论文部分内容阅读
摘 要:随着精品课网络课程建设力度的加大,网络精品课的应用范围也不断扩大,其自身面临的来自网络的安全威胁也随之增多,这些安全问题从不同方面影响着网络精品课的健康运行。本文分析了精品课网络课程服务中各种可能的威胁及影响方式,提出了应对和保障的策略。
关键词:精品课;网络课程;网络安全
中图分类号:TP309文献标识码:A文章编号:1673-8454(2010)07-0028-03
一、引言
随着精品课建设的推进,网络精品课在课程评审中所占比重越来越大,评审指标对其技术要求也越来越高。[1]同时,随着各种网络课程模式日益普及,应用层次不断深入,课程网站所包含的内容也逐渐从过去的文本、图片、课件的展示,发展到现在的多媒体互动交流平台、协作学习等全新的教学和展示模式。一方面,课程网站为学习者提供了丰富多彩的内容和方法,使传统的课堂教学不再枯燥,使个性化自主学习成为可能;另一方面,网站访问的开放性、访问者访问的不均匀性,以及课程网页本身的漏洞与缺陷等安全问题也越来越突出。无论是服务器本身还是在互联网中,都存在着诸多物理和人为因素导致的脆弱性和潜在威胁,在网络精品课逐渐成为数字化教学资源和课程建设的重要方面的今天,保障精品课网络服务安全、稳定运行,也具有了更为特殊的意义。
二、网络精品课安全问题的产生及其背景[2]
精品课网站主要由一门门课程组成,根据课程的内容和展示需要,发布课件、习题、试题、互动问答等各种教学资源,这些资源一般都由编制好的Web网站来管理和呈现,网站向互联网开放,因此支撑网站服务的网络环境、服务器、操作系统、网页发布、编程语言、课程文件维护等各个环节,都可能成为不良用意者的目标,如图所示。
精品课网络服务是一个复杂的应用系统,这些环节中每一个组件或组成部分都可能存在自身或因人为失误引起的安全问题,有的甚至是多种安全问题交织出现,在审核这些安全问题时,除了技术方面的内在限制,还面临诸多复杂的人为限制、制度缺失等外部因素的限制,使精品课网络服务在安全问题上处于内外交困的处境。课程网站采用的展示技术众多,内容庞杂,自身的弱点和攻击入口也多种多样,受到入侵或恶意破坏的机会颇多,加之访问的主要群体是学生,一旦出现安全问题,受其影响的程度和范围是不可小觑的。
从精品课网站的角度看,网络课程服务必须面对开放的网络浏览,而网络上各种目的和意图的人都有,即使是一个网络安全防范做得较好的服务器,也不能完全避免被攻击和入侵的可能性。因此,网络精品课建设需要一个安全稳定的技术支撑,这不仅是展示和评比的需要,更由于其在教学过程中越来越多地承载了引导学生学习的重任,故障和破坏导致的无法正常访问将会不同程度地影响到教学的质量和效率。
三、面临的安全威胁
1.漏洞
精品课一般由课程负责人自行决定网页的设计制作方案,通常有学生技术组织、教师技术组织和商业化购买三种制作途径,但无论哪种途径制作的网页,其网页源代码均未经过安全组织的测试鉴定,因此网页自身存在的注入漏洞、验证漏洞、上传漏洞等常见漏洞,很容易成为黑客和不良用意者的“游乐园”,引来大量的扫描探测、入侵、挂马、注入攻击等安全问题。此外,网页的解析程序、发布程序和操作系统漏洞也不应被忽视,任一部分漏洞的不法利用都将不可避免地引发大的、全局性的安全问题:网页内容的篡改、正常访问的受限、网站数据的丢失或删除等,更为可怕的还有机要数据的泄露。因此,漏洞存在的后果是难以想象和估量的,解决漏洞问题也是安全建设中最基本、最重要的部分。
2.挂马
挂马是近几年兴起的一种流行恶意行为,指的是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页木马传播开去,以达到入侵的目的。[3]常见的挂马形式是在index、default等具有特别意义命名的文件里,在文件末尾插入一段类似的脚本代码,该代码实质是加密了的网址,其作用是在打开完网页内容后,在后台悄悄打开此网址。该网址则是一个包含自动下载木马程序的网站,由于嵌入在正常的网页末端随网页正常打开,访问者打开此正常网页时,难以察觉木马已经在下载。其原理是利用网页的缺陷,在服务器上释放后门文件,掌握文件读写权限,再利用自动挂马软件自动连接含有后门文件的服务器添加恶意的链接,整个过程都通过网页服务端口进行,访问后门文件在服务器应答上被当作正常的网页请求,因此能够轻易避开防火墙和一些入侵检测监控系统,难以主动防御,其作用手法不亚于一次入侵。
3.病毒
服务器上面临的病毒传播不同于一般家用或工作环境下电脑病毒的传播,因为原则上是禁止在服务器上安装和运行与服务无关的软件和应用程序的,这虽然减少了通过传统传播方式感染病毒的可能,但依然面对来自FTP服务、网页上传附件等带来的病毒威胁。各课程网站可能会进行不定时上传更新,若在一个中毒的计算机上进行网站维护操作,可能会在不知情的情况下将病毒文件一并传入服务器。虽然安装反病毒软件能在一定程度上予以防御,但其作为一个威胁始终存在。黑客还有可能通过木马对服务器实施全面控制,这种情况下的“次生灾害”也是难以设想的。
4.论坛及其言论的管控
随着课程网站互动功能的流行,论坛、博客、维基百科等知识传播和交流的载体也越来越多地出现在各个课程网站里,然而这些互动功能大多采用的是免费的程序,后继补丁的维护没有连续性,往往是挂上使用以后就再也没人维护,一旦爆出漏洞和安全问题,在技术层面就几乎等同没有安全防范直接暴露在互联网上。并且,由于课程教师仅对课程内容与学生进行交互,并不实际扮演论坛管理者角色,于是也有不法之徒利用论坛管理上的缺位,发表不法言论或广告信息,扰乱课程学习的氛围。
5.人为的无意失误
不当的网站维护,比如在网站目录里存放与网站无关的文件,设置php探针,允许最低权限账户在网页文件上具有执行权限,或是使用phpmyadmin等工具都会引来安全威胁,这种威胁在技术和管理层面都是可以避免的,根据服务器管理最小化权限的原则,多余的文件和权限设置也会将自身的潜在问题带给站点。另外,用户安全意识不强,设置的用户口令太简单,将帐号随意转告他人或保存在计算机上,都是不容回避的实际现象,这些失误一旦被发现和利用,对服务器和其他课程都可能产生影响。
6.入侵和破坏
从技术角度看,一方面服务器在互联网中是面向所有用户的,精品课程的资源也是通过网络共享,另一方面,承担各种网络服务的技术是开放的也是标准的。因此互联网上总会有一些信息寻求者或者说是“猎手”,他们或是闯入系统炫耀下自己的技术,或是寻找自己想要的信息,亦或是为了获得系统控制权以实施破坏性质的攻击。精品课网站服务器同样面临入侵和破坏,需要有充足的准备来面对随时可能发生的入侵。
四、保障的对策
1.以加强安全意识为指导的制度建设
“无规矩不成方圆”,严格的规章制度是安全建设的基础。基于网络精品课服务在应用方面的特殊性,首先要有严格规范的制度保障,如制订网站建设的技术标准,划定建站的编程语言、功能种类、可用的技术,以制度来引导教师采用成熟可靠的技术。此举也能从制度层面规范和约束一些不安全的操作,同时对各课程负责人也是信息安全意识普及的过程。加强制度建设和安全宣传,能够在源头将最易被利用的非技术因素安全隐患消弥于萌芽,这种超越技术层面的防范将比任何先进技术更能有效应对安全威胁。
2.服务器的监控和安全策略的部署
要针对服务器上软件的应用,将安全防范策略逐一部署到每个应用上,如防火墙端口的访问规则,网页文件的读写权限,入侵检测系统的行为判断,定期检查系统及安全软件补丁和升级,严格的密码管理机制等,都要相应地细化到最小的粒度,不能粗略划分安全策略。同时,建立全面的监控,实施对网络流量、网站可访问性的监控,分析访问的日志,掌握服务器的运行状况,以便及时发现异常,揪出安全隐患,提高防范能力。当然还有最传统也是最有效的策略——备份。根据精品课网站维护的特点和周期,制订完善的备份计划或采用双机热备技术,一旦出现险情,将能有效地为精品网络课程保驾护航。
3.建立统一平台,实行集中管理,组织公共论坛
在条件允许的情况下,为所有精品课网站建立统一的课程平台是比较理想的选择。首先,集中的平台化管理可以解决分散建站带来的网页漏洞,在统一的课程平台下,教师不再需要关心网站的制作,可以专注于课程内容和共享资料的添加,对服务器管理而言,无论是商业购买还是自行制作的课程平台,技术人员都可以更加专注于技术层面的安全性,集中处理发现的安全隐患,加固系统安全。对于师生交流的论坛、Blog等互动功能,在集中到大的课程平台后,既易于实现单点登录,方便师生交流心得,查看和维护课程资源,也减少各自使用独立系统的重复性和不安全性,还便于相关部门监管不当言论,保持清新的学习氛围。
4.换一种思路,增强系统自身健壮性
相对于Windows服务器操作系统,Linux在其最初就是被设计用来做服务器操作系统的,并且在自身漏洞和抵御病毒方面,也比Windows优异许多。进行操作系统的迁移可以直接减少安全问题的种类和可能。还有代理服务方式,既可以与迁移后的Linux进行完美结合,也可以独立发挥抵御入侵、降低风险的作用。代理介于访问网站的客户端和网站服务器之间,镜像地缓存网站上的内容,网站服务不直接面对访客,网页的安全漏洞在一定程度上被隐蔽,代理缓存了网页,加速了网站访问,并因为处理应答网页请求的机制不同,弱化了原本网页的漏洞,从而加强了系统的健壮性。
5.不断深化学习,提高防范能力
在技术日新月异的IT世界里,技术的进步和安全问题的产生往往是同时进行的,攻和防的博弈既是技术发展的舞台,也为更多新问题的出现创造了可能,因此安全建设也离不开学习,只有不断地学习、思考,才能知己知彼,了解最新的信息技术,继而才可能结合自身需要去定制最合适、有效的安全防范策略,应对安全问题。同时,开展精品课负责人的安全培训,也不失为安全建设的途径和安全意识普及的方法,可以内在地提升抵御威胁的能力,更具有长远的意义。
参考文献:
[1]国家精品课程评审指标(本科,2009)[EB/OL].http://www.jingpinke.com/xpe/portal/5b076385-11d6-1000-9287-bd80a6bd4b60?uuid=34d58408-120d-1000-b4dd-e0fea0a8d362.
[2]孙红.信息安全的现状及面临的威胁[J].网络安全技术与应用,2009(7):69-71.
[3]挂马.百度百科[EB/OL].http://baike.baidu.com/view/368.htm.
(编辑:金冉)
关键词:精品课;网络课程;网络安全
中图分类号:TP309文献标识码:A文章编号:1673-8454(2010)07-0028-03
一、引言
随着精品课建设的推进,网络精品课在课程评审中所占比重越来越大,评审指标对其技术要求也越来越高。[1]同时,随着各种网络课程模式日益普及,应用层次不断深入,课程网站所包含的内容也逐渐从过去的文本、图片、课件的展示,发展到现在的多媒体互动交流平台、协作学习等全新的教学和展示模式。一方面,课程网站为学习者提供了丰富多彩的内容和方法,使传统的课堂教学不再枯燥,使个性化自主学习成为可能;另一方面,网站访问的开放性、访问者访问的不均匀性,以及课程网页本身的漏洞与缺陷等安全问题也越来越突出。无论是服务器本身还是在互联网中,都存在着诸多物理和人为因素导致的脆弱性和潜在威胁,在网络精品课逐渐成为数字化教学资源和课程建设的重要方面的今天,保障精品课网络服务安全、稳定运行,也具有了更为特殊的意义。
二、网络精品课安全问题的产生及其背景[2]
精品课网站主要由一门门课程组成,根据课程的内容和展示需要,发布课件、习题、试题、互动问答等各种教学资源,这些资源一般都由编制好的Web网站来管理和呈现,网站向互联网开放,因此支撑网站服务的网络环境、服务器、操作系统、网页发布、编程语言、课程文件维护等各个环节,都可能成为不良用意者的目标,如图所示。
精品课网络服务是一个复杂的应用系统,这些环节中每一个组件或组成部分都可能存在自身或因人为失误引起的安全问题,有的甚至是多种安全问题交织出现,在审核这些安全问题时,除了技术方面的内在限制,还面临诸多复杂的人为限制、制度缺失等外部因素的限制,使精品课网络服务在安全问题上处于内外交困的处境。课程网站采用的展示技术众多,内容庞杂,自身的弱点和攻击入口也多种多样,受到入侵或恶意破坏的机会颇多,加之访问的主要群体是学生,一旦出现安全问题,受其影响的程度和范围是不可小觑的。
从精品课网站的角度看,网络课程服务必须面对开放的网络浏览,而网络上各种目的和意图的人都有,即使是一个网络安全防范做得较好的服务器,也不能完全避免被攻击和入侵的可能性。因此,网络精品课建设需要一个安全稳定的技术支撑,这不仅是展示和评比的需要,更由于其在教学过程中越来越多地承载了引导学生学习的重任,故障和破坏导致的无法正常访问将会不同程度地影响到教学的质量和效率。
三、面临的安全威胁
1.漏洞
精品课一般由课程负责人自行决定网页的设计制作方案,通常有学生技术组织、教师技术组织和商业化购买三种制作途径,但无论哪种途径制作的网页,其网页源代码均未经过安全组织的测试鉴定,因此网页自身存在的注入漏洞、验证漏洞、上传漏洞等常见漏洞,很容易成为黑客和不良用意者的“游乐园”,引来大量的扫描探测、入侵、挂马、注入攻击等安全问题。此外,网页的解析程序、发布程序和操作系统漏洞也不应被忽视,任一部分漏洞的不法利用都将不可避免地引发大的、全局性的安全问题:网页内容的篡改、正常访问的受限、网站数据的丢失或删除等,更为可怕的还有机要数据的泄露。因此,漏洞存在的后果是难以想象和估量的,解决漏洞问题也是安全建设中最基本、最重要的部分。
2.挂马
挂马是近几年兴起的一种流行恶意行为,指的是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页木马传播开去,以达到入侵的目的。[3]常见的挂马形式是在index、default等具有特别意义命名的文件里,在文件末尾插入一段类似的脚本代码,该代码实质是加密了的网址,其作用是在打开完网页内容后,在后台悄悄打开此网址。该网址则是一个包含自动下载木马程序的网站,由于嵌入在正常的网页末端随网页正常打开,访问者打开此正常网页时,难以察觉木马已经在下载。其原理是利用网页的缺陷,在服务器上释放后门文件,掌握文件读写权限,再利用自动挂马软件自动连接含有后门文件的服务器添加恶意的链接,整个过程都通过网页服务端口进行,访问后门文件在服务器应答上被当作正常的网页请求,因此能够轻易避开防火墙和一些入侵检测监控系统,难以主动防御,其作用手法不亚于一次入侵。
3.病毒
服务器上面临的病毒传播不同于一般家用或工作环境下电脑病毒的传播,因为原则上是禁止在服务器上安装和运行与服务无关的软件和应用程序的,这虽然减少了通过传统传播方式感染病毒的可能,但依然面对来自FTP服务、网页上传附件等带来的病毒威胁。各课程网站可能会进行不定时上传更新,若在一个中毒的计算机上进行网站维护操作,可能会在不知情的情况下将病毒文件一并传入服务器。虽然安装反病毒软件能在一定程度上予以防御,但其作为一个威胁始终存在。黑客还有可能通过木马对服务器实施全面控制,这种情况下的“次生灾害”也是难以设想的。
4.论坛及其言论的管控
随着课程网站互动功能的流行,论坛、博客、维基百科等知识传播和交流的载体也越来越多地出现在各个课程网站里,然而这些互动功能大多采用的是免费的程序,后继补丁的维护没有连续性,往往是挂上使用以后就再也没人维护,一旦爆出漏洞和安全问题,在技术层面就几乎等同没有安全防范直接暴露在互联网上。并且,由于课程教师仅对课程内容与学生进行交互,并不实际扮演论坛管理者角色,于是也有不法之徒利用论坛管理上的缺位,发表不法言论或广告信息,扰乱课程学习的氛围。
5.人为的无意失误
不当的网站维护,比如在网站目录里存放与网站无关的文件,设置php探针,允许最低权限账户在网页文件上具有执行权限,或是使用phpmyadmin等工具都会引来安全威胁,这种威胁在技术和管理层面都是可以避免的,根据服务器管理最小化权限的原则,多余的文件和权限设置也会将自身的潜在问题带给站点。另外,用户安全意识不强,设置的用户口令太简单,将帐号随意转告他人或保存在计算机上,都是不容回避的实际现象,这些失误一旦被发现和利用,对服务器和其他课程都可能产生影响。
6.入侵和破坏
从技术角度看,一方面服务器在互联网中是面向所有用户的,精品课程的资源也是通过网络共享,另一方面,承担各种网络服务的技术是开放的也是标准的。因此互联网上总会有一些信息寻求者或者说是“猎手”,他们或是闯入系统炫耀下自己的技术,或是寻找自己想要的信息,亦或是为了获得系统控制权以实施破坏性质的攻击。精品课网站服务器同样面临入侵和破坏,需要有充足的准备来面对随时可能发生的入侵。
四、保障的对策
1.以加强安全意识为指导的制度建设
“无规矩不成方圆”,严格的规章制度是安全建设的基础。基于网络精品课服务在应用方面的特殊性,首先要有严格规范的制度保障,如制订网站建设的技术标准,划定建站的编程语言、功能种类、可用的技术,以制度来引导教师采用成熟可靠的技术。此举也能从制度层面规范和约束一些不安全的操作,同时对各课程负责人也是信息安全意识普及的过程。加强制度建设和安全宣传,能够在源头将最易被利用的非技术因素安全隐患消弥于萌芽,这种超越技术层面的防范将比任何先进技术更能有效应对安全威胁。
2.服务器的监控和安全策略的部署
要针对服务器上软件的应用,将安全防范策略逐一部署到每个应用上,如防火墙端口的访问规则,网页文件的读写权限,入侵检测系统的行为判断,定期检查系统及安全软件补丁和升级,严格的密码管理机制等,都要相应地细化到最小的粒度,不能粗略划分安全策略。同时,建立全面的监控,实施对网络流量、网站可访问性的监控,分析访问的日志,掌握服务器的运行状况,以便及时发现异常,揪出安全隐患,提高防范能力。当然还有最传统也是最有效的策略——备份。根据精品课网站维护的特点和周期,制订完善的备份计划或采用双机热备技术,一旦出现险情,将能有效地为精品网络课程保驾护航。
3.建立统一平台,实行集中管理,组织公共论坛
在条件允许的情况下,为所有精品课网站建立统一的课程平台是比较理想的选择。首先,集中的平台化管理可以解决分散建站带来的网页漏洞,在统一的课程平台下,教师不再需要关心网站的制作,可以专注于课程内容和共享资料的添加,对服务器管理而言,无论是商业购买还是自行制作的课程平台,技术人员都可以更加专注于技术层面的安全性,集中处理发现的安全隐患,加固系统安全。对于师生交流的论坛、Blog等互动功能,在集中到大的课程平台后,既易于实现单点登录,方便师生交流心得,查看和维护课程资源,也减少各自使用独立系统的重复性和不安全性,还便于相关部门监管不当言论,保持清新的学习氛围。
4.换一种思路,增强系统自身健壮性
相对于Windows服务器操作系统,Linux在其最初就是被设计用来做服务器操作系统的,并且在自身漏洞和抵御病毒方面,也比Windows优异许多。进行操作系统的迁移可以直接减少安全问题的种类和可能。还有代理服务方式,既可以与迁移后的Linux进行完美结合,也可以独立发挥抵御入侵、降低风险的作用。代理介于访问网站的客户端和网站服务器之间,镜像地缓存网站上的内容,网站服务不直接面对访客,网页的安全漏洞在一定程度上被隐蔽,代理缓存了网页,加速了网站访问,并因为处理应答网页请求的机制不同,弱化了原本网页的漏洞,从而加强了系统的健壮性。
5.不断深化学习,提高防范能力
在技术日新月异的IT世界里,技术的进步和安全问题的产生往往是同时进行的,攻和防的博弈既是技术发展的舞台,也为更多新问题的出现创造了可能,因此安全建设也离不开学习,只有不断地学习、思考,才能知己知彼,了解最新的信息技术,继而才可能结合自身需要去定制最合适、有效的安全防范策略,应对安全问题。同时,开展精品课负责人的安全培训,也不失为安全建设的途径和安全意识普及的方法,可以内在地提升抵御威胁的能力,更具有长远的意义。
参考文献:
[1]国家精品课程评审指标(本科,2009)[EB/OL].http://www.jingpinke.com/xpe/portal/5b076385-11d6-1000-9287-bd80a6bd4b60?uuid=34d58408-120d-1000-b4dd-e0fea0a8d362.
[2]孙红.信息安全的现状及面临的威胁[J].网络安全技术与应用,2009(7):69-71.
[3]挂马.百度百科[EB/OL].http://baike.baidu.com/view/368.htm.
(编辑:金冉)