張 輝,王宏艷

(1.衡水廣播電視大學(xué),河北 衡水 053000; 2.河北金融學(xué)院,河北保定 071051)

教育網(wǎng)絡(luò)信息安全及其防護策略的研究*

張 輝1,王宏艷2

(1.衡水廣播電視大學(xué),河北 衡水 053000; 2.河北金融學(xué)院,河北保定 071051)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和 Internet的日益普及,校園網(wǎng)絡(luò)得到普及應(yīng)用,而遠程教育進一步拓寬了網(wǎng)絡(luò)的適用范圍。在使用網(wǎng)絡(luò)授課和學(xué)習(xí)的同時,網(wǎng)絡(luò)信息安全便成為這個過程中的重要話題,網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客侵襲、病毒發(fā)布等危險動作,不僅給網(wǎng)絡(luò)維護人員帶來了大量的工作負擔(dān),也嚴重影響了遠程教育平臺的使用,因此應(yīng)優(yōu)化網(wǎng)絡(luò)環(huán)境、提高安全等級,讓我們使用的網(wǎng)絡(luò)環(huán)境有一個良好的氛圍。

遠程教育;網(wǎng)絡(luò)安全;黑客;病毒;防護策略

隨著教育信息化程度的不斷深入,教育網(wǎng)絡(luò)建設(shè)與應(yīng)用的不斷普及和成熟,作為教育信息化重要基石的信息安全問題卻不容樂觀。校園信息安全、網(wǎng)絡(luò)安全問題已經(jīng)成為教育主管部門和各地學(xué)校管理者關(guān)心的重大問題,教育信息和網(wǎng)絡(luò)的安全問題成為保持校園正常教學(xué)、管理的重要課題。

一、計算機網(wǎng)絡(luò)安全的現(xiàn)狀

計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的軟、硬件及系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然或惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)、可靠、正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。導(dǎo)致計算機網(wǎng)絡(luò)信息安全受到威脅的根本原因在于網(wǎng)絡(luò)存在安全問題,這其中最重要的是黑客攻擊和病毒的侵襲兩種類型,并且目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。

在Internet網(wǎng)絡(luò)上,因互聯(lián)網(wǎng)本身沒有時空和地域的限制,每當(dāng)有一種新的攻擊手段產(chǎn)生,就能在一周內(nèi)傳遍全世界,這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡(luò)癱瘓。蠕蟲、后門 (Back-doors)、Rootkits、DOS(Denialof-Services)和Sniffer(網(wǎng)絡(luò)監(jiān)聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力,時至今日,有愈演愈烈之勢。

現(xiàn)將影響網(wǎng)絡(luò)系統(tǒng)的安全隱患歸納為以下幾點:

1.計算機病毒

隨著近年 Internet的發(fā)展,E-mail和一批網(wǎng)絡(luò)工具的出現(xiàn)改變了人類信息的傳播方式和生活,同時也使計算機病毒的種類迅速增加,擴散速度大大加快,出現(xiàn)了一批新的傳播方式和表現(xiàn)力的病毒,在校園網(wǎng)和遠程教育平臺上,對教師及學(xué)生用戶的破壞性和傳染力是以往的病毒類型所不可比擬的。病毒的主發(fā)地點和傳播方式已經(jīng)由以往的單機之間的介質(zhì)傳染完成了向網(wǎng)絡(luò)系統(tǒng)的轉(zhuǎn)化,類似于“CIH,尼姆達,Exploer,熊貓燒香”網(wǎng)絡(luò)傳染性質(zhì)的病毒大量出現(xiàn),一旦被病毒侵入系統(tǒng)并發(fā)作,造成的損失和責(zé)任是難以承受的。病毒和防病毒之間的斗爭已經(jīng)進入了由“殺”病毒到“防”病毒的時代。

Internet帶來兩種不同的安全威脅,一種威脅來自文件下載,這些被瀏覽的或是被下載的文件可能存在病毒。另一種威脅來自電子郵件。大多數(shù)互聯(lián)網(wǎng)郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能,因此,遭受病毒的文檔或文件就可能通過網(wǎng)關(guān)和郵件服務(wù)器涌入教育網(wǎng)絡(luò),比如我們常見的一些培訓(xùn)內(nèi)容的垃圾郵件其中大部分就帶有惡意的病毒,一旦用戶打開郵件,病毒也就深藏系統(tǒng)。網(wǎng)絡(luò)使用的簡易性和開放性使得這種威脅越來越嚴重。

2.系統(tǒng)的安全漏洞

現(xiàn)在,新的操作系統(tǒng)或應(yīng)用軟件剛一上市,漏洞就已被找出。沒有任何一個系統(tǒng)可以排除漏洞的存在,想要修補所有的漏洞簡直比登天還難。

(1)緩沖區(qū)溢出。這是攻擊中最容易被利用的系統(tǒng)漏洞。很多系統(tǒng)在不檢查程序與緩沖區(qū)間的變化的情況下,就接收任何長度的數(shù)據(jù)輸入,把溢出部分放在堆棧內(nèi),系統(tǒng)還照常執(zhí)行命令。這樣破壞者便有機可乘。他只要發(fā)送超出緩沖區(qū)所能處理的長度的指令,系統(tǒng)便進入不穩(wěn)定狀態(tài)。假如破壞者特別配置一串他準備用作攻擊的字符,他甚至可以訪問系統(tǒng)根目錄,現(xiàn)在很多網(wǎng)絡(luò)工具軟件輕而易舉地就能完成這個攻擊。

(2)拒絕服務(wù)。拒絕服務(wù)攻擊的原理是攪亂TCP/IP連接的次序。典型的DDOS攻擊會耗盡或損壞一個或多個系統(tǒng)的資源,直至系統(tǒng)無法處理合法的程序。這類攻擊的例子是Synflood攻擊。發(fā)動Synflood攻擊的破壞者發(fā)送大量的不合法請求要求連接,目的是使系統(tǒng)不勝負荷。其結(jié)果是系統(tǒng)拒絕所有合法的請求,直至等待回答的請求超時。

(3)網(wǎng)絡(luò)軟件的漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設(shè)想。

(4)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、宗教、政治等活動,把自己的電子郵件強行“推入”別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統(tǒng)造成破壞,而是竊取系統(tǒng)或是用戶信息。事實上,間諜軟件日前還是一個具有爭議的概念,一種被普遍接受的觀點認為間諜軟件是指那些在用戶不知情的情況下進行非法安裝后很難找到其蹤影,并悄悄把截獲的一些機密信息提供給第三者的軟件。間諜軟件的功能繁多,它可以監(jiān)視用戶行為,或是發(fā)布廣告,修改系統(tǒng)設(shè)置,威脅用戶隱私和計算機安全,并可能不同程度地影響系統(tǒng)安全性。

3.不合理的系統(tǒng)維護措施

系統(tǒng)固有的漏洞及一大堆隨處可見的破壞工具大大方便了黑客的攻擊,但無效的安全管理也是造成安全隱患的一個重要因素。當(dāng)發(fā)現(xiàn)新的漏洞時,管理人員應(yīng)仔細分析危險程度,并馬上采取補救措施。

有時候,雖然我們已經(jīng)對系統(tǒng)進行了維護,對軟件進行了更新或升級,但由于路由器及防火墻的過濾規(guī)則過于復(fù)雜,系統(tǒng)又可能會出現(xiàn)新的漏洞。所以,及時、有效地改變管理可以大大降低系統(tǒng)所承受的風(fēng)險。

4.低效的系統(tǒng)設(shè)計和檢測能力

在不重視信息保護的情況下設(shè)計出來的安全系統(tǒng)會非?！安话踩?而且不能抵御復(fù)雜的攻擊。建立安全的架構(gòu)一定要從底層著手。這個架構(gòu)應(yīng)能提供實效性的安全服務(wù),并且需要妥善的管理。當(dāng)然,我們自己能做的僅限于網(wǎng)絡(luò)系統(tǒng)架構(gòu)本身,而操作系統(tǒng)的設(shè)計安全完全在于以微軟為代表的系統(tǒng)開發(fā)公司。

二、計算機網(wǎng)絡(luò)信息安全的防護策略

盡管計算機網(wǎng)絡(luò)信息安全受到威脅,但是采取恰當(dāng)?shù)姆雷o措施也能有效地保護網(wǎng)絡(luò)信息的安全,下面總結(jié)了幾種方法并加以說明以確保在策略上保護網(wǎng)絡(luò)信息的安全:

1.加強安全意識

七分管理,三分技術(shù)。管理是網(wǎng)絡(luò)安全的核心,技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度、行為準則并和安全技術(shù)手段合理結(jié)合,網(wǎng)絡(luò)系統(tǒng)的安全才會有最大的保障。這是對于網(wǎng)絡(luò)管理而言,那么對于使用和參與網(wǎng)絡(luò)教育的教師和學(xué)生用戶來說,時刻提醒自己注意防護系統(tǒng),可疑文件或者信息、頁面等不要隨意打開這些必備的安全常識更是熟記于心,病毒、木馬、黑客攻擊往往就隱蔽于此。

2.網(wǎng)絡(luò)防火墻技術(shù)和殺毒軟件技術(shù)

防火墻是一種用來加強網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其他途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

在網(wǎng)絡(luò)上,軟件的安裝和管理方式是十分關(guān)鍵的,它不僅關(guān)系到網(wǎng)絡(luò)維護管理的效率和質(zhì)量,而且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件能在幾分鐘內(nèi)輕松地安裝到組織里的每一個NT服務(wù)器上,并可下載和散布到所有的目的機器上,由網(wǎng)絡(luò)管理員集中設(shè)置和管理,它會與操作系統(tǒng)及其他安全措施緊密地結(jié)合在一起,成為網(wǎng)絡(luò)安全管理的一部分,并且自動提供最佳的網(wǎng)絡(luò)病毒防御措施。當(dāng)計算機病毒對網(wǎng)絡(luò)資源的應(yīng)用程序進行攻擊時,這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上,因此就要在網(wǎng)關(guān)上設(shè)防,在網(wǎng)絡(luò)前端進行殺毒。

3.網(wǎng)絡(luò)主機的操作系統(tǒng)安全措施

防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護內(nèi)部網(wǎng)絡(luò),必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施。按照級別從低到高,分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線,用來遭受攻擊之后進行系統(tǒng)恢復(fù)。在防火墻和主機安全措施之后,是全局性地由系統(tǒng)安全審計、入侵檢測和應(yīng)急處理機構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息,作為輸入提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生,如果有入侵發(fā)生,則啟動應(yīng)急處理措施,并產(chǎn)生警告信息。而且,系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統(tǒng)安全策略進行改進的信息來源。

(1)隱藏IP地址。黑客經(jīng)常利用一些網(wǎng)絡(luò)探測技術(shù)來查看我們的主機信息,主要目的就是得到網(wǎng)絡(luò)中主機的IP地址。IP地址在網(wǎng)絡(luò)安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等于為他的攻擊準備好了目標,他可以向這個IP發(fā)動各種進攻,如DDOS(拒絕服務(wù))攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務(wù)器。使用代理服務(wù)器后,其他用戶只能探測到代理服務(wù)器的IP地址而不是用戶的IP地址,這就實現(xiàn)了隱藏用戶IP地址的目的,保障了用戶的上網(wǎng)安全。

(2)關(guān)閉不必要的端口。黑客在入侵時常常會掃描你的計算機端口,如果安裝了端口監(jiān)視程序(比如Netwatch),該監(jiān)視程序則會有警告提示。如果遇到這種入侵,可用工具軟件關(guān)閉用不到的端口,比如用“NortonInternetSecurity”關(guān)閉用來提供網(wǎng)頁服務(wù)的80和443端口,其他一些不常用的端口也可關(guān)閉。

(3)更換管理員賬戶。Administrator賬戶擁有最高的系統(tǒng)權(quán)限,一旦該賬戶被人利用,后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator賬戶的密碼,所以我們要重新配置Administrator賬號。首先是為Administrator賬戶設(shè)置一個強大復(fù)雜的密碼,然后我們重命名Administrator賬戶,再創(chuàng)建一個沒有管理員權(quán)限的Administrator賬戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個賬戶真正擁有管理員權(quán)限,也就在一定程度上減少了危險性。

(4)杜絕 Guest賬戶的入侵。Guest賬戶即所謂的來賓賬戶,它可以訪問計算機,但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門。禁用或徹底刪除 Guest賬戶是最好的辦法,但在某些必須使用到Guest賬戶的情況下,就需要通過其他途徑來做好防御工作了。首先要給 Guest設(shè)一個強壯的密碼,然后詳細設(shè)置 Guest賬戶對物理路徑的訪問權(quán)限。

(5)封死黑客的“后門”。俗話說“無風(fēng)不起浪”,既然黑客能進入,那我們的系統(tǒng)一定存在為他們打開的“后門”,我們只要將此堵死,讓黑客無處下手。①刪掉不必要的協(xié)議。對于服務(wù)器和主機來說,一般只安裝TCP/IP協(xié)議就夠了。鼠標右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,再鼠標右擊“本地連接”,選擇“屬性”,卸載不必要的協(xié)議。其中NetBIOS是很多安全缺陷的源泉,對于不需要提供文件和打印共享的主機,可以將綁定在 TCP/IP協(xié)議的Net-BIOS給關(guān)閉,避免針對NetBIOS的攻擊。②關(guān)閉“文件和打印機共享”。文件和打印機共享應(yīng)該是一個非常有用的功能,但在我們不需要它的時候,它也是引發(fā)黑客入侵的安全漏洞。所以在沒有必要“文件和打印機共享”的情況下,我們可以將其關(guān)閉。即便確實需要共享,也應(yīng)該為共享資源設(shè)置訪問密碼。③禁止建立空連接。在默認的情況下,任何用戶都可以通過空連接連上服務(wù)器,枚舉賬號并猜測密碼。因此我們必須禁止建立空連接。④關(guān)閉不必要的服務(wù)。服務(wù)開得多可以給管理帶來方便,但也會給黑客留下可乘之機,因此對于一些確實用不到的服務(wù),最好關(guān)掉。比如在不需要遠程管理計算機時,我都會將有關(guān)遠程網(wǎng)絡(luò)登錄的服務(wù)關(guān)掉。去掉不必要的服務(wù)停止之后,不僅能保證系統(tǒng)的安全,同時還可以提高系統(tǒng)運行速度。

(6)做好IE的安全設(shè)置。ActiveX控件和Java Applets有較強的功能,但也存在被人利用的隱患,網(wǎng)頁中的惡意代碼往往就是利用這些控件編寫的小程序,只要打開網(wǎng)頁就會被運行。所以要避免惡意網(wǎng)頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇,具體設(shè)置步驟:“工具”→“Internet選項”→“安全”→“自定義級別”。另外,在IE的安全性設(shè)定中我們只能設(shè)定Internet、本地Internet、受信任的站點、受限制的站點。

在“2009教育網(wǎng)絡(luò)與信息安全大會”上“主動防御”成為主題,同時重點突出中國教育和科研計算機網(wǎng)CERNET中的校園網(wǎng)絡(luò)運行監(jiān)控體系、軟硬件安全產(chǎn)品選型、流量控制、客戶端安全防護的部署和實施。并且會議通過專家報告、高峰論壇、自由提問等形式,從安全管理到技術(shù)手段,幫助教育用戶建立多重保護的校園網(wǎng)絡(luò),以降低教育網(wǎng)絡(luò)運行的安全壓力和風(fēng)險管理,減少網(wǎng)絡(luò)內(nèi)部和外部應(yīng)用層的入侵和攻擊,提高網(wǎng)絡(luò)整體運行效率。

隨著IPv6的普及推廣,校園網(wǎng)絡(luò)所面臨的各種攻擊模式必將有所改變,因此對校園網(wǎng)安全問題的研究也會變得越來越復(fù)雜。在基于IPv6的校園網(wǎng)世界里,一些安全問題依然存在:電子郵件的病毒還會繼續(xù)傳播,關(guān)鍵主機的安全隱患仍然存在,應(yīng)用層的攻擊也不會停止,當(dāng)然也可能出現(xiàn)新的安全問題,比如 IPv6巨大的地址空間也會給攻擊者帶來一些機會?？傊?雖然IPv6是一種比 IPv4更具安全性的協(xié)議,但是,校園網(wǎng)仍然必須應(yīng)對和解決各種安全問題。

由于校園網(wǎng)的安全問題直接影響到校園正常的教學(xué)、科研和管理等工作,因此引起了相關(guān)教育主管部門和各大高校的普遍注意。我們說“魔高一尺,道高一丈”,必須從數(shù)字校園網(wǎng)絡(luò)整體進行安全體系結(jié)構(gòu)的規(guī)劃和建設(shè),提高網(wǎng)絡(luò)的應(yīng)急能力和日常的預(yù)警功能,做到主動防御、積極應(yīng)對,而不僅僅是在安全問題爆發(fā)后才采取補救措施。同時,還必須增強相關(guān)人員的安全管理意識,多方開展技術(shù)培訓(xùn),建立一支思想合格、技術(shù)過硬的網(wǎng)絡(luò)安全保障隊伍。

三、結(jié)束語

總之,網(wǎng)絡(luò)安全是一項綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,又有物理的和邏輯的技術(shù)措施。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。網(wǎng)絡(luò)安全不僅僅是技術(shù)問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng),隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展,網(wǎng)絡(luò)安全防護技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

[1]黃怡強等.淺談軟件開發(fā)需求分析階段的主要任務(wù)[J].中山大學(xué)學(xué)報論叢,2007,(1).

[2]朱理森,張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻出版社,2008.

[3]張紅旗.信息網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2008.

[4]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2007.

[5]郭軍.網(wǎng)絡(luò)管理[M].北京:北京郵電大學(xué)出版社,2008.

(責(zé)任編輯 靳榮莉)

G434

A

1008-469X(2010)02-0018-04

2009-12-15

張輝(1974-),男,河北衡水人,講師,主要從事計算機專業(yè)教學(xué)和機房管理研究。