火墙通过在内网和外网之间、专网与公网之间的边界上构造一个保护屏障,保护内部网免受非法用户的侵入;而免疫墙则是由网关、服务器、电脑终端和免疫协议一整套的硬软件组成,对内网进行安全防范和管理的方案,承担来自内部攻击的防御和保护。防火墙软件要求防火墙易管理且自身的安全性高,具有支持抵抗各类攻击 (ARP攻击、源路由攻击、IP碎片攻击,DNS/RIP/ICMP攻击,SYN攻击、DOS/DDOS攻击等)、包过滤、状态检测、ARM硬件地址绑定,支持SNMP、扫毒功能、虚拟企业网络(VPN),特殊控制需求等功能。[4]如今大多数防火墙软件都支持上述功能,某些优秀防火墙软件能在此基础上做到修复漏洞、木马查杀、清理插件、系统修复、清理痕迹,以及自动实时更新等实用功能。尽管如今防火墙的功能强大,但是不能做到全面阻止外部入侵和内部病毒袭击,无法做到完全解决网络安全问题。所以仅在网络入口处部署防火墙,实际上是处理安全性问题的一项策略,系统安全策略还应该具备网络访问身份控制、防病毒和抵御“黑客”入侵以及其他细致的安全控制技术的功能。
2.网络访问身份控制策略
网络访问身份控制是网络安全防范和保护的主要策略之一,其主要任务是验证用户的身份和使用权限、防止用户越权操作,保证网络资源不被非法使用和访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点安全控制等。[5]根据网络安全的等级和网络空间的环境不同,可灵活设置访问控制的种类和数量。
高校网络教育系统对入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点安全控制等有很高的要求,用以保证教师教育、教学信息资料的安全和保护高校教育知识产权。因此,一种方便安全的远程控制解决策略就显得至关重要。
(1)安装安全、可靠的第三方管理软件
RemotelyAnywhere是由匈牙利的 “3am Laboratories PL”公司制作的,它是一个基于HTTP协议的可以跨平台的远程控制和管理工具。只要把该软件安装在使用NT系统(包括Windows NT/2000/XP/2003)的计算机上,你就可以在任何能上网的地方、通过任何网页浏览器对这台计算机进行远程控制,而不必安装任何客户端软件,甚至可以通过WAP手机和PDA来进行远程控制。通过RemotelyAnywhere,你可以对远程计算机上的文件、用户、服务、进程、注册表等进行管理,甚至能远程重启计算机。还能进行文件的传输、系统设置、性能监视和远程打印等。RemotelyAnywhere只需要在服务器端安装后,用户通过访问“http://IP地址:端口号”并按照提示安装软件安全证书,就可以在客户端进入远程登录窗口,如图1所示。
RemotelyAnywhere登录对话框中只有NTLM身份验证这一个选项 (NTLM用来将登录的用户名和密码以密文的方式传送),首先我们必须要有个能够登录服务器的账号,然后点击登录界面中的Login按钮即可进入控制界面。RemotelyAnywhere通过进行SSL设置中的SSL Setup在服务器生成数字证书,并通过此类设置保证数据是以加密的方式进行传输。而通过设置访问控制设置,可以设定允许或者拒绝特定IP地址登录控制RemotelyAnywhere,而且在安全项中还有查看访问日志功能。通过远程控制项就能操控远程服务器,而文件传输项则能更方便地完成上传下载功能。如图2所示。
使用RemotelyAnywhere进行网络访问身份控制,使服务器安全性显著提高。
(2)限制用户登录时间段
由于“黑客”对高校网络服务器攻击入侵多数发生在凌晨和节假日期间,此时管理人员通常也在休息。因此,可以使用类似SecureRDP软件限制登录时间。
以上方法只能对服务器起到监护作用,但对于已经遭受病毒袭击的服务器,就需要解决计算机病毒方面的策略。
3.解决防病毒方面的策略
计算机病毒这个词语最早出现在科幻小说里。1977年夏天,托马斯瑞安(Thomas J.Ryan)的科幻小说《P—1的春天》(The Adolescence of P-1)成为美国的畅销书。作者在这本书中描述了一种可以在计算机中相互传染的病毒,造成了一场灾难。[6]在国内,计算机病毒这个词语在《中华人民共和国计算机信息系统安全保护条例》中有一个具有法律性、权威性的定义:“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”一般来讲,计算机病毒是一个程序,一段可执行码。凡是能够引起计算机故障,能够破坏计算机中的资源(包括硬件与软件)的代码,统称为计算机病毒。[7]
到目前为止,对计算机网络安全威胁最大的是病毒。根据病毒对计算机网络的威胁状况,通常可以对其采取病毒预防、病毒检测、病毒消除和病毒免疫四种技术措施。
(1)病毒预防技术
病毒预防是根据病毒程序的特征,按照科学的、系统的、严密的方法,对病毒程序进行分类整理,并在计算机中运行,如有类似的特征点出现则认定是计算机病毒。病毒预防技术通过对病毒进入系统内存或者对磁盘进行读写操作的阻止,达到保护系统的目的。常用的病毒预防技术有系统监控技术、磁盘引导区保护、加壳程序和读写控制技术等。
(2)病毒检测技术
它首先是对已知或未知的病毒进行检测,对于已知病毒可以采取静态判定技术和特征判定技术进行检测,如根据计算机病毒程序中的病毒特征、关键字、特征程序段内容及病毒传染方式进行检测;而对未知病毒一般只能通过动态判定技术和行为监测技术,其中最常用的就是对某个文件或数据段进行校验和计算并保存计算结果,以后定期或不定期地根据保存结果对该文件或数据段进行检验,若出现变化,即说明文件或数据段的完整性遭到破坏,从而检测到未知病毒的存在。
(3)病毒消除技术
一旦发现了病毒,就必须将其消除,这是病毒检测的最终目的。对于不同的病毒一般需要制定相应的消除方法,进而从被传染文件中摘除该病毒代码并恢复文件的原有信息结构。病毒检测和消除功能是一般杀毒软件都具备的功能。
(4)病毒免疫技术
计算机病毒的免疫技术目前仍然是一个难题研究热点。病毒是不断自我复制、变化、变异的,杀毒软件更多时间还是处于被动环境下,目前某些反病毒程序通过给可执行程序添加保护性外壳,能在一定程度上起到免疫作用,但仍存在很大局限性,[8]即使最新的云安全技术也存在对用户隐私保护不足的缺点。
4.其他安全策略
保证高校网络教育系统安全运行,不但需要上述安全策略,也需要包括系统容灾技术、数据库容错、网站权限隔离、数据备份和审计等安全措施。这里就不一一枚举了。
五、结束语
众所周知:三分技术,七分管理。随着网络不断发展,新的安全问题必将出现。管理者必须根据情况的变化,不断对网络系统进行及时地维护和更新,细化各种管理制度。网络安全不仅仅是一个技术问题,更重要的是管理问题。在管理中,人的因素尤其重要,因为最终是人在执行各项设定和控制。为此,培养和树立良好的安全管理意识、落实加强网络管理的安全防范措施是非常重要的。同时,不断提高校园网管理人员的业务技术水平,才能保证网络高效、安全地为全校师生的教学和科研服务。
[1]李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008,18(3):92.
[2]Luke Welling Laura Thomson著,武欣等译.PHP和MySQL Web开发[M].北京:机械工业出版社,2009.4:270.
[3]张国鸣,严体华.网络管理员教程[M].北京:清华大学出版社,2006:387.
[4]张红宇.基于远程教育系统的网络安全分析与防范[J].中国科技信息,2005(14):30.
[5]江群兵.浅谈网络教育系统的网络安全问题[J].21世纪:理论实践探索,2009(11):102.
[6]杨旭鹏.浅谈计算机病毒与其防范[J].中国新通信, 2009(10):80.
[7]李凤梅.网络环境下的计算机病毒及其防范技术[J]. Silicon Valley,2011(1):187.
[8]全丰菽.计算机网络安全的防范策略分析[J].信息与电脑(理论版),2010(8):11.
(编辑:金冉)
TP309
A
1673-8454(2011)23-0073-04
