论文部分内容阅读
摘要:从网络教学系统安全的要素出发,分析了其安全威胁的主要表现,针对这些威胁系统地阐述了防火墙的应用、安全检测、审计与监控、反病毒以及备份系统等有效措施。并将其应用于实例研究,基于案例主要探索了维护ASP应用程序和数据的安全措施。
关键词:网络教学系统;安全;实例;应用
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)19-30023-03
On Security Mechanisms of the Network Tutoring System
FU Nan-hua, SHAO Hui-fu, WANG Qun
(Jiangxi Radio and Television University, Nanchang 330025, China)
Abstract: From Safety factor of the Network Tutoring System, the Security threats main performance are analyzed. It is described of Against these threats expounded the firewall applications, auditing and monitoring, anti-virus and backup systems, and other effective measures. And applied case studies, case-based exploration of the major maintenance of ASP applications and data security measures.
Key words: network tutoring system; Safety; examples; application
1 引言
随之因特网的普及,网络远程教育发展非常迅速,规模越来越大,网上用户和远程教育资源成几何级数增加。如何通过网络提供信息服务,如何在巨量的信息资源中快速搜索、筛选信息,如何管理维护信息,更好地为网上用户提供便捷、高效、安全的网上教学服务,真正实现网上教学的功能,其关键是建立一套适合网上教学系统的安全管理机制。
2 网络教学系统的安全威胁
网络教学系统的安全包括5个基本要素:机密性、完整性、可用性、可控性以及可审查性,其安全威胁主要表现在:
2.1 非授权访问
没有预先经过同意,以假冒、身份攻击、非法用户进入系统进行违法操作,或者是合法用户以未授权方式进行操作等。
2.2 信息遗漏或丢失
敏感数据在有意或无意中被泄漏出去或丢失,包括信息在传输中丢失或遗漏(黑客拦截)、信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
2.3 破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的相依;恶意添加,修改数据,以干扰用户的正常使用。
2.4 拒绝服务攻击
不断对网络教学系统进行干扰,改变正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入网络教学系统或不能得到相应的服务。
2.5 利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
3 网络教学系统的安全防范
网络教学系统针对上述安全威胁,可采取如下防范措施:
3.1 内外网隔离及访问控制系统
在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。但是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此,必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
3.2 内部网不同网络安全域的隔离及访问控制
防火墙此处被用来隔离内部网络的一个望段与另一个网段。这样,能纺织影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
3.3 网络安全检测
网络系统的安全性取决与系统中最薄弱的环节,定期对网络系统进行安全性分析,技师发现并修正存在的弱点和漏洞,是最大限度保障系统安全的有效措施之一。
3.4 审计与监控
审计是纪录用户使用网络教学系统进行所有活动的过程,对于确定问题和攻击源、迅速和系统地识别问题有着重要意义,同时更是事故处理的重要依据。
另外,还应使用成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的长剑操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
3.5 网络反病毒
网络环境下的教学服务活动,计算机病毒有着不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术。网络反病毒具体的实现方法包括对网络服务器中的文件频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
3.6 网络备份系统
备份系统为了尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择相应的备份机制:场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。
数据备份操作通常有全盘备份、增量备份和差分备份等三种方式,在备份技术上则有“热备份”和“冷备份”两种,二者兼用,优势互补,相辅相成。
4 网络教学系统的安全机制研究实例
网络教学系统安全机制主要有访问控制机制、加密机制、认证交换机制、数字签名机制、防业务流分析机制、路由控制机制等。网络安全技术主要有防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术等。本例仅探索维护ASP应用程序的安全和维护数据的安全。
4.1 维护ASP应用程序的安全
Web服务器提供了各种方法来保护ASP应用程序免受未授权的访问和篡改。
1) NTFS权限
可以通过为单独的文件和目录应用NTFS访问权限来保护ASP应用程序文件。NTFS权限是Web服务器安全性的基础,它定义了一个或一组用户访问文件和目录的不同级别。当拥有Windows NT有效帐号的用户试图访问一个有权限限制的文件时,计算机将监测文件访问控制表(ACL)。该表定义了不同用户和用户组所被赋予的权限。如果用户的帐号具有打开文件的权限,计算机则允许该用户访问文件。
2) 维护Global.asa的安全
为了充分保护ASP应用程序,一定要在应用程序的Global.asa文件上为适当的用户或用户组设置NTFS文件权限。如果Global.asa包含向浏览器返回信息的命令而没有包含Global.asa文件,则信息将被返回该浏览器,即便应用程序的其他文件被保护。
3) Web服务器权限
可以通过配置Web服务器的权限来限制所有用户查看、运行和操作ASP页的方式。不同于NTFS权限提供的控制特定拥有对应程序文件和目录的访问方式,Web服务器权限应用于所有用户,并且不区分用户帐号的类型。
对于要运行ASP应用程序的用户,在设置Web服务器权限时,必须遵循下列原则:
a.对包含.asp文件的虚拟目录运行“读”或“脚本”权限。
b.对.asp文件和其他包含脚本的文件(如.htm文件等)所在的虚目录允许“读”或“脚本”权限。
c.对包含.asp文件和其他需要“执行”权限才能允许的文件(如.exe和.dll文件等)的虚目录允许“读”和“执行”权限。
4) 使用身份验证机制保护被限制的ASP内容
每个试图访问被限制的ASP内容的用户必须要有有效的Windows NT帐号的用户名和密码。每当用户试图访问被限制的内容时,Web服务器将进行身份验证,即确认用户身份,以检查用户是否拥有有效的Windows NT帐号。
Web服务器支持以下两种身份验证方式:
a.基本身份验证:提示用户输入用户名和密码。
b.Windows NT请求/响应式身份验证:从用户的Web浏览器通过加密方式获取用户身份信息。
网络教学系统模块之间的身份验证可通过用户的身份信息或权限保存在Session变量中,在各个模块间进行验证。如下例子是利用学生的用户名和课程编号来保证文件安全的通用模块。
<% If Session ("course_no") = "c07008" then%>
<%
……
%>
<%
Else
Response.write("<br>"
关键词:网络教学系统;安全;实例;应用
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)19-30023-03
On Security Mechanisms of the Network Tutoring System
FU Nan-hua, SHAO Hui-fu, WANG Qun
(Jiangxi Radio and Television University, Nanchang 330025, China)
Abstract: From Safety factor of the Network Tutoring System, the Security threats main performance are analyzed. It is described of Against these threats expounded the firewall applications, auditing and monitoring, anti-virus and backup systems, and other effective measures. And applied case studies, case-based exploration of the major maintenance of ASP applications and data security measures.
Key words: network tutoring system; Safety; examples; application
1 引言
随之因特网的普及,网络远程教育发展非常迅速,规模越来越大,网上用户和远程教育资源成几何级数增加。如何通过网络提供信息服务,如何在巨量的信息资源中快速搜索、筛选信息,如何管理维护信息,更好地为网上用户提供便捷、高效、安全的网上教学服务,真正实现网上教学的功能,其关键是建立一套适合网上教学系统的安全管理机制。
2 网络教学系统的安全威胁
网络教学系统的安全包括5个基本要素:机密性、完整性、可用性、可控性以及可审查性,其安全威胁主要表现在:
2.1 非授权访问
没有预先经过同意,以假冒、身份攻击、非法用户进入系统进行违法操作,或者是合法用户以未授权方式进行操作等。
2.2 信息遗漏或丢失
敏感数据在有意或无意中被泄漏出去或丢失,包括信息在传输中丢失或遗漏(黑客拦截)、信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
2.3 破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的相依;恶意添加,修改数据,以干扰用户的正常使用。
2.4 拒绝服务攻击
不断对网络教学系统进行干扰,改变正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入网络教学系统或不能得到相应的服务。
2.5 利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
3 网络教学系统的安全防范
网络教学系统针对上述安全威胁,可采取如下防范措施:
3.1 内外网隔离及访问控制系统
在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。但是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此,必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
3.2 内部网不同网络安全域的隔离及访问控制
防火墙此处被用来隔离内部网络的一个望段与另一个网段。这样,能纺织影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
3.3 网络安全检测
网络系统的安全性取决与系统中最薄弱的环节,定期对网络系统进行安全性分析,技师发现并修正存在的弱点和漏洞,是最大限度保障系统安全的有效措施之一。
3.4 审计与监控
审计是纪录用户使用网络教学系统进行所有活动的过程,对于确定问题和攻击源、迅速和系统地识别问题有着重要意义,同时更是事故处理的重要依据。
另外,还应使用成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的长剑操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
3.5 网络反病毒
网络环境下的教学服务活动,计算机病毒有着不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术。网络反病毒具体的实现方法包括对网络服务器中的文件频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
3.6 网络备份系统
备份系统为了尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择相应的备份机制:场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。
数据备份操作通常有全盘备份、增量备份和差分备份等三种方式,在备份技术上则有“热备份”和“冷备份”两种,二者兼用,优势互补,相辅相成。
4 网络教学系统的安全机制研究实例
网络教学系统安全机制主要有访问控制机制、加密机制、认证交换机制、数字签名机制、防业务流分析机制、路由控制机制等。网络安全技术主要有防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术等。本例仅探索维护ASP应用程序的安全和维护数据的安全。
4.1 维护ASP应用程序的安全
Web服务器提供了各种方法来保护ASP应用程序免受未授权的访问和篡改。
1) NTFS权限
可以通过为单独的文件和目录应用NTFS访问权限来保护ASP应用程序文件。NTFS权限是Web服务器安全性的基础,它定义了一个或一组用户访问文件和目录的不同级别。当拥有Windows NT有效帐号的用户试图访问一个有权限限制的文件时,计算机将监测文件访问控制表(ACL)。该表定义了不同用户和用户组所被赋予的权限。如果用户的帐号具有打开文件的权限,计算机则允许该用户访问文件。
2) 维护Global.asa的安全
为了充分保护ASP应用程序,一定要在应用程序的Global.asa文件上为适当的用户或用户组设置NTFS文件权限。如果Global.asa包含向浏览器返回信息的命令而没有包含Global.asa文件,则信息将被返回该浏览器,即便应用程序的其他文件被保护。
3) Web服务器权限
可以通过配置Web服务器的权限来限制所有用户查看、运行和操作ASP页的方式。不同于NTFS权限提供的控制特定拥有对应程序文件和目录的访问方式,Web服务器权限应用于所有用户,并且不区分用户帐号的类型。
对于要运行ASP应用程序的用户,在设置Web服务器权限时,必须遵循下列原则:
a.对包含.asp文件的虚拟目录运行“读”或“脚本”权限。
b.对.asp文件和其他包含脚本的文件(如.htm文件等)所在的虚目录允许“读”或“脚本”权限。
c.对包含.asp文件和其他需要“执行”权限才能允许的文件(如.exe和.dll文件等)的虚目录允许“读”和“执行”权限。
4) 使用身份验证机制保护被限制的ASP内容
每个试图访问被限制的ASP内容的用户必须要有有效的Windows NT帐号的用户名和密码。每当用户试图访问被限制的内容时,Web服务器将进行身份验证,即确认用户身份,以检查用户是否拥有有效的Windows NT帐号。
Web服务器支持以下两种身份验证方式:
a.基本身份验证:提示用户输入用户名和密码。
b.Windows NT请求/响应式身份验证:从用户的Web浏览器通过加密方式获取用户身份信息。
网络教学系统模块之间的身份验证可通过用户的身份信息或权限保存在Session变量中,在各个模块间进行验证。如下例子是利用学生的用户名和课程编号来保证文件安全的通用模块。
<% If Session ("course_no") = "c07008" then%>
<%
……
%>
<%
Else
Response.write("<br>"