【正文】 在安全方面最薄弱的一環(huán)是規(guī)程分析儀的竊聽，如果口令以明碼（未加密）傳輸，接入到網(wǎng)上的規(guī)程分析儀就會在用戶輸入帳戶和口令時將它記錄下來，任何人只要獲得這些信息就可以上網(wǎng)工作。為了解決安全問題，一些公司和機構(gòu)正千方百計地解決用戶身份認證問題，主要有以下幾種認證辦法。 (1) 雙重認證。如波斯頓的 Beth Isreal Hospital 公司和意大利一家居領(lǐng)導(dǎo)地位的電信公司正采用 “雙重認證 ”辦法來保證用戶的身份證明。也就是說他們不是采用一種方法，而是采用有兩種形式的證 明方法，這些證明方法包括令牌、智能卡和仿生裝置，如視網(wǎng)膜或指紋掃描器。 (2) 數(shù)字證書。這是一種檢驗用戶身份的電子文件，也是企業(yè)現(xiàn)在可以使用的一種工具。這種證書可以授權(quán)購買，提供更強的訪問控制，并具有很高的安全性和可靠性。隨著電信行業(yè)堅持放松管制， GTE 已經(jīng)使用數(shù)字證書與其競爭對手（包括 Sprint 公司和 AT＆ T 公司）共享用戶信息。 (3) 智能卡。這種解決辦法可以持續(xù)較長的時間，并且更加靈活，存儲信息更多，并具有可供選擇的管理方式。 (4) 安全電子交易（ SET）協(xié)議 。這是迄今為止最為完整最為權(quán)威的電子商務(wù)安全保障協(xié)議。 18 防火墻技術(shù) 防火墻技術(shù)是一種綜合性的技術(shù)，涉及計算機網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標準化組織（ ISO）的安全規(guī)范以及安全操作系統(tǒng)等多方面。作為一種有效解決網(wǎng)絡(luò)之間訪問控制的方法，國際上在這方面的研究很多。但總的來講，此方面的技術(shù)并不十分成熟完善，標準也不健全，實用效果并不十分理想。從 1991 年 6 月 ANS 公司的第一個防火墻產(chǎn)品 ANS Interlock Service 防火墻上市以來，到目前為止，世界上至 少有幾十家以上的公司和研究所在從事防火墻技術(shù)的研究和產(chǎn)品開發(fā)。幾乎所有的網(wǎng)絡(luò)廠商也都開始了防火墻產(chǎn)品的開發(fā)，如 Sun Microsystems 公司的 Sunscreen、 Check Point 公司的Firewall Milkyway 公司的 Black Hole 等。國內(nèi)也開始了這方面的研究，但跟國外先進水平相比，差距比較大。 (1) 防火墻原理 防火墻（ FireWall）成為近年來新興的保護計算機網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如 Inter）之間設(shè)置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。 作為 Inter 網(wǎng)的安全性保護軟件， FireWall 已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和 Inter 間設(shè)立 FireWall 軟件。企業(yè)信息系統(tǒng)對于來自 Inter 的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的 IP 地址訪問，也可以接收或拒絕 TCP/IP 上的某一類具體的應(yīng)用。如果在某一臺 IP 主機上有需要禁止的信息或危險的用戶，則可以通過設(shè)置使用FireWall 過濾掉 從該主機發(fā)出的包。如果一個企業(yè)只是使用 Inter 的電子郵件和 WWW 服務(wù)器向外部提供信息，那么就可以在 FireWall 上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對于路由器來說，就要不僅分析 IP 層的信息，而且還要進一步了解 TCP 傳輸層甚至應(yīng)用層的信息以進行取舍。 FireWall 一般安裝在路由器上以保護一個子網(wǎng)，也可以安裝在一臺主機上，保護這臺主機不受侵犯。 (2) 防火墻的種類 從實現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級防火墻（也叫包過濾型防火墻）、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火 墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。 a. 網(wǎng)絡(luò)級防火墻： 一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個 IP 包的端口來作出通過與否的判斷。一個路由器便是一個 “傳統(tǒng) ”的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個 IP 包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于 TCP 或 UDP 數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如 Tel、 FTP 連 接。 b. 應(yīng)用級網(wǎng)關(guān)： 19 應(yīng)用級網(wǎng)關(guān)能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細的注冊和稽核。它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制，以防有價值的程序和數(shù)據(jù)被竊取。 在實 際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時工作量大，效率不如網(wǎng)絡(luò)級防火墻。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏 “透明度 ”。在實際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問 Inter 時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄（ Login）才能訪問 Inter 或 Intra。 c. 電路級網(wǎng)關(guān)： 電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機間的 TCP 握手信息 ,這樣來決定該 會話（ Session）是否合法 ,電路級網(wǎng)關(guān)是在 OSI 模 型中會話層上來過濾數(shù)據(jù)包 ,這樣比包過濾防火墻要高二層。 電路級網(wǎng)關(guān)還提供一個重要的安全功能：代理服務(wù)器（ Proxy Server）。代理服務(wù)器是設(shè)置在 Inter 防火墻網(wǎng)關(guān)的專用應(yīng)用級代碼。這種代理服務(wù)準許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個應(yīng)用的特定功能。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運行狀態(tài)便 “暴露 ”在外來用戶面前，這就引入了代理服務(wù)的概念，即防火墻內(nèi) 外計算機系統(tǒng)應(yīng)用層的 “鏈接 ”由兩個終止于代理服務(wù)的 “鏈接 ”來實現(xiàn)，這就成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。同時，代理服務(wù)還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。代理服務(wù)技術(shù)主要通過專用計算機硬件（如工作站）來承擔。 d. 規(guī)則檢查防火墻： 該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在 OSI 網(wǎng)絡(luò)層上通過 IP 地址和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網(wǎng)關(guān)一樣，能夠檢查 SYN 和 ACK 標記和序列數(shù)字是否邏輯有序。當然它 也象應(yīng)用級網(wǎng)關(guān)一樣，可以在 OSI 應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。 規(guī)則檢查防火墻雖然集成前三者的特點，但是不同于一個應(yīng)用級網(wǎng)關(guān)的是，它并不打破客戶機 /服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。 (3) 使用防火墻 在具體應(yīng)用防火墻技術(shù)時，還要考慮到兩個方面： a. 防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。 b. 防火墻技術(shù)的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務(wù)請求。并且，防火墻采用濾波技術(shù)，濾波通常使 20 網(wǎng)絡(luò)的性能降低 50%以上，如果為了改善網(wǎng)絡(luò)性能而購置高速路由器，又會大大提高經(jīng)濟預(yù)算。 網(wǎng)絡(luò)的安全對整個系統(tǒng)的正常運行和發(fā)展起著至關(guān)重要的影響。但上面幾方面的技術(shù)并不能完全解決網(wǎng)絡(luò)互聯(lián)所帶來的安全問題，因此提供安全管理的功能十 分重要，如賬戶和權(quán)限管理、用戶跟蹤和審計、屏蔽非法賬戶、文件系統(tǒng)的網(wǎng)絡(luò)控制、安全問題報警等。此方面的研究，目前僅處于理論探索階段，尚未商業(yè)產(chǎn)品問世。 網(wǎng)絡(luò)安全隱患與防范 網(wǎng)絡(luò)安全的不穩(wěn)定因素及其安全缺陷 網(wǎng)絡(luò)安全的 10 大不穩(wěn)定因素 ? Cookie： 這種網(wǎng)絡(luò)小甜餅是一些會自動運行的小程序，網(wǎng)站設(shè)計 師使用它們來為你提供方便而高效的服務(wù)，但同時通過使用這些小程序，商業(yè)公司和網(wǎng)絡(luò)入侵者能夠輕易獲得你機器上的信息。 ? Java： 作為一種技術(shù)，到底是否成功， 一直備受爭議。但至少有一點是肯定的，有無數(shù)利用 Java 的漏洞成功入侵為你提供服務(wù)的服務(wù)器的案例。 ? CGI： 很難想象沒有 CGI 技術(shù)，網(wǎng)站會是什么樣子。可能會很難看，可能使用會不太方便，但我們留在服務(wù)器上的隱私會得到更大的保障。 ? 電子郵件病毒 ： 超過 85%的人使用互聯(lián)網(wǎng)是為了收發(fā)電子郵件，沒有人統(tǒng)計其中有多少正使用直接打開附件的郵件閱讀軟件。 “愛蟲 ”發(fā)作時，全世界有數(shù)不清的人惶恐地發(fā)現(xiàn)，自己存放在電腦上的重要的文件、不重要的文件以及其它所有文件，已經(jīng)被刪得干干凈凈。 ? 認證和授權(quán) ： 每當有窗口彈出，問使用者是不 是使用本網(wǎng)站的某某認證時，絕大多數(shù)人會毫不猶豫地按下 “Yes”。但如果商店的售貨員問： “把錢包給我，請相信我會取出合適數(shù)量的錢替您付款，您說好嗎？ ”你一定會斬釘截鐵地回答： “No！ ”這兩種情況本質(zhì)上沒有不同。 ? 微軟的軟件 ： 產(chǎn)品越做越大，發(fā)現(xiàn)漏洞之后用來堵住漏洞的補丁也越做越大，但是又有多少普通用戶真正會去下載它們？ ? 比爾 蓋茨 ： 很多技術(shù)高手就是因為看不慣他，專門寫病毒讓微軟程序出問題，攻擊使用微軟技術(shù)的站點。但蓋茨沒有受到太大影響，遭罪的是普通人。 ? 自由軟件 ： 有了自由軟件，才有互聯(lián)網(wǎng)今天的繁榮。自由 軟件要求所有結(jié)果必須公開，據(jù)說讓全世界的程序員一起來查找漏洞，效率會很高。這要求網(wǎng)絡(luò)管理員有足夠的責任心和技術(shù)能力根據(jù)最新的修補方法消除漏洞。不幸的是，跟薪水和股權(quán)相比，責任心和技術(shù)能力顯得沒有那么重要。 ? ICP (內(nèi)容服務(wù) )： 我們提供私人信息， ICP 讓我們注冊，并提供免費服務(wù)，獲得巨大的注意力，以及注意力帶來的風險投資。這是標準的注意力經(jīng)濟模式。但并沒有太多人去留意有很多經(jīng)濟狀況不太好的 ICP 把用戶的信息賣掉，換錢去了。 21 ? 網(wǎng)絡(luò)管理員 ： 管理員可以得到我們的個人資料、看我們的信、知道我們的信用卡號碼，如果 做些手腳的話，還能通過網(wǎng)絡(luò)控制我們的機器。我們只能期望他們技術(shù)高超、道德高尚。 網(wǎng)絡(luò)安全缺陷 如果網(wǎng)絡(luò)信息系統(tǒng)本身沒有任何安全缺陷，那么惡意攻擊者即使再有天大的本事也不能對網(wǎng)絡(luò)信息安全和保密構(gòu)成威脅。但是，不幸的是現(xiàn)在所有的網(wǎng)絡(luò)信息系統(tǒng)都不可避免地存在著這樣或那樣的安全缺陷。有些缺陷是可以通過人為努力加以避免或者改進，但有些安全缺陷則是各種折衷所必須付出的代價。 ? 普遍存在的安全缺陷： 網(wǎng)絡(luò)的規(guī)模、電磁輻射和電磁泄漏、搭線、串音 ? 中國特色的安全缺陷： 由技術(shù)被動性引起的安全缺陷、人員素 質(zhì)問題引起的安全缺陷、缺乏系統(tǒng)的安全標準所引起的安全缺陷 網(wǎng)絡(luò)黑客與防范措施 網(wǎng)絡(luò)黑客攻擊方法 （ 1） 獲取口令 這又有三種方法：一是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大，監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令，對局域網(wǎng)安全威脅巨大；二是在知道用戶的賬號后（如電子郵件 @前面的部分）利用一些專門軟件強行破解用戶口令，這種方法不受網(wǎng)段限制，但黑客要有足夠的耐心和時間；三是在獲得一個服務(wù)器上的用戶口令文件（此文件成為 Shadow文件）后，用暴力破解程序破解用戶口令，該方法的使用前提是黑客獲得口令的Shadow 文件。此方法在所有方法中危害最大，因為它不需要像第二種方法那樣一遍又一遍地嘗試登錄服務(wù)器，而是在本地將加密后的口令與 Shadow 文件中的口令相比較就能非常容易地破獲用戶密碼，尤其對那些弱智用戶 (指口令安全系數(shù)極低的用戶，如某用戶賬號為 zys，其口令就是 zys66 66666或干脆就是zys 等 )更是在短短的一兩分鐘內(nèi)，甚至幾十秒內(nèi)就可以將其干掉。 (2) 放置特洛伊木馬程序 特洛伊木馬程 序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在自己的計算機系統(tǒng)中隱藏一個可以在 windows 啟動時悄悄執(zhí)行的程序。當您連接到因特網(wǎng)上時，這個程序就會通知黑客，來報告您的 IP 地址以及預(yù)先設(shè)定的端口。黑客在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改您的計算機的參數(shù)設(shè)定、復(fù)制文件、窺視你整個硬 盤中的內(nèi)容等，從而達到控制你的計算機的目的。 (3) WWW 的欺騙技術(shù)