關于網絡教學信息系統安全隱患 模板

1、關于網絡教學信息系統安全隱患 1.引言 隨著社會高速絡化,教育信息化也得到了全面開展,各級各類學校越來越重視絡教育信息系統的建設與應用。基于絡的教育信息系統,可以把辦公數據和文件信息緊密的在一起,實現資源共享,使我們的管理更加有效、快捷和科學。但由于計算機絡具有聯結形式的多樣性、終端分布的不均勻性和絡的開放性等特征,致使建立在絡技術基礎上的絡教育信息系統,或多或少地存在著安全方面的隱患,并隨著絡的發(fā)展愈加突出。這些隱患有的源于絡本身,有的源于系統本身,有的雖然采取了一些安全防護措施但是技術陳舊,抵擋不了外界的進攻。因此,當人們在享受高速、方便的絡化辦公的同時,如何確保數據與信息的完整與安全,已

2、成為擺在我們面前的刻不容緩和必須考慮的課題。 2.絡教育信息系統安全的含義 絡教育信息系統是以計算機科學技術為支撐,以提高教育管理水平和輔助教育決策效果為目的的綜合性人機信息系統?；诮j的教育信息系統,可以把辦公數據和文件信息緊密的在一起,實現資源共享,是我們的管理更加有效、快捷和科學。利用絡教育信息系統可使辦公人員節(jié)省大量的工作時間,提高工作效率,減少辦公費用,提高決策的準確性和科學性。因而進入本世紀以來,各級各類學校都紛紛建立了基于絡的教育信息系統,并廣泛采用絡教育信息系統來進行日常信息處理。在這種開放的絡辦公環(huán)境下,系統合容易受到非法人員、黑客和病毒的入侵,同時在傳輸過程中數據也可能被截

3、取、修改或刪除。一旦各種教育信息受到了破壞、竊取或篡改,都將對學校的管理、決策造成嚴重的影響。因此,加強教育信息系統的安全與保密工作顯得尤其重要。所謂教育信息系統的安全可以分為狹義安全與廣義安全兩方面。狹義安全主要是對外部攻擊的防范,而廣義安全則是保障系統中數據的保密性、完整性和可用性。 3.絡教育信息系統的安全隱患 一個安全的絡教育信息系統可以用保密性、完整性、可用性、可控性、不可否認性五個方面表征。影響絡教育信息系統安全的隱患既有來自于物理方面的,也有來自于其他方面的。根據絡教育信息系統自身的特點和當前的絡環(huán)境,絡教育信息系統所面臨的安全性威脅主要有以下幾個方面。 這,通過絡與外部世界連接

4、,絡的安全隱患絡教育信息系統依賴于絡運行 就使得外部人員可能獲得對系統的訪問權,絡黑客、脫離單位的人員和其他有惡意的人都有可能和系統連接造成不可挽回的損失。(1)信息傳輸中的威脅。主要有兩種:主動攻擊和被動攻擊。主動攻擊是指攻擊者通過絡將虛假信息、垃圾數據和計算機病毒等置入系統內部,破壞信息的真實性和完整性。主動攻擊又分為內部攻擊和遠程攻擊。內部攻擊是指攻擊者在絡中取得合法身份后,在局域內采取攻擊的手段以獲取超越權限的信息資料。遠程攻擊是指攻擊者通過掃描程序等絡工具對遠程機器的絡概況、操作系統進行搜索,發(fā)現有關目標機的詳細資料,利用口令攻擊程序等工具,對目標機器的文件資料、配置進行閱讀、拷貝、

5、修改,甚至控制機器。隨著絡的發(fā)展,絡攻擊者黑客的數量在增加,攻擊方式也在不斷改進。未來對計算機絡信息系統威脅最大的遠程攻擊可能為以下幾種:(a)隱蔽攻擊。黑客利用絡中不斷出現的新技術和軟件產品,將惡意代碼在傳播過程中改頭換面,對代碼進行加密,并隱藏其攻擊目標,掩蓋入侵路徑和傳播途徑,在不知不覺中盜竊、破壞信息,甚至控制機器。(b)自動更新應用。黑客利用軟件商通過絡提供的自動更新服務,將惡意代碼嵌在更新服務中或者更改更新服務的使用戶在時被定向到攻擊者的機器上。(c)路由/DNS攻擊。目前路由邊界關協議的漏洞很少見,但不是無懈可擊,而DNS一直被一些問題困擾。黑客若找出了路由協議的漏洞或控制了DN

6、S,整個絡就失去了可用性。(d“)信息+物理”的混合攻擊。這種方式是利用信息手段攻擊計算機絡系統,使系統癱瘓,同時以物理方式攻擊系統的物理設施。被動攻擊是指攻擊者利用通訊設備或其他手段,在通信傳輸線路中直接搭線竊聽,從絡中盜取信息但不破壞信息系統的攻擊方式,使信息泄露而不被察覺。主要威脅信息的保密性。絡監(jiān)聽就是一種最常用的被動攻擊方法。其特點是隱蔽性強、手段靈活、檢測困難。通過絡監(jiān)聽,攻擊者能輕易獲得各種重要信息。(2)信息存儲中的威脅。攻擊者在獲取系統的訪問控制權后,瀏覽存儲介質中的敏感信息,直接盜竊、蓄意刪改,這些信息甚至造成系統癱瘓,使信息的保密性、真實性、完整性受到破壞。(3)信息加工

7、處理中的威脅。信息在加工處理過程中通常以明文形式出現,在此期間如果遭到攻擊,極易使信息泄露。 管理人員專業(yè)知識匱乏談到系統管理人員的問題應該說它屬于機構的內部事務。通常負責密鑰管理和系統維護的人越多,系統出問題的可能性就越大。對此,最好的解決辦法是建立完整的安全政策,嚴格控制用戶的權限以及對關鍵信息的訪問。許多單位(尤其是一些規(guī)模不大的單位)的系統管理員不具備扎實的相關專業(yè)知識,他們只是對操作系統有了一定的了解就從事絡管理工作,不知道如何解決安全問題。他們管理的系統普遍缺乏合理的安全規(guī)劃和管理,從而使得其自身的系統對外呈現出很多不應該出現的安全漏洞,給外界入侵提供了便利的 條件。 系統軟件的缺

8、陷這類缺陷主要包括絡教育信息系統本身有缺陷。常見的絡應用系統包含了Web瀏覽器、Java虛擬機Web服務器、事務服務器、數據庫系統和防火墻等等。由于其結構十分復雜,建立時沒有采取有效的安全措施,如對絡互聯沒有驗證、共享文件沒有保護、文件沒有及時備份等;系統安全防護配置不合理,沒有起到應有的作用;系統權限設置太少,用戶口令簡短且缺乏安全管理等等。任何一個部分都有可能出錯,而任何一個錯誤都有可能導致安全漏洞或數據失竊、文件被毀或事務被欺騙提交等。 拒絕服務拒絕服務是指一個未經授權的用戶不需要任何特權不斷對絡服務進行干擾,改變其正常的作業(yè)流程,執(zhí)行無關程序,使系統響應減慢,甚至癱瘓,影響正常用戶的使

9、用。拒絕服務攻擊可以由任何人發(fā)起,而它只利用2類辦法便可實現攻擊。(1)系統程序的錯誤特殊的請求數據可能導致系統癱瘓。(2)協議本身抗干擾能力差這是許多基于TCP/IP的協議所共有的問題,攻擊者靠大量的請求數據擠占合法用戶的請求空間,使合法用戶的請求無法得到響應。典型的示例如SYNFlood、Smurf以及DDoS等。 安全意識和管理力度不夠從我國當前的情況來看,現行計算機應用基礎及職業(yè)培訓等教材所涉及的教學內容是以單機使用背景為主線展開的,僅限于計算機病毒及防治,只介紹用技術進行安全防范,沒有體現用法律、法規(guī)、管理、技術全面進行絡信息系統安全防范的理念。整個社會的絡安全意識不夠,尚處于萌芽階

10、段,造成許多人誤認為計算機絡信息系統安全保護工作是計算機專業(yè)人員的事,這給絡教育信息系統的安全提供了很大的隱患。而計算機專業(yè)人員又認為絡信息安全保護據說采用各種安全保護技術、保護軟件等,限制了安全防范工作開展,為此,有待于對廣大用戶的絡安全意識進行培育、提高。員工的絡安全意識低(包括絡管理員),大部分單位都沒有得力的監(jiān)督實施手段和相應的安全管理人員,沒有把絡信息系統安全提升到管理的層面。 4.絡教育信息系統安全隱患的策略 絡教育信息系統是由硬件、軟件、數據以及通信線路和絡等多種介質組成的復雜系統。在這個系統中,就技術方面而言又涉及到絡保護技術、數據加密技術、數字簽名技術、鑒別技術等領域。因而針

11、對各種安全隱患,為保證系統安全運行,可以采取以下相應的對策。(1)及時升級系統操作系統難免存在安全性弱點,有些甚至會暴露管理員的登錄信息,或者是在系統中引起安全性漏洞,使得系統易受某個木馬或黑客的秘密攻擊。系統管理員應及時查詢最新的補丁程序和更新軟件,按照相應的指令來將這些軟件安裝到系統上。(2)加強賬號安全windows服務器管理員賬號登陸名稱和密碼應具有惟一性和一定的復雜程度。賬號若是只需要再猜測密碼就可,黑客通過這個賬號名稱Administrator,默認的windows登錄系統;而管理員的密碼太簡單,將很容易被猜測出來,在輸入時也容易被偷看人記住。(3)禁用不必要的協議和通信服務在默認

12、情況下,許多協議、客戶驅動程序和通信服務都安裝在Windows絡操作系統服務器上,而這些內容對一個標準的Web服務系統來說是不必要的。為了增強Web服務器的安全性,除了必需的協議和服務外,其他的都應當被刪除。如除了TCP/IP協議外,包括Net-BEUI協議、NWLink協議、DLC協議和ClientServicesforNetware等都應刪除。(4)建立健全防火墻軟件防火墻是指在兩個絡之間加強訪問控制的一整套裝置,也可以說,防火墻是設置在被保護絡和外部絡之間的一道屏障,強制所有的訪問或連接都必須經過這一保護層,從而防止發(fā)生不可預測的、潛在的破壞性入侵。防火墻的種類較多,在選擇上最好選擇嵌入

13、型防火墻,這種防火墻不僅能對信息絡的周邊提供保護,還能提供內部絡的安全訪問保護。(5)安裝防病毒軟件為了保證系統安全,在系統中要應用防病毒技術。在工作中,各工作站要定期殺毒,對上互聯的計算機或服務器應安裝優(yōu)秀的防病毒軟件,如瑞星等殺毒軟件提供了自動檢測、清除、報告病毒的功能。還要注意收集對新出現病毒的報告,并定期或及時升級殺毒軟件,做到:早知道、早預防、早發(fā)現、早清除,確保信息絡系統平安。(6)安裝實時入侵檢測軟件入侵檢測是對防火墻的合理補充或補嘗,它是幫助系統對付絡攻擊的積極防御技術,擴展了系統管理員的安全管理能力,可提高信息安全基礎結構的完整性。入侵檢測可以說是防火墻之后的第二道安全閘門,

14、在不影響絡性能的情況下能對絡進行監(jiān)測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。(7)數據加密技術數據加密是指將銘文信息采取數學方法進行函數轉換成為密文,只有特定接收方才能將其解密還原成為明文的過程,它是以密鑰為基礎的。加密的目的是保護內的數據、文件、口令和控制信息的傳輸,確保不宜公開的電子信息的非公開性。在多數情況下,信息加密是保證信息機密性的惟一方法。(8)數據簽名技術數據簽名是用來證實被認證對象是否名符其實,事件是否有效的一種過程,以此確認其內容是否被篡改或偽造。(9)訪問控制技術訪問控制是信息安全防范和保護的主要措施與手段,它的主要任務是保證信息不被非法訪問和非法使用,具體措施包

15、括:入訪問控制、權限控制、防火墻控制。 &nb sp; 5.制訂健全的系統安全管理措施 要提高教育信息系統絡的安全,信息管理部門應根據管理原則和各部門把絡安全管理真正提升到管,制訂相應的管理制度或采用相應的規(guī)范,具體情況理層面,從而加強安全管理的力度。具體的工作是:(1)加強信息安全制度建設。應加強絡教育信息安全制度建設,針對各部門制定相應的絡管理辦法、絡安全管理條例、信息發(fā)布管理條例等。(2)設置資源使用權限和口令。系統管理員應對所有用戶設置資源使用權限和口令,并對用戶名和口令進行加密存儲、傳輸,能提供完整的用戶使用記錄和分析,建立和維護完整的數據庫;加強物理環(huán)境的安全防護,保證設備和設施不受自然和人為破壞。(3)制訂完備的系統維護制度和嚴格的操作規(guī)程。對系統進行維護時,應采取數據保護措施,如數據備份等。維護時要首先經主管部門批準,并有安全管理人員在場,故障的原因、維護內容和維護前后的情況要詳細記錄。對所有操作人員、操作技術設備軟件和數據建立相應的管理制度。操作規(guī)程要根據職責分離和多人負責的原則,各負其責,不能超越自己的管轄范圍。(4)加強保密知識的宣傳工作。通過各種形式的宣傳使全體人員了解計算機信息系統安全與保密的重要性,提高個人修養(yǎng),加強職業(yè)道德。(5)制訂應急措施。要制訂系統在