網(wǎng)絡(luò)教育系統(tǒng)安全防范的可行性研究

楊敬君，楊賢朋

（1．大連海事大學(xué) 教務(wù)處，遼寧 大連 116026；

2．大連海事大學(xué) 科技處，遼寧 大連 116026）

網(wǎng)絡(luò)教育系統(tǒng)安全防范的可行性研究

楊敬君1，楊賢朋2

（1．大連海事大學(xué) 教務(wù)處，遼寧 大連 116026；

2．大連海事大學(xué) 科技處，遼寧 大連 116026）

針對目前高校網(wǎng)絡(luò)教育系統(tǒng)管理與維護中普遍存在的安全防范問題，分析了影響高校網(wǎng)絡(luò)教育系統(tǒng)安全的問題要點及可能導(dǎo)致的主要威脅，介紹了高校網(wǎng)絡(luò)教育系統(tǒng)安全防范應(yīng)采用的技術(shù)手段、方法和策略，提供了在日常管理和維護中保障高校網(wǎng)絡(luò)教育系統(tǒng)安全的、行之有效的解決方案。

高校網(wǎng)絡(luò)教育；安全性問題；安全策略

計算機網(wǎng)絡(luò)現(xiàn)已成為一個國家重要的基礎(chǔ)設(shè)施之一，它的安全性（或可靠性）問題已成為全球關(guān)注的焦點。網(wǎng)絡(luò)教育始于20世紀后期，并伴隨著網(wǎng)絡(luò)時代的到來和發(fā)展，高校教育也逐漸介入、依賴計算機網(wǎng)絡(luò)而形成高校網(wǎng)絡(luò)教育系統(tǒng)并迅速發(fā)展起來。高校網(wǎng)絡(luò)教育系統(tǒng)是以互聯(lián)網(wǎng)為載體的教學(xué)模式，它充分運用網(wǎng)絡(luò)資源、促進教師之間、學(xué)生之間、師生之間在教學(xué)等方面的交流、研討，激勵了學(xué)生積極、自主地學(xué)習(xí)，并增強了協(xié)作精神等。在優(yōu)化教學(xué)過程的同時，由于網(wǎng)絡(luò)教育所具有的開放性、國際性和自由性，網(wǎng)絡(luò)安全的脆弱性愈加明顯。“黑客”極易在網(wǎng)絡(luò)上以任何漏洞和缺陷作為攻擊的突破口，侵入系統(tǒng)、安裝木馬、盜取網(wǎng)絡(luò)資源，甚至導(dǎo)致系統(tǒng)癱瘓等。高校網(wǎng)絡(luò)教育系統(tǒng)安全防范已成為影響網(wǎng)絡(luò)使用和效能的重要問題，高校網(wǎng)絡(luò)教育的普及和廣泛應(yīng)用，對網(wǎng)絡(luò)安全防范提出了更高的要求，成為高校網(wǎng)絡(luò)教育發(fā)展必須思考的重要問題之一。

一、高校網(wǎng)絡(luò)教育系統(tǒng)存在的安全隱患

能夠構(gòu)成對計算機網(wǎng)絡(luò)教育系統(tǒng)安全的威脅主要分為兩類：一類是對網(wǎng)絡(luò)教育系統(tǒng)硬件設(shè)備的威脅；另一類是對教育系統(tǒng)軟件信息的威脅。而形成或?qū)е赂咝＞W(wǎng)絡(luò)教育系統(tǒng)安全的因素也有很多，比如蓄意的或無意的，人為的或非人為的等等。歸納起來主要有以下幾個方面：

1．高校網(wǎng)絡(luò)教育系統(tǒng)自身潛在的安全隱患

首先，由于高校校園網(wǎng)絡(luò)服務(wù)只是學(xué)校工作的一個方面,而并非像專業(yè)網(wǎng)絡(luò)公司那樣能夠全神貫注去運作網(wǎng)絡(luò)。與此相應(yīng)的網(wǎng)絡(luò)安全工作是校園網(wǎng)絡(luò)其中的一個方面,而教育系統(tǒng)網(wǎng)站安全又是網(wǎng)絡(luò)安全其中的一個方面。另外，由于學(xué)校信息化建設(shè)發(fā)展尚未達到全校日常工作對其完全依賴的水平。從上述幾個方面不難看出，網(wǎng)絡(luò)安全意識在任何一方的疏忽都能夠埋下潛在的安全隱患。

其次,由于種種原因，高校教育系統(tǒng)網(wǎng)站在建設(shè)和維護管理中有在校生參與。在校生有的為了節(jié)省開發(fā)時間，有的是網(wǎng)絡(luò)安全意識較為淡薄，也有的是受知識、經(jīng)驗局限，總之他們中大都從互聯(lián)網(wǎng)上找個現(xiàn)成發(fā)布系統(tǒng)模板,對表層稍作圖片樣式修改后就急于建成了新網(wǎng)站。由于網(wǎng)上源代碼的公開性,使得別有用心的人不需要專門黑客知識就可以攻擊和篡改網(wǎng)站。另外教師、學(xué)生通過文件傳輸賬號和后臺管理賬號對各自網(wǎng)站進行日常管理與維護,由于學(xué)生參與活動的流動性和安全意識的薄弱性，一旦管理與維護的賬號被泄漏或竊用,網(wǎng)站安全就很難得到保證；與此同時,和它同處一個服務(wù)器上的其他教育網(wǎng)絡(luò)系統(tǒng)的安全也會受到相應(yīng)的威脅。

2．計算機病毒和軟件漏洞對網(wǎng)絡(luò)安全的威脅

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機病毒也在網(wǎng)絡(luò)中快速蔓延，而且在一定程度上搶在了計算機網(wǎng)絡(luò)安全技術(shù)的前面。相對于計算機病毒種類和數(shù)量在網(wǎng)絡(luò)上日漸劇增而言，安全防范永遠處于一種被動狀態(tài)，威脅網(wǎng)絡(luò)安全的因素是始終存在的。網(wǎng)絡(luò)系統(tǒng)一旦感染上病毒后，輕則影響系統(tǒng)運行速度、造成系統(tǒng)部分文件和數(shù)據(jù)信息損壞與丟失，重則將導(dǎo)致服務(wù)器硬件的損壞、系統(tǒng)的癱瘓，損失無法估量。

目前正在應(yīng)用的多數(shù)操作系統(tǒng)和應(yīng)用軟件難免有各種缺陷或漏洞，這些缺陷或漏洞可能是系統(tǒng)或軟件本身存在的，例如眾所周知的微軟Windows視窗操作系統(tǒng)就存在漏洞。有些應(yīng)用軟件預(yù)留的“后門”，一旦被打開侵入，將造成數(shù)據(jù)丟失、泄露的嚴重后果；再者，局域網(wǎng)內(nèi)網(wǎng)絡(luò)用戶使用破解的盜版軟件，隨處下載軟件及網(wǎng)絡(luò)管理員的疏忽等原因，都有可能導(dǎo)致被“黑客”利用能完成密碼探測、侵入系統(tǒng)的威脅。

3．教育系統(tǒng)網(wǎng)站頻繁受到攻擊

隨著計算機技術(shù)的發(fā)展，黑客工具的功能卻越來越強，對網(wǎng)站（網(wǎng)絡(luò)）的威脅越來越大。同時,教育系統(tǒng)參與國家、省、市等級別的評選活動日趨頻繁，來自校外（互聯(lián)網(wǎng)）的“黑客”時常破壞參與評選的教育系統(tǒng),使用網(wǎng)上存在的、甚至自己研究的各種攻擊技術(shù)攻擊網(wǎng)站和網(wǎng)站服務(wù)器,篡改頁面，發(fā)布能得到收益的木馬彈出廣告等。同時，校內(nèi)有部分計算機技術(shù)水平較高的學(xué)生,針對學(xué)校網(wǎng)絡(luò)防范措施不足的特點，出于對攻擊工具付諸于實踐的欲望,時常有意無意地破壞校園網(wǎng)系統(tǒng),嘗試攻擊教育網(wǎng)站以及網(wǎng)站服務(wù)器。根據(jù)校園網(wǎng)絡(luò)使用教育網(wǎng)專線的特性，可以說，來自校園網(wǎng)內(nèi)部的安全隱患比來自校園網(wǎng)外部的安全隱患破壞力更強、影響更廣、威脅更大。[1]

二、高校網(wǎng)絡(luò)教育系統(tǒng)安全防范策略及技術(shù)方案

互聯(lián)網(wǎng)的一個最大特性就是所有機器的開放性以及相互之間的可訪問性，這個特性同樣成為Web應(yīng)用開發(fā)人員必須面對的最大挑戰(zhàn)。[2]高校網(wǎng)絡(luò)教育系統(tǒng)安全并非一個絕對概念，系統(tǒng)不存在絕對安全的，因此需要未雨綢繆。安全性問題是不斷變化的，唯有積極防御、有效應(yīng)對，提高應(yīng)對系統(tǒng)安全問題的策略、技術(shù)和日常維護管理水平，才是解決高校網(wǎng)絡(luò)教育系統(tǒng)安全性問題的根本策略。

1.防火墻的解決策略

防火墻是目前最為流行、使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)，它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。防火墻的最大優(yōu)勢就在于可以對兩個網(wǎng)絡(luò)之間的訪問策略進行控制，限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進行的信息存取、傳遞操作。它具有以下特性：所有從內(nèi)部到外部或從外部到內(nèi)部的通信都必須經(jīng)過它；只有內(nèi)部訪問策略授權(quán)的通信才允許通過；系統(tǒng)本身具有高可靠性。[3]防火墻通過在內(nèi)網(wǎng)和外網(wǎng)之間、專網(wǎng)與公網(wǎng)之間的邊界上構(gòu)造一個保護屏障，保護內(nèi)部網(wǎng)免受非法用戶的侵入；而免疫墻則是由網(wǎng)關(guān)、服務(wù)器、電腦終端和免疫協(xié)議一整套的硬軟件組成，對內(nèi)網(wǎng)進行安全防范和管理的方案，承擔來自內(nèi)部攻擊的防御和保護。防火墻軟件要求防火墻易管理且自身的安全性高，具有支持抵抗各類攻擊 (ARP攻擊、源路由攻擊、IP碎片攻擊，DNS/RIP/ICMP攻擊，SYN攻擊、DOS/DDOS攻擊等)、包過濾、狀態(tài)檢測、ARM硬件地址綁定，支持SNMP、掃毒功能、虛擬企業(yè)網(wǎng)絡(luò)(VPN)，特殊控制需求等功能。[4]如今大多數(shù)防火墻軟件都支持上述功能，某些優(yōu)秀防火墻軟件能在此基礎(chǔ)上做到修復(fù)漏洞、木馬查殺、清理插件、系統(tǒng)修復(fù)、清理痕跡，以及自動實時更新等實用功能。盡管如今防火墻的功能強大，但是不能做到全面阻止外部入侵和內(nèi)部病毒襲擊，無法做到完全解決網(wǎng)絡(luò)安全問題。所以僅在網(wǎng)絡(luò)入口處部署防火墻，實際上是處理安全性問題的一項策略，系統(tǒng)安全策略還應(yīng)該具備網(wǎng)絡(luò)訪問身份控制、防病毒和抵御“黑客”入侵以及其他細致的安全控制技術(shù)的功能。

2．網(wǎng)絡(luò)訪問身份控制策略

網(wǎng)絡(luò)訪問身份控制是網(wǎng)絡(luò)安全防范和保護的主要策略之一，其主要任務(wù)是驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作，保證網(wǎng)絡(luò)資源不被非法使用和訪問，也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點安全控制等。[5]根據(jù)網(wǎng)絡(luò)安全的等級和網(wǎng)絡(luò)空間的環(huán)境不同，可靈活設(shè)置訪問控制的種類和數(shù)量。

高校網(wǎng)絡(luò)教育系統(tǒng)對入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點安全控制等有很高的要求，用以保證教師教育、教學(xué)信息資料的安全和保護高校教育知識產(chǎn)權(quán)。因此，一種方便安全的遠程控制解決策略就顯得至關(guān)重要。

（1）安裝安全、可靠的第三方管理軟件

RemotelyAnywhere是由匈牙利的 “3am Laboratories PL”公司制作的，它是一個基于HTTP協(xié)議的可以跨平臺的遠程控制和管理工具。只要把該軟件安裝在使用NT系統(tǒng)(包括Windows NT/2000/XP/2003)的計算機上，你就可以在任何能上網(wǎng)的地方、通過任何網(wǎng)頁瀏覽器對這臺計算機進行遠程控制，而不必安裝任何客戶端軟件，甚至可以通過WAP手機和PDA來進行遠程控制。通過RemotelyAnywhere，你可以對遠程計算機上的文件、用戶、服務(wù)、進程、注冊表等進行管理，甚至能遠程重啟計算機。還能進行文件的傳輸、系統(tǒng)設(shè)置、性能監(jiān)視和遠程打印等。RemotelyAnywhere只需要在服務(wù)器端安裝后，用戶通過訪問“http://IP地址:端口號”并按照提示安裝軟件安全證書，就可以在客戶端進入遠程登錄窗口，如圖1所示。

RemotelyAnywhere登錄對話框中只有NTLM身份驗證這一個選項 （NTLM用來將登錄的用戶名和密碼以密文的方式傳送），首先我們必須要有個能夠登錄服務(wù)器的賬號，然后點擊登錄界面中的Login按鈕即可進入控制界面。RemotelyAnywhere通過進行SSL設(shè)置中的SSL Setup在服務(wù)器生成數(shù)字證書，并通過此類設(shè)置保證數(shù)據(jù)是以加密的方式進行傳輸。而通過設(shè)置訪問控制設(shè)置，可以設(shè)定允許或者拒絕特定IP地址登錄控制RemotelyAnywhere，而且在安全項中還有查看訪問日志功能。通過遠程控制項就能操控遠程服務(wù)器，而文件傳輸項則能更方便地完成上傳下載功能。如圖2所示。

使用RemotelyAnywhere進行網(wǎng)絡(luò)訪問身份控制，使服務(wù)器安全性顯著提高。

（2）限制用戶登錄時間段

由于“黑客”對高校網(wǎng)絡(luò)服務(wù)器攻擊入侵多數(shù)發(fā)生在凌晨和節(jié)假日期間，此時管理人員通常也在休息。因此，可以使用類似SecureRDP軟件限制登錄時間。

以上方法只能對服務(wù)器起到監(jiān)護作用，但對于已經(jīng)遭受病毒襲擊的服務(wù)器，就需要解決計算機病毒方面的策略。

3．解決防病毒方面的策略

計算機病毒這個詞語最早出現(xiàn)在科幻小說里。1977年夏天，托馬斯瑞安(Thomas J.Ryan)的科幻小說《P—1的春天》(The Adolescence of P-1)成為美國的暢銷書。作者在這本書中描述了一種可以在計算機中相互傳染的病毒，造成了一場災(zāi)難。[6]在國內(nèi)，計算機病毒這個詞語在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中有一個具有法律性、權(quán)威性的定義：“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。”一般來講，計算機病毒是一個程序，一段可執(zhí)行碼。凡是能夠引起計算機故障，能夠破壞計算機中的資源（包括硬件與軟件）的代碼，統(tǒng)稱為計算機病毒。[7]

到目前為止，對計算機網(wǎng)絡(luò)安全威脅最大的是病毒。根據(jù)病毒對計算機網(wǎng)絡(luò)的威脅狀況，通常可以對其采取病毒預(yù)防、病毒檢測、病毒消除和病毒免疫四種技術(shù)措施。

（1）病毒預(yù)防技術(shù)

病毒預(yù)防是根據(jù)病毒程序的特征，按照科學(xué)的、系統(tǒng)的、嚴密的方法，對病毒程序進行分類整理，并在計算機中運行，如有類似的特征點出現(xiàn)則認定是計算機病毒。病毒預(yù)防技術(shù)通過對病毒進入系統(tǒng)內(nèi)存或者對磁盤進行讀寫操作的阻止，達到保護系統(tǒng)的目的。常用的病毒預(yù)防技術(shù)有系統(tǒng)監(jiān)控技術(shù)、磁盤引導(dǎo)區(qū)保護、加殼程序和讀寫控制技術(shù)等。

（2）病毒檢測技術(shù)

它首先是對已知或未知的病毒進行檢測，對于已知病毒可以采取靜態(tài)判定技術(shù)和特征判定技術(shù)進行檢測，如根據(jù)計算機病毒程序中的病毒特征、關(guān)鍵字、特征程序段內(nèi)容及病毒傳染方式進行檢測；而對未知病毒一般只能通過動態(tài)判定技術(shù)和行為監(jiān)測技術(shù)，其中最常用的就是對某個文件或數(shù)據(jù)段進行校驗和計算并保存計算結(jié)果，以后定期或不定期地根據(jù)保存結(jié)果對該文件或數(shù)據(jù)段進行檢驗，若出現(xiàn)變化，即說明文件或數(shù)據(jù)段的完整性遭到破壞，從而檢測到未知病毒的存在。

（3）病毒消除技術(shù)

一旦發(fā)現(xiàn)了病毒，就必須將其消除，這是病毒檢測的最終目的。對于不同的病毒一般需要制定相應(yīng)的消除方法，進而從被傳染文件中摘除該病毒代碼并恢復(fù)文件的原有信息結(jié)構(gòu)。病毒檢測和消除功能是一般殺毒軟件都具備的功能。

（4）病毒免疫技術(shù)

計算機病毒的免疫技術(shù)目前仍然是一個難題研究熱點。病毒是不斷自我復(fù)制、變化、變異的，殺毒軟件更多時間還是處于被動環(huán)境下，目前某些反病毒程序通過給可執(zhí)行程序添加保護性外殼，能在一定程度上起到免疫作用，但仍存在很大局限性，[8]即使最新的云安全技術(shù)也存在對用戶隱私保護不足的缺點。

4．其他安全策略

保證高校網(wǎng)絡(luò)教育系統(tǒng)安全運行，不但需要上述安全策略，也需要包括系統(tǒng)容災(zāi)技術(shù)、數(shù)據(jù)庫容錯、網(wǎng)站權(quán)限隔離、數(shù)據(jù)備份和審計等安全措施。這里就不一一枚舉了。

五、結(jié)束語

眾所周知：三分技術(shù),七分管理。隨著網(wǎng)絡(luò)不斷發(fā)展，新的安全問題必將出現(xiàn)。管理者必須根據(jù)情況的變化，不斷對網(wǎng)絡(luò)系統(tǒng)進行及時地維護和更新，細化各種管理制度。網(wǎng)絡(luò)安全不僅僅是一個技術(shù)問題,更重要的是管理問題。在管理中,人的因素尤其重要,因為最終是人在執(zhí)行各項設(shè)定和控制。為此,培養(yǎng)和樹立良好的安全管理意識、落實加強網(wǎng)絡(luò)管理的安全防范措施是非常重要的。同時，不斷提高校園網(wǎng)管理人員的業(yè)務(wù)技術(shù)水平，才能保證網(wǎng)絡(luò)高效、安全地為全校師生的教學(xué)和科研服務(wù)。

[1]李小志.高校校園網(wǎng)絡(luò)安全分析及解決方案[J].現(xiàn)代教育技術(shù),2008，18(3):92.

[2]Luke Welling Laura Thomson著,武欣等譯.PHP和MySQL Web開發(fā)[M].北京:機械工業(yè)出版社,2009.4:270.

[3]張國鳴,嚴體華.網(wǎng)絡(luò)管理員教程[M].北京:清華大學(xué)出版社,2006:387.

[4]張紅宇.基于遠程教育系統(tǒng)的網(wǎng)絡(luò)安全分析與防范[J].中國科技信息,2005(14):30.

[5]江群兵.淺談網(wǎng)絡(luò)教育系統(tǒng)的網(wǎng)絡(luò)安全問題[J].21世紀:理論實踐探索,2009(11):102.

[6]楊旭鵬.淺談計算機病毒與其防范[J].中國新通信, 2009(10):80.

[7]李鳳梅.網(wǎng)絡(luò)環(huán)境下的計算機病毒及其防范技術(shù)[J]. Silicon Valley,2011(1):187.

[8]全豐菽.計算機網(wǎng)絡(luò)安全的防范策略分析[J].信息與電腦(理論版),2010(8):11.

（編輯：金冉）

TP309

A

1673-8454(2011)23-0073-04