【正文】 能通過(guò)網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。大多數(shù)的Internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能。并且，Internet上還出現(xiàn)了Java和Active X形式的惡意小程序。這些被瀏覽的或是通過(guò)FTP下載的文件中可能存在病毒。Internet帶來(lái)了兩種不同的安全威脅。防止網(wǎng)絡(luò)病毒一、網(wǎng)絡(luò)病毒的威脅　　　病毒本身已是令人頭痛的問(wèn)題。　　　4．安全電子交易（SET）協(xié)議?！　　?．智能卡。這種證書(shū)可以授權(quán)購(gòu)買(mǎi)，提供更強(qiáng)的訪(fǎng)問(wèn)控制，并具有很高的安全性和可靠性?！　　?．?dāng)?shù)字證書(shū)。如波斯頓的Beth Isreal Hospital公司和意大利一家居領(lǐng)導(dǎo)地位的電信公司正采用“雙重認(rèn)證”辦法來(lái)保證用戶(hù)的身份證明?！　　《?、認(rèn)證的主要方法為了解決安全問(wèn)題，一些公司和機(jī)構(gòu)正千方百計(jì)地解決用戶(hù)身份認(rèn)證問(wèn)題，主要有以下幾種認(rèn)證辦法。越來(lái)越多的業(yè)內(nèi)人士在積極提供智能卡安全性的解決方案。用戶(hù)將從持有認(rèn)證執(zhí)照的可信發(fā)行者手里取得智能卡安全設(shè)備，也可從其他公共密鑰密碼安全方案發(fā)行者那里獲得。在安全方面最薄弱的一環(huán)是規(guī)程分析儀的竊聽(tīng)，如果口令以明碼（未加密）傳輸，接入到網(wǎng)上的規(guī)程分析儀就會(huì)在用戶(hù)輸入帳戶(hù)和口令時(shí)將它記錄下來(lái)，任何人只要獲得這些信息就可以上網(wǎng)工作。更保密的認(rèn)證可以是幾種方法組合而成。服務(wù)器就將它仍與數(shù)據(jù)庫(kù)里的用戶(hù)名和口令進(jìn)行比較，如果相符，就通過(guò)了認(rèn)證，可以上網(wǎng)訪(fǎng)問(wèn)。至于說(shuō)到“他知道什么”，最普通的就是口令，口令具有共享秘密的屬性。更普通的是通過(guò)視網(wǎng)膜血管分布圖來(lái)識(shí)別，原理與指紋識(shí)別相同，聲波紋識(shí)別也是商業(yè)系統(tǒng)采用的一種識(shí)別方式。認(rèn)證的標(biāo)準(zhǔn)方法就是弄清楚他是誰(shuí)，他具有什么特征，他知道什么可用于識(shí)別他的東西。用戶(hù)管理的口令通常是前一種安全措施；硬件／軟件解決方案則不僅正逐步成為數(shù)字身份認(rèn)證的手段，同時(shí)它也可以被可信第三方用來(lái)完成用戶(hù)數(shù)字身份（ID）的相關(guān)確認(rèn)。廠(chǎng)家依靠許多機(jī)制來(lái)實(shí)現(xiàn)認(rèn)證，從安全卡到身份鑒別。用戶(hù)識(shí)別和安全認(rèn)證僅僅加密是不夠的，全面的保護(hù)還要求認(rèn)證和識(shí)別?！　　∽詈螅珹將證書(shū)CA和CB傳送給B。KDC使用其解密密鑰SKAS對(duì)CA和CB進(jìn)行了簽名，以防止偽造。KDC返回給A的信息為（CA，CB），其中，CA=DSKAS（A，PKA，T1），CB=DSKAS（B，PKB，T2）。用戶(hù)可以通過(guò)KDC獲得任何其他用戶(hù)的公開(kāi)密鑰?！薄　　∧壳埃J(rèn)的有效方法是通過(guò)密鑰分配中心KDC來(lái)管理和分配公開(kāi)密鑰。當(dāng)網(wǎng)絡(luò)擴(kuò)得更大、用戶(hù)增加更多時(shí)尤其如此。在這一點(diǎn)上，公開(kāi)密鑰加密方法占有絕對(duì)的優(yōu)勢(shì)。SKA和SKB分別為A和B的秘密密鑰，而PKA和PKB分別為A和B的公開(kāi)密鑰。因?yàn)榻氐矫芪腄SKA（X）并知道發(fā)送者身份的任何人，通過(guò)查問(wèn)手冊(cè)即可獲得發(fā)送者的公開(kāi)密鑰PKA，因而能夠理解報(bào)文內(nèi)容?！　　　〉巧鲜鲞^(guò)程只是對(duì)報(bào)文進(jìn)行了簽名。這樣就證明B偽造了報(bào)文。則B不能在第三者面前出示DSKA（X39。第三者很容易用PKA去證實(shí)A確實(shí)發(fā)送消息X給B?！　　〖偃鬉要抵賴(lài)曾發(fā)送報(bào)文給B。因?yàn)槌鼳外沒(méi)有別人能具有A的解密密鑰SKA，所以除A外沒(méi)有別人能產(chǎn)生密文DSKA（X）?！　　“l(fā)送者A用其秘密解密密鑰SKA對(duì)報(bào)文X進(jìn)行運(yùn)算，將結(jié)果DSKA（X）傳送給接收者B?！　　　‖F(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法，但采用公開(kāi)密鑰算法要比常規(guī)算法更容易實(shí)現(xiàn)。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章呢？這就是數(shù)字簽名所要解決的問(wèn)題。在這里，我們介紹數(shù)字簽名的基本原理。它已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會(huì)SC20推薦為公開(kāi)密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。 　　　從已知的PK實(shí)際上不可能推導(dǎo)出SK。雖然SK與PK是成對(duì)出現(xiàn)，但卻不能根據(jù)PK計(jì)算出SK?！　　≡谶@種體制中，PK是公開(kāi)信息，用作加密密鑰，而SK需要由用戶(hù)自己保密，用作解密密鑰?！　　?．公開(kāi)密鑰密碼體制　　　公開(kāi)密鑰（public key）密碼體制出現(xiàn)于1976年。現(xiàn)在DES可由軟件和硬件實(shí)現(xiàn)。DES的保密性?xún)H取決于對(duì)密鑰的保密，而算法是公開(kāi)的。使用的密鑰為64位，實(shí)際密鑰長(zhǎng)度為56位（有8位用于奇偶校驗(yàn)）。ISO也已將DES作為數(shù)據(jù)加密標(biāo)準(zhǔn)?！　　∮捎谟⑽淖帜钢懈髯帜赋霈F(xiàn)的頻度早已有人進(jìn)行過(guò)統(tǒng)計(jì)，所以根據(jù)字母頻度表可以很容易對(duì)這種代替密碼進(jìn)行破譯?！　　≡谠缙诘某Ｒ?guī)密鑰密碼體制中，典型的有代替密碼，其原理可以用一個(gè)例子來(lái)說(shuō)明：　　　將字母a，b，c，d，…，w，x，y，z的自然順序保持不變，但使之與D，E，F(xiàn)，G，…，Z，A，B，C分別對(duì)應(yīng)（即相差3個(gè)字符）。由于加密強(qiáng)度高，而且并不要求通信雙方事先要建立某種信任關(guān)系或共享某種秘密，因此十分適合Internet網(wǎng)上使用。當(dāng)這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名，然后，用發(fā)布方公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密，如果成功，則確定是由發(fā)送方發(fā)出的。具體作法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來(lái)。一般對(duì)于每個(gè)用戶(hù)生成一對(duì)密鑰后，將其中一個(gè)作為公鑰公開(kāi)，另外一個(gè)則作為私鑰由屬主保存。　　　在Internet中使用更多的是公鑰系統(tǒng)。其常見(jiàn)加密標(biāo)準(zhǔn)為DES等，當(dāng)使用DES時(shí)，用戶(hù)和接受方采用64位密鑰對(duì)報(bào)文加密和解密，當(dāng)對(duì)安全性有特殊要求時(shí)，則要采取IDEA和三重DES等。因?yàn)槌思用芩惴ū旧碇?，密鑰合理分配、加密效率與現(xiàn)有系統(tǒng)的結(jié)合性，以及投入產(chǎn)出分析都應(yīng)在實(shí)際環(huán)境中具體考慮。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。如果一個(gè)企業(yè)希望在Internet上開(kāi)展商業(yè)活動(dòng)，與眾多的客戶(hù)進(jìn)行通信，則防火墻不能滿(mǎn)足要求?！　　∽鳛橐环N網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題，如果延遲太大將無(wú)法支持實(shí)時(shí)服務(wù)請(qǐng)求?！　　∪?、使用防火墻　　　防火墻是企業(yè)網(wǎng)安全問(wèn)題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪(fǎng)問(wèn)受到限制?！　　∫?guī)則檢查防火墻雖然集成前三者的特點(diǎn)，但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)的是，它并不打破客戶(hù)機(jī)/服務(wù)器模式來(lái)分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶(hù)機(jī)和不受信任的主機(jī)建立直