摘要：從網(wǎng)絡教學系統(tǒng)安全的要素出發(fā)，分析了其安全威脅的主要表現(xiàn)，針對這些威脅系統(tǒng)地闡述了防火墻的應用、安全檢測、審計與監(jiān)控、反病毒以及備份系統(tǒng)等有效措施。并將其應用于實例研究，基于案例主要探索了維護ASP應用程序和數(shù)據(jù)的安全措施。

關鍵詞：網(wǎng)絡教學系統(tǒng)；安全；實例；應用

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)19-30023-03

On Security Mechanisms of the Network Tutoring System

FU Nan-hua， SHAO Hui-fu， WANG Qun

(Jiangxi Radio and Television University， Nanchang 330025， China)

Abstract: From Safety factor of the Network Tutoring System， the Security threats main performance are analyzed. It is described of Against these threats expounded the firewall applications， auditing and monitoring， anti-virus and backup systems， and other effective measures. And applied case studies， case-based exploration of the major maintenance of ASP applications and data security measures.

Key words: network tutoring system; Safety; examples; application

1 引言

隨之因特網(wǎng)的普及，網(wǎng)絡遠程教育發(fā)展非常迅速，規(guī)模越來越大，網(wǎng)上用戶和遠程教育資源成幾何級數(shù)增加。如何通過網(wǎng)絡提供信息服務，如何在巨量的信息資源中快速搜索、篩選信息，如何管理維護信息，更好地為網(wǎng)上用戶提供便捷、高效、安全的網(wǎng)上教學服務，真正實現(xiàn)網(wǎng)上教學的功能，其關鍵是建立一套適合網(wǎng)上教學系統(tǒng)的安全管理機制。

2 網(wǎng)絡教學系統(tǒng)的安全威脅

網(wǎng)絡教學系統(tǒng)的安全包括5個基本要素：機密性、完整性、可用性、可控性以及可審查性，其安全威脅主要表現(xiàn)在：

2.1 非授權訪問

沒有預先經(jīng)過同意，以假冒、身份攻擊、非法用戶進入系統(tǒng)進行違法操作，或者是合法用戶以未授權方式進行操作等。

2.2 信息遺漏或丟失

敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，包括信息在傳輸中丟失或遺漏（黑客攔截）、信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。

2.3 破壞數(shù)據(jù)完整性

以非法手段竊得對數(shù)據(jù)的使用權，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的相依；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。

2.4 拒絕服務攻擊

不斷對網(wǎng)絡教學系統(tǒng)進行干擾，改變正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入網(wǎng)絡教學系統(tǒng)或不能得到相應的服務。

2.5 利用網(wǎng)絡傳播病毒

通過網(wǎng)絡傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且用戶很難防范。

3 網(wǎng)絡教學系統(tǒng)的安全防范

網(wǎng)絡教學系統(tǒng)針對上述安全威脅，可采取如下防范措施：

3.1 內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng)

在內(nèi)部網(wǎng)與外部網(wǎng)之間，設置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護內(nèi)部網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟的措施之一。但是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此，必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中，才能實現(xiàn)真正的安全。

3.2 內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制

防火墻此處被用來隔離內(nèi)部網(wǎng)絡的一個望段與另一個網(wǎng)段。這樣，能紡織影響一個網(wǎng)段的問題穿過整個網(wǎng)絡傳播。針對某些網(wǎng)絡，在某些情況下，它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任，或者某個網(wǎng)段比另一個網(wǎng)段更敏感。而它們之間設置防火墻就可以限制局部網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。

3.3 網(wǎng)絡安全檢測

網(wǎng)絡系統(tǒng)的安全性取決與系統(tǒng)中最薄弱的環(huán)節(jié)，定期對網(wǎng)絡系統(tǒng)進行安全性分析，技師發(fā)現(xiàn)并修正存在的弱點和漏洞，是最大限度保障系統(tǒng)安全的有效措施之一。

3.4 審計與監(jiān)控

審計是紀錄用戶使用網(wǎng)絡教學系統(tǒng)進行所有活動的過程，對于確定問題和攻擊源、迅速和系統(tǒng)地識別問題有著重要意義，同時更是事故處理的重要依據(jù)。

另外，還應使用成熟的網(wǎng)絡監(jiān)控設備或?qū)崟r入侵檢測設備，以便對進出各級局域網(wǎng)的長劍操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡的攻擊與犯罪行為。

3.5 網(wǎng)絡反病毒

網(wǎng)絡環(huán)境下的教學服務活動，計算機病毒有著不可估量的威脅性和破壞力，一次計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。網(wǎng)絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術。網(wǎng)絡反病毒具體的實現(xiàn)方法包括對網(wǎng)絡服務器中的文件頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等。

3.6 網(wǎng)絡備份系統(tǒng)

備份系統(tǒng)為了盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇相應的備份機制：場地內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復；場地外的數(shù)據(jù)存儲、備份與恢復；對系統(tǒng)設備的備份。

數(shù)據(jù)備份操作通常有全盤備份、增量備份和差分備份等三種方式，在備份技術上則有“熱備份”和“冷備份”兩種，二者兼用，優(yōu)勢互補，相輔相成。

4 網(wǎng)絡教學系統(tǒng)的安全機制研究實例

網(wǎng)絡教學系統(tǒng)安全機制主要有訪問控制機制、加密機制、認證交換機制、數(shù)字簽名機制、防業(yè)務流分析機制、路由控制機制等。網(wǎng)絡安全技術主要有防火墻技術、加密技術、鑒別技術、數(shù)字簽名技術、審計監(jiān)控技術、病毒防治技術等。本例僅探索維護ASP應用程序的安全和維護數(shù)據(jù)的安全。

4.1 維護ASP應用程序的安全

Web服務器提供了各種方法來保護ASP應用程序免受未授權的訪問和篡改。

1) NTFS權限

可以通過為單獨的文件和目錄應用NTFS訪問權限來保護ASP應用程序文件。NTFS權限是Web服務器安全性的基礎，它定義了一個或一組用戶訪問文件和目錄的不同級別。當擁有Windows NT有效帳號的用戶試圖訪問一個有權限限制的文件時，計算機將監(jiān)測文件訪問控制表（ACL）。該表定義了不同用戶和用戶組所被賦予的權限。如果用戶的帳號具有打開文件的權限，計算機則允許該用戶訪問文件。

2) 維護Global.asa的安全

為了充分保護ASP應用程序，一定要在應用程序的Global.asa文件上為適當?shù)挠脩艋蛴脩艚M設置NTFS文件權限。如果Global.asa包含向瀏覽器返回信息的命令而沒有包含Global.asa文件，則信息將被返回該瀏覽器，即便應用程序的其他文件被保護。

3) Web服務器權限

可以通過配置Web服務器的權限來限制所有用戶查看、運行和操作ASP頁的方式。不同于NTFS權限提供的控制特定擁有對應程序文件和目錄的訪問方式，Web服務器權限應用于所有用戶，并且不區(qū)分用戶帳號的類型。

對于要運行ASP應用程序的用戶，在設置Web服務器權限時，必須遵循下列原則：

a．對包含.asp文件的虛擬目錄運行“讀”或“腳本”權限。

b．對.asp文件和其他包含腳本的文件（如.htm文件等）所在的虛目錄允許“讀”或“腳本”權限。

c．對包含.asp文件和其他需要“執(zhí)行”權限才能允許的文件（如.exe和.dll文件等）的虛目錄允許“讀”和“執(zhí)行”權限。

4) 使用身份驗證機制保護被限制的ASP內(nèi)容

每個試圖訪問被限制的ASP內(nèi)容的用戶必須要有有效的Windows NT帳號的用戶名和密碼。每當用戶試圖訪問被限制的內(nèi)容時，Web服務器將進行身份驗證，即確認用戶身份，以檢查用戶是否擁有有效的Windows NT帳號。

Web服務器支持以下兩種身份驗證方式：

a．基本身份驗證：提示用戶輸入用戶名和密碼。

b．Windows NT請求/響應式身份驗證：從用戶的Web瀏覽器通過加密方式獲取用戶身份信息。

網(wǎng)絡教學系統(tǒng)模塊之間的身份驗證可通過用戶的身份信息或權限保存在Session變量中，在各個模塊間進行驗證。如下例子是利用學生的用戶名和課程編號來保證文件安全的通用模塊。

＜% If Session (\"course_no\") = \"c07008\" then%＞

＜%

……

%＞

＜%

Else

Response.write(\"＜br＞\"\"＜a herf=\"\"../../student_id.htm\"\")＞您并不屬于本課堂或操作超時，請點擊這里重新登陸\"\"＜/A＞\")

Response.End

……

End If

%＞

4.2 維護數(shù)據(jù)的安全

維護數(shù)據(jù)的安全則是保護用戶輸入的數(shù)據(jù)并不會對系統(tǒng)造成無法挽回的影響，同時，防止惡意用戶通過輸入惡意程序代碼對網(wǎng)絡教學系統(tǒng)的破壞行為，因此，要解決這一問題，就需要將這些代碼過濾。下面是一個擁有消除HTML中消除引起歧義的字符的通用程序段。

＜%

Function strFiler(str)

Dim strTemp

StrTemp=str

If Not IsNull(strTemp)Then

StrTemp=Replace(strTemp， \"\"， \"\")

End if

strFilter=strTemp

End function

Function strShow(str)

Dim strTemp

strTemp=str

If Not IsNull(strTemp)Then

StrTemp=Replace(strTemp， \"\"，\""\")

StrTemp=Replace(strTemp， \"\"，\"\")

StrTemp=Replace(strTemp， chr(34)，\"\"\")

StrTemp=Replace(strTemp， chr(39)，\"#;\")

StrTemp=Replace(strTemp， \"＜\"，\"<\")

StrTemp=Replace(strTemp， \"＞\"，\"glt;\")

StrTemp=Replace(strTemp， chr(13)+chr(10)，\"＜br＞\")

End if

StrShow=strTemp

End function

%＞

5 結(jié)束語

網(wǎng)絡教學是現(xiàn)代化教育技術應用的集中體現(xiàn)，是教育信息化建設的不可或缺的重要部分，其系統(tǒng)的建立是一項龐大的工程。安全則是網(wǎng)絡教學系統(tǒng)信息化建設的關鍵，隨著系統(tǒng)規(guī)模的擴大和復雜，系統(tǒng)面臨著更多、更為復雜的安全風險問題，需要從系統(tǒng)的角度分析問題和解決問題，不斷的更新技術和方法，確保數(shù)據(jù)的安全性，為網(wǎng)絡服務提供更加安全的平臺。

參考文獻：

[1] 李發(fā)軍.計算機網(wǎng)絡安全評估系統(tǒng)的設計與實施[J].才智，2008(02):156.

[2] 閻慧，王偉.防火墻原理與技術[M].北京:機械工業(yè)出版社，2004.

[3] 胡道遠，京華.網(wǎng)絡安全技術[M].北京:清華大學出版社，2004.

[4] 李海濤.論網(wǎng)絡和系統(tǒng)的安全管理[J].中國現(xiàn)代教育裝備，2008(03):71-72.