随着边防指挥院校信息化建设的推进, 远程教育模式也将随之应用。远程教育是学生与教师、学生与教育组织之间主要采取多种媒体方式进行系统教学和通信联系的教育形式, 是将课程传送给校园外的一处或多处学生的教育。它的特点是:学生与教师分离;采用特定的传输系统和传播媒体进行教学;信息的传输方式多种多样学习的场所和形式灵活多变。它主要采取的形式是基于卫星数字广播电视、视频会议及基于web的方式。针对边防部队点多面广的特点, 边防院校的远程教育系统将发挥很好的作用。在远程教学系统的建设和使用过程中, 良好的安全机制是系统正常运行的有效保障。
1 远程教学系统存在的安全隐患
安全隐患在内部的表现, 人为的操作失误有可能会造成系统不同程度的损坏或造成病毒的误传播等, 甚至会有来自内部的恶意破坏。
非法访问请求, 比如非法用户在提交访问请求时会通过盗用的帐号与密码冒充合法身份, 严重时管理员的帐号与密码也会被非法获取, 并利用管理员的权限进行破坏。
数据库的安全, 远程教学系统必然会有大量的数据存放在数据库中, 数据库的安全直接关系到系统的安全。
计算机的病毒隐蔽性与破坏性变得比以前更强更具有危害性。
网络信息安全, 网上入侵常见的攻击手段有针对操作系统漏洞与网络信息服务器漏洞的攻击, 特别是利用网络协议漏洞入侵进行远程攻击, 并且登录控制系统。
2 安全防范方案
2.1 技术设计与防范
2.1.1 数据的安全
远程教学系统安全的重要目标之一就是要安全保障数据系统中各类数据或信息的安全。比如:加强双机备份, 保证数据存储的稳定和快速恢复;设置与管理访问权限, 对用户进行分类注册, 记录用户相关信息;在数据传输与加密时, 进行严格加密的主要对象是一些关键数据 (如帐号密码等) , 为了保护系统的合法账号不泄露, 尽量不使用生日、英文单词等作为密码, 而是选用英文、数字、符号以及包括大小写字母组合而成的复杂口令, 并使用11位或以上的密码, 以此对口令的长度进行限定, 同时, 定期改变密码, 使用比MD5更安全的口令加密机制;对系统中的资源进行分类并多级管理对远程登录的用户登录次数进行限制, 防止黑客远程猜解, 并可通过HTTPS安全通信代理服务器来建立安全传输通道。
2.1.2 负载均衡
随着远程教育大量用户上网访问系统经常会给服务器、交换机等带来巨大的访问压力。如果无法处理系统因访问量剧增造成的压力时, 就会引起系统崩溃并利用此缺点进行拒绝服务等严重问题。因此, 负载均衡是很有必要也是很重要的从两个方面进行:
一是代理缓存策略。因为远程教学中存在着众多用户浏览的内容基本一致的特点, 教学机构可以根据这个特点在互联网接入端设置代理服务器以开启大容量缓存空间或选择内容缓冲服务器来实现代理缓存策略。
二是负载均衡技术。利用服务器群集来实现用户规模和访问量大的web远程教学系统的负载均衡。
2.1.3 代理服务器的安全问题
在安全方面, 代理服务器来承担防火墙和访问控制的任务。因此, 身份认证和访问控制模块、日志和审计模块等与安全有关的软件及硬件要引入到代理服务器的内部结构中, 并且, 可以设置多个代理服务器根据需要在实际中应用;另外, 当规模比较大时, 代理服务器可由一组特定应用的代理服务器和身份验证服务器组成, 每个代理服务器本身都有一定的入侵免疫和审计功能, 而且设计时代理服务器的功能要足够强大, 比如, 要考虑到最大并发连接数、吞吐量、时延等问题。
2.1.4 加强防毒措施
现在的“蠕虫”等病毒不仅会执行传统的破坏, 而且会将黑客的入侵代码加入到自身的攻击程序中更加主动的攻击系统。因此, 杀毒进程必须设置为实时启动, 并不断更新升级其病毒库。另外, 因为做好备份不仅可对付病毒和减少黑客造成的损失, 所以经常备份重要数据、硬盘分区表、INI系统文件和系统注册表。
2.1.5 防范邮件炸弹
为防止邮件成为黑客进行邮件攻击的帮凶, 应严格限制邮件的群发及自动转发等功能, 同时须在服务器上对接收的信件设定基于用户、域名或邮件内容的安全策略, 防范自身遭受Dos或Ddos型攻击, 对允许执行上传的程序和进程, 必须进行严格的安全检测和跟踪。
2.1.6 安装防火墙
防火墙有主机式、边界式、分布式以及智能动态防火墙等多种, 它是性价比很高的安全技术, 一般具有保护网络的安全和堵塞网络安全漏洞、提供强大完善的日志记录、实现集中式或分布式管理等功能, 它可以使网管即时知道问题的出现。从而有效杜绝大部分来自网内或网外的攻击。
2.1.7 使用入侵检测系统对付木马
“特洛伊木马”具有攻击技术性强的特点, 一些看似合法的程序, 运行时会在服务器的后台为黑客创建一条访问系统的“暗道”。而大多数防火墙只能抵挡正面的攻击, 而对来自身后的反向连接却毫无还手之力, 比如通过“冰河”、“灰鸽子”等木马, 黑客可像在本地操作一样地远程操控中招的主机。
2.1.8 加强安全协议
网络是基于TCP/IP协议的, IP层是TCP/IP中最关键的一层。上层的各种服务是通过它的安全机制来提供保护。因为入侵技术是针对计算机网络协议的漏洞而发动的, 并且技术含量高, 所以, 普遍使用的存在很多缺陷的Ipv4已不能满足于实际情况, 应尽可能快地过渡到Ipv6的新标准, 特别是要充分应用IETF制定的安全协议标准IPSec。
2.2 安全制度建设
在有了以上介绍的防范重点之外, 还应在建设和维护远程教学系统过程中建立完善的安全管理体制和制度, 以加强人员的安全管理。通过相应的制度严格规范远程教学系统的管理者和使用者的行为, 减少人为因素的破坏。安全管理制度应包括信息内容审核制度、信息发布登记制度、用户备案制度、电子公告系统的用户登记和信息管理制度、安全教育培训制度等等。此外, 还应建立一些常规的安全措施, 并使之制度化。比如:详细规定专职的网络管理员对各种迹象以及日志文件进行分析, 做到提前、有效地防止来自网络的攻击;关闭一些容易被扫描到的以及容易被攻击的不必要端口, 或将一些端口的服务转到其它端口, 并关闭一些不必要的服务;对一些经常容易引发问题的服务进行权限确认或干脆关闭, 比如Telnet和Socks等, 只要远程教学系统能达到满足远程教学的目的即可。
3 结语
安全是远程教学系统的研究重点和热点, 只有从系统的整体体系来进行充分的考虑, 并将多种技术措施有效的结合在一起, 才能使远程教学系统的网络环境更安全, 所实现的功能将更完善。
摘要:随着边防指挥院校信息化建设的推进, 远程教育模式也将随之应用。本文针对远程教学系统中可能面临的安全风险, 分析了风险存在的方式, 提出了具有一定可行性的综合安全措施, 为边防指挥院校的远程教学系统的建设与维护提供有益的参考。
关键词:远程教学系统,安全措施,隐患,防范
参考文献
[1] 解季萍, 吴家萍.基于web的远程教学系统安全性研究[J].中国远程教育, 2002 (5) :54~55.
[2] 朱萍.基于透明代理的访问控制系统的实际与实现[D].合肥:合肥工业大学, 2006.
[3] 邓吉.黑客攻防实战入门[M].北京:电子工业出版社, 2004.