2005年教育网络安全状况报告


我国教育信息化的基础设施已经初具规模,一系列适应教育信息化需求的应用平台、软件、网络课程、网络资源的开发和推广应用,已经初步改善了过去“有路无车,有车无货”的局面。但是,随着我国教育信息化的飞速发展,城域网和校园网络建设与应用的不断普及和成熟,作为教育信息化重要基石的信息安全问题却不容乐观。校园信息安全、网络安全问题已经成为教育主管部门和各地学校管理者关心的重大问题,教育信息和网络的安全问题成为保持校园正常教学、管理的重要课题。
安全事件的发生 仍然呈上升趋势
根据IBM日前发布的全球商务安全指数报告指出,2005年上半年,病毒和犯罪性安全攻击增长了50%,教育行业虽然不是网络攻击和具有商业价值性质的网络犯罪的重要目标,但是普通用户信息安全技能的普遍低下、用户数量的增多必然导致信息安全事件的频繁发生, “越防越多”的网络入侵和用户数据被窃取的事件频繁发生,有时候确实让人匪夷所思!
根据国际权威应急组织CERT╱CC统计,2005年上半年其收到漏洞报告2874个,平均每天超过15个。除了人为因素外,漏洞的大量存在是网络安全问题的形势趋于严峻的重要原因之一。
2005年上半年,以商业为目的的间谍软件成为互联网安全的最大威胁,它们通常以欺骗用户为手段,在用户不知情的情况下偷偷进行安装,并悄悄把截获的机密信息发送给第三者,严重干扰用户的日常工作、威胁用户电脑中的数据安全以及侵犯个人隐私。间谍软件邮件病毒等各种各样的恶意代码给教育网用户的工作、生活带来诸多不便,严重影响到了教育教学的正常进行。在2005年,教育网和各地中小型校园网虽然没有遭受类似于去年的“振荡波”等恶性病毒的大面积侵害,而蠕虫病毒、间谍软件、网络钓鱼等就像“大堤下面的白蚁”,在不经意间给电脑用户造成巨大的损失。另外,我国高校的校园网中部存在着一个管理不严的事实。从年初的“MSN性感鸡”到利用QQ传播的”书虫”、“QQRRober”、 “QQTran”,以及可以通过多种IM平台进行传播的QQ“Ting”,它们通过IM广阔的交流空间大肆传播,校园网管理上存在不足是安全事件的发生几率增大的另一个重要因素。
“三大隐患”防不胜防
一般来说,一个网络中存在的漏洞数量决定了所受到的威胁程度和遭受的攻击类型,教育网松弛的安全管理制度决定了它的严重性。网络安全事件影响日益广泛,网络安全保障的难度越来越大,仅仅靠少数的信息网络中心和服务机构远远不够,需要提高整个教育网用户的安全意识、提高应对网络安全事件的能力才是真正意思上的可取之道。但是,我们不能摆脱现今网络安全体系中最突出的垃圾邮件、不规范的程序代码和内部安全问题。
◎垃圾邮件
垃圾邮件的发送者利用“最小的成本”可以获得最大的利益,或者采取网络钓鱼的方式获得入侵和控制电脑的目的,这是垃圾邮件大量产生的原因。教育市场巨大利润以及淡薄的防护意识都使其成为了最严重的受害者之一。
除了商业利益的驱使,病毒、蠕虫脚本的传播也是垃圾邮件产生的原因,整个互联网的效率降低和垃圾邮件有着必然的联系。近年来蠕虫邮件在整个教育网肆虐,病毒的种类和名称数不胜数。
根据调查,2005年7月以前,40%的区县级别的教育网管理机构和两千台以上的校园网都购买了相关的防垃圾邮件产品和以及服务。在值得庆幸的同时,误报、错误以及性能低下的部分产品,也加剧了某些网络安全平台的不合理性。
◎不规范的程序代码
随着教育信息化的大力推进,教育信息网、学科资源网站、区域性的教育门户网站等等大量建立起来。人们在建立网站的时候考虑最多的是内容的丰富性和宣传效应,以及访问量。大部分的教育网站在建立的同时都会将大量的资金和人力投入到防火墙和入侵监测系统的建设,同时采用了比较安全的访问策略。不过有一个地方的确被管理员忽视了,那就是网站代码的安全,这也许是一个最容易被人遗忘的角落。
随着B╱S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多,一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断;使应用程序存在安全隐患。许多教师通过简单的学习和培训就可以利用ASP语言等建立动态管理的网站,而这些非专业人员网站在设计中没有任何人对网站的编写规范进行安全检查,从而暴露出数据库的真实参数,导致网站容易受到攻击。
◎内部安全
教育网信息安全领域中存在的另一个普遍性的问题就是“重外轻内”,用户将注意力集中于如何防范那些来自网络外部的恶意攻击,对于最终用户来说尤其如此。但是历史的经验告诉我们,以这种方式来处理信息安全问题并非上佳之策。有大量的证据表明,相对于那些由外部发起的恶意攻击,一些产生自内部网络的事件会给用户带来更严重的损失。2003年美国CSI╱FBI公布的计算机犯罪与安全调查报告带给业内很大的触动,该报告显示八成以上的计算机犯罪行为都与内部人员有相当的关联。排除那些内外勾结的计算机犯罪行为,由内部人员的疏忽和误用所造成的损失也占了相当大的比例。所以与网络攻击、病毒浪潮这些为大众所关注的事件相比,内部网络安全仍旧处于一个相对不受关注的位置。正是由于面临着如此的困境和威胁,近年来安全产业中有关注重内网安全的呼声越来越高。很多安全专家都纷纷呼吁,在重视以网关式产品为主要形式的边界防御的同时,也要有效的对内部网络进行安全管理,以达到网络的整体安全性。
两个遗留问题依然存在
僵尸网络(Bot网络)是指主机和电脑被恶意代码控制,进而自动接收黑客通过远程控制节点发送的控制指令,在互联网上受到黑客的集中控制,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被他们随意取用。
由于教育网内存在着正版软件使用率低,网络管理人员业务水平有一定的局限性,以及防毒系统单机版多和无法.统一管理等弊端,使得某些网络内的存在着大量的未激发的受控客户端。教育城域网管理机构、区县信息中心、校园网管理部门应该以应对安全事件的攻击和减少用户损失为目标,和区县级以上的信息安全管理部门保持良好的合作关系,及时准确地找出隐藏在背后的攻击者进而将其绳之于法。
问题 安全标准引用不及时
根据BSI(British StandardsInstitution,英国标准协会)的统计数字表明,我国通过国际安全认证的企业和政府信息化职能部门相对较少,教育界也很少引用某个管理标准进行推广和普及。当然,如果引用某个管理标准部署到教育网的安全管理体系中,也不一定就不会在安全方面上就不再出现漏洞,但是一旦教育网管理部门选择了某个认证体系后,随之而来优势显而易见。它可以减少网络的弱点,提高企业的风险控管能力,同时整个信息安全管理体系中的安全漏洞、诈骗行为、财物风险与法律风险也会跟着减少,网络的连续运作时间与用户信心也会随之提高。
主动型的防御体系成为日后的方向
现有的杀毒软件通过从病毒体中提取病毒特征值构成病毒特征库,并对计算机中的文件或程序等目标逐一进行特征值比对,以判断计算机是否被病毒感染。只有发现并捕获到新病毒后,杀毒软件厂商才有可能从病毒体中提取其特征值。这种特征值扫描技术决定了杀毒软件的滞后性,使用户不能对网络新病毒及时防御。网络病毒的频频暴发,已经使国际国内反病毒领域开始意识到,杀毒软件赖以生存的事后“补丁”式技术越来越被动。
目前主动坊御技术主要是针对未知病毒提出来的病毒防杀技术,而其主要实现方式则是通过病毒的行为特征来判别其是否为病毒而不再像传统那样依赖病毒代码的发现。思科的安全准许入制度(强制性对客户端执行统一的安全策略,强制性地要求客户端安装和升级安全软件,主动把威胁网络安全的客户端屏蔽在外)、赛门铁克的漏洞防御技术、反垃圾邮件技术(通过研究漏洞,在漏洞被利用之前,向用户推送漏洞特征库,使用户能够防御利用漏洞发起的各种威胁,而不必等待升级防病毒代码),也都属于主动防御技术的范畴。
同时,我们还应该明确防病毒技术是一种安全防范技术,它本身也是国家众多的安全防范技术之一;虽然未知病毒主动防御系统已初具规模,但这并不能完全取代传统的特征码查杀技术。因此,正确的办法是要坚持国家关于信息安全方面的大政方针——“积极防御、综合防范”。明确了大方向,才能系统地采用综合的手段、统筹各种安全技术以合理、有效地解决安全问题。
对于教育网安全领域来说,建立主动型的防御体系除了需要厂商、安全服务商的广泛支持与合作,同时也要加大内部人员的管理与安全意识的提高。例如在原有教师信息技能培训内容中增加信息安全防护部分;建立教师与学生信息安全规范守则;增加系统访问的明确授权认证,严格监控内部网络的网络行为等。

相关内容