遠程教學網絡的信息安全策略研究

【摘要】文章從遠程網絡教學平臺的安全現狀出發，就其面臨的安全威脅進行了闡述。同時針對上述問題，論文對保障遠程網絡教學的信息安全策略進行了初步的研究，最后就如何完善基于網絡的遠距離教學信息安全策略提出了相關意見。

【關鍵字】遠程教學網絡；安全策略；預防；保護；恢復

【中圖分類號】G40-057 【文獻標識碼】A 【論文編號】1009—8097（2008）13—0109—03

一 引言

自Internet在全球廣泛應用以來，基于Internet的計算機遠程教學（又稱在線教育）在世界范圍內得到了迅速的發展。基于網絡的遠程教學正是這種新教學模式的表現形式之一，也是當前快速發展的前沿研究領域之一。Internet的早期設計并未考慮到網絡的安全性問題，它靈活、松散的體系結構，使其很難抵御惡意和有害的攻擊。隨著Internet應用的發展，Internet的安全問題變得日益重要，因此基于網絡的遠程教學系統信息安全問題也是一個不容忽視的問題。

二 遠程教學網絡安全現狀分析

網絡遠程教學實際上包含兩方面的含義：一是指學校在網上提供全方位的教學服務，支持學生的遠程學習；二是學校把信息放上網，讓社會共享自己的教學資源。系統在計算機網絡的支持下實現學生與教師分離的、開放的模擬教學。采用的技術有：WWW，E-mail，FTP，BBS，VOD，數據庫等，“實現在時間、地點上的完全獨立的教學模式。”[1]

概括起來，現代遠程教學系統面臨的網絡安全威脅主要有計算機病毒、網絡攻擊、設備失效等問題。

第一、計算機病毒。計算機病毒是目前威脅網絡安全的重大禍首。計算機病毒的侵入在嚴重的情況下會使網絡系 統癱瘓，重要數據無法訪問甚至丟失。當前Internet已成為計算機病毒傳播的重要途徑，而為了豐富教學系統的資源從網上下載一些軟件又在所難免，因此身處Internet的遠程教學系統應建立多層次的“病毒”防范體 系，“采取及時升級殺毒軟件，定時運行殺毒軟件查找“病毒”，重點防范要害部分，對重要 信息進行備份等措施。”[2]

第二、網絡攻擊。網絡攻擊可以分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性。他們以發現和攻擊網絡操作系統的漏洞和缺陷作為樂趣，利 用網絡的脆弱性進行非法活動，如修改網頁，非法進入主機破壞程序，竊取網上信息對電子 郵件進行騷擾，阻塞網絡和竊取網絡用戶口令等。目前，在Internet環境中進行的遠程教學常常通過E-mail、BBS、聊天室等工具實現師生間 的信息交流。因此，在系統建設中應對來自信息交互過程的非安全因素有所防范。另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。隨著網絡技術在遠程教育領域中應用的進一步深入，基于Internet遠程教學系統與外界交互的信息種類不斷增多，其中“有些保密性要求較高的信息。這些信息一旦被截取、盜用或刪除 就會嚴重影響遠程教學系統的運作，甚至會危及遠程教學系統的安全，如管理帳號和密碼 、考試信息等等。” [3]

第三、設備失效。由于計算設備、網絡設備、存儲設備的故障，或用戶的誤操作導致系統數據完整性受到破壞，從而使服務無法正常提供。

三 設計信息安全策略，保障遠程教學網絡的信息安全

遠程教學網絡的信息安全系統實際是一種網絡實時監控和恢復被破壞信息的系統。其信息安全策略務必體現出網絡保護中的三個層次：事前預防網絡信息安全隱患，事中監測與防護網絡病毒攻擊，事后恢復數據。最后堵上安全漏洞，對網絡信息安全系統予以動態更新。事前以預防為核心設計相關策略，依靠訪問控制與密鑰等技術實現；事中以保護通信暢通和防止網絡攻擊為核心設計相關策略，通過入侵檢測、防火墻等技術配合實現；事后災難恢復則以最大限度恢復原有信息為核心設計相關策略，通過數據備份等有關技術實現。針對以上信息安全策略設計原則，遠程教學系統應該在安全訪問，入侵檢測，系統恢復以及病毒防護等方面建立一套從“預防——保護——恢復”全面的安全防護體系。其體系如圖1所示：

1 預防策略

（1） 嚴格執行訪問控制。基于Internet的遠程教育系統的用戶大致可分為三類：教師用戶、學習者用戶以及管理 員。不同用戶所能見到的內容、所擁有的權限是有所不同的。也就是說，教學系統中的信息是分級保密的。基于Internet的遠程教學系統應妥善管理用戶的帳號及密碼，特別 是權限較高用戶的信息，對密碼的長度、復雜度、更改頻度作出要求。而且“在傳輸重要信息 時應使用加密技術。”[4]與此同時，對系統中的資源也應進行分類，實行多級管理。

（2） 加強密鑰和證書管理。PKI（Public-Key Infrastructure，公共密鑰基礎設施）是在公開密鑰理論和技術基礎上發展起來的一種綜合安全平臺，能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理，從而達到保證網上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI可以方便地建立和維護一個可信的網絡教學環境，從而使得人們在這個無法直接相互面對的環境里，能夠確認彼此的身份和所交換的信息，能夠安全地從事教學活動。

在PKI體系中，CA（Certificate Authority，認證中心）和數字證書是密不可分的兩個部分。認證中心通常采用多層次的分級結構，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。是由認證中心發放并經認證中心數字簽名，包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件，可以用來證明數字證書持有者的真實身份。為了保障信息不被越權訪問應加強訪問控制工作，按用戶類別進行注冊，記錄用戶相關信息，必要時可以啟用數字簽名技術。

2 保護策略

（1） 入侵檢測系統（IDS）的設計

入侵檢測系統（Intrusion Detection System簡稱IDS）通過“收集和分析計算機網絡或計算機系統中若干關鍵點的信息”[5]，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。

IDS通過檢測和記錄遠程教學網絡中的安全違規行為，防止干擾教學的網絡入侵事件的發生；檢測其他安全措施未能阻止的攻擊或安全違規行為；檢測黑客在攻擊前的探測行為，預先給管理員發出警報；報告計算機系統或網絡中存在的安全威脅；提供有關攻擊的信息，幫助管理員診斷網絡中存在的安全弱點，利于其進行修補。

IDS把大部分的系統資源用于對采集報文的分析，通過獨特的數據收集功能，將網段上的流量全部（或有選擇的）收集上來，然后在此基礎上進行內容分析等基本操作。通過這些操作，IDS可以輕易做到很多有益的工作，如入侵活動報警、不同業務類別的網絡流量統計、實時監控等。IDS高智能的數據分析技術、“詳盡的入侵知識描述庫可以提供比防火墻更準確、更嚴格、更全面的訪問行為審查功能。”[6]

（2） 防火墻設計。

防火墻技術是為了保證網絡路由安全性而在內部網和外部網之間的界面上構造一個保護層。所有的內外連接都強制性地經過這一保護層接受檢查過濾，只有被授權的通信才允許通過。防火墻的安全意義是雙向的，一方面可以限制外部網對內部網的訪問，另一方面也可以限制內部網對外部網中不健康或敏感信息的訪問。同時，防火墻還可以對網絡存取訪問進行記錄和統計，對可疑動作告警，以及提供網絡是否受到監視和攻擊的詳細信息。防火墻系統的實現技術一般分為兩種，一種是分組過濾技術，一種是代理服務技術。分組過濾基于路由器技術，其機理是“由分組過濾路由器對IP分組進行選擇，根據特定組織機構的網絡安全準則過濾掉某些IP地址分組，從而保護內部網絡。”[7]代理服務技術是由一個高層應用網關作為代理服務器，對于任何外部網的應用連接請求首先進行安全檢查，然后再與被保護網絡應用服務器連接。代理服務技術可使內、外網絡信息流動受到雙向監控。

（3） 病毒防護系統設計。

身處Internet的遠程教學系統應建立多層次的“病毒”防范體系，采取及時升級殺毒軟件，定時運行殺毒軟件查找“病毒”，重點防范要害部分，對重要 信息進行備份等措施。一個需要作好防毒措施的網絡架構可以分成以下三個不同的階層：

第一層———網關（Internet Gateways）防毒機制

如果一個網絡設置了第一層的病毒防護，那么只要在一兩個網關上替整個網絡捕捉和攔截病毒就可以了。一旦病毒通過了網關，就必須依靠服務器代理程序（Server Agents）對眾多的服務器進行掃描和修復，而不再只是處理一個網關。倘若由于某種原因病毒穿透了服務器層，那就必須依靠客戶端這一層的防毒軟件，這可能會影響到成百上千的節點。所以，在第一層阻止病毒是最有效的解決方法。

第二層———服務器防毒機制

在遠程教學系統之中，不同的服務器提供著不同的服務，其中最容易遭受病毒的攻擊的服務器，首推文件服務器，因為“文件服務器有著文件集中的特性，提供教育體制中文件儲存及交換的便利性”[8]，正是這種特性，更容易讓病毒有機可乘，更容易散播開來。因此我們更應該針對所有可能的通道加以防護，這就是架構中的第二層防護：需要在每臺存放文件和E-mail的服務器上作好病毒的防護工作，在這些服務器上，防毒軟件都必須設置成提供實時防護和定期的防毒掃描（Scheduled Scanning）。

第三層———工作站防毒機制

教學工作站病毒防護策略，除了考慮環境及病毒人侵的防護外，還必須考慮到人為因素及管理因素，在如此復雜的環境中，可先從病毒可能進行感染的通道防堵。

首先針對一般感染路徑，文件的存取及網絡的存取，已經是一種基本應有的功能，必須在幕后隨時監視及掃描你所存取的所有文件，包含壓縮檔及較不為一般人所注意的Office宏文件，以防止一般性的病毒威脅。在電子郵件的傳染途徑中，除了針對SMTP的通訊協議作保護外，還必須考慮到一些使用者由外部的郵件服務器收取郵件，或者是下載互聯網上的文件，因此在下載文件的部分以及POP3、MAPI等通訊協議上必須加強防護。同樣的來自于瀏覽網站或者是利用FTP上傳或下載文件也是必須防護的重點，如此構成了嚴密的三層病毒防護系統。[9]

3 恢復策略

恢復的基礎是及時地進行備分。如果沒有進行備分，計算機將無法進行恢復。但需要注意的是如果備份的內容是很久以前的東西的話，可能也無法通過恢復來重新得到想要的資料。

通常在重要的數據服務器里采用容錯磁盤技術來保證數據安全。常用的有鏡像卷（Mirro Volume）是指“在兩個物理磁盤上復制數據的容錯卷。通過使用兩個相同的卷（被稱為鏡像），鏡像卷提供了數據冗余以復制卷上包含的信息。”[10]鏡像總是位于另一個磁盤上。如果其中一個磁盤出現故障，則該故障磁盤上的數據將不可用，但是系統可以在位于其他磁盤上的鏡像中繼續進行操作。RAID-5卷RAID是（Redudant Array of Inexpensive Disks）的縮寫，簡稱磁盤陣列。后來演變成了“獨立冗余磁盤陣列” （Redudant Array of Independent Disks）。“RAID的實現方式有兩種：軟件方式和硬件方式。硬件方式是使用專門的硬件設備，如RAID卡，SCSI硬盤等。這種方式由于部分處理工作由RAID卡處理，所以性能，速度都有明顯的優勢，專用的服務器都采用這種方式。”[11]軟件方式是通過操作系統或其他軟件實現的，從Windows NT開始就已經支持RAID功能了。 RAID-5需要至少三塊硬盤才能建立，每塊硬盤必須提供相同的磁盤空間。使用RAID-5卷時，數據除了會分散寫入各硬盤中外，也會同時建立一份奇偶校驗數據信息，保存在不同的硬盤上。例如若以三塊硬盤建立RAID-5卷時，第1組數據可能分散存于第1，2塊硬盤中，而校驗信息則寫到第3塊硬盤上，但下一組數據則可能存于第2，3塊硬盤，校驗則存于第1塊硬盤上，若有一塊硬盤發生故障時，則可由剩余的磁盤數據結合校驗信息計算出該硬盤上原有的數據。而且與鏡像卷相比，RAID-5卷有較高的磁盤利用率。

4 設計安全評估系統，隨時堵住安全漏洞，完善信息安全策略。

在進行網絡安全評估時，應涉及到網絡安全體系的各個方面，包括主機、網絡通信設備、操作系統、網絡類型、數據庫、信息傳送等。通過全面檢測整個網絡系統存在的安全隱患，“準確發現易于遭受攻擊的薄弱環節，及時采取補救及防范措施，以達到增強網絡安全性的目的。”[12]

（1） 體系結構

系統分為三層，第一層為界面層，為用戶提供系統的使用界面，便于用戶使用操作；第二層為檢測分析層，這一層為系統的核心，用于對整個系統的主機、網絡設備等進行檢測，自動生成檢測報告。通過檢測結果進行分析，評估整個網絡的安全狀況并提出改進策略；第三層為系統支撐層，“該層中的漏洞庫存放已發現的安全漏洞，以便安全檢測組件在檢測時進行搜索。”[13]分析結果庫中存放檢測分析結果。系統如圖2所示：

（2） 系統功能

①總控模塊：為系統的主程序，提供用戶界面，用于控制整個系統中各個模塊之間的調用。

②漏洞庫更新組件：動態更新漏洞庫。

③客戶機信息檢測組件：通過讀取系統配置信息文件等，搜索漏洞庫，查找漏洞，并把檢測結果寫入結果分析庫。

④網絡信息檢測組件：通過獲取網絡服務器的操作系統類型、版本信息及開放的服務端口等信息，“搜索漏洞庫，獲取安全漏洞信息”[14]，并將結果寫入分析結果庫。

⑤口令檢測組件：對工作站用戶口令和服務器口令進行口令破解檢測，并把檢測結果寫入結果分析庫。

⑥模擬攻擊組件：從結果分析庫中調出相關檢測記錄，根據檢測出來的安全漏洞，對網絡主機進行遠程模擬攻擊，并將攻擊結果寫入結果分析庫。

⑦評估分析模塊：調用各檢測組件的檢測結果，根據系統設置的評估模型參數，自動進行評估分析，生成網絡安全評估報告，并提出改進措施及策略。

四 結束語

本文在利用遠程教學網絡安全現有設備和策略的基礎上，對遠程教學網絡的信息安全策略進行了初步研究，根據實際狀況建立一個以預防———防護———恢復基本策略為基礎的信息安全防護體系，保證整個網絡信息安全的最根本需要。對教學網絡實行多重保護，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全，以構建安全可靠的遠程教學網絡環境，使得遠程教學的應用和發展更加廣泛和深入。

參考文獻

[1] 紀潤博.我國網絡安全現狀與對策[J].網絡與電子商務， 2005，(4):28-30.

[2] 陸楠.現代網絡技術[M].西安:西安電子科技大學出版社， 2003:45-46.

[3] 蔡鳳娟.信息網絡安全管理[J].信息化建設，2004，(5):45-47，

[4] 逢玉臺.網絡信息安全綜述[J].現代通信，2003，(10):17-18，

[5] 彭海英.網絡信息安全技術概述[J].現代計算機， 2003，(4):55-56.

[6] 石美紅.計算機網絡工程[M].西安:西安電子科技大學出版社，2005:109-112.

[7] 孫延蘅.網絡信息安全隱患及其防御[J].情報雜志， 2002，(7):58-59.

[8] 崔波.電子商務網絡信息安全問題[J].圖書館理論也實踐， 2003，(2):55-56.

[9] 羅莉.網絡信息安全技術[J].太原科技，2000，(3):22-23.

[10] 劉學軍，王永君，車偉濤等.三角剖分中拓撲關系的動態創建與維護[J].湖南科技大學學報(自然科學版)，2008，(2):80-81.

[11] Thebusyexec.com.“Effective Feedback” [EB/OL].

[12] 謝宜辰.論當前我國高等教育價值取向問題[J].湖南科技大學學報(社會科學版)，2008，(1):121-122.

[13] 李書振.網絡環境下的信息安全措施[J].系統安全， 2004，(7):45-47.

[14] 李軍.遠程教育中的網絡安全對策[J].現代遠距離教育， 2005，(6):53-54.