【正文】 (3) WWW 的欺騙技術(shù) 在網(wǎng)上。當(dāng)您連接到因特網(wǎng)上時，這個程序就會通知黑客，來報告您的 IP 地址以及預(yù)先設(shè)定的端口。此方法在所有方法中危害最大，因?yàn)樗恍枰竦诙N方法那樣一遍又一遍地嘗試登錄服務(wù)器，而是在本地將加密后的口令與 Shadow 文件中的口令相比較就能非常容易地破獲用戶密碼，尤其對那些弱智用戶 (指口令安全系數(shù)極低的用戶，如某用戶賬號為 zys，其口令就是 zys66 66666或干脆就是zys 等 )更是在短短的一兩分鐘內(nèi)，甚至幾十秒內(nèi)就可以將其干掉。有些缺陷是可以通過人為努力加以避免或者改進(jìn)，但有些安全缺陷則是各種折衷所必須付出的代價。 網(wǎng)絡(luò)安全缺陷 如果網(wǎng)絡(luò)信息系統(tǒng)本身沒有任何安全缺陷，那么惡意攻擊者即使再有天大的本事也不能對網(wǎng)絡(luò)信息安全和保密構(gòu)成威脅。 21 ? 網(wǎng)絡(luò)管理員 ： 管理員可以得到我們的個人資料、看我們的信、知道我們的信用卡號碼，如果 做些手腳的話，還能通過網(wǎng)絡(luò)控制我們的機(jī)器。這是標(biāo)準(zhǔn)的注意力經(jīng)濟(jì)模式。不幸的是，跟薪水和股權(quán)相比，責(zé)任心和技術(shù)能力顯得沒有那么重要。自由 軟件要求所有結(jié)果必須公開，據(jù)說讓全世界的程序員一起來查找漏洞，效率會很高。但蓋茨沒有受到太大影響，遭罪的是普通人。 ? 微軟的軟件 ： 產(chǎn)品越做越大，發(fā)現(xiàn)漏洞之后用來堵住漏洞的補(bǔ)丁也越做越大，但是又有多少普通用戶真正會去下載它們？ ? 比爾 ? 認(rèn)證和授權(quán) ： 每當(dāng)有窗口彈出，問使用者是不 是使用本網(wǎng)站的某某認(rèn)證時，絕大多數(shù)人會毫不猶豫地按下 “Yes”。 ? 電子郵件病毒 ： 超過 85%的人使用互聯(lián)網(wǎng)是為了收發(fā)電子郵件，沒有人統(tǒng)計其中有多少正使用直接打開附件的郵件閱讀軟件。 ? CGI： 很難想象沒有 CGI 技術(shù)，網(wǎng)站會是什么樣子。 ? Java： 作為一種技術(shù)，到底是否成功， 一直備受爭議。此方面的研究，目前僅處于理論探索階段，尚未商業(yè)產(chǎn)品問世。 網(wǎng)絡(luò)的安全對整個系統(tǒng)的正常運(yùn)行和發(fā)展起著至關(guān)重要的影響。 b. 防火墻技術(shù)的另外一個弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實(shí)時服務(wù)請求。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。當(dāng)然它 也象應(yīng)用級網(wǎng)關(guān)一樣，可以在 OSI 應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在 OSI 網(wǎng)絡(luò)層上通過 IP 地址和端口號，過濾進(jìn)出的數(shù)據(jù)包。代理服務(wù)技術(shù)主要通過專用計算機(jī)硬件（如工作站）來承擔(dān)。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便 “暴露 ”在外來用戶面前，這就引入了代理服務(wù)的概念，即防火墻內(nèi) 外計算機(jī)系統(tǒng)應(yīng)用層的 “鏈接 ”由兩個終止于代理服務(wù)的 “鏈接 ”來實(shí)現(xiàn)，這就成功地實(shí)現(xiàn)了防火墻內(nèi)外計算機(jī)系統(tǒng)的隔離。代理服務(wù)器是設(shè)置在 Inter 防火墻網(wǎng)關(guān)的專用應(yīng)用級代碼。 c. 電路級網(wǎng)關(guān)： 電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP 握手信息 ,這樣來決定該 會話（ Session）是否合法 ,電路級網(wǎng)關(guān)是在 OSI 模 型中會話層上來過濾數(shù)據(jù)包 ,這樣比包過濾防火墻要高二層。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏 “透明度 ”。 在實(shí) 際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。 b. 應(yīng)用級網(wǎng)關(guān)： 19 應(yīng)用級網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。一個路由器便是一個 “傳統(tǒng) ”的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個 IP 包來自何方，去向何處。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。 FireWall 一般安裝在路由器上以保護(hù)一個子網(wǎng)，也可以安裝在一臺主機(jī)上，保護(hù)這臺主機(jī)不受侵犯。如果一個企業(yè)只是使用 Inter 的電子郵件和 WWW 服務(wù)器向外部提供信息，那么就可以在 FireWall 上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。它可以允許或禁止一類具體的 IP 地址訪問，也可以接收或拒絕 TCP/IP 上的某一類具體的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和 Inter 間設(shè)立 FireWall 軟件。它是一種隔離控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如 Inter）之間設(shè)置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。國內(nèi)也開始了這方面的研究，但跟國外先進(jìn)水平相比，差距比較大。從 1991 年 6 月 ANS 公司的第一個防火墻產(chǎn)品 ANS Interlock Service 防火墻上市以來，到目前為止，世界上至 少有幾十家以上的公司和研究所在從事防火墻技術(shù)的研究和產(chǎn)品開發(fā)。作為一種有效解決網(wǎng)絡(luò)之間訪問控制的方法，國際上在這方面的研究很多。這是迄今為止最為完整最為權(quán)威的電子商務(wù)安全保障協(xié)議。這種解決辦法可以持續(xù)較長的時間，并且更加靈活，存儲信息更多，并具有可供選擇的管理方式。隨著電信行業(yè)堅持放松管制， GTE 已經(jīng)使用數(shù)字證書與其競爭對手（包括 Sprint 公司和 AT＆ T 公司）共享用戶信息。這是一種檢驗(yàn)用戶身份的電子文件，也是企業(yè)現(xiàn)在可以使用的一種工具。也就是說他們不是采用一種方法，而是采用有兩種形式的證 明方法，這些證明方法包括令牌、智能卡和仿生裝置，如視網(wǎng)膜或指紋掃描器。 (1) 雙重認(rèn)證。在安全方面最薄弱的一環(huán)是規(guī)程分析儀的竊聽，如果口令以明碼（未加密）傳輸，接入到網(wǎng)上的規(guī)程分析儀就會在用戶輸入帳戶和口令時將它記錄下來，任何人只要獲得這些信息就可以上網(wǎng)工作。更保密的認(rèn)證可以是幾種方法 組合而成。服務(wù)器就將它仍與數(shù)據(jù)庫里的用戶名和口令進(jìn)行比較，如果相符，就通過了認(rèn)證，可以上網(wǎng)訪問。至于說到 “他知道什么 ”，最普通的就是口令，口令具有共享秘密的屬性。更普通的是通過視網(wǎng)膜血管分布圖來識別，原理與指紋識別相同，聲波紋識別也是商業(yè)系統(tǒng)采用的一種識別方式。認(rèn)證的標(biāo)準(zhǔn)方法就是弄清楚他是誰，他具有什么特征，他知道什么可用于識別他的東西。如 Inter,其安全性主要建立在TCP/IP 協(xié)議之上。 密碼技術(shù)是解決網(wǎng)絡(luò)上信息傳輸安全的主要方法，它不僅建立在安全的加密算法設(shè)計上，而且取決于安全協(xié)議設(shè)計的安全性。數(shù)字簽名每次還與被傳送的數(shù)據(jù)和時間等因素有關(guān)。發(fā)送方在發(fā)送數(shù)據(jù)時必須加上數(shù)據(jù)簽名，做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名，然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。常用的公鑰加密算法是 RSA 算法，加密強(qiáng)度 17 很高。即公開密鑰加密，它的加密密鑰和解密密鑰是不同的。因?yàn)槌思用芩惴ū旧碇?，密鑰合理分配、加密效率與現(xiàn)有系統(tǒng)的結(jié)合性，以及投入產(chǎn)出分析都應(yīng)在實(shí)際環(huán)境中具體考慮。最有名的算法有美國頒布的數(shù)據(jù)加密標(biāo)準(zhǔn) DES 和 RC5 算法、日本 NTT 公司的 FEAL、歐洲的 IKEA、澳大利亞的 LOKI等傳統(tǒng)密鑰密碼算法和以 RSA 算法為代表的公開密鑰算法等。按作用不同 ，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。為了解決這個問題，國內(nèi)外很多研究機(jī)構(gòu)在這方面做了很多工作，例如數(shù)據(jù)加密技術(shù)、身份認(rèn)證、數(shù)字簽名、防火墻、安全審計、安全管理、安全內(nèi)核、安全協(xié)議、 IC 卡（存儲卡、加密存儲卡、 CPU 卡）、拒絕服務(wù)、網(wǎng)絡(luò)安全性分析、網(wǎng)絡(luò)信息安全監(jiān)測和信息安全標(biāo)準(zhǔn)化等方面的研究。 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全的技術(shù)現(xiàn)狀 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，如何保證網(wǎng)絡(luò)上存儲和傳輸信息的安全性成了新的安全研究熱點(diǎn)。因此，研究網(wǎng)絡(luò)安全課題具有十分重要的理論意義和實(shí)際背景。大量事實(shí)表明，確保網(wǎng)絡(luò)安全已經(jīng)是一件刻不容緩的大事。 2. 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全的重要性 隨著網(wǎng)絡(luò)的快速普及及網(wǎng)絡(luò)的開放性、共享性、互聯(lián)程度的擴(kuò)大，特別是Inter 網(wǎng)的出現(xiàn)，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。 由于不要求任何網(wǎng)絡(luò)層協(xié)議， LMMP 比 CMIS/CMIP 或 CMOT 都易于實(shí)現(xiàn)，然而沒有網(wǎng)絡(luò)層提供路由信息， LMMP 信息不能跨越路由器，從而限制了它只能在局域網(wǎng)中發(fā)展。LMMP 以前被稱為 IEEE802 邏輯鏈路控制上的公共管理信息服務(wù)與協(xié)議(CMOL)。事實(shí)上，雖然存在 CMOT 的定義，但該協(xié)議已經(jīng)很長時間沒有得到任何發(fā)展了。 CMOT 的一個致命弱點(diǎn)在于它是一個過渡性的方案，而沒有人會把注意力集中在一個短期方案上。 CMIS使用的應(yīng)用協(xié)議并沒有根據(jù) CMOT而修改， CMOT仍然依賴于 CMISE、ACSE 和 ROSE 協(xié)議，這和 CMIS／ CMIP 是一樣的。另外，值得注意的是 OSI 沒有在應(yīng)用層之下特別為網(wǎng)絡(luò) 管理定義協(xié)議。也在這層上，公共管理信息服務(wù)單用戶界面 網(wǎng)絡(luò) 管理 應(yīng)用1 網(wǎng)絡(luò) 管理 應(yīng)用3 網(wǎng)絡(luò) 管理 應(yīng)用2 NMS MIB NMS 網(wǎng)絡(luò)協(xié)議 互聯(lián)網(wǎng) 網(wǎng)絡(luò)協(xié)議 代理 進(jìn)程 MIB 代理 進(jìn)程 SNMP 協(xié)議 15 元 (CMISE)提供了應(yīng)用程序使用 CMIP 協(xié)議的接口。 出于通用性的考慮， CMlS/CMIP 的功能與結(jié)構(gòu)跟別 MP 很不相同， SNMP 是按照簡單和易于實(shí)現(xiàn)的原則設(shè)計的 ，而 CMIS／ CMIP 則能夠提供支持一個完整網(wǎng)絡(luò)管理方案所需的功能。 CMIS 定義了每個網(wǎng)絡(luò)組成部分提供的網(wǎng)絡(luò)管理服務(wù)，這些服務(wù)在本質(zhì)上是很普通的， CMIP 則是實(shí)現(xiàn) CMIS 服務(wù)的協(xié)議。在前兩個版本中SNMP 功能都得到了極大的增強(qiáng)，而在最新的版本中， SNMP 在安全性方面有了很大的改善， SNMP 缺乏安全性的弱點(diǎn)正逐漸得到克服。 b. SNMP 是建立在 SGMP 基礎(chǔ)上的，而對于 SGMP，人們積累了大量的操作經(jīng)驗(yàn)。 SGMP 給出了監(jiān)控網(wǎng)關(guān) (OSI 第三層路由器 )的直接手段， SNMP 則是在其基礎(chǔ)上發(fā)展而來。這些工作組隨后相應(yīng)推出了 SNMP(Simple NetWork Management Protoc011988)和 CMOT(CMIP／ CMIS Over TCP／ IPl989)等網(wǎng)絡(luò)管理協(xié)議，下面進(jìn)行簡單介紹。 SGMP 是在NYSERNET 和 SURANET 上開發(fā)應(yīng)用的網(wǎng)絡(luò)管理工具，而 CMIS/CMIP 是 20 世紀(jì) 80 年代中期國際標(biāo)準(zhǔn)化組織 (ISO)和 CCITT 聯(lián)合制訂的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。研究開發(fā)者們迅速展開了對網(wǎng)絡(luò)管理 的研究，并提出了多種網(wǎng)絡(luò)管理方案，包括 HEMS、 SGMP、 CMIS／ CMIP 等。以往的網(wǎng)絡(luò)管理系統(tǒng)往往是廠商在自己的網(wǎng)絡(luò)系統(tǒng)中開發(fā)的專用系統(tǒng)，很難對其他廠商的網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備軟件等進(jìn)行管理，這種狀況很不適應(yīng)網(wǎng)絡(luò)異構(gòu)互聯(lián)的發(fā)展趨勢。而缺乏一種第三方廠商的支持，將損害 SPECTRUM 的長期發(fā)展前景，雖然它現(xiàn)在擁有很多先進(jìn)的特性。 雖然 SPECTRUM 是一個優(yōu)秀的網(wǎng)絡(luò)管理軟件，但它卻只有很低的市場占有率。 SPECTRUM 構(gòu)筑在一個人工智能的引擎之上，該引擎叫 Inductive Modeling Technology(IMT)，同時 SPECTRUM借助于面向?qū)ο蟮脑O(shè)計，可以管理多種對象實(shí)體；該網(wǎng)絡(luò)管理系統(tǒng)還提供針對Novell 的 NetWare 和 Banyan 的 VINES 這些局域網(wǎng)操作系統(tǒng)的網(wǎng)關(guān)支持。但后來 SNM 在市場的地位被 HP 的 OpenView 所取代，現(xiàn)在 SNM 在市場中所占的份額越來越少，不過 SNM 仍然具有很多第三方開發(fā)的應(yīng)用。 SNM 只能運(yùn)行在 SUN 平臺上，它 需要 32MB 內(nèi)存和 400MB 硬盤。 SNM 的開發(fā)似乎已經(jīng)減慢甚至停止，不過 SUN 已經(jīng)簽署一份許可證給 NetLabs DiMONS 3G 公司，授權(quán)該公司以 SNM 為基礎(chǔ)開發(fā)一個名叫 Enpass 的新網(wǎng)絡(luò)管理系統(tǒng)。 SNM 一直主要作為開發(fā)平臺而存在，它僅僅提供很有限的應(yīng)用功能。雖然目前 NewView 在吸引第三方應(yīng)用開發(fā)廠商方面還不如 openView，但這種差距正在縮小。 NetView 的市場人員宣稱盡管 IBM 是 從 HP 那里得到了 OpenView 的最初許可證，但 IBM 在此基礎(chǔ)上自己增加了 70％的代碼，并修正了很多 OpenView 的 bugs,因此 NewView 應(yīng)該被認(rèn)為是一種新的產(chǎn)品。跟 OpenView 一樣， NetView 作為企業(yè)級的網(wǎng)絡(luò)管理系統(tǒng)，但它也不能提供 NetWare， SNA， DEC， ，無線通信交換機(jī)以及其他非 SNMF 設(shè)備的管理功能。NetView 既可以作為一個跨平臺 的、即插即用的系統(tǒng)提供給最終用戶，也可以作為一個開發(fā)平臺，在上