【正文】 信息發(fā)出，但與信息中攜帶的圖標(biāo)相聯(lián)系的腳本卻發(fā) 生了改變。因?yàn)橛脩粢詾樾畔⑹菑?MIS發(fā)出的，他們會(huì)敲擊圖標(biāo)。圖標(biāo)攜帶的指令，會(huì)刪去他們的本地硬盤驅(qū)動(dòng)器，上載某個(gè)文件甚至系統(tǒng)信息，這個(gè)信息甚至可以不包括圖標(biāo)。他可以要求用戶改變口令，用戶可能因?yàn)樾畔?lái)自 MIS而真的改變口令。 ? 防火墻也不可能識(shí)別所有惡意的 applet和腳本。最多只能濾去郵件地址中有風(fēng)險(xiǎn)的字符，這些字符還應(yīng)是防火墻識(shí)別得出來(lái)的。 (2) 匿名轉(zhuǎn)發(fā) ? 在正常的情況下，發(fā)送電子郵件會(huì)盡量將發(fā)送者的名字和地址包括進(jìn)郵件的附加信息中。但有時(shí)候發(fā)送者希望將郵件發(fā)送出去，而不希望收件者知道是誰(shuí)發(fā)的。這種發(fā)送郵件的方法被稱為匿名郵件。 ? 實(shí)現(xiàn)匿名的一種最簡(jiǎn)單的發(fā)法是簡(jiǎn)單地改變電子郵件軟件里發(fā)送者的名字。但這是一種表面現(xiàn)象，因?yàn)橥ㄟ^(guò)信息表頭中的其他信息，仍能夠跟蹤發(fā)送者。而讓發(fā)送者的地址完全不出現(xiàn)在郵件中的惟一的方法是讓其他人發(fā)送這個(gè)郵件，郵件中的發(fā)信地址就變成了轉(zhuǎn)發(fā)者的地址了?，F(xiàn)在 Inter網(wǎng)上有大量的匿名轉(zhuǎn)發(fā)者 (或稱為匿名服務(wù)器 )，發(fā)送者將郵件發(fā)送給匿名轉(zhuǎn)發(fā)者，并告訴這個(gè)郵件希望發(fā)送給誰(shuí)。該匿名轉(zhuǎn)發(fā)者刪去所有的返回地址信息，再郵發(fā)給真正的收件者，并將自己的地址作為返回地址插入郵件中。 ? 有人認(rèn)為，使用匿名轉(zhuǎn)發(fā)的動(dòng)機(jī)是可疑的，發(fā)送的可能是非法的、恐怖的、不健康的信息。實(shí)際上并 不盡然。匿名轉(zhuǎn)發(fā)有一些重要的合法使用。例如，一些膽怯的人可以參加某種心理方面的討論組，可以就一些難以啟齒的問(wèn)題向?qū)＜易稍儭? ? 從安全的角度考慮，匿名轉(zhuǎn)發(fā)也是會(huì)有用的。例如發(fā)送敏感信息，隱藏發(fā)送者的信息可以使窺竊者不知道這一信息是否有用。 (3) 利用 Email詐騙 ? Email詐騙是 Inter上應(yīng)該特別注意的風(fēng)險(xiǎn)。這些行為不是新花樣，而是以前那種普通郵信、贈(zèng)券之類搞詐騙的伎倆在 Inter上的翻版。 Web強(qiáng)大的功能和它在整個(gè)世界市場(chǎng)上的傳播力，在為人們創(chuàng)造利益的同時(shí)，也會(huì)引起一些不法分子的青睞。有的發(fā)布廣告，鼓勵(lì)消費(fèi)者向通信技術(shù)投資，許諾 高回報(bào)和低風(fēng)險(xiǎn)；有的在 Web上散布假金融服務(wù)，制造高科技投資機(jī)會(huì)；有的還招攬競(jìng)賭客戶，通過(guò)Web在其他國(guó)家轄區(qū)的服務(wù)器上參加賭博；有的甚至散發(fā)信用維護(hù)服務(wù)廣告，騙取錢財(cái)?shù)取?Inter是一個(gè)開放的系統(tǒng)，接納好人也接納壞人，真?zhèn)尾⒋妗g覽器或 Web服務(wù)器都面臨著欺詐的風(fēng)險(xiǎn)。認(rèn)識(shí)到這一事實(shí)，慎重對(duì)待所有潛在客戶在網(wǎng)頁(yè)上的廣告和可能發(fā)布的 Email。 (4) 利用 Email欺騙 ? Email欺騙行為，表現(xiàn)形式各異，但原理基本相同。它通常是騙用戶進(jìn)行一個(gè)毀壞性的操作或者暴露敏感信息，如口令等。欺騙性 Email會(huì)制造安全漏洞。Email欺騙行為的表現(xiàn)如下： ① Email宣稱來(lái)自系統(tǒng)安全管理員，要求用戶將他們的口令改變?yōu)樘囟ǖ淖址?，并威脅如果用戶不照此辦理，將關(guān)閉用戶賬號(hào)。 ② Email宣稱來(lái)自上級(jí)管理員，要求用戶提供口令或其他敏感信息。 ? 由于簡(jiǎn)單郵件傳輸協(xié)議 (SMTP)沒(méi)有驗(yàn)證系統(tǒng)，偽造 Email十分方便。如果站點(diǎn)允許任何人都可以與SMTP端口聯(lián)系，并可以用虛構(gòu)某人的名義發(fā)出 Email。黑客在發(fā)出欺騙性的 Email的同時(shí)，還可能修改相應(yīng)的 Web瀏覽器界面，所以應(yīng)花一些時(shí)間查看 Email的錯(cuò)誤信息，其中經(jīng)常會(huì)有闖入者的線索。應(yīng)該查看 Email信息的抬頭，如果 Email閱讀器不允許用戶查看這些臺(tái)頭，則查看包含原始信息 的 ACSII文件。要小心這些抬頭，這些抬頭經(jīng)常被偽造。如果懷疑自己已被黑客入侵過(guò)，可以與計(jì)算機(jī)緊急應(yīng)急小組 (CERT)聯(lián)系 (cert＠ )，向他們描述自己的狀況。還可以查看在相關(guān)安全站點(diǎn)以獲取詳細(xì)資料 . (5) 電子郵件轟炸 ? 電子郵件轟炸可以描述為不停地接到大量的、同一內(nèi)容的電子郵件。一條信息可能被傳給成千上萬(wàn)的不斷擴(kuò)大的用戶。主要風(fēng)險(xiǎn)來(lái)自電子郵件服務(wù)器，如果服務(wù)器很多，服務(wù)器會(huì)脫網(wǎng)，甚至導(dǎo)致系統(tǒng)崩潰。系統(tǒng)不能服務(wù)的原因很多，可能由于網(wǎng)絡(luò)連接超載，也可能由于缺少系統(tǒng)資源。對(duì)付電子郵件轟炸可以借助防火墻，阻止惡意信息產(chǎn)生和或者過(guò)濾 掉躍躍欲試的電子郵件，以確保所有的外部的SMTP只連接到電子郵件服務(wù)器上，而不連接到站點(diǎn)的其他系統(tǒng)上；從而將電子郵件轟炸的損失減小到最小。如果發(fā)現(xiàn)站點(diǎn)正遭受侵襲，試著找出轟炸的來(lái)源，再用防火墻進(jìn)行過(guò)濾。 3. Email的安全措施 ? 為提高電子郵件安全，可在郵件服務(wù)器上建立電子郵件的安全模式，將安全策略施加給安全模式，進(jìn)而對(duì)電子郵件傳輸進(jìn)行安全控制。 ? 可以采取以下的安全措施： (1) 借助防火墻對(duì)進(jìn)入郵件服務(wù)器的電子郵件進(jìn)行控制，過(guò)濾、篩選和屏蔽掉那些有害的電子郵件或?yàn)V去那些郵件地址或郵件中有風(fēng)險(xiǎn)的字符，并預(yù)防黑客攻擊。 (2) 對(duì)于重要的電子郵件可以加密傳送，并進(jìn)行數(shù)字簽名。加密的算法很多，如 RAS加密、 PGP加密，還可用 IDEA或 DES加密。目前在 Inter上傳送的電子郵件，多采用 PGP加密傳送，并同時(shí)進(jìn)行數(shù)字簽名。加密時(shí)使用公開的密鑰加密，在收信端用秘密密鑰進(jìn)行解密。用秘密密鑰進(jìn)行數(shù)字簽名，用公開密鑰進(jìn)行數(shù)字簽名驗(yàn)證。 (3) 采用必要措施防范和解除郵件炸彈以及郵件垃圾，使這些郵件不占用郵箱的空間，以免干擾用戶接收正常的郵件，減少郵件使用費(fèi)用。 (4) 檢查電子郵件的來(lái)源，進(jìn)行郵件完整性檢測(cè)，查看郵件是否被非法更改。 (5) 檢查電子郵件是否感染病毒，以便采用相應(yīng)的方法進(jìn)行診斷和消除。 ? (6) 黑客攻擊具有一定的目的性，往往借助以電子郵件來(lái)實(shí)現(xiàn)其險(xiǎn)惡用心。例如，黑客在電子郵件中使用損害服務(wù)器的命令。 Morros bug內(nèi)就有一種會(huì)損壞 sendmail的指令，這個(gè)指令可以使用戶執(zhí)行黑客發(fā)出的命令。要注意登錄的文件和郵件及特殊日期，發(fā)現(xiàn)黑客后，切斷聯(lián)系，分析問(wèn)題，采取行動(dòng)，修復(fù)安全漏洞，并恢復(fù)系統(tǒng)。 Outlook Express的安全 ? Outlook Express是微軟公司出品的一個(gè)基于Inter標(biāo)準(zhǔn)的電子郵件和新聞閱讀程序，由于它是 Windows的一個(gè)組件，使用的用戶非常多，這一節(jié)將介紹 Outlook Express的安全性。 ? 要使用 Outlook Express系統(tǒng)閱讀電子郵件，必須 使用支持 SMTP和 POP或者 IMAP和 MIME，HTTP協(xié)議的郵件系統(tǒng)。一般的郵件服務(wù)器都支持這些協(xié)議，如 、 263免費(fèi)郵局等。 1. Outlook Express的安全設(shè)置 ? Outlook Express為了保護(hù)郵件的安全，使用了加密等手段，不過(guò)這些設(shè)置不是默認(rèn)設(shè)置的，要用戶自己添加，下面就介紹這些設(shè)置。 (1) 啟動(dòng) Outlook→ 菜單中選擇“工具” → “選項(xiàng)”，出現(xiàn) Outlook的設(shè)置對(duì)話框，然后選擇“安全”選項(xiàng)卡，如圖 。 圖 (2) 在“安全區(qū)域”框中，用戶可以選擇兩個(gè)選項(xiàng)。 ? Inter區(qū)域 ? 用戶可以使用整個(gè) Intemet網(wǎng)上的所有地址的郵箱。 ? 受限站點(diǎn)區(qū)域 ? 用戶使用的郵箱必須是在指定的 IP地址范圍內(nèi)，用戶可以在 IE中設(shè)置指定的 IP地址范圍。 (3) 在“安全郵件”框中，要求用戶使用數(shù)字證書，這是一個(gè)高級(jí)使用，只有在對(duì)郵件的安全要求很高的情況下才可能需要使用這種加密手段。 2. 定義接收郵件的規(guī)則 ? 用戶可以定義對(duì)符合一定規(guī)定的郵件的操作，這些規(guī)定就是“郵件規(guī)則”。“郵件規(guī)則”可以使用戶排除郵件垃圾、防止惡意郵件、除去指定的發(fā)件人發(fā)的郵件等功能。使用戶的郵件處于安全保護(hù)之下。 (1) 單擊菜單中的“工具” → “郵件規(guī)則”，出現(xiàn)“新建郵件規(guī)則”對(duì)話框，如圖 。 ? 這個(gè)對(duì)話框的界面說(shuō)明如下： 圖 ? 選擇規(guī)則條件 ? 即當(dāng)郵件符合下列某一條規(guī)則時(shí)，啟動(dòng)所指定的對(duì)郵件的操作。 ? 選擇規(guī)則操作 ? 定義當(dāng)郵件符合指定的規(guī)則時(shí)所啟動(dòng)的操作。 ? 規(guī)則說(shuō)明 ? 定義每個(gè)規(guī)則特定的屬性。 ? 規(guī)則名稱 ? 用戶可以在同一個(gè)規(guī)則中使用幾個(gè)“郵件規(guī)則條件”，并在這個(gè)編輯框中輸入指定的規(guī)則名稱。 (2) 用戶要定義郵件規(guī)則時(shí)，首先定義郵件規(guī)則條件。例如，選擇“若發(fā)件人中包含用戶”規(guī)則條件，就單擊它前面的復(fù)選框。 (3) 在“規(guī)則說(shuō)明”中將出現(xiàn)用戶設(shè)置的規(guī)則條件，如圖 所示。 圖 (4) 單擊藍(lán)色的“包含用戶”鏈接，出現(xiàn)“選擇用戶”對(duì)話框，如圖 。 (5) 用戶可以在這個(gè)對(duì)話框中輸入指定的用戶名或者單擊“通訊簿”按鈕，在出現(xiàn)的對(duì)話框中選擇用戶。 (6) 用戶選擇好發(fā)件人后，可以單擊“添加”按鈕，將發(fā)件人添加到列表中。 (7) 在“選擇規(guī)則操作”窗口中選擇對(duì)郵件采取的動(dòng)作。在上述的例子中，就是當(dāng)用戶收到指定的用戶名發(fā)的郵件時(shí)對(duì)這個(gè)郵件采取的動(dòng)作。如用戶可以選擇“刪除”按鈕。這樣，這個(gè)用戶發(fā)來(lái)的郵件就會(huì)被自動(dòng)刪除。 圖 (8) 最后在“規(guī)則名稱”中輸入規(guī)則名稱，再單擊“確定”按鈕，出現(xiàn)“郵件規(guī)則”對(duì)話框，如圖。 圖 (9) 用戶可以看到這個(gè)規(guī)則已經(jīng)添加到列表中了。單擊“馬上應(yīng)用”按鈕，這個(gè)規(guī)則就開始使用了。 ? 在郵件規(guī)則中，用戶可以設(shè)置多種規(guī)則保護(hù)自己的電子郵件安全。其中包括防止大郵件的入侵，防止惡意郵件的發(fā)生、防止郵件的擴(kuò)散等強(qiáng)大的功能，用戶只要知道了郵件規(guī)則的設(shè)置，可以自己在使用中應(yīng)用這些規(guī)則，保證自己郵箱的安全。 3. 郵件加密 ? 在 Outlook Express中可以通過(guò)數(shù)字簽名來(lái)證明用戶郵件的身份，即讓對(duì)方確信該郵件是由發(fā)送方的機(jī)器發(fā)送的。 Outlook Express同時(shí)提供郵件加密功能，使用戶的郵件只有預(yù)定的接收者才能接收并閱讀它們，但前提是用戶必須先獲得對(duì)方的數(shù)字標(biāo)識(shí)。 ? 要對(duì)郵件進(jìn)行數(shù)字簽名必須首先獲得一個(gè)私人的數(shù)字標(biāo)識(shí) (digital ID,發(fā)送方的數(shù)字身份證 )。所謂數(shù)字標(biāo)識(shí)是指由獨(dú)立的授權(quán)機(jī)構(gòu)發(fā)放的證明用戶在Inter上身份的證件，即用戶在 Inter上的身份證。這些發(fā)證的商業(yè)機(jī)構(gòu)將發(fā)放給用戶這個(gè)身份證并不斷效驗(yàn)其有效性。用戶首先向這些公司申請(qǐng)數(shù)字標(biāo)識(shí)，然后就可以利用這個(gè)數(shù)字標(biāo)識(shí)對(duì)自己寫的郵件進(jìn)行數(shù)字簽名。如果獲得了接收方的數(shù)字標(biāo)識(shí)，那么用戶就可以給他發(fā)送加密郵件。 (1) 數(shù)字標(biāo)識(shí)的工作原理 ? 數(shù)字標(biāo)識(shí)由“公用密鑰”、“私人密鑰”和“數(shù)字簽名”等 3部分組成。你通過(guò)對(duì)發(fā)送的郵件進(jìn)行數(shù)字簽名可以把你的數(shù)字標(biāo)識(shí)發(fā)送給他人，這時(shí)他們收到的 實(shí)際上是公用密鑰，以后他們就可以通過(guò)這個(gè)公用密鑰對(duì)發(fā)給你的郵件進(jìn)行加密，你再在 Outlook Express中使用私人密鑰對(duì)加密郵件進(jìn)行解密和閱讀。 數(shù)字標(biāo)識(shí)的數(shù)字簽名部分是你的電子身份卡，數(shù)字簽名可使收件人確信郵件是你發(fā)送的，并且未被偽造或篡改。 (2) 數(shù)字標(biāo)識(shí)的申請(qǐng)和使用 ? 既然數(shù)字標(biāo)識(shí)有這么大的作用，那么不掏點(diǎn)銀子是不太現(xiàn)實(shí)的 (每年才 )，不過(guò)可以先申請(qǐng)一個(gè)免費(fèi)的數(shù)字標(biāo)識(shí)感受一下。 ? 目前在 Inter上有較多的數(shù)字標(biāo)識(shí)商業(yè)發(fā)證機(jī)構(gòu)，其中VeriSign 公司是 Microsoft 的首選數(shù)字標(biāo)識(shí)提供商。通過(guò) VeriSign 的特別饋贈(zèng)， Microsoft Inter Explorer 用戶均可獲得一個(gè)免費(fèi)使用 60天的數(shù)字標(biāo)識(shí)。 ? 向該公司申請(qǐng)的方法如下： 止，注意該口令不能包含標(biāo)點(diǎn)。還有一項(xiàng)“ Payment Information”是針對(duì)收費(fèi)用戶的，如果申請(qǐng)者在前面選的是“ I39。d like a free 60 day trial Digital ID”即先試用 60天，則此項(xiàng)不填。 ? 確認(rèn)無(wú)誤并提交后，過(guò)一會(huì)兒就會(huì)收到一封Verisign公司發(fā)來(lái)的電子郵件，其中就包含數(shù)字標(biāo)識(shí) PIN。在一般情況下只需簡(jiǎn)單地按最后那個(gè)“ NEXT”按鈕就可以繼續(xù)了，不過(guò)有時(shí)可能會(huì)提示上一頁(yè)面錯(cuò)誤 (筆者就曾遇到 )，建議直接將回信末尾提供的 PIN記下來(lái)，然后到 續(xù)下一步。這時(shí)只需在要求輸入 Digital ID PIN的框內(nèi)輸入已經(jīng)收到的 PIN然后單擊“ Retrieve button”即可。如果一切順利的話，這時(shí)將開始安裝你的數(shù) 字標(biāo)識(shí)到本機(jī)的 Outlook Express中，這次的申請(qǐng)也大功告成了！ (3) 對(duì)郵件進(jìn)行數(shù)字簽名 ? 獲得數(shù)字標(biāo)識(shí)以后，就可以通過(guò) Outlook Express很容易地對(duì)自己所發(fā)送的電子郵件進(jìn)行數(shù)字簽名。如果希望對(duì)所有待發(fā)的郵件都進(jìn)行數(shù)字簽名，請(qǐng)選擇“工具” → “選項(xiàng)” → “安全”選項(xiàng)頁(yè)，在“在所有待發(fā)郵件中添加數(shù)字簽名”檢查框前面打上勾選中即可，如圖 。如果只希望對(duì)某一封郵件進(jìn)行數(shù)字簽名的話，只需在撰寫郵件時(shí)將“數(shù)字簽名郵件”按鈕 (如圖 )按下即可。當(dāng)對(duì)郵件數(shù)字簽名以后，該郵件將出現(xiàn)簽名圖標(biāo)，數(shù)字簽名可以使別人確認(rèn)郵件確實(shí)是從你這兒發(fā)出去的，并且可以 ? 保證郵件在傳送過(guò)程中不會(huì)被改變。但是，假如預(yù)定的接收者的電子郵件收發(fā)軟件不支持 S/MIME協(xié)議，他仍然可以閱讀數(shù)字簽名的郵件，這時(shí)你的數(shù)字簽名只是簡(jiǎn)單