教育網絡信息安全及其防護策略的研究*

張 輝,王宏艷

(1.衡水廣播電視大學,河北 衡水 053000; 2.河北金融學院,河北保定 071051)

教育網絡信息安全及其防護策略的研究*

張 輝1,王宏艷2

(1.衡水廣播電視大學,河北 衡水 053000; 2.河北金融學院,河北保定 071051)

隨著網絡技術的不斷發展和 Internet的日益普及,校園網絡得到普及應用,而遠程教育進一步拓寬了網絡的適用范圍。在使用網絡授課和學習的同時,網絡信息安全便成為這個過程中的重要話題,網絡的數據竊賊、黑客侵襲、病毒發布等危險動作,不僅給網絡維護人員帶來了大量的工作負擔,也嚴重影響了遠程教育平臺的使用,因此應優化網絡環境、提高安全等級,讓我們使用的網絡環境有一個良好的氛圍。

遠程教育;網絡安全;黑客;病毒;防護策略

隨著教育信息化程度的不斷深入,教育網絡建設與應用的不斷普及和成熟,作為教育信息化重要基石的信息安全問題卻不容樂觀。校園信息安全、網絡安全問題已經成為教育主管部門和各地學校管理者關心的重大問題,教育信息和網絡的安全問題成為保持校園正常教學、管理的重要課題。

一、計算機網絡安全的現狀

計算機網絡安全是指網絡系統的軟、硬件及系統中的數據受到保護,不受偶然或惡意的原因而遭到破壞、更改、泄露,系統連續、可靠、正常地運行,網絡服務不中斷。導致計算機網絡信息安全受到威脅的根本原因在于網絡存在安全問題,這其中最重要的是黑客攻擊和病毒的侵襲兩種類型,并且目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。

在Internet網絡上,因互聯網本身沒有時空和地域的限制,每當有一種新的攻擊手段產生,就能在一周內傳遍全世界,這些攻擊手段利用網絡和系統漏洞進行攻擊從而造成計算機系統及網絡癱瘓。蠕蟲、后門 (Back-doors)、Rootkits、DOS(Denialof-Services)和Sniffer(網絡監聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現了它們驚人的威力,時至今日,有愈演愈烈之勢。

現將影響網絡系統的安全隱患歸納為以下幾點:

1.計算機病毒

隨著近年 Internet的發展,E-mail和一批網絡工具的出現改變了人類信息的傳播方式和生活,同時也使計算機病毒的種類迅速增加,擴散速度大大加快,出現了一批新的傳播方式和表現力的病毒,在校園網和遠程教育平臺上,對教師及學生用戶的破壞性和傳染力是以往的病毒類型所不可比擬的。病毒的主發地點和傳播方式已經由以往的單機之間的介質傳染完成了向網絡系統的轉化,類似于“CIH,尼姆達,Exploer,熊貓燒香”網絡傳染性質的病毒大量出現,一旦被病毒侵入系統并發作,造成的損失和責任是難以承受的。病毒和防病毒之間的斗爭已經進入了由“殺”病毒到“防”病毒的時代。

Internet帶來兩種不同的安全威脅,一種威脅來自文件下載,這些被瀏覽的或是被下載的文件可能存在病毒。另一種威脅來自電子郵件。大多數互聯網郵件系統提供了在網絡間傳送附帶格式化文檔郵件的功能,因此,遭受病毒的文檔或文件就可能通過網關和郵件服務器涌入教育網絡,比如我們常見的一些培訓內容的垃圾郵件其中大部分就帶有惡意的病毒,一旦用戶打開郵件,病毒也就深藏系統。網絡使用的簡易性和開放性使得這種威脅越來越嚴重。

2.系統的安全漏洞

現在,新的操作系統或應用軟件剛一上市,漏洞就已被找出。沒有任何一個系統可以排除漏洞的存在,想要修補所有的漏洞簡直比登天還難。

(1)緩沖區溢出。這是攻擊中最容易被利用的系統漏洞。很多系統在不檢查程序與緩沖區間的變化的情況下,就接收任何長度的數據輸入,把溢出部分放在堆棧內,系統還照常執行命令。這樣破壞者便有機可乘。他只要發送超出緩沖區所能處理的長度的指令,系統便進入不穩定狀態。假如破壞者特別配置一串他準備用作攻擊的字符,他甚至可以訪問系統根目錄,現在很多網絡工具軟件輕而易舉地就能完成這個攻擊。

(2)拒絕服務。拒絕服務攻擊的原理是攪亂TCP/IP連接的次序。典型的DDOS攻擊會耗盡或損壞一個或多個系統的資源,直至系統無法處理合法的程序。這類攻擊的例子是Synflood攻擊。發動Synflood攻擊的破壞者發送大量的不合法請求要求連接,目的是使系統不勝負荷。其結果是系統拒絕所有合法的請求,直至等待回答的請求超時。

(3)網絡軟件的漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設想。

(4)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統的“可廣播性”進行商業、宗教、政治等活動,把自己的電子郵件強行“推入”別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統造成破壞,而是竊取系統或是用戶信息。事實上,間諜軟件日前還是一個具有爭議的概念,一種被普遍接受的觀點認為間諜軟件是指那些在用戶不知情的情況下進行非法安裝后很難找到其蹤影,并悄悄把截獲的一些機密信息提供給第三者的軟件。間諜軟件的功能繁多,它可以監視用戶行為,或是發布廣告,修改系統設置,威脅用戶隱私和計算機安全,并可能不同程度地影響系統安全性。

3.不合理的系統維護措施

系統固有的漏洞及一大堆隨處可見的破壞工具大大方便了黑客的攻擊,但無效的安全管理也是造成安全隱患的一個重要因素。當發現新的漏洞時,管理人員應仔細分析危險程度,并馬上采取補救措施。

有時候,雖然我們已經對系統進行了維護,對軟件進行了更新或升級,但由于路由器及防火墻的過濾規則過于復雜,系統又可能會出現新的漏洞。所以,及時、有效地改變管理可以大大降低系統所承受的風險。

4.低效的系統設計和檢測能力

在不重視信息保護的情況下設計出來的安全系統會非常“不安全”,而且不能抵御復雜的攻擊。建立安全的架構一定要從底層著手。這個架構應能提供實效性的安全服務,并且需要妥善的管理。當然,我們自己能做的僅限于網絡系統架構本身,而操作系統的設計安全完全在于以微軟為代表的系統開發公司。

二、計算機網絡信息安全的防護策略

盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效地保護網絡信息的安全,下面總結了幾種方法并加以說明以確保在策略上保護網絡信息的安全:

1.加強安全意識

七分管理,三分技術。管理是網絡安全的核心,技術是安全管理的保證。只有制定完整的規章制度、行為準則并和安全技術手段合理結合,網絡系統的安全才會有最大的保障。這是對于網絡管理而言,那么對于使用和參與網絡教育的教師和學生用戶來說,時刻提醒自己注意防護系統,可疑文件或者信息、頁面等不要隨意打開這些必備的安全常識更是熟記于心,病毒、木馬、黑客攻擊往往就隱蔽于此。

2.網絡防火墻技術和殺毒軟件技術

防火墻是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其他途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。

在網絡上,軟件的安裝和管理方式是十分關鍵的,它不僅關系到網絡維護管理的效率和質量,而且涉及到網絡的安全性。好的殺毒軟件能在幾分鐘內輕松地安裝到組織里的每一個NT服務器上,并可下載和散布到所有的目的機器上,由網絡管理員集中設置和管理,它會與操作系統及其他安全措施緊密地結合在一起,成為網絡安全管理的一部分,并且自動提供最佳的網絡病毒防御措施。當計算機病毒對網絡資源的應用程序進行攻擊時,這樣的病毒存在于信息共享的網絡介質上,因此就要在網關上設防,在網絡前端進行殺毒。

3.網絡主機的操作系統安全措施

防火墻作為網絡的第一道防線并不能完全保護內部網絡,必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高,分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全;同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。這些構成整個網絡系統的第二道安全防線,主要防范部分突破防火墻以及從內部發起的攻擊。系統備份是網絡系統的最后防線,用來遭受攻擊之后進行系統恢復。在防火墻和主機安全措施之后,是全局性地由系統安全審計、入侵檢測和應急處理機構成的整體安全檢查和反應措施。它從網絡系統中的防火墻、網絡主機甚至直接從網絡鏈路層上提取網絡狀態信息,作為輸入提供給入侵檢測子系統。入侵檢測子系統根據一定的規則判斷是否有入侵事件發生,如果有入侵發生,則啟動應急處理措施,并產生警告信息。而且,系統的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統安全策略進行改進的信息來源。

(1)隱藏IP地址。黑客經常利用一些網絡探測技術來查看我們的主機信息,主要目的就是得到網絡中主機的IP地址。IP地址在網絡安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等于為他的攻擊準備好了目標,他可以向這個IP發動各種進攻,如DDOS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務器。使用代理服務器后,其他用戶只能探測到代理服務器的IP地址而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶的上網安全。

(2)關閉不必要的端口。黑客在入侵時常常會掃描你的計算機端口,如果安裝了端口監視程序(比如Netwatch),該監視程序則會有警告提示。如果遇到這種入侵,可用工具軟件關閉用不到的端口,比如用“NortonInternetSecurity”關閉用來提供網頁服務的80和443端口,其他一些不常用的端口也可關閉。

(3)更換管理員賬戶。Administrator賬戶擁有最高的系統權限,一旦該賬戶被人利用,后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator賬戶的密碼,所以我們要重新配置Administrator賬號。首先是為Administrator賬戶設置一個強大復雜的密碼,然后我們重命名Administrator賬戶,再創建一個沒有管理員權限的Administrator賬戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個賬戶真正擁有管理員權限,也就在一定程度上減少了危險性。

(4)杜絕 Guest賬戶的入侵。Guest賬戶即所謂的來賓賬戶,它可以訪問計算機,但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門。禁用或徹底刪除 Guest賬戶是最好的辦法,但在某些必須使用到Guest賬戶的情況下,就需要通過其他途徑來做好防御工作了。首先要給 Guest設一個強壯的密碼,然后詳細設置 Guest賬戶對物理路徑的訪問權限。

(5)封死黑客的“后門”。俗話說“無風不起浪”,既然黑客能進入,那我們的系統一定存在為他們打開的“后門”,我們只要將此堵死,讓黑客無處下手。①刪掉不必要的協議。對于服務器和主機來說,一般只安裝TCP/IP協議就夠了。鼠標右擊“網絡鄰居”,選擇“屬性”,再鼠標右擊“本地連接”,選擇“屬性”,卸載不必要的協議。其中NetBIOS是很多安全缺陷的源泉,對于不需要提供文件和打印共享的主機,可以將綁定在 TCP/IP協議的Net-BIOS給關閉,避免針對NetBIOS的攻擊。②關閉“文件和打印機共享”。文件和打印機共享應該是一個非常有用的功能,但在我們不需要它的時候,它也是引發黑客入侵的安全漏洞。所以在沒有必要“文件和打印機共享”的情況下,我們可以將其關閉。即便確實需要共享,也應該為共享資源設置訪問密碼。③禁止建立空連接。在默認的情況下,任何用戶都可以通過空連接連上服務器,枚舉賬號并猜測密碼。因此我們必須禁止建立空連接。④關閉不必要的服務。服務開得多可以給管理帶來方便,但也會給黑客留下可乘之機,因此對于一些確實用不到的服務,最好關掉。比如在不需要遠程管理計算機時,我都會將有關遠程網絡登錄的服務關掉。去掉不必要的服務停止之后,不僅能保證系統的安全,同時還可以提高系統運行速度。

(6)做好IE的安全設置。ActiveX控件和Java Applets有較強的功能,但也存在被人利用的隱患,網頁中的惡意代碼往往就是利用這些控件編寫的小程序,只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇,具體設置步驟:“工具”→“Internet選項”→“安全”→“自定義級別”。另外,在IE的安全性設定中我們只能設定Internet、本地Internet、受信任的站點、受限制的站點。

在“2009教育網絡與信息安全大會”上“主動防御”成為主題,同時重點突出中國教育和科研計算機網CERNET中的校園網絡運行監控體系、軟硬件安全產品選型、流量控制、客戶端安全防護的部署和實施。并且會議通過專家報告、高峰論壇、自由提問等形式,從安全管理到技術手段,幫助教育用戶建立多重保護的校園網絡,以降低教育網絡運行的安全壓力和風險管理,減少網絡內部和外部應用層的入侵和攻擊,提高網絡整體運行效率。

隨著IPv6的普及推廣,校園網絡所面臨的各種攻擊模式必將有所改變,因此對校園網安全問題的研究也會變得越來越復雜。在基于IPv6的校園網世界里,一些安全問題依然存在:電子郵件的病毒還會繼續傳播,關鍵主機的安全隱患仍然存在,應用層的攻擊也不會停止,當然也可能出現新的安全問題,比如 IPv6巨大的地址空間也會給攻擊者帶來一些機會。總之,雖然IPv6是一種比 IPv4更具安全性的協議,但是,校園網仍然必須應對和解決各種安全問題。

由于校園網的安全問題直接影響到校園正常的教學、科研和管理等工作,因此引起了相關教育主管部門和各大高校的普遍注意。我們說“魔高一尺,道高一丈”,必須從數字校園網絡整體進行安全體系結構的規劃和建設,提高網絡的應急能力和日常的預警功能,做到主動防御、積極應對,而不僅僅是在安全問題爆發后才采取補救措施。同時,還必須增強相關人員的安全管理意識,多方開展技術培訓,建立一支思想合格、技術過硬的網絡安全保障隊伍。

三、結束語

總之,網絡安全是一項綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,又有物理的和邏輯的技術措施。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。

[1]黃怡強等.淺談軟件開發需求分析階段的主要任務[J].中山大學學報論叢,2007,(1).

[2]朱理森,張守連.計算機網絡應用技術[M].北京:專利文獻出版社,2008.

[3]張紅旗.信息網絡安全[M].北京:清華大學出版社,2008.

[4]雷震甲.網絡工程師教程[M].北京:清華大學出版社,2007.

[5]郭軍.網絡管理[M].北京:北京郵電大學出版社,2008.

(責任編輯 靳榮莉)

G434

A

1008-469X(2010)02-0018-04

2009-12-15

張輝(1974-),男,河北衡水人,講師,主要從事計算機專業教學和機房管理研究。