浅述远程教育系统中安全问题.docVIP

浅述远程教育系统中安全问题 　　计算机从单机到网络的发展已经触动了传统的教育模式，各种形式的教育模式的出现如雨后春笋，其中最活跃、最有前途的领域之一就是远程教育。远程网络教育成为传统教育最有力的补充，也成为了当今各大院校积极建设推进的教育方式。与传统面对面式教育迥然不同，这种教育方式中教师和学生不是集中在同一区域中，而是在地理位置上被远程空间分开，他们通过一定方法和技术的媒介（网络及其基础设施）进行联系，突破时间和空间的限制开展知识传授和学习活动。但随着教育网络应用的扩大，其安全风险也变得更加严重和复杂，不安全的地受到因为对网络的依赖而带来的网络威胁。同时，由于远程教育系统通常是与支持其功能的大学教务系统同处于一个网段，来自校园内部或外部的网络攻击行为不但会影响该系统的正常运行，还可能造成整个教务系统中保存的学校重要数据的丢失、损坏和泄露，给学校带来不可估量的损失。因此，安全问题不容忽视。 　　 　　一、在远程教育系统当中，普遍存在着如下威胁 　　（一）IP 地址及用户账号的盗用。由于互联网中用户数量众多，难免出现盗用他人IP地址和用户账号的行为，这就大大增加了远程教育系统管理的难度，IP地址冲突不断、用户无法正常上网，也给学校对远程教育系统的计费、缴费工作带来麻烦。 　　（二）多人使用同一账号。由于某些计费软件功能相对简单，没有对同一账号同时登录次数进行限制，使得多个用户可以使用一个账号上网，造成了学校资费流失以及教学秩序的紊乱。 　　（三）异常网络事件的审计和追查。当异常网络事件发生后，如何尽快追根溯源，找出幕后“黑手”，防止事件的再次发生，成了网络维护人员不得不面对的棘手问题。网络环境会给求知者带来诸多烦恼和不便。 　　（四）多个校区的管理和维护。由于现在校园网的规模越来越大，呈现出多校园、跨地区的特点，这就要求网络管理员能对分布在各个校区的管理、计费设备进行管理和维护，管理员的工作量相当大。 　　 　　二、针对上述存在的问题，建议采取如下解决办法 　　（一）客户账号与IP地址、端口进行绑定。这可以极大地提高客户行为的唯一性，有效防止IP地址和客户账号盗用现象的发生。 　　（二）对账号登录次数的限定。系统对同一账号同时登录次数做出明确的限定，避免多人次使用同一账号上网的现象。 　　（三）内外网IP地址间的NAT功能。系统提供内、外网IP NAT功能（地址转换功能），避免内网IP地址的暴露，给不怀好意者对系统以及校园网络攻击增加了难度，减少了遭受网络攻击的可能性。 　　（四）事件追查。充分利用系统中丰富的日志信息和便捷的追查工具，能使网络管理员在面对异常事件时及时做出正确的反应，迅速找出幕后“黑手”。 　　（五）多校区远程管理功能。系统能同时对位于不同校区的NAS设备提供远程管理功能，在实现统一多个校区资费策略的同时还大大减少了网络管理员的工作量。 　　 　　三、其他安全配套机制 　　以上属常规的安全管理方法，在远程教育系统的建设过程中能起到重要作用，但是要建立一个真正安全的远程教育系统，还要在如下几个方面特别关注，以多层次地保障远程教育系统的安全性能。 　　（一）采用防火墙系统。当前防火墙主要有两种类型，一种为包过滤型防火墙，另一种为应用代理型的防火墙，二者各有侧重点。为了保护远程教育系统Web服务器和内部网络的安全，当前更安全的做法是实现双层防火墙。外层防火墙实现包过滤功能，内部防火墙允许最中间的内部网络可以访问外部网络。在外部防火墙和内部防火墙之间形成一个单独区域，提供外部网络访问的服务器就位于这个区域，即使攻击者通过外部防火墙进入这个区域，也无法攻入内部网络。 　　（二）部署病毒防治系统。服务器应当建设计算机病毒防治系统，以防止病毒入侵并对已经入侵的病毒及时进行检测和清除。病毒防治系统应当具备定期扫描功能和实时检测功能，有条件的Web服务器应当以一套病毒防治系统为主覆盖所有的主机，同时辅以一至两套不同厂商的产品进行单点定期扫描。 　　（三）邮件过滤系统。邮件过滤系统是针对电子邮件的安全防护、信息过滤系统，应当包括：反恶意攻击、反垃圾邮件、邮件病毒过滤、邮件内容过滤四项基本功能，以对不同性质的非法邮件和可疑邮件作分别处理，防止恶意使用者利用服务器大量转发不良邮件。 　　（四）网络入侵检测系统。Web服务器应当设置网络入侵检测系统，对网络或操作系统上的可疑行为做出策略反应，及时切断资料入侵源，并通过各种途径通知网络管理员，最大限度地保障系统安全。同时，要求网络入侵检测系统本身应当具有的抗攻击能力。 　　（五）主机漏洞扫描系统。建立主机漏洞扫描系统的同时，要按照一定的安全策略建立相应的安全辅助系统。可以通过定期扫描主要网络设备和主机增强安全管理能力，并对扫描系统的漏洞及弱点规