通过宽带IP网络,为用户提供可交互视听节目的远程教育平台,已经在逐渐被用户采纳。由于既要考虑信息资源的充分共享,又要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的用户,采取不同的安全措施,包括系统安全机制、数据存取的权限控制等。然而,摆在用户面前的方案可能林林总总,怎样选择一套合适的远程教育平台解决方案,需重点考虑安全问题。
四大安全威胁
远程教育平台的安全威胁可以从内容、业务、网络、用户四方面来分析。
远程教育数字内容的安全威胁可能包括非授权的内容观看和使用; 非授权的内容拷贝、截获,即通过非法监听业务网络获得数字内容; 以及破坏数字内容完整性,包括非法删除、插入、修改等行为。
远程教育业务面临的安全问题包括: 未经授权访问业务; 假冒远程教育业务内容提供者的行为; 针对远程教育平台使用的各类服务器(AAA认证服务器、媒体服务器等等)进行恶意攻击,例如利用服务器应用软件或者通信协议的安全漏洞发动攻击、采用拒绝服务攻击等等; 盗窃敏感业务信息或者篡改信息(例如计费信息等等),这一类行为通常通过恶意程序窃取敏感的业务信息。
网络传输的安全威胁包括: 突发事件(自然灾害、电力问题、人为破坏等)造成的网络设备/传输线路故障; 针对网络设备或隐形资产(带宽)的恶意攻击; 针对内容交付系统节点的恶意攻击; 另外还存在传统内容下发(组播)技术中亟待解决的安全隐患,如基本组播协议中并没有安全方面的考虑,例如没有对组播源的认证机制和动态组播树成员的控制机制等。针对IP网络的安全威胁主要存在拒绝服务、侦听、伪装、修改数据、非授权接入、事后否认等六类主要的安全威胁。常见的安全攻击行为有IP欺骗、重放攻击、反射攻击、中间人攻击、拒绝服务攻击、分片攻击、网络侦听、应用层攻击等。
针对用户的安全威胁包括: 用户终端的安全漏洞,例如操作系统、服务、端口没有设防; 网络恶意代码/病毒对终端设备的危害; 还有用户信息被盗取的行为,黑客一般是采用木马类程序来远程盗取用户信息。另一种威胁是,用户接收设备由于受到来自网络的恶意攻击或者大量的垃圾流量而造成失效,还可能有未经授权的终端设备连接到远程教育平台网络。
三重安全保证机制
用户层接入安全
首先需要保证终端设备的操作系统、应用系统安全,防止由于它们的安全漏洞对远程教育业务系统和网络带来的冲击。终端设备可通过相应的认证协议对远程教育业务系统进行反向认证,确保远程教育业务系统的身份及合法性,杜绝第三方恶意伪造远程教育业务站点。
在远程教育平台业务层面上,要求业务系统能识别用户身份,区分合法用户与非法用户。系统应加强与合法用户的通信标准安全协议,对于非法用户需要记录其通信链接信息,可用于日后审计,并拒绝提供对非法用户的服务。另一方面,系统应采用保护机制防止DoS/DDoS攻击,确保远程教育平台不受到第三方恶意攻击,影响平台的正常运行。
在用户接入网络中进行访问控制和授权,防止非法用户使用网络资源。同时,在认证授权过程中,用户信息的机密性保护也是必须的。方案应要求用户的权限分配流程是安全可靠的。在用户认证过程中,推荐使用双向认证机制(例如,基于PKI的认证),以保护用户不受伪装业务提供者的攻击。对于已经认证通过的用户设备,业务系统可在流程和通信中使用与其匹配的安全措施,保证远程教育业务访问的安全。
内容的接入控制与认证
在远程教育平台上需要建立内容和内容管理编辑者的审核机制,保证内容管理编辑者和远程教育平台之间是可信任的。应采用多种技术手段(业务提供源的认证等)保证内容编辑管理者的真实性,防止内容管理编辑者对远程教育平台的滥用。
内容访问安全机制保证了内容只被授权的使用者在规定期限内以规定的方式使用,并能够实现防止远程教育内容被任意分发。
内容加密机制可对内容进行访问限制。平台内容只有在客户端被判断为合法使用时,才能被临时解密使用。这种安全机制极大地保证了终端用户看到的远程教育平台内容是合法和真实的,彻底杜绝了伪造内容被接收的可能。另外,系统还应提供加密机制,能够防止解密后的内容被任意复制或修改。
防止内容被任意使用的机制指用户终端通过可靠途径获取内容的使用方式(如使用次数和使用时间)。另外,端到端的业务访问安全机制采用了网络组播安全保护,远程教育平台传输网络使用的IP组播协议应具备一定的安全保护功能: 例如组播源的认证、对组成员控制等,以保证在发生紧急情况的时候,保持业务的有效性,如启动应急DoS防攻击和业务模块备用倒换功能。
系统还应保证终端设备和远程教育平台服务器之间的通信安全,支持通信的可用性、完整性、可鉴别性、机密性和不可抵赖性。
视频广播监控功能利用设置相应的监控点,对视频内容进行实时监控,如果有非法内容应可进行内容切断。
系统应能保障远程教育平台在终端设备上的页面安全,能够对远程教育页面生成服务器中的相关数据进行实时监控,如果有非法入侵,或非法修改页面,系统能够立即告警和阻止。
业务溯源机制可记录用户使用业务的操作信息,在出现故障或者有审查需求时,能够根据时间、用户、特定操作来查询定位问题,还应能提供实时的统计查询,对平台内容进行的操作,包括、修改、删除等行为都需要有记录。
远程教育平台的安全审计机制用来验证和测试现有的安全要求与实际的情况是否一致。远程教育平台需要在接入控制安全、内容安全和业务安全等方面提供可审计的手段。
内容播控安全机制
内容播控安全是为了保障播出不间断、内容质量符合规范要求、内容到用户的播出不扰、播出的内容符合监管要求。
远程教育平台面对大量用户提供服务,为保障播控安全,除了在技术上保证播出的实时节目的安全和服务质量外,平台中还应部署相应的播出监控设备,在出现问题时及时告警。播出内容的主观审查系统主要负责审查节目到远程教育平台的输入不间断、内容质量有所保证、内容本身符合国家监管要求等。
直播节目在播出时应当有延时功能,对播出的内容进行控制,在必要时中断节目播出,进行切换片源、插播垫片等操作。
为保障远程教育平台到用户的播出通道不中断和不扰,IP网络层设备应有相应的安全措施,还应对VOD内容的节目进行审查,监测内容质量和播出安全等。
梳理关键技术
通常安全机制的关键技术包括如下内容:
1. 数字版权管理(DRM)技术
只有认证通过的用户能够被授权使用数字内容。相应的授权内容可以包括: 接收设备(一台或是一组)、使用该数字内容的时间段、可以使用的次数、输出格式等等。未经授权的用户不能接收媒体流,即便收到了也不能解码使用该数字内容。
方案应设计数字内容的完整性和机密性。远程教育系统应能够保证在平台网络中存储、传输的数字内容的完整性和机密性。 版权保护能够使远程教育业务网络中传输和存储的数字内容版权不受非法编辑和操作。
远程教育平台服务器端的DRM 构件加密需要的媒体内容,并记录相关的加密信息。产生和记录密钥,并为内容加密构件提供分配密钥的服务。服务器端的DRM 构件检验用户的访问权限,并以安全的方式向授权用户提供加密内容的解密信息。远程教育平台用户终端的DRM 构件利用收到解密信息解密加密内容,并将明文送往解码组件。
2. 内容分发策略技术
在传输分发远程教育平台内容之前,需要对接收内容的存储设备进行验证,如果验证通过,则进行内容分发; 如果验证未通过,则不会传输该内容。
3. 设备验证机制
远程教育平台内的每台服务器设备都具有设备验证机制。每台设备在与系统内的其他设备通信之前,都需要注册且定期验证,只有成功注册并验证通过的设备,才能进行正常的业务通信。这样能有效防止非法设备的插播等恶意攻击。
4. OS安全技术
除了在网络层使用防火墙和ACL关掉不必要的网络端口以外,还应关掉系统自身不必要的进程和业务端口。定期更新系统补丁和病毒库也是必须的,防止Hacker利用操作系统的漏洞对操作系统自身进行DoS等攻击行为。
5. 终端认证技术
终端用户设备在访问远程教育业务之前,都需要进行设备认证; 只有验证通过才能获取到IP地址,然后再进行终端设备的系统接入认证。当这些认证都通过以后,系统才会允许用户设备访问其他远程教育业务。
6. VLAN划分
在远程教育平台网络内部通过划分不同的VLAN,对不同的子网进行隔离,可减少广播包对不同网段造成的影响,对不同的VLAN采用不同的安全策略,也可提高网络和平台服务器的安全性及性能。
7. 防火墙保护
利用防火墙技术对远程教育平台服务器进行严格保护,除了禁止Hacker对系统进行非法主动连接以外,还可设置严格的TCP/UDP端口及IP网段限制,只有防火墙明确打开的IP网段及TCP/UDP端口,才能对系统进行访问,否则一律丢弃。
8. IDS/IPS入侵检测/防护系统
远程教育平台还可采用IDS/IPS入侵检测加强入侵检测及防护功能,它们将与防火墙产生联动操作,当IDS/IPS检测到Hacker攻击行为时,除了立刻阻止该攻击行为以外,还会通知防火墙改变安全控制策略,达到预警及彻底拦截攻击行为的目的。
9. ACL端口限制
远程教育网络遭到的攻击主要分为下列几种情况:一是拒绝服务攻击DOS。这一情况的产生主要是由于攻击使得一方用户可用资源严重缺乏,造成系统资源可用性的降低,从而降低远程教育系统的服务能力;二是逻辑炸弹。即通过攻击,使远程教育系统本来的资源被其他特殊功能服务所替代;三是特洛伊木马。这一攻击指系统被执行了超越规定程序以外的其他程序;四、计算机病毒和蠕虫。即计算机受到病毒感染,使得自身程序被恶意篡改,从而使其他程序受到感染,最终导致网络通信功能受损和远程教育系统的瘫痪。
二、远程成人教育系统网络安全策略
(一)建立专用的虚拟网络。专用的虚拟网络以安全性能较低的网络为信息媒介,并通过身份认证和加密,以及隧道技术等方式来建立专门的有针对性的网络。通过这个网络学习可以保障信息的安全性。通常,网络防火墙所附带的专用虚拟模块可以实现虚拟网络专用,从而保证了虚拟专用网的安全性能。
(二)数字加密方式。为了防止信息被非授权用户窃听,以及恶意软件的攻击,在数据传输时可以使用数字加密技术。数字加密技术在远程教育系统中通过硬件加密和软件加密来实现。硬件加密具有实现方便和兼容性好的特点,但也存在相应的缺点,例如密钥管理复杂,而软件加密由于是在计算机内部进行,从而使攻击者更容易采取程序跟踪等方式对远程教育系统的网络进行攻击。
三、远程成人教育系统服务器安全策略
(一)安全的远程教育操作系统。Windows操作系统在成人教育的远程教育系统中占大多数,而这一系统存在多种安全漏洞。因此,要定期进行补丁下载,如果宽带速度受限,则可以通过相关程序设定来更新补丁,从而保障服务器的安全与正常使用。
(二)负载均衡技术。负载均衡技术可以平衡服务器群中的所有服务器,并通过实时数据的反应,均衡服务器之间的工作分配,使得服务器达到最佳的性能并且实现服务器的智能管理,从而保证了远程教育系统的可靠性。
四、远程成人教育系统访问控制策略
远程教育网络的访问控制可以分为以下两种,第一,控制外部不知名用户通过网络服务对主机的访问;第二,控制内部人员对远程教育系统网络的访问。对于第一种情况,可以设置服务器程序来进行限制,比如限制来访者的IP地址或只允许部分用户访问主机,坚决拒绝恶意用户的访问。而第二种情况,可以设置用户的身份认证控制,核实访问者的身份是否符合设备或进程所声明的条件,构成网络安全访问的第一道防线。通常,会设置相关口令对访问者身份进行核实。在此情况下,非授权的用户就不能够使用账户。但是这种方式也存在一定的弊端,因为其主要方式是明文传输或者静态方式,所以会发生对字典的攻击,网络被窃听,信息机密被泄露等情况,为此,必须对口令设置等相关程序进行更新或改进。
五、远程成人教育系统网络安全管理策略
【关键词】远程教育;安全技术;信息加密
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2012)11-0082-01
一、网络安全
网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。如何保证网络是安全的呢,从以下四个方面进行详细说明:
1、信息加密技术
数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。
链路加密是传输数据仅在物理层前的数据链路层进行加密,不考虑信源和信宿,它用于保护通信节点间的数据,接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
与链路加密类似的节点加密方法,是在节点处采用一个与节点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密节点处易受攻击的缺点。
端到端加密是为数据从一端到另一端提供的加密方式。数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。端到端加密是在应用层完成的。在端到端加密中,除报头外的的报文均以密文的形式贯穿于全部传输过程,只是在发送端和接收端才有加、解密设备,而在中间任何节点报文均不解密,因此,不需要有密码设备,同链路加密相比,可减少密码设备的数量。另一方面,信息是由报头和报文组成的,报文为要传送的信息,报头为路由选择信息,由于网络传输中要涉及到路由选择,在链路加密时,报文和报头两者均须加密。而在端到端加密时,由于通道上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息,因此,只能加密报文,而不能对报头加密。这样就容易被某些通信分析发觉,而从中获取某些敏感信息。
二、网络安全策略
(1)建防火墙技术
防火墙技术是目前业已普遍采用的重要网络安全技术,它不仅能够在网络人口处检查网络通讯,并且根据客户设定的安全规则在保护内部网络安全的前提下,保障内外网络通讯,而且能够在在网络出口处有效隔离内部网络与外部网络,能使所有来自外部网络的访问请求都要通过防火墙的检查。因此,构建防火墙,能有效提高内部网络的安全。
(2保证机房及网络环境的物理安全
对于容易受外界因素(雷电、电磁辐射、电压波动等)损坏的设备,可从如下几个方面加强实体安全保护:一是采取良好的屏蔽及避雷措施,防止雷电和工业射电干扰;二是采用稳压电源和不间断电源UPS,防止电压波动或突然断电引起设备损坏或数据丢失;三是安装报警器、各种监视系统及安全门锁等防止设备被盗;四是按计算机安全场地要求采取防火、防水、防尘、防震、防静电等技术措施,采取电磁屏蔽及良好接地等手段,使系统中的设备既不因外界或其他设备的电磁干扰而影响其正常工作,也不因其自身的电磁辐射影响周围其他设备的正常工作;五是采用新技术(如TEMPEST技术)防止电磁泄漏,需采取设计低辐射的设备和电磁屏蔽等措施防止电磁泄漏。
(3)运用入侵检测技术防止内外网攻击
入侵检测系统也是一种应用成熟的网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,它不仅能够对付来自内外网络的攻击,而且能够缩短黑客入侵的时间。
(4)划分VLAN,并做到IP和MAC地址绑定
在校园网中,连接的用户群体非常复杂。学校网络管理部门尽量把不同的区域划分为不同的内部网段(VLAN),把学生机房和服务器区、教师办公室、学生宿舍、图书馆、家属区等独立开来。同时,为了防止校园网中IP地址盗用和IP地址冲突,可以在交换机或其他网络设备上捆绑IP和MAC地址,使每个IP地址对应一个MAC地址,如果在硬件上无法实现捆绑,还可以用专用的工具软件来实现。
(5)病毒防护系统策略:由于病毒的种类和传播媒介每天都在不断翻新,现在的病毒更多地通过网络共享文件,电子邮件及Intemet/Intranet进行扩散。我们对该大学远程教育系统在网络中配备病毒防护系统,进行全网的防毒、杀毒,并为由此提出了—套完整的防病毒解决方案。通过采用整体防病毒解决方案大大简化网管人员的工作,降低了该校总拥有成本(TCO)。
(6)页面保护系统策略:我们建议使用页面保护系统,这样可以随时对主页系统进行监控,当发现主页被非法篡改后,会马上产生响应,自动把主页恢复正常。此策略配置范围覆盖省、各市局域网,产品采用天融信公司NG FW防火墙的webguard页面恢复模块。本系统主要xCweb服务器页面进行安全保护,即将需要进行保护的页面进行备份及校验,并定时检查校验和,一旦发现页面文件被非法修改,则及时报告管理员恢复页面或进行自动恢复,以免造成较大影响
(7)安全评估系统策略:采用安全评估系统,用专业公司做出的相应软件,对系统进行扫描并提出合理性评估意见、报告以及解决办法,并定期对网络系统进行安全性分析,及时发现并修正动态运行的网络系统中存在的弱点和漏洞,有效地防止了黑客攻击。该策略扫描分析能力强大,能给用户建议保证系统安全的安全策略,最大限度地保证用户信息系统的安全。
【关键词】教育系统;网络安全;安全体系
随着信息化时代的带来,网络与人们的日常生活愈加紧密,相对应的网络安全问题也开始被人们重视起来。来自于网络层面的威胁,近年来大有愈演愈烈的趋势,对于人们的个人隐私与财产安全造成了极大的隐患。只有加强网络安全意识,构建远程网络的安全体系,才能保障人们在网络上正常地娱乐学习,绿化网络环境。
一、远程教育系统网络存在的安全隐患
远程教育系统当中存在的安全隐患严重影响到远程教育的教学成果。例如系统漏洞的问题,现阶段在远程教育系统当中,存在许多系统漏洞,这些漏洞就如同“后门”一般,不法分子通过漏洞可以轻易进入远程教育系统,对电脑进行植入木马病毒,窃取教育资料等等违法行为,给远程教育机构带来巨大的损失。因此,只有加强网络安全意识,对于网络系统中存在的安全隐患及时解决,才能保障远程教育的质量,为学生提供更加优质的教育服务[1]。
二、网络系统安全体系的内容
(一)防火墙。防火墙是网络安全保障的第一道程序,网络安全系统根据自身的实际情况,建议配置企业级防火墙对外界入侵的病毒进行有效的隔离,防止黑客通过木马病毒手段轻易入侵到远程教育网络中。企业级防火墙主要应用于远程教育系统的重要入口,因为平台主要入口的数据流通大,又是第一道防线,所以必须要加强防护力道。第二个防火墙应当建立在远程教育的数据库服务器,数据库服务器是整个远程教育机构最重要的组成部分,也是黑客入侵最主要的目的之一,所以,提升服务器的安全保护有重要意义。(二)虚拟局域网。在网络安全系统当中,虚拟局域网的安全防护极易被人们忽略。由于虚拟局域网络本身就存在一定的开放性,所以不法分子能够很轻松侵入到虚拟局域网络当中,窃取企业机密,影响企业的正常运转[2]。在远程教育系统之中,局域网络多应用于远程教育机构中学生讨论学习以及内部相互分享资料。因此,虚拟局域网与信息数据库是相互联通的,犯罪分子进入数据库的常用手段就是通过虚拟局域网络神不知鬼不觉进入数据库窃取远程教育机构的学生资料、教育资源等机要文件。这种手段难以发现入侵途径,无法及时采取应对手段与防护措施。(三)网络加密技术。网络加密技术及时将重要数据信息由“明文”转换为不可辨识、隐蔽性极强的“密文”的过程。网络加密技术能够使不了解数据信息的陌生人无法识别文件,极大地增强了信息的保密性,现阶段在数据交换过程当中面临的威胁手段主要分为四种:一是在网络上监听别人交换数据信息,截获黑客想要的内容。二是故意中断其他网络上正在传输的信息,影响其他企业机构的正常运作[3]。三是故意篡改网络信息,误导他人,以此获得利益。四是伪造虚假信息在网络上大肆宣扬,制造恐慌,达到自己不可告人的目的。面对目前主流的黑客手段使用网络加密技术对于较为隐私的资料进行加密处理,能够有效防止信息的泄露给自身带来没有必要的损失。(四)反病毒技术。现阶段,由于计算机病毒的猖獗,各种各样的反病毒技术也随之成熟起来。目前,主流的防病毒技术主要分为以下三种,第一种方式通过改进系统,使系统自身具有一定的防病毒功能,自动屏蔽计算机病毒的入侵。第二种方式针对的是目前应用较为广泛的压缩文件,黑客经常通过将病毒植入压缩文件包带入电脑,在解压文件的过程中神不知鬼不觉的盗取人们的资料。通过自动解压技术可以将压缩文件中的内容进行全面的监察,使隐藏在暗处的病毒无所遁形。第三种是基于平台层面上的反病毒技术。需要注意的是对于不同平台上一定要使用不同版本、与平台相匹配的防病毒技术,否则难以起到应有的作用。目前这三种较为流行的反病毒技术能够全面检测电脑的安全性,对于已经出现过的病毒都能够起到有效的防范。
三、维护远程教育系统网络安全的措施
(一)阻止网络入侵。想要维护远程教育网络的安全,首先是要对于网络远程教育系统在网络世界中面对的风险进行全面的清查、预防。加强远程网络的防护措施,利用反病毒技术对远程教育网络进行全面的监控,在远程教育网络的关键部分安装防火墙。防止黑客利用网络漏洞、植入病毒等手段对于远程教育网络进行入侵,保证远程教育网络的正常运行。(二)保证毕业证的真实性。据有关部门权威统计,现阶段在人才市场中约有五分之一的毕业证是虚假的。而远程网络教育想要获得毕业证,则需要学生在顺利完成网络教育课程之后,先向网络教育机构提出毕业申请,学校在进行实际考察之后,核对学生身份,一切确认无误之后颁发证书。学校会将颁发的证书与向CA申请认证的公钥一同公开,这份公钥就如同防伪标识,用人单位在查询学历之时,能够轻易分辨出证书的真假,有效防止虚假毕业证浑水摸鱼的不良现象,对于远程教育安全系统的构建有积极的促进作用。(三)对校园一卡通的安全管理。远程网络教育机构存在的宗旨就是为学生服务。为了兼顾远程教育网络安全性的同时保证学生能够查询到较为重要的学习资料,远程网络教育机构实施实名制认证系统。在学生缴费注册之后,可以生成每个学生独有的“密码”,这个密码与目前学生必备的校园一卡通相互结合,学生凭借校园一卡通能够对远程教育网络中重要的信息进行访问。这种实名制认证形式既保证了学生个人在远程教育系统中的信息安全,避免出现账号被代用的情况,又大幅度降低了远程教育网络中重要信息泄露的几率,为构建远程教育系统的安全体系有巨大帮助。(四)分布式校园网的安全管理。现阶段远程教育网络经常会在许多区域下设分支机构,导致应用人群十分庞大,人员身份较为复杂,对于远程教育系统的安全体系构建极为不利。想要解决这种问题,在建设虚拟网络交流学习时对于每个人必须使用的VPN进行认证绑定,只有向CA申请并颁发证书的VPN才能够在公共虚拟网络上进行学习交流。这种手段能够防止别有用心的人浑水摸鱼,消除构建远程教育系统安全体系的人为阻碍。(五)外网加密管理。作为远程网络教育系统,学生与教师之间的交流多以电子邮件的形式进行,如果被黑客截取或篡改,对于学生完成网络课程的学习有极大的阻碍。因此,防止信息泄露对于外网信息进行加密处理的手段具有十分重要的意义。目前先进技术能够对发送的邮件自动进行加密,同时对于收发双方进行身份认证,在确认双方身份无误的情况之下,再进行自动转码,保障信息的安全发送,有助于远程教育网络构建安全体系的进一步实施。
四、结语
构建远程教育系统的安全体系需要相关方面的人才共同努力,在现有的基础之上自主研发独立的操作系统,完善远程教育系统的安全操作机制,才能保障学生与教师的网络安全,实现更加全面的安全体系构建,帮助远程网络教育事业取得更为辉煌的教育成果。
作者:刘路 单位:四川长虹教育科技有限公司
【参考文献】
[1]吴敏飞,张盎微.农村远程教育资源网络体系构建及绩效研究———以嘉兴地区为例[J].继续教育研究,2013,9:22~24
农村党员干部现代远程教育政治性、专业性和技术性很强,以内容安全和系统安全为核心的安全工作至关重要。做好农村党员干部现代远程教育各项安全工作,是服务党和国家工作大局,落实党中央和省委关于开展农村党员干部现代远程教育工作部署的重要任务。根据全国远程办《关于做好农村党员干部现代远程教育安全工作的通知》(远通字[2008]5号)要求,结合我省实际,现就做好农村党员干部现代远程教育安全工作有关事项通知如下:
一、提高认识,切实增强安全意识
我省农村党员干部现代远程教育工作自**年9月份启动以来,各级远程办按照总体工作方案和具体推进计划,稳步推进远程教育网络体系建设。目前,全省依托农村中小学站点、省市教学平台和省市县三级辅助教学网站全部建成并正式投入运行,在农村党员干部教育培训中发挥了重要作用。随着全省农村党员干部现代远程教育工程建设的逐步推进,网络覆盖面越来越广、影响力越来越强、作用越来越大,安全工作的重要性更加突显;农村党员干部现代远程教育网络性和开放性的特点,不断加大了安全工作的难度和复杂性。各级远程办要进一步强化政治意识、大局意识和责任意识,把安全工作作为农村党员干部现代远程教育的头等大事,从技术、管理、制度和队伍等方面系统研究,狠抓安全措施落实,确保在任何情况下都不出现事故和偏差。特别是奥运会等重大节日、重要活动和关键时期,要建立安全预案和相应机制,做到万无一失。
二、严把关口,确保省市教学平台播出安全
加强教学节目内容审查,把好节目入口关,是确保省市教学平台安全播出的必要条件。要把好节目制作关,坚持正确的政治方向和舆论导向,严格遵守政治纪律和宣传规定,始终确保教学节目内容的政治性、思想性和科学性。要把好节目审查关,对拟播(上载)和报送的节目,实行报送审定、送播审核和播前审查“三审”制度,落实“谁报送谁审定、谁送播谁审核、谁播出谁审查”层层把关责任制。要把好节目审批关,实行播出(上载)安排审批制度,省市教学平台播出节目由省远程办统一上载,实行四级审核制度,即报送单位初审、教学资源组审定、基础设施组会审、省远程办领导审批,未经批准节目不得擅自安排播出和上载;重大政治题材、专业性较强的适用技术教材、少数民族语言教材等教学节目,须经过省教学资源专家组评审论证后方可上载。要把好节目上载关,建立健全节目交验登记制度,完善节目上载操作流程,强化播出(上载)技术控制。要把好点播节目监管关,建立点播节目跟踪管理机制,定期更新节目,及时发现和删除不合时宜节目,确保每个点播节目内容时时安全。
三、加强监管,确保辅助教学网站信息安全
各级辅助教学网站是服务农村基层组织和党员干部、农民群众的公共信息平台,在时政教育、政策宣传、经验交流、信息服务和辅助教学等方面发挥着重要作用。要加强内容规划、栏目设置和信息编发,确保定位准确、方向正确,办出鲜明特色。要建立健全内容审查签发制度,按照“谁主办、谁负责”的原则,加强内容政治安全性、真实可靠性和可公开性的审查,根据内容级别严格履行签发手续。要加强网络舆论引导,对留言、论坛、互动类栏目实行后台管理,过滤不良信息,严防有害信息。要建立网站内容定期备份制度,加强安全运行监控,防范非法攻击。
四、健全制度,加强机房安全管理
教学平台和辅助网站机房,是远程教育的重要设施,也是安全工作的重要部位。要建立健全机房管理制度和操作规程,对重要机房实行门禁制度和权限许可,确保安全运行。要建立岗位责任制,选配政治素质高、责任心强、业务好的管理人员和操作人员。要加强机房管理人员教育培训和监督管理,严禁违规操作、越权管理和超范围使用,不得利用远程教育机房及设备从事未经许可的其它工作和活动。
五、强化指导,抓好终端接收站点学用安全
终端接收站点是施教与学习的连接点,是组织学习的课堂和开展活动的阵地。要加强对终端接收站点管理人员和操作人员学用安全知识和技能的培训,根据学习需要下载、筛选、存储教学资源,及时使用教学资源。要建立站点存储教学资源登记制度,记录下载时间和制作日期,定期更新存储教学资源,及时清除过期教学资源。要建立健全设备管理制度,对终端接收站点设备统一登记造册,建档管理,不得挪用、外借、抵押和变卖有关设备。要建立设备定期检查维修、故障逐级报修、限时抢修等制度,完善防火、防盗、防潮、防尘、防雷及桌椅等配套设施,确保终端接收站点安全运行。要加强网上学习引导,严禁利用远程教育网和查阅不良信息。加强站点使用管理,严禁利用站点场所和播放设备从事非法集会、非法宣传以及传播任何不宜内容。
六、明确职责,落实安全工作责任
1计算机网络安全的主要威胁
现代远程教育培训是伴随着网络技术和多媒体技术的飞速发展而产生的一种新的教育模式,现代远程教育培训的发展将大大加大延伸现有学校或单位的教育功能,优化资源利用,扩大教育供给,满足教育需求,对实现教育的平等化和顺应知识经济时展需要及终身教育体系的构建都具有十分重要的现实意义[2]。但是,在远程教育培训网络中,网络的很多安全隐患也被带到了服务器、网络机房与教室:黑客的恶意攻击、网络病毒的传播、有用数据的泄漏或丢失、非法用户的未授权访问、数据的完整性被破坏、学习者与老师之间的交互得不到保障等都极大地破坏了远程教育培训网络的正常开展。归结起来,远程教育培训网络中存在的安全隐患主要有以下几个方面:
1.1计算机病毒
计算机病毒已成为很多黑客入侵的先导,是目前威胁网络安全的祸首。它的侵入在严重的情况下会使网络系统瘫痪,重要数据无法访问甚至丢失。1.2管理者与使用者的失误如网络管理人员安全配置不当造成的安全漏洞;不合理地设定资源访问控制,一些资源就有可能被偶然或故意地破坏;学员安全意识不强,用户口令选择过于简单或容易破译,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁[3]。
1.3黑客的恶意攻击
黑客是网络上的一个复杂群体,他们以发现和攻击网络操作系统的漏洞和缺陷为乐趣,是网络面临的主要威胁。黑客的攻击和计算机犯罪就属于这一类,此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,这种仅窃听而不破坏网络传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害,并导致重要数据的泄漏[2]。
因此,面对网络安全方面的种种威胁,应该充分认识远程教育培训网络中安全工作的重要性。因为人们的生活越来越信息化,所以网络的安全也越来越受到更多的关注。网络危险无处不在,这需要我们随时保持警惕,不断学习网络技术,与之进行长期斗争。
2远程教育培训网络安全问题的分析和处理方案
2.1网络安全问题分析
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、心理学、信息论等多种学科的综合性技术。网络安全是指网络系统资源和信息资源不受自然和人为有害因素的威胁和破坏。具体而言,网络安全要做到保护个人隐私,控制对网络资源的访问,保证信息在网络上传输的保密性、完整性和真实性。在远程教育培训中网络安全问题主要集中在以下几个方面:
2.1.1网络安全意识淡薄,没有严格的安全管理制度
“网络安全无小事”,这就要求我们的管理员、教师、学员给予足够的重视,进行相应的学习,提高使用网络的安全意识。而目前由于教学网络中的服务器开放程度很高,基本没有访问限制,由此导致服务器被攻击、侵入、丢失重要数据文件、邮件泄露的情况屡见不鲜。
2.1.2网络安全投入资金不足,相应配套设施缺乏
由于很多学校或者单位用于网络建设的经费不足,有限的经费主要投在网络应用建设上,对于网络安全建设没有比较系统的投入,根本无法抵挡现今网络上五花八门的病毒攻击,尽管如此也要保证24h提供各种文字、声音、视频等服务,网络服务器处在一个非常开放的状态,简陋的安全体系基本没有有效的预警手段和防范措施[4]。
2.1.3内部网络管理混乱
一般来讲,大多数学校或单位都会安排特定的网络教室或者通过办公室计算机接入远程教育培训网,供学员和教职工进行学习。这在很大程度上缓解了部分学员由于没有条件上网而导致无法获取足够教辅资料的矛盾。但是,由于缺乏统一的管理软件和监控、日志系统,绝大多数机房的登记管理制度存在漏洞,上网用户的身份无法唯一识别;另外,有些机房为了管理上的方便安装了还原卡,关机后启动即恢复到初始状态,从而在安全管理上形成了漏洞,无法按照安全部门的要求保留上机和上网日志;更有甚者绕开统一管理和国家相关部门的监管,存在极大的安全隐患。
2.2相应的解决方法
2.2.1设计安全的网络拓扑结构
一般来讲远程教育培训网的结构比较简单,基本都是将E-mail、Web、FTP等应用服务器连接在内部网络(以下简称内网)上,在拓扑结构上,需要通过合理设置策略,将服务器群通过交换机与防火墙的DMZ区接入Internet,构筑服务器系统安全的第一道防线。在内网通过虚拟局域网的划分(VLAN),减少广播流量,释放带宽给用户应用;并且含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露重要信息的可能性。
2.2.2配备完整系统的网络安全设备
一般来讲,在内部网络和外网接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。另外,远程教育培训网络由于需要传输图片、音频、视频等数据,对网络带宽的需求也很大,广大学员用户也需要高带宽、高速度的服务,因此配置安全设备既要考虑到功能,同时也必须考虑性能,将配置安全设备后对网络性能的影响尽可能地降到最低[5]。
3基于互联网的远程教育培训系统安全体系的实现
3.1分析需要解决的问题
远程网络教育成为传统教育最有力的补充,也成为了当今各大院校或单位积极建设推进的教育方式,但随着教育网络应用的扩大,其安全风险也变得更加严重和复杂,不安全的网络环境会给求知者带来诸多烦恼和不便。在考虑安全系统功能之前,应针对远程教育培训的网络应用系统特点,详细地分析系统可能出现的安全问题,并确定系统存在的安全漏洞和安全威胁,一般应考虑以下的安全问题:
3.1.1如何预防病毒
一旦染上病毒,轻则使各种服务器运行速度变慢,重则感染整个网络,使网络系统崩溃停止,所有的服务器数据遭到破坏,造成极大的损失。
3.1.2未经授权的访问
一些不拥有访问权限的人访问一些重要的信息,甚至进行恶意更改,例如修改网站的主页、查看并修改财务数据、修改考生的成绩、档案等。
3.1.3信息泄密
用户口令泄密、邮件内容泄密、网上考试的考题泄密等。
3.1.4网络服务无法使用
比如拒绝服务攻击使网络主机崩溃;大量的垃圾邮件使邮件服务器无法正常工作;网络操作系统本身存在的漏洞和缺陷导致黑客轻易地入侵等。
3.2提出解决方案
针对上述远程教育培训系统中存在的安全隐患,提出其中的一些解决方案:
3.2.1安全管理体系
大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的。因此,建立组织的部门的网络安全体系是解决网络安全的首要任务,加强对网络安全体系的研究,应采用信息系统安全工程方法,形成完善的安全体系,才不会遗漏任何威胁因素,避免安全漏洞和隐患。以下将从管理和技术两个方面对高校网络系统的安全体系作进一步论述。管理方面。从全局管理角度来看,要制订全局的安全管理策略,从用户管理角度来看,要实现统一的用户角色划分策略。从资源管理角度来看,要实现资源的分布配置和统一的资源目录管理。从技术管理角度来看,要实现安全的配置和管理。但是,安全的网络系统首先必须有健全的安全管理体系作保障。安全管理体系包括组织机构,安全管理制度,安全责任体系等。技术方面。除了加强对网络系统的安全管理,我们要注意使用的安全产品在技术上是否成熟、有效,在使用安全产品时还应该采取合理的安全策略,以规避系统安全风险,减小所带来的损失。其中的安全策略和防范措施包括网络系统安全配置,系统自身安全,安全审计,数据保护和网络数据备份。
3.2.2身份认证机制
在远程教育培训环境中,网络安全就是指网络信息安全,所谓信息安全,即未经授权的信息不会被浏览;未经授权,信息不会被篡改或破坏。所以身份认证是网络安全中最重要的组成部分,也是安全体系的基础。较为常用的身份认证技术是基于静态口令的身份认证技术,该技术的特点是简单、易用,在一定的安全程度上可以进行有效的用户身份认证;也可以通过数字矩阵、USB-KEY或者手机短信模式进行身份认证。
3.2.3实施访问控制
基于Internet的远程教学系统的用户大致可分为三类:教师用户、学习者用户以及管理员,不同用户所能见到的内容、所拥有的权限是不同的。因此,为了保障信息不被越权访问,应加强访问控制工作,按用户类别进行注册,记录用户相关信息。同时,对系统中的资源也应进行分类,实行多级管理。
3.2.4注意防范“病毒”入侵
当前Internet已成为计算机病毒传播的重要途径,而为了丰富教学系统的资源从网上下载一些软件又在所难免,因此身处Internet的远程教学系统应建立多层次的“病毒”防范体系,采取及时升级杀毒软件,定时运行杀毒软件查找“病毒”,重点防范要害部位,对重要信息进行备份等措施。
[关键词]远程教育 信息平台 安全策略
中图分类号:TP9I 文献标识码:A 文章编号:1009-914X(2015)46-0342-01
一、前言
目前,远程教育信息平台在运行的过程中,还有很多问题存在,如果不能够有效的避免安全问题,就难以提升平台运行的效果,因此,保证平台运行的安全性是很有必要的工作。
二、网络信息安全简介
远程教育经历了早期的函授教育和广播电视教育时期,如今已走进了一个崭新的发展阶段―――现代远程教育。随着当前国内因特网建设在主干网和宽带接入网等方面的迅速发展,以及网络多媒体技术的不断进步,基于因特网构建远程教育系统已成为开展远程教育的主要手段。网络安全是指通过各种技术的和管理的安全措施,确保在网络系统中传输、交换和存储的信息的保密性、完整性、可靠性和可用性,并对信息的传播及内容具有控制能力,其核心可以概括为以下几点。
1.保密性(Security)。是指防止静态信息被非授权访问和防止动态信息被截取解密,为用户提供安全可靠的保密通信是计算机网络安全最为重要的内容。
2.完整性(Integrity)。同保密性不同,完整性要求在存储或传输时信息的内容和顺序都不被伪造、乱序、重置、插入和修改。保密性可以达到一定的完整性,但保持完整性的信息可以是不保密的。
3.可靠性(Reliability)。是指信息的可信度,包括信息的完整性、准确性和发送人的身份认证等方面。
4.可用性(Availability)。是指服务器存放静态信息的可用性和可操作性。病毒常常破坏信息的可用性,使系统不能正常运行,使数据文件面目全非。
三、远程教育信息平台四大安全威胁
远程教育平台的安全威胁可以从内容、业务、网络、用户四方面来分析。
远程教育数字内容的安全威胁可能包括非授权的内容观看和使用;非授权的内容拷贝、截获,即通过非法监听业务网络获得数字内容;以及破坏数字内容完整性,包括非法删除、插入、修改等行为。远程教育业务面临的安全威胁包括:未经授权访问业务;假冒远程教育业务内容提供者的行为;针对远程教育平台使用的各类服务器(AAA认证服务器、媒体服务器等等)进行恶意攻击,例如利用服务器应用软件或者通信协议的安全漏洞发动攻击、采用拒绝服务攻击等等;盗窃敏感业务信息或者篡改信息(例如计费信息等等),这一类行为通常通过恶意程序窃取敏感的业务信息。远程教育网络传输的安全威胁包括:突发事件(自然灾害、电力问题、人为破坏等)造成的网络设备/传输线路故障;针对网络设备或隐形资产(带宽)的恶意攻击;针对内容交付系统节点的恶意攻击;另外还存在传统内容下发(组播)技术中亟待解决的安全隐患,如基本组播协议中并没有安全方面的考虑,例如没有对组播源的认证机制和动态组播树成员的控制机制等。针对IP网络的安全威胁主要存在拒绝服务、侦听、伪装、修改数据、非授权接入、事后否认等六类主要的安全威胁。常见的安全攻击行为有IP欺骗、重放攻击、反射攻击、中间人攻击、拒绝服务攻击、分片攻击、网络侦听、应用层攻击等。远程教育针对用户的安全威胁包括:用户终端的安全漏洞,例如操作系统、服务、端口没有设防;网络恶意代码/病毒对终端设备的危害;还有用户信息被盗取的行为,黑客一般是采用木马类程序来远程盗取用户信息。另一种威胁是,用户接收设备由于受到来自网络的恶意攻击或者大量的垃圾流量而造成失效,还可能有未经授权的终端设备连接到远程教育平台网络。
四、远程教育信息平台安全需求
运用现代教育技术手段进行教学,与传统的一支粉笔、一块黑板的教学方式相比,具有无比的优越性,因为运用现代教育技术手段,可以使教育教学不受时间、空间、微观、宏观的限制,向学生提供当时当地无法看见和看清的事物、现象和过程,或者无法听到和听清的各种音响,将所讲的对象化小为大、化远为近、化静为动、化快为慢、化繁为简,从而使教学内容变得直观具体,生动形象,声形色并茂,扩大教学的功能,激发学生学习的兴趣,同时也提高了教学速度,节省了教学时间,减轻了学生负担,最终得到了提高教学质量和效率的目的。教育现代化,教学手段技术化,已经成为世界潮流。运用现代教学手段,是提高教学质量和效率的最有效途径,这已成为广大教师的共识。利用网络技术的多媒体教学对培养学生的创新精神和实践能力方面将会发挥越来越重要的作用。然而现有网络随着计算机应用的普及,服务器负荷日渐加重,接入节点日渐增多。但是,大部分工作人员并未重视节点安全管理,没有采取一定的防护措施,特别是核心区和互联区存在很大安全隐患。因此,建立一套有效的网络安全机制就显得尤为重要。教育信息网建设主要采取了内外网隔离的模式,避免内网机要受外网的攻击。但这使得有人片面认为这样的网络是安全的,从而忽略采取安全措施。其实网络运行过程中,网络应用更大的安全隐患很大一部份来自内部恶意的或无意的攻击以及不正当的操作。
五、网络安全策略
1、构建防火墙提高内部网络的安全
防火墙技术是目前业已普遍采用的重要网络安全技术,它不仅能够在网络人口处检查网络通讯,并且根据客户设定的安全规则在保护内部网络安全的前提下,保障内外网络通讯,而且能够在在网络出口处有效隔离内部网络与外部网络,能使所有来自外部网络的访问请求都要通过防火墙的检查。因此,构建防火墙,能有效提高内部网络的安全。
2、保证机房及网络环境的物理安全
对于容易受外界因素(雷电、电磁辐射、电压波动等)损坏的设备,可从如下几个方面加强实体安全保护:一是采取良好的屏蔽及避雷措施,防止雷电和工业射电干扰;二是采用稳压电源和不间断电源UPS,防止电压波动或突然断电引起设备损坏或数据丢失;三是安装报警器、各种监视系统及安全门锁等防止设备被盗;四是按计算机安全场地要求采取防火、防水、防尘、防震、防静电等技术措施,采取电磁屏蔽及良好接地等手段,使系统中的设备既不因外界或其他设备的电磁干扰而影响其正常工作,也不因其自身的电磁辐射影响周围其他设备的正常工作;五是采用新技术(如TEMPEST技术)防止电磁泄漏,需采取设计低辐射的设备和电磁屏蔽等措施防止电磁泄漏。
3、运用入侵检测技术防止内外网攻击
入侵检测系统也是一种应用成熟的网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,它不仅能够对付来自内外网络的攻击,而且能够缩短黑客入侵的时间。
4、划分VLAN,并做到IP和MAC地址绑定
在校园网中,连接的用户群体非常复杂。学校网络管理部门尽量把不同的区域划分为不同的内部网段(VLAN),把学生机房和服务器区、教师办公室、学生宿舍、图书馆、家属区等独立开来。同时,为了防止校园网中IP地址盗用和IP地址冲突,可以在交换机或其他网络设备上捆绑IP和MAC地址,使每个IP地址对应一个MAC地址,如果在硬件上无法实现捆绑,还可以用专用的工具软件来实现。
5、配备病毒防护系统
由于病毒的种类和传播媒介每天都在不断翻新,现在的病毒更多地通过网络共享文件,电子邮件及Internet/Intranet进行扩散。我们需在网络中配备病毒防护系统,进行全网的防毒、杀毒,并且不断更新防毒杀毒的软件和系统,从而不断提升防毒、杀毒的效果,保证系统的安全运行,提升系统的安全性。
六、结束语
综上所述,远程教育信息平台安全管理工作至关重要,只有做好了安全管理工作,平台才能够更加有效的发挥其运行的效果,保证平台的安全性和有效性,提升平台质量。
参考文献
