1、 远程教育中的网络安全对策 摘要远程教育给人们提供了一种崭新的学习方式,计算机网络成为最有效的途径之一。由于网络自身存在不安全问题,给人们带来或多或少的麻烦。本文在列举常见问题的同时,提出了对策。关键词远程教育;网络安全;对策随着远程教育应用的扩大,其安全风险也变得更加严重和复杂,不安全的远程教育环境给求知者带来诸多烦恼和不便,严重影响了远程教育质量和教学效果。本文仅就远程教育中的网络安全对策问题谈点浅见。一、远程教育的安全性分析用于远程教育的计算机网络(简称网络)具有普遍存在的安全问题。同时,作为一种特定的网络应用,它又具有自己的一些特点。1.网络普遍存在的问题(1)网络固有的脆弱性。TCP
2、IP产生的初衷是建立一个开放的、互通的计算机网络,因此,其中的许多协议设计之初根本没有考虑到安全问题。如大多数低层协议为广播方式,网上的任何机器使用sniffer之类的软件均有可能窃听到情报;较易推测出系统中所使用密码,从而较容易从系统的“后门”进入系统,最终对系统进行破坏。这使得网络系统出现了许多漏洞和隐患。由于在每一层,数据存在的方式和遵守的协议各不相同,而这些协议在开始制定时也没有考虑通信路径的安全性,从而导致了安全漏洞。(2)系统漏洞。漏洞(BUG)指由于技术和设计上的不完善而出,现的程序缺陷或错误,这种缺陷或错误允许非法用户未经授权去访问系统或提高其访问系统的层次。系统漏洞主要存在于
3、计算机操作系统和网络服务程序之中。比如:UNIX和LINUX上的SENDMAIL、WINDOWS上S等漏洞,往往会被黑客利用,对网络和系统进行恶意的攻击。(3)病毒和网络攻击。网络时代的到来使电脑病毒出现了一些新的特点,即产生和传播速度加快,与网络结合传播的“混种病毒”和“变异病毒”增多。2.远程网络的安全性问题(1)“双出口”带来的问题。目前,中国有相当一部分高校存在两条以上的网络出口:既拥有CERNET线路,又拥有CHINANET的线路。为了保证远程教育所需要的带宽要求,当来访客户属于电信客户时,则直接访问放在电信网络上的服务器;当来访客户属于教育网客户时,则直接访问放在教育网上的服务器。
4、有的学校甚至存在一台服务器同时跨越两个网络的现象,这样就使得网络边界不清晰,网站很容易受到来自外部的非法攻击,造成重要信息被窃取的严重后果。尤其是一机跨双网的结构,使得黑客可直接攻击入侵这台主机,成功后可非常容易地以这台机器为跳板,盗取内网的机密信息。(2)WEB的安全性问题。目前,大多数远程教育网络采用WEB作为远程教育的平台,WEB允许将学习资源以文本、图形、图像、音频、视频等媒体的形式予以展现,从而提供完整信息的手段;WEB可以将学习内容采用松散的组织结构,从而使学习资源以非线性的方式进行组织;WEB可以实现学习者与学习者之间,学习者和教学组织者的动态交互与协作。然而,由于WEB服务器在
5、网络上是公开的,往往会成为众矢之的。(3)敏感数据的安全传播问题。远程教育中许多事务性工作,如招生信息、网上报名、费用支付、考核系统、远程教育课件、数字图书馆等都需要借助INTERNET和数据库等信息技术来实现。因而必须考虑数据传输的有效性、机密性和完整性,要考虑网上活动的不可抵赖性和审查能力,以确保信息在传输过程中的安全。二、远程教育网络的安全对策针对以上问题,应从以下方面来增强远程教育的安全性。1.合理使用防火墙网络结构布局的合理与否,直接影响着网络的安全性。对系统业务网、办公网,与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威
6、胁危及到整个网络系统。合理布署防火墙是一个有效的解决方案。防火墙可以将不同性质的子网分开,阻止不必要的信息进入业务网和办公网。在部署防火墙之前,首先要针对自己业务的特定需求而精心设计出防火墙的使用策略。因此,要根据本单位对网络安全的要求,斟酌各种因素,均衡利弊,最终制定出可行的连接配置方案。常见的连接方式是:把WEB、MAIL等公共服务器放置在军事停火区(DMZ);把关键业务放置到内网。配置了防火墙之后,推荐的做法是定期对防火墙进行分析,检查其是否满足了预期设计的安全目标。此外,还要注意不要过分的依赖防火墙。2.增强服务器的免疫能力网络病毒和网络攻击的最终目标是网络服务器。在使用网络服务器时应
7、注意以下问题:(1)针对操作系统的漏洞及时安装补丁。目前,有许多病毒和攻击事件的产生是由于大家没有及时安装补丁。比如:于2003年出现的“冲击波”和“冲击波杀手”就是针对WINDOWSRPC漏洞而编写出来的病毒。不幸的是:虽然早在病毒发作前几个月甚至更长时间微软公司就提供了其弥补的办法,但是很多WINDOWS用户根本就没有将补丁打上,最后给用户造成了很大的损失。(2)安装防病毒软件。安装防病毒软件的时候,最好是在安装完系统的同时就将其安装好,并且注意在安装时与网络隔离,以避免服务器被感染。杀毒软件要注意定期升级。(3)加强口令管理。口令作为保护系统不被非法访问的一个手段,应注意定期更换。为了降
8、低口令被破解的概率,要求口令不要使用常用的词汇,并且至少68个字符。(4)独立VLAN。应将服务器按不同的安全级别分类后设置不同的VLAN,然后,对VLAN设置不同的安全策略。(5)最小配置服务器。建议每一台服务器只开设一种服务。开设的服务越多,就意味着安全性越低。因此,在安装服务器时,不要去安装与所需服务无关的组件,更不要随意在服务器上安装一些与服务无关的软件。(6)冗余策略。对于关键的业务服务器和数据要做冗余备份。这样,才能保证当一台服务器出现问题的时候,主要业务不中断;当数据被损坏的时候,使损失降到最低点。3.加强事务处理的安全性为了保证远程教育中一些敏感数据的安全性,有必要对服务器与客
9、户机之间的通信进行加密。SSL(Secure Socket Layer,安全套接层)是NETSCAPE公司为了适应INTERNET安全的传送机制而提供的一种安全数据传输协议。SSL协议提供了数据加密措施、服务器认证、信息完整性以及TCPIP连接的用户认证,其主要的作用是请求浏览器与服务器互相连接从而进行安全的通信。在WEB服务器上建立SSL的过程根据使用的WEB服务器类型的不同而不同,但是其功能是相同的。公钥和私钥在服务器上生成,分开存储,公钥发送到验证机构(Certificate Authority,CA),CA验证发送密钥组织的身份,并颁发x.509v3证书。这个证书包含组织的公钥并由CA
10、签署。最新产生的证书在WEB服务器上安装后,SSL会话开始。但是,SSL只是用于加密用户与服务器之间数据的工具。不应该把它看作服务器的保护工具。认为已经使用了SSL加密的服务器是安全的看法是错误的。4.加强网络检测能力作为网络的补充,在远程教育网络中使用人侵检测系统(1DS)是十分必要的。最好的做法是使用双重的IDS:即在网络的边界上使用网络入侵监测(Network based IDS,NIDS)和服务器上使用基于主机的入侵监测(Host Based IDS,HIDS)。NIDS可以监控所有进入WAN的流量,HIDS可以监控服务器与用户做的连接。通过对两者的分析,可以监测出异常流量,甚至判断出是否有人在对网络做出攻击,从而做出第一时间的响应。三、结束语网络安全涉及到技术、管理水平、管理人员的素质和用户的水平等多方面的问题。信息安全也有逻辑和物理两种技术措施。一种技术也只能在某一方面提高网络的安全性。对主要业务都放到网络上的远程教育来讲,在时刻关注网络新技术的同时,还要注意监控网络上的每个细节,切不可走人认为自己是安全的误区。只有这样,才能保证远程教育平台稳定、健康的运行。 -全文完-