論網絡教學系統的安全機制

摘要：從網絡教學系統安全的要素出發，分析了其安全威脅的主要表現，針對這些威脅系統地闡述了防火墻的應用、安全檢測、審計與監控、反病毒以及備份系統等有效措施。并將其應用于實例研究，基于案例主要探索了維護ASP應用程序和數據的安全措施。

關鍵詞：網絡教學系統；安全；實例；應用

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)19-30023-03

On Security Mechanisms of the Network Tutoring System

FU Nan-hua， SHAO Hui-fu， WANG Qun

(Jiangxi Radio and Television University， Nanchang 330025， China)

Abstract: From Safety factor of the Network Tutoring System， the Security threats main performance are analyzed. It is described of Against these threats expounded the firewall applications， auditing and monitoring， anti-virus and backup systems， and other effective measures. And applied case studies， case-based exploration of the major maintenance of ASP applications and data security measures.

Key words: network tutoring system; Safety; examples; application

1 引言

隨之因特網的普及，網絡遠程教育發展非常迅速，規模越來越大，網上用戶和遠程教育資源成幾何級數增加。如何通過網絡提供信息服務，如何在巨量的信息資源中快速搜索、篩選信息，如何管理維護信息，更好地為網上用戶提供便捷、高效、安全的網上教學服務，真正實現網上教學的功能，其關鍵是建立一套適合網上教學系統的安全管理機制。

2 網絡教學系統的安全威脅

網絡教學系統的安全包括5個基本要素：機密性、完整性、可用性、可控性以及可審查性，其安全威脅主要表現在：

2.1 非授權訪問

沒有預先經過同意，以假冒、身份攻擊、非法用戶進入系統進行違法操作，或者是合法用戶以未授權方式進行操作等。

2.2 信息遺漏或丟失

敏感數據在有意或無意中被泄漏出去或丟失，包括信息在傳輸中丟失或遺漏（黑客攔截）、信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。

2.3 破壞數據完整性

以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的相依；惡意添加，修改數據，以干擾用戶的正常使用。

2.4 拒絕服務攻擊

不斷對網絡教學系統進行干擾，改變正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入網絡教學系統或不能得到相應的服務。

2.5 利用網絡傳播病毒

通過網絡傳播計算機病毒，其破壞性大大高于單機系統，而且用戶很難防范。

3 網絡教學系統的安全防范

網絡教學系統針對上述安全威脅，可采取如下防范措施：

3.1 內外網隔離及訪問控制系統

在內部網與外部網之間，設置防火墻實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。但是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此，必須將防火墻的安全保護融合到系統的整體安全策略中，才能實現真正的安全。

3.2 內部網不同網絡安全域的隔離及訪問控制

防火墻此處被用來隔離內部網絡的一個望段與另一個網段。這樣，能紡織影響一個網段的問題穿過整個網絡傳播。針對某些網絡，在某些情況下，它的一些局域網的某個網段比另一個網段更受信任，或者某個網段比另一個網段更敏感。而它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。

3.3 網絡安全檢測

網絡系統的安全性取決與系統中最薄弱的環節，定期對網絡系統進行安全性分析，技師發現并修正存在的弱點和漏洞，是最大限度保障系統安全的有效措施之一。

3.4 審計與監控

審計是紀錄用戶使用網絡教學系統進行所有活動的過程，對于確定問題和攻擊源、迅速和系統地識別問題有著重要意義，同時更是事故處理的重要依據。

另外，還應使用成熟的網絡監控設備或實時入侵檢測設備，以便對進出各級局域網的長劍操作進行實時檢查、監控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。

3.5 網絡反病毒

網絡環境下的教學服務活動，計算機病毒有著不可估量的威脅性和破壞力，一次計算機病毒的防范是網絡安全性建設中重要的一環。網絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術。網絡反病毒具體的實現方法包括對網絡服務器中的文件頻繁地掃描和監測；在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。

3.6 網絡備份系統

備份系統為了盡可能快地全盤恢復運行計算機系統所需的數據和系統信息。根據系統安全需求可選擇相應的備份機制：場地內高速度、大容量自動的數據存儲、備份與恢復；場地外的數據存儲、備份與恢復；對系統設備的備份。

數據備份操作通常有全盤備份、增量備份和差分備份等三種方式，在備份技術上則有“熱備份”和“冷備份”兩種，二者兼用，優勢互補，相輔相成。

4 網絡教學系統的安全機制研究實例

網絡教學系統安全機制主要有訪問控制機制、加密機制、認證交換機制、數字簽名機制、防業務流分析機制、路由控制機制等。網絡安全技術主要有防火墻技術、加密技術、鑒別技術、數字簽名技術、審計監控技術、病毒防治技術等。本例僅探索維護ASP應用程序的安全和維護數據的安全。

4.1 維護ASP應用程序的安全

Web服務器提供了各種方法來保護ASP應用程序免受未授權的訪問和篡改。

1) NTFS權限

可以通過為單獨的文件和目錄應用NTFS訪問權限來保護ASP應用程序文件。NTFS權限是Web服務器安全性的基礎，它定義了一個或一組用戶訪問文件和目錄的不同級別。當擁有Windows NT有效帳號的用戶試圖訪問一個有權限限制的文件時，計算機將監測文件訪問控制表（ACL）。該表定義了不同用戶和用戶組所被賦予的權限。如果用戶的帳號具有打開文件的權限，計算機則允許該用戶訪問文件。

2) 維護Global.asa的安全

為了充分保護ASP應用程序，一定要在應用程序的Global.asa文件上為適當的用戶或用戶組設置NTFS文件權限。如果Global.asa包含向瀏覽器返回信息的命令而沒有包含Global.asa文件，則信息將被返回該瀏覽器，即便應用程序的其他文件被保護。

3) Web服務器權限

可以通過配置Web服務器的權限來限制所有用戶查看、運行和操作ASP頁的方式。不同于NTFS權限提供的控制特定擁有對應程序文件和目錄的訪問方式，Web服務器權限應用于所有用戶，并且不區分用戶帳號的類型。

對于要運行ASP應用程序的用戶，在設置Web服務器權限時，必須遵循下列原則：

a．對包含.asp文件的虛擬目錄運行“讀”或“腳本”權限。

b．對.asp文件和其他包含腳本的文件（如.htm文件等）所在的虛目錄允許“讀”或“腳本”權限。

c．對包含.asp文件和其他需要“執行”權限才能允許的文件（如.exe和.dll文件等）的虛目錄允許“讀”和“執行”權限。

4) 使用身份驗證機制保護被限制的ASP內容

每個試圖訪問被限制的ASP內容的用戶必須要有有效的Windows NT帳號的用戶名和密碼。每當用戶試圖訪問被限制的內容時，Web服務器將進行身份驗證，即確認用戶身份，以檢查用戶是否擁有有效的Windows NT帳號。

Web服務器支持以下兩種身份驗證方式：

a．基本身份驗證：提示用戶輸入用戶名和密碼。

b．Windows NT請求/響應式身份驗證：從用戶的Web瀏覽器通過加密方式獲取用戶身份信息。

網絡教學系統模塊之間的身份驗證可通過用戶的身份信息或權限保存在Session變量中，在各個模塊間進行驗證。如下例子是利用學生的用戶名和課程編號來保證文件安全的通用模塊。

＜% If Session (\"course_no\") = \"c07008\" then%＞

＜%

……

%＞

＜%

Else

Response.write(\"＜br＞\"\"＜a herf=\"\"../../student_id.htm\"\")＞您并不屬于本課堂或操作超時，請點擊這里重新登陸\"\"＜/A＞\")

Response.End

……

End If

%＞

4.2 維護數據的安全

維護數據的安全則是保護用戶輸入的數據并不會對系統造成無法挽回的影響，同時，防止惡意用戶通過輸入惡意程序代碼對網絡教學系統的破壞行為，因此，要解決這一問題，就需要將這些代碼過濾。下面是一個擁有消除HTML中消除引起歧義的字符的通用程序段。

＜%

Function strFiler(str)

Dim strTemp

StrTemp=str

If Not IsNull(strTemp)Then

StrTemp=Replace(strTemp， \"\"， \"\")

End if

strFilter=strTemp

End function

Function strShow(str)

Dim strTemp

strTemp=str

If Not IsNull(strTemp)Then

StrTemp=Replace(strTemp， \"\"，\""\")

StrTemp=Replace(strTemp， \"\"，\"\")

StrTemp=Replace(strTemp， chr(34)，\"\"\")

StrTemp=Replace(strTemp， chr(39)，\"#;\")

StrTemp=Replace(strTemp， \"＜\"，\"<\")

StrTemp=Replace(strTemp， \"＞\"，\"glt;\")

StrTemp=Replace(strTemp， chr(13)+chr(10)，\"＜br＞\")

End if

StrShow=strTemp

End function

%＞

5 結束語

網絡教學是現代化教育技術應用的集中體現，是教育信息化建設的不可或缺的重要部分，其系統的建立是一項龐大的工程。安全則是網絡教學系統信息化建設的關鍵，隨著系統規模的擴大和復雜，系統面臨著更多、更為復雜的安全風險問題，需要從系統的角度分析問題和解決問題，不斷的更新技術和方法，確保數據的安全性，為網絡服務提供更加安全的平臺。

參考文獻：

[1] 李發軍.計算機網絡安全評估系統的設計與實施[J].才智，2008(02):156.

[2] 閻慧，王偉.防火墻原理與技術[M].北京:機械工業出版社，2004.

[3] 胡道遠，京華.網絡安全技術[M].北京:清華大學出版社，2004.

[4] 李海濤.論網絡和系統的安全管理[J].中國現代教育裝備，2008(03):71-72.