名單可以通過以下方式獲得:
FTPFtp.uu.net
路徑:/usenet/news.answera/althIerarChIes
路徑:/usenet/news.answers/aCtIvenewsgrOnps
或訪問以下新聞討論組:
news.lIsts
news.grOups
news.annOunCe.newsgrOups
news.answers
在獲得名單之後可以通過離線方式進行查找,常用的軟件是LIST,它可以通過主題詞查找,例如:
一些和商業有關的討論組:
alt.busIness.IMpOrteXpOrt國際貿易的商業觀點
alt.busIness.MIsC商業的各種觀點
alt.busIness.MultIlevel多層次的行銷企業
alt.COMputer.COnsultants電腦的谘詢
bIt.lIstserv.buslIb1業務企業圖書館名單
bIt.lIstserv.japan日本商業及經濟網絡
ClarI.apbl.bIZ.brIeFs美聯社商業新聞摘要
ClarI.apbl.bIZ.heaDlIne卓越企業故事
ClarI.bIZ.brIeFs企業新聞摘要
ClarI.bIZ.earIngs企業的收入、利潤、損失
ClarI.bIZ.Features企業特點專欄故事
ClarI.bIZ.InDustry.health企業的醫療保健
ClarI.bIZ.MIsC商業新聞,每日商業新聞的回顧
ClarI.bIZ.tOp優秀企業新聞
ClarI.bIZ.urgent倒閉企業新聞
ClarI.nb.busIness新聞報道工商業新聞
k12.eD.busIness企業教育課程
MIsC.entrepreneurs有關企業運作的討論
sOC.COllege.Org.aIeseC企業及商業學生國際學會
新聞討論組分成許多主題以便於查詢,各個主題通過進一步區分,最後形成一個個特定的區域來進行討論,下麵是一些新聞討論組的主要議題:
.alt選擇性新聞討論組,基本上無法歸類到其他類的主題,均可以歸為此類
.bIOnet生物學
.bIZ廣告行銷及其他商業場所
.COMp電腦專業人士感興趣的主題
.DDn國防資料網
.Ieee電機及電子工程師學會
.k12美國幼兒園到十二年級教師感興趣的主題,包括課程及與外國人學習語言等
.reC與藝術、休閑活動有關的主題
.sCI與研究有關的討論或者已建立的科學應用
.sOC著重於社會問題或者社會化的討論組
.talk以辯論為導向的討論組,在這裏長期的討論也還會產生答案,還會產生有用的信息
第三章 網絡安全及其預防
"常畏大網羅,憂禍一旦並。"
古人萬萬不會想到,自己隨意的一句詩,千年之後竟變成了現實。網絡,給人們帶來極大的方便與樂趣,但同時也引起人們的種種憂慮。真真是"網"事如煙如夢,"網"事不堪回首,人類網上尋寶覓貝,反落得個自投羅網、"網"緊人自哀。然而,人畢竟是萬物之靈,既然發明了網絡,就應該有辦法保護網絡健康地成長。雖然上帝有否造出一塊他自己搬不動的石頭仍是一個疑問,但人類依舊會一"網"情深。
一、網絡的憂患:無邊落木蕭蕭下
網上的世界並非是如歌的行板,再平靜的海麵也有惡浪的時候,再優良的航船如泰坦尼克號也有撞上冰山的危險......網絡帝國的憂患亦重重。目前,網絡係統的安全主要有幾個方麵:
網絡的物理安全
物理安全包括主機硬件和物理線路的安全問題,主要包括如下幾方麵:
①火災及自然災害、輻射等造成的安全問題。
②硬件故障。
③偷竊。偷竊是一個與法律有關的概念。偷竊者所做的就是:如果他們想要什麼他們負擔不起的東西,他們就把它偷來,例如他們需要錢,他們就會偷點什麼東西並把它賣掉,他們想要的在保險箱裏,他們偷保險箱。網絡安全意義的偷竊包含兩方麵的含義:如果他們想到偷的信息在計算機裏,他們就一方麵可以將整台計算機偷走,另一方麵通過監視器讀取計算機中的信息。
由於偷竊而引起的網絡安全涉及保護硬件、軟件和存取文件免受偶然的破壞、蓄意的偷竊。網絡安全中的偷竊包括偷竊設備、偷竊信息和偷竊服務等內容。
④廢物搜尋。就是在廢物(如一些打印出來的材料或廢棄的軟盤)中搜尋所需要的信息。在微機上,廢物搜尋可能包括從未抹掉有用東西的軟盤或硬盤上獲得未抹掉的存取資料。在主機上,暫存的磁帶通常不是直接由用戶或係統操作員來抹掉的,他們可能成為攻擊者感興趣的信息。
⑤間諜行為。是一種為了省錢或獲取有價值的機密、什麼不道德的行為都會采用的商業過程。
⑥身份識別錯誤。非法建立文件或記錄,企圖把它們作為有效的、正式生產的文件或記錄,如對具有身份鑒別特征的物品如護照、執照、出生證明或加密的安全卡進行偽造,屬於身份識別發生錯誤的範疇。這種行為對網絡數據構成了巨大的威脅。
要設置好物理安全,必須控製對係統和它所聯接網絡的接近,檢查一下係統所處的位置,注意阻止未授權用戶做如下事情:
進入設備或無關人員接近重要數據源;閱讀操作手冊、登錄指令、配置信息或係統信息;拷貝或拿走磁帶、可移動硬盤、光盤或軟盤等存儲介質;攻擊處理品(要將處理品妥善處理);將筆記本電腦接入內部網絡上;坐在工作站前麵,訪問係統控製台;閱讀或拿走打印稿;觀看或改變電話等設備,即攻擊網絡和電話線;在銅纜、光纜、紅外線或網絡介質上接入網絡傳輸係統。
網絡的軟件安全
軟件安全是指網絡層麵的安全。把計算機聯到網絡上就會又多出一個新的安全威脅,即網絡計算機能被網上的任一台主機攻擊或插入物理網絡攻擊,且網絡軟件也引入新的威脅,大部分Internet軟件協議沒有進行安全性的設計,且網絡服務器程序經常被超級用戶特權來執行,這便造成諸多安全問題。如:信息在網絡中傳輸時的安全問題、網絡上的服務器對外提供的服務及其端口設置的安全問題等。主要包含以下幾項:
①非授權訪問。通過巧妙的避開係統訪問控製機製,攻擊者或合法用戶對網絡設備及資源進行非正常使用,擅自擴大權限,訪問無權訪問的信息,如:非法使用無權使用的網管軟件,查看或修改重要的網絡數據等。
②假冒主機或用戶。網上"黑客"們非法增加節點,使用假冒主機以欺騙合法用戶及主機,使用假冒的網絡控製程序(如:特洛伊木馬)套取或修改使用權限、密鑰、口令等信息,然後利用這些信息冒充合法使用者甚至超級用戶進行遠程登錄,使係統逐漸失去防衛能力。也有的攻擊者在發現某個合法用戶與某個遠程主機或網絡建立聯接後,通過非法端口或網絡協議上的漏洞,接管該合法用戶,從而達到欺騙係統、占用合法用戶資源的目的。
③對信息完整性的攻擊。改變信息流的次序或流向,刪除、修改或重發某些重要信息,使對方作出對攻擊者有益的響應,或惡意增添大量無用的信息(如:廣告、淫穢內容、圖片等),幹擾係統的正常使用。
④對服務的幹擾。不斷地對網上的服務實體進行幹擾,使其忙碌、執行非服務性操作,係統無法正常使用甚至癱瘓。
網絡的係統安全
係統安全是指主機操作係統層麵的安全,如:係統目錄設置、賬號口令設置、安全管理設置的安全問題等。主要包含以下幾項:
①防止未授權存取。這是計算機安全環節中最重要的問題。未被允許使用係統的人進入係統將造成不良後果。良好的用戶意識、良好的口令管理(由係統管理員和用戶雙方配合)、登錄活動的記錄和報告及用戶和網絡活動的周期檢查等都是防止未授權存取的關鍵。
②防止越權使用。據權威機構統計,互聯網中發生的攻擊事件有70%來自內部攻擊,而在係統安全中,一個重要問題是防止有效賬號的越權使用,如普通用戶越權獲取rOOt權限、越過組權限的限製獲取其他非法權限進而破壞係統等。
③防止泄密。這也是計算機安全的一個重要問題。防止已授權或未授權的用戶相互存取重要信息是計算機安全環節中的一個重要問題。文件係統查賬、su記錄和報告、用戶意識及加密等都是防止泄密的關鍵。
④防止用戶拒絕係統的管理。這一方麵的安全應由操作係統來完成。一個好的係統不應被一個有意試圖使用過多資源的用戶損害。然而不幸的是,UNIX不能很好地限製用戶對資源的使用,若不加限製,一個用戶甚至能夠使用文件係統的整個磁盤空間。係統管理員要經常使用PS命令、記賬程序、DF和Du等命令周期地檢查係統,查出過多占用CPU的進程和大量占用磁盤空間的文件。
⑤防止丟失係統的完整性。這一個安全環節與係統管理員的實際工作關係密切,所以,係統管理員要定期地備份文件係統;係統崩潰後運行FsCk檢查、修複文件係統;當有新用戶時,檢測該用戶是否具有可能使係統崩潰的軟件,同時,保持一個可靠的操作係統,即用戶不能經常性地使係統崩潰。
網絡的應用安全
應用安全主要是指應用軟件的安全問題,包括WWW服務的安全、FTP服務的安全等某些具體服務項的安全問題。WWW安全對於電子商務而言可以說是必須特別提出的一個問題,本節主要對電子商務中應用最多的WWW服務器的安全問題作一分析說明。
WWW是Internet上一個最廣泛的應用工具。正是由於其應用十分普遍,所以其麵臨的安全問題首當其衝,這些安全問題依據其嚴重性的大小可分成以下幾種情況:
①黑客利用WWW服務器軟件和CGI程序中的bug獲得對係統中其他程序的非授權甚至控製整個計算機係統。
②WWW服務器上的保密信息被散發到未經授權的用戶手中。
③WWW服務器與WWW瀏覽器之間傳輸的保密信息被截取。
④WWW瀏覽器軟件中的bug使得客戶機上的保密信息被遠程的WWW服務器獲取。
⑤由於標準技術和專利技術的原因,許多組織需要購買商業版WWW軟件,這些商業軟件又具有各自的安全漏洞。
這五種類型各有其特點。目前,對這些問題的解決方案經常互相矛盾。比如,為了減少WWW信息被竊聽的可能,許多組織購買了安全WWW服務器軟件,該軟件使用了許多加密協議。要使這些服務器程序正常運行,需有經數字簽名的注冊證書,而且這些注冊證書必須每年續簽,使得依賴於這些安全WWW服務器軟件的組織有可能遭受到拒絕服務攻擊。
二、挽救網絡:丟掉幻想沉著應戰
魔高一尺,道高一丈。這個世界上,有魔鬼作祟,就有天使護法。麵對如此眾多的威脅,護法天使能否如期而至,對網絡至關重要。而以下的安全技術,恰恰能滿足這一要求。
給數據加密
網絡初期,沒有太大的安全威脅,人們也不關注安全問題。但隨著威脅的增多,人們不得不做出反應,加密則是人們的第一選擇。
加密技術指通過使用代碼或密碼來保障網絡中信息數據的安全性,它是其他技術的基礎。從網絡的角度來看,主要有兩種加密技術:鏈路加密及端到端加密。鏈路加密指數據的加密獨立於脆弱的通信鏈路,這種鏈路對於簡單的網絡可能是端到端的,而對於分布範圍較廣的網絡來說可能是分組交換到分組交換。其優點在於整個數據包包括數據包頭信息都加密,在信道中傳輸的都為密文;缺點在於對於中間節點其數據為明文,節點的安全仍存在問題。端到端加密發生在數據包的源地址和目的地址處,它考慮到了中間節點處數據的脆弱性,然而數據包頭采用的卻是明文。
加密處理過程比較簡單,它依據加密公式(即加密算法),把明文轉化成不可讀的密文,然後再把密文翻譯回明文。加密的核心是一個稱為密鑰的數值,它是加密算法的一個組成部分,引導整個加密過程。
數據加密的方法很多,常用的加密方法有常規的密鑰密碼方法和公開密鑰方法兩大類。前者以數據加密標準DES算法為典型標準,後者通常以RSA算法為代表。常規密鑰方法的密鑰具有針對性,即加密和解密的密鑰相同;而公開密鑰密碼方法的加秘密鑰和解秘密鑰則不同,加秘密鑰可以公開而解秘密鑰需要保密。
為了保護你的數據在傳遞過程中不被別人竊聽或修改,你必須對數據進行加密(加密後的數據稱為密文),這樣,即使別人竊取了你的數據(密文),由於沒有密鑰而無法將之還原成明文(未經加密數據),從而保證了數據的安全性,接收方因有正確的密鑰,因此可以將密文還原成正確的明文。
(1)常規密鑰密碼體製
所謂常規密鑰密碼體製,即加密密鑰與解密密鑰是相同的。在早期的常規密鑰密碼體製中,典型的有代替密碼,其原理可以用一個例子來說明。
例如:將字母a,b,C,D,...,w,X,y,Z的自然順序保持不變,但使之與D,E,F,G,...,Z,A,B,C分別對應(即相差3個字符)。若明文為stuDent,則對應的密文為VWXGHQW(此時密鑰為3)。由於英文字母中各字母出現的頻度早已有人進行過統計,所以根據字母頻度表可以很容易對這種代替密碼進行破譯。
DES算法原是IBM公司為保護產品的機密於1971年至1972年研製成功的,後被美國國家標準局和國家安全局選為數據加密標準,並於1977年頒布使用。ISO也已將DES作為數據加密標準。DES對64位二進製數據加密,產生64位密文數據。使用的密鑰為64位,實際密鑰長度為56位(有8位用於奇偶校驗)。解密過程和加密相似,但密鑰的順序正好相反。DES的保密性僅取決於對密鑰的保密,而算法是公開的。DES內部的複雜結構是至今沒有找到捷徑破譯方法的根本原因。現在DES可由軟件和硬件實現。美國AT&T首先用LSI芯片實現了DES的全部工作模式,該產品稱為數據加密處理機DEP。
(2)公開密鑰密碼體製
公開密鑰(PublICKey)密碼體製出現於1976年。它最主要的特點就是加密和解密使用不同的密鑰,每個用戶保存著一對密鑰--公開密鑰PK和秘密密鑰SK,因此,這種體製又稱為雙鑰或非對稱密鑰密碼體製。
在這種體製中,PK是公開信息,用作加密密鑰,而SK需要由用戶自己保密,用作解密密鑰。加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現,但卻不能根據PK計算出SK。在公開密鑰密碼體製中,最有名的一種是RSA體製。它已被ISO/TC97的數據加密技術分委員會SC20推薦為公開密鑰數據加密標準。
在DES之類的對稱(保密)密鑰算法中,加密和解密過程使用相同的密鑰。與非對稱密鑰算法相比,對稱密鑰的處理和計算工作量要少得多。但是,在保密密鑰加密中,每對交換信息的用戶都需要一個獨立的密鑰,這就給密鑰管理增加了顯著的負擔。此外,如何安全地建立和發布密鑰,這也是保密密鑰加密需要解決的問題。在Internet這樣的開放環境中,該問題更是難以解決。
1977年,R·RIvest,A·ShaMIr和L·ADleMan提出了公開密鑰密碼係統,簡稱RSA,它取自這三位發明者姓氏的第一個字母。這是一種非對稱的密碼係統,由兩個大素數的積經過運算生成兩個數對,這兩個數對擁有非常可貴的性質,它們相互之間無法在有效的時間內導出對方,以其中的一個數對為密鑰對信息進行加密後,隻能以另一個數對為密鑰對其解密。這樣,可以把其中的一個在網上公開,稱為公鑰;另一個由自己保留,稱為私鑰。每個人都有自己的公鑰和私鑰。在發送保密信息時,使用接收者的公鑰進行加密,接收者使用自己的私鑰即能解密,別人不知道接收者的私鑰則無法竊取信息。在對發送者進行確認時,由發送者用自己的私鑰對約定的可公開信息進行加密,接收者用發送者的公鑰進行解密;由於別人不知道發送者的私鑰,無法發出能用其公鑰解得開的信息,因此發送者無法抵賴。
例如:如果你想發送一段文本給X,那麼X先把他的公鑰告訴你,你得到X的公鑰後,就可以使用該公鑰對文本加密,然後把密文發送給X。X收到密文後,利用X的私鑰對密文解密。由於隻有X一個人知道該私鑰,所以其他人無法對密文解密。
可以看出,在RSA中需要管理的密鑰比較少,這是它的優點。但是,RSA的處理和計算量比較大,所以會導致性能降低。因此,在當前的加密應用中,經常使用對稱密鑰來對文本加密和解密,用非對稱RSA加密體係對該保密密鑰進行加密和解密。發送方把密文和加密後的私鑰一起發送給接收方。
使用這種聯合加密法,不僅可以確保數據的保密性,而且還可以實現一種名為數字簽名的認證機製。發送者私鑰加密的數據可以提供對發送者身份的認證,接收者私鑰加密的數據可以提供對接收者身份的認證。
但是,加密也僅僅是網絡安全的基礎,遠不能解決所有問題。隻有與其他技術相配合,才能有網絡帝國的安寧。
構築網絡防火牆
提到網絡安全,人們必然會想到防火牆。防火牆雖不是網絡安全的萬靈藥,但是,幾乎在所有的網絡安全方案中,它都占有重要的地位。
防火牆(FIrewall)是指一個由軟件或和硬件設備組合而成,處於企業或網絡群體計算機與外界通道之間,用來加強因特網與內部網之間安全防範的一個或一組係統。它具有限製外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。它可以確定哪些內部服務允許外部訪問,哪些外部服務可由內部人員訪問。總之,它控製網絡內外的信息交流,提供接入控製和審查跟蹤,是一種訪問控製機製。
一般防火牆具備以下特點:
①廣泛的服務支持。通過將動態的、應用層的過濾能力和認證相結合,可實現WWW瀏覽、HTTP服務、FTP服務等;
②通過對專用數據的加密支持,保證通過Internet進行的虛擬專用網商務活動不受破壞;
③客戶端認證隻允許指定的用戶訪問內部網絡或選擇服務,是企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分;
④反欺騙。欺騙是從外部獲取網絡訪問權的常用手段,它使數據包好似來自網絡內部。防火牆能監視這樣的數據包並能扔掉它們。
防火牆的設置有兩條原則:一是"凡是未被準許的就是禁止的"。防火牆先是封鎖所有的信息流,然後審查要求通過的信息,符合條件的就讓通過。這是一種安全性高於一切的策略,其代價是網絡的方便性受到限製,網絡的應用範圍和效率會有所降低。在這個策略下,會有很多安全的信息和用戶被拒之門外。另一條策略與此正好相反,它堅持"凡是未被禁止的就是允許的"。防火牆先是轉發所有的信息,起初這堵牆幾乎不起作用,如同虛設;然後再逐項剔除有害的內容,被禁止的內容越多,防火牆的作用就越大。在此策略下,網絡的靈活性得到完整地保留。但是就怕漏過的信息太多,使安全風險加大,並且網絡管理者往往疲於奔命,工作量增大。
不管是采用哪種策略,都是有其利也必有其弊,似乎很難兩全其美。這就是計算機網絡安全問題的現實,是由網絡開放性與安全性存在根本性的矛盾決定的,在防火牆的策略上也是如此。
網絡是動態發展的,製定的安全目標也是動態的。如果將計算機的安全規則加入到固定的物理安全模式中,其結果是一旦網絡結構調整,其先前定義的安全規則將很難適用,且維護起來非常困難。網絡的物理結構不應改變這一條設定:"通過充分規劃、設計網絡的邏輯結構,並滿足今後應用發展的需要,以適應安全規則。"正因為安全領域中有許多變動的因素,所以安全策略的製定不應建立在靜態的基礎上。在製定防火牆安全規則時,應符合"可適應性的安全管理"模型的原則,即:
安全=風險分析+執行策略+係統實施+漏洞監測+實時響應
從而滿足結合性與整體性相結合的要求。
現有的防火牆技術主要有兩大類:數據包過濾技術和代理服務技術。
第一類是數據包過濾技術(PaCketFIlter)。它是在網絡層對數據包實施有選擇的放行。事先在防火牆內設定好一個過濾邏輯,對於通過防火牆數據流中的每一個數據包,根據其源地址、目的地址、所用的TCP端口與TCP鏈路狀態等進行檢查,確定它是否可以通過。數據包過濾技術的防火牆安裝在網絡的路由器上,網絡之間的各個路由器,自己備有一份稱之為"黑名單"的訪問表,據以檢查和過濾通過路由器的各種數據,凡是符合要求的就放行,不符合的就拒絕。由於路由器對任何的網絡都是必需的,幾乎所有的商用路由器都提供此項過濾功能,因此這種基於路由器的防火牆比較簡單易行。全世界的網絡上麵有80%的防火牆是這種類型的。然而,它們並不能完全有效地防範非法攻擊,入侵者還是能夠比較容易地利用一些電子欺騙(SpOOFIng)的處理過程,偽裝蒙混過關,致使它們的作用大打折扣。
第二類是代理服務技術(PrOXyServICe)。這是一種基於代理服務器的防火牆技術,通常由兩部分構成--客戶與代理服務器連接,代理服務器再與外部服務器連接,而內部網絡與外部網絡之間沒有直接的連接關係。一般來說,代理服務器都提供注冊(LOg)和審計(AuDIt)功能。注冊功能對於一個服務器來說是不言而喻的。審計功能主要是指對網絡係統資源的使用情況提供一個完備的記錄,以便全麵監督和控製網絡。也就是說,該項功能提供一種分析能力,可以跟蹤調查某些網上行為,對其中的一些非法行為提供有力的證據,然後向防火牆提出哪些是不受歡迎者,秘密地提交一份"黑名單",並且對列入"黑名單"上的用戶或地址實行封殺。
基於代理服務器上的防火牆比基於路由器上的防火牆安全保密性能要強一些,也要複雜一些。當然,基於代理服務器上的防火牆必須增加網絡建設的成本,代理服務器需要增加硬件和軟件的投入。
除了上述兩種類型之外,還有其他一些防火牆,有的是上述兩種防火牆的變種或改進,也有的是上述兩種防火牆的綜合。
屏蔽主機防火牆(SCreeneDHOstFIrewall)就是采用一個包過濾路由器與外部網連接,用一個堡壘主機安裝在內部網上,起著代理服務器的作用,是外部網所能到達的唯一節點,以此來確保內部網不受外部未授權用戶的攻擊,達到內部網安全保密的目的。
防火牆是有其局限性的:
①防火牆不能防止繞過防火牆的攻擊。比如,一個企業內聯網設置了防火牆,但是該網絡的一個用戶基於某種理由另外直接與網絡的服務提供商連接,繞過了企業內聯網的保護,為該網留下了一個供人攻擊的後門,成了一個潛在的安全隱患。
②防火牆經不起人為因素的攻擊。由於防火牆對網絡安全實施單點挖掘,因此可能受到黑客們的攻擊。像企業內聯網由於管理原因造成的人為破壞,防火牆是無能為力的。
③防火牆不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網絡不受病毒的攻擊。任何防火牆不可能對通過的數據流中每一個文件進行掃描檢查病毒。
可喜的是,隨著網絡安全技術的發展,防火牆不能實現的一些功能,其他技術已經實現了。其中奧妙,下小節分解。
驗證數字證書
數字證書(DIgItalCertIFICate)是一種正在興起的身份認證方法,它對報文收發和電子商務有著積極的影響。數字證書又叫數字憑證,是用電子手段來證實一個用戶的身份和對網絡資源的訪問權限。在網上的電子交易中,如果雙方出示了各自的數字憑證,並用它來進行交易操作,那麼雙方都可不必為對方身份的真偽擔心。數字憑證可用於電子郵件、電子商務、群件、電子資金轉移等各種用途。
數字證書就是一個數字文件,通常由四個部分組成:第一是證書持有人的姓名、地址等關鍵個人信息;第二是證書持有人的公開密鑰;第三是證書序號、證書有效期等;第四是發證單位的數字簽名。這種證書由特定的授權機構--CA中心發放,具有法律效率,是電子商務交往中個人或單位身份的有效證明,類似於現實世界中的身份證、護照等。數字證書可存貯在Java卡中隨身攜帶,並用口令加以保護。
當收到一份進行過數字簽名的報文時,你可以通過驗證簽發者的數字憑證來確認發送者的身份,保證報文傳輸過程中沒有出錯,並且證明該報文的真實性。當你發送報文時,你能夠對它進行數字簽發,並且將自己的數字憑證附在其上,以便讓報文的接收者確認信息確實是從你處發出。對於一份報文,可以附上多項數字憑證,形成一條數字憑證鏈。鏈中每項數字憑證用於鑒別前一項數字憑證,最高級別的認證中心必須是完全獨立的,而且為用戶充分信賴。其公用密鑰必須是眾所周知的,你對報文的接收方越熟悉,發送時附帶數字憑證的必要性就越小。你也可以使用數字憑證來向安全性WWW服務器表明自己的身份,而一旦獲得了一個數字憑證,你就能建立自己安全的網站或自動運用數字憑證的電子郵件。
數字證書通常分為三種類型:個人證書,企業證書,軟件證書。
①個人證書(PersOnalDIgItalID)為某一個用戶提供證書,以幫助個人在網上安全操作電子交易。個人身份的數字證書通常是安裝在客戶端的瀏覽器內,並通過安全的電子郵件來操作交易。網景公司的"導航者(NavIgatOr)"瀏覽器和微軟公司的"探索者(InternetEXplOrer)"瀏覽器都支持該功能。
個人數字證書是向瀏覽器申請獲得的,認證中心對申請者的電子郵件地址、個人身份及信用卡號等核實後,就發放個人數字證書,並安置在用戶所用的瀏覽器或電子郵件的應用係統中,同時也給申請者發一個通知。個人數字證書的使用方法集成在用戶瀏覽器的相關功能中,他其實隻要相應地選擇一下就行了。個人數字證書有四個級別。第一級別是最簡單的,隻提供個人電子郵件地址的認證,僅與電子郵件地址有關,並不認證個人信息,是最初級的認證;第二級別提供個人姓名、個人身份(駕照、社會保險號、出生年月等)等信息的認證;第三個級別是在第二級別之上加上了充當信用支票的功能;第四級別包括證書所有人的職位、所屬組織等,但還沒有最後定型。
②企業證書,也就是服務器證書(ServerID),它是對網上的服務器提供的一個證書,擁有Web服務器的企業就可以用具有證書的Internet網站(WebSIte)來做安全的電子交易。
擁有數字證書的服務器可以自動與客戶加密通信,有證書的Web服務器會自動地將它跟客戶端Web瀏覽器通信的信息加密。服務器的擁有者有了證書,就可以做安全電子交易了。服務器證書的發放較為複雜。因為它是一個企業在網絡上的形象,是企業在網絡空間信任度的體現。
權威的認證中心對每一個申請者都要調查信用,包括企業基本情況、營業執照、納稅證明等;要考核該企業對服務器的管理情況,一般是通過事先準備好的詳細驗證步驟進行的,主要考慮是否有一套完善的管理規範;要考核該企業是否有完善的加密技術和保密措施;也要調查其設備的安全可靠性,包括是否有多層邏輯訪問控製、生物統計掃描儀、紅外線監視器等。認證中心經過考察後決定是否發放或撤銷服務器數字證書。一旦決定發放後,該服務器就可以安裝認證中心提供的服務器證書,安裝成功後即可投入服務。服務器得到數字證書後,就會有一對密鑰,數字證書與這對密鑰一起表示該服務器的身份,是整個認證的核心。
③軟件證書通常是為網上下載的軟件提供證書,應用並不廣泛。軟件(開發者)證書(DevelOperID)通常為因特網下載的軟件提供證書,該證書用於和微軟公司AuthentICODe技術(合法化軟化)結合的軟件,讓用戶在下載軟件時能獲得所需的信息。
上述三類證書中前兩類是常用的證書,第三類則用於較特殊的場合,大部分認證中心提供前兩類證書,能提供齊全各類證書的認證中心並不普遍。
數字證書的管理非常重要,包括兩方麵的內容:一是頒發數字證書,二是撤銷數字證書。在一些情況下,如密鑰丟失或被竊,或者某個服務器變更了,就需要一種方法來驗證數字證書的有效性,要建立一份可伸縮的證書取消清單並公諸於眾。由於數字證書也要有相應的有效期,為此認證中心一般都製定相應的管理措施和政策,來管理其屬下的數字證書。目前,數字證書可用於電子郵件、電子貿易、電子基金轉移等,應用範圍和效果還是有限的。現在的網絡認證體係很不健全,在因特網上的信任度還很低。一些國家的銀行和信用卡公司也在建立自己的認證體係,以保障它們自身的利益。
驗證數字證書
"身份驗證"統指能夠正確識別用戶的各種方法,是為阻止非法用戶的破壞所設,所以認證機構應當提供這些認證功能:
①可信性:信息的來源可信,即信息接收者能夠確認所獲得的信息不是由冒充者發出的;
②完整性:信息在傳輸過程中保持完整性,即信息接收者能夠確認所獲得的信息在傳輸過程中沒有被修改、延遲和替換;
③不可抵賴性:要求信息的發送方不能否認自己所發出的信息。同樣,信息的接收方不能否認已收到了信息;
④訪問控製:拒絕非法用戶訪問係統資源,合法用戶隻能訪問係統授權和指定的資源。
口令是當前最常用的身份認證方法。但是,眾所周知,不少用戶選擇的口令水平太低,可以被有經驗的黑客猜測出來。我們經常把口令認證叫做"知道即可"的認證方法,因為口令一旦被別人"知道"就喪失了其安全性。現在,很多公司開始轉向一種名為"拿到方可"的認證方法,在這種認證方法中,用戶進行身份認證時,必須使用令牌或IC卡之類的物理設備。令牌是一種小型設備,隻有IC卡或計算器那麼大,可以隨身攜帶。
這類產品經常使用一種挑戰-應答(ChallengeRespOnse)技術。當用戶試圖建立網絡連接時,網絡上的認證服務器會發出挑戰信息,用戶把挑戰信息鍵入到令牌設備後,令牌設備顯示合適的應答信息,再由用戶發送給認證服務器。很多令牌設備還要求用戶鍵入PIN。IC卡認證與令牌認證比較相似,隻不過前者需要使用IC卡讀取器來處理挑戰信息。
檢驗數字簽名
網絡世界如同我們的現實生活,模仿、偽造簽名的事件也時有發生,為製止此類不幸,數字簽名便應運而生了。
數字簽名,又叫電子簽名,它不同於手工簽名。
簽名的作用有兩點:一是因為自己的簽名難以否認,從而確認了文件已經簽署這一事實;二是因為簽名不易偽造,從而確定了文件是真實的既定事實。手工簽名具有固定不變、容易模仿、偽造、手續繁瑣等缺點。數字簽名則既可以做到保證簽名者無法否認自己的簽名,又可保證接收方無法偽造發送方的簽名,還可以作為信息發送雙方對某項爭議的法律依據。
數字簽名除了具有手工簽名的全部功能外,還具有易更換、難偽造、可進行遠程線路傳遞等優點,它是目前實現電子商務數據傳輸中安全保密的主要手段之一。在電子支付係統中,數字簽名代替傳統銀行業務中在支票等紙麵有價證券上的真實簽名,它是產生同真實簽名有相同效果的一種協議,用來保證報文等信息的一致性。
以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢?這就是數字簽名所要解決的問題。數字簽名必須保證以下三點:
①接收者能夠核實發送者對報文的簽名。
②發送者事後不能抵賴對報文的簽名。
③接收者不能偽造對報文的簽名。
當前國際上主要有三種應用廣泛的數字簽名方法:RSA簽名、DSS簽名和Hash簽名。三種算法可單獨使用,也可綜合在一起使用。數字簽名是通過密碼算法對數據加、解密變換來實現的,用DES算法、RSA算法都可實現數字簽名。但三種技術或多或少都有缺陷,或者沒有成熟的標準。
用RSA或其他公開密鑰密碼算法的最大方便是沒有密鑰分配問題(網絡越複雜、網絡用戶越多,其優點越明顯)。公開密鑰加密使用兩個不同的密鑰,其中有一個是公開的,另一個是保密的。公開密鑰可以保存在係統目錄內、未加密的電子郵件信息中、電話黃頁(商業電話)上或公告牌裏,網上的任何用戶都可獲得公開密鑰。而保密密鑰是用戶專用的,由用戶本身持有,它可以對由公開密鑰加密的信息解密。
RSA算法中數字簽名技術實際上是通過一個哈希函數來實現的。數字簽名的特點是它代表了文件的特征,文件如果發生改變,數字簽名的值也將發生變化,不同的文件將得到不同的數字簽名。一個最簡單的哈希函數是把文件的二進製碼相累加,取最後的若幹位。哈希函數對發送數據的雙方都是公開的。
DSS數字簽名是由美國國家標準化研究院和國家安全局共同開發的。由於它是由美國政府頒布實施的,因此主要用於跟美政府做生意的公司,其他公司則較少使用。它隻是一個簽名係統,而且美不提倡使用任何削弱政府竊聽能力的加密軟件,認為這才符合國家利益。
Hash簽名是最主要的數字簽名方法,也稱之為數字摘要法(DIgItalDIgest)、數字指紋法(DIgItalFIngerprInt)。跟單獨簽名的RSA數字簽名不同,它是將數字簽名與要發送的信息捆在一起,所以更適合EC。換個角度講,你把一個商務合同的個體內容與簽名結合在一起,當然要比合同和簽名分開傳遞,更增加了可信度和安全性。數字摘要(DIgItalDIgest)加密方法亦稱安全Hash編碼法(SHA:SeCureHashAlgOrIthM)或MDS(StanDarDFOrMessageDIgest),由ROnRIvest所設計。該編碼法采用單向Hash函數將需加密的明文"摘要"成一串128位的密文,也叫數字指紋(FIngerPrInt),它有固定的長度,且不同的明文摘要必定一致。這樣,這串摘要便可成為驗證明文是否"真身"的"指紋"了。
隻有加入數字簽名及驗證(VerIFICatIOn)才能真正實現在公開網絡上的安全傳輸,滿足這兩點的文件傳輸過程是:
①發送方首先用哈希函數從原文得到數字簽名,然後采用公開密鑰體係用發送方的私有密鑰對數字簽名加密,附在要發送的原文後麵。
②發送方選擇一個秘密密鑰對文件加密,然後通過網絡傳輸到接收方。
③發送方用接收方的公開密鑰對秘密密鑰加密,並通過網絡把加密後的秘密密鑰傳輸到接收方。
④接受方使用自己的私有密鑰對密鑰信息進行解密,得到秘密密鑰的明文。
⑤接收方用秘密密鑰對文件進行解密,得到經過加密的數字簽名。
⑥接收方用發送方的公開密鑰對數字簽名進行解密,得到數字簽名的明文。
⑦接收方用得到的明文和哈希函數重新計算數字簽名,並與解密後的數字簽名對比。如果兩個數字簽名是相同的,說明文件在傳輸過程中沒有被破壞。
如果第三方冒充發送方發出了一個文件,因為接收方在對數字簽名進行解密時使用的是發送方的公開密鑰,隻要第三方不知道發送方的私有密鑰,那麼解密出來的數字簽名和經過計算的數字簽名必然是不相同的。這樣我們就有了一個安全的確認發送方身份的辦法。
使用虛擬專用網
虛擬專用網(VPN)這一術語用於描述跨Internet的遠程訪問,亦指利用Internet的基礎設施,連接同一公司的兩個部門或連接兩個不同的公司。有幾種防火牆產品提供了VPN功能,包括CheCkpOInt的FIrewall1,RaptOr的EaglelIne,SeattleSOFtwareLabs的WatChguarDSeCurItySysteM200,NetwOrk1的FIrewall/Plus,以及TrusteDInFOrMatIOnSysteMs的Gauntlet。
遠程訪問時,遠程用戶先呼叫本地的ISP,然後經由Internet連接至中央網絡。最近,兩個用於虛擬專用網遠程訪問和連接的工業標準已經實現了互操作,為虛擬專用網帶來了蓬勃的生機。這兩個標準是AsCenDs和MICrOsOFt的點到點隧道協議(POInttOPOIntTunnelIng以及CIsCO的第二層轉發(LayerTwOFOwarDIng,L2F)協議,IETF把這兩個協議合並成第二層隧道協議(LayerTwOTunnelIngPrOtOCOl,L2TP)。該標準允許把身份認證和授權過程從ISP轉發給另一個服務器,後者可以位於Internet的其他地方,例如企業的中央辦公室。
安全IP(IPseC或SeCureIP)是IETF正在製定的另一組標準。支持該標準的VPN產品可以互相通信、傳遞公鑰和加密算法,以建立VPN會話。大多數的VPN產品和支持VPN的防火牆產品都計劃支持IPseC。但是,需要提醒大家的是,互操作性測試還剛剛開始,IPseC仍處在製定之中。
VPN和諸如此類的加密方法都非常耗費CPU,如果處理不當會導致性能問題。因此,在采用任何一種加密產品前,有必要進行一番初步的測試,構造的係統應該具有足夠的CPU處理能力,以支持加密產品。還可以考慮采用快速的專用硬件解決方案來構造VPN。例如:DSNTeChnOlOgIes,InFOrMatIOnResOurCeEngIneerIng,ReDCreCkCOMMunICatIOns和VPNet提供的產品。其中的幾種解決方案既可以用於網絡連接,也可以用於移動用戶。在這些設備中,有很多可以自動管理密鑰。
由於在虛擬專用網上交易比較安全、可靠,它被認為是一種理想的交易形式,被網民們越來越多地采用。
三、拒絕黑客:沒有硝煙的對抗
黑客把網上的計算機當作攻擊目標,毫無顧忌的竊取信息,發送郵件炸彈,攻入金融係統竊取金錢,破壞網上交易從中獲利,修改主頁進行惡作劇,施放病毒使你的網絡陷入癱瘓,或者僅僅是留下一封讓你心驚肉跳的警告信後揚長而去......真可謂肆無忌彈,作惡多端。這些網絡黑客究竟是何許人也?該如何擺脫絕黑客侵擾?
侵入者離你有多遠
"黑客"一詞來源於英語動詞HaCk,在20世紀早期,麻省理工學院的校園俚語中是"惡作劇"之意,尤指手法巧妙、技術高明的惡作劇,也可理解為"幹了一件非常漂亮的工作"。確實,計算機黑客在自己熟知的領域中顯然是極為出色的,個個都是編程高手。在60年代和70年代,作一名計算機黑客是一件很榮耀的事情。"黑客"在當時用來形容獨立思考、然而卻奉公守法的計算機迷。他們崇尚技術,反抗權威。他們的骨子裏滲透了英雄般的反權威思想。從事黑客活動,意味著對計算機係統的最大潛力進行智力上的自由探索,意味著盡可能地使計算機的使用和信息的獲得成為免費的和公開的,意味著堅信完美的程序將解放人類的頭腦和精神。他們雲集在技術精英的堡壘麻省理工學院和斯坦福大學。作為一個群體,他們的商業意識十分薄弱,政治意識更是匱乏,是一些地地道道的技術人員。然而,任何不負責任、失去方向和沒有製約的權力都是令人恐怖的,包括計算機係統的控製權。隨著一些黑客逐漸將注意力集中到涉及公司機密和國家內幕的保密數據庫上,"黑客"的定義有了新的演繹。
在這個轉變過程中,有兩件黑客事件產生了至關重要的影響。其一是1986~1989年德國(原西德)黑客團夥"漢諾威集團"在克格勃指使下試圖突入美國軍事計算機網絡刺探機密情報,這一事件於1989年3月2日在德國電視上曝光後,引起媒介的連鎖反應;其二是1988年11月發生的互聯網絡蠕蟲(WOrM)事件,也稱莫裏斯蠕蟲案。22歲的羅伯特·泰潘·莫裏斯是美國康奈爾大學計算機係研究生,其父鮑勃·莫裏斯是美國安全局的首席安全專家。羅伯特從小喜愛計算機,非常熟悉UnIX係統,純粹是在一種惡作劇心態的操縱下,羅伯特利用UnIX係統中SenDMaIl、FInger、FTP的安全漏洞,編寫了一個蠕蟲病毒程序於11月2日晚安放在與國際互聯網Internet的前身ARPANET聯網的麻省理工學院的網絡上。而且,由於病毒程序中一個參數設置的錯誤,該病毒迅速在與ARPANET聯網的幾乎所有計算機中擴散,並被瘋狂複製,大量侵蝕計算機資源,使得美國成千上萬台計算機一夜之間全部陷入癱瘓。
這兩大事件的發生,以及隨後發生的1990年1月15日AT&T的"一·一五"大癱瘓事件,終於促使美國於1990年在全國範圍內掀起了一場嚴打黑客的掃黑大行動。今天,在最新和最普遍的意義上說,"黑客"意味著那些偷偷地、未經許可就打入別人計算機係統的計算機罪犯。
據統計,幾乎每20秒鍾全球就有一起黑客事件發生,僅美國每年所造成的經濟損失就超過100億美元。而另一方麵,信息犯罪屬跨國界的高技術犯罪,要用現有的法律來有效地防範十分困難。由於沒有大麵積推廣現成的高科技黑客防範手段,因此對黑客的挑釁也隻能望黑興歎。如何建構安全網絡、信息係統便成為當前的熱點。
在我國,黑客出現的相對較晚,但發展之迅速、破壞之大,絲毫不亞於其他發達國家。尤其是我國的許多網絡在建網初期較少或者根本就沒有考慮安全防範措施,網絡交付使用後,係統管理員的管理水平又不能及時跟上,留下了許多安全隱患,給黑客入侵造成許多可乘之機。
從1993年中科院高能物理所與Internet聯網,首開國內使用Internet先河之日起,黑客在中國的活動就沒有停止過。
1993年底,中科院高能所發現有"黑客"侵入現象,某用戶的權限被升級為超級權限。當係統管理員跟蹤時,被其報複。
1994年,美國一位14歲的小孩通過互聯網闖入中科院網絡中心和清華的主機,並向我方係統管理員提出警告。
1996年,高能所再次遭到"黑客"入侵,黑客私自在高能所主機上建立了幾十個賬戶,經追蹤發現是國內某撥號上網的用戶。
同期,國內某ISP發現"黑客"侵入其主服務器並刪改其賬號管理文件,造成數百人無法正常使用。
1997年,中科院網絡中心的主頁麵被"黑客"用魔鬼圖替換。
同期,國內某研究機構用於進行科研而租用的高速通道被國內某高校黑客入侵成功後,下載了數千兆的黃色信息,造成不良影響。
進入1998年,黑客入侵活動日益猖獗,國內各大網絡幾乎都不同程度地遭到黑客的攻擊。
最為嚴重的是,自從1999年1月以來,北美反動黑客組織"地下軍團"公然對我國各大政府與商業網絡頻繁入侵及挑釁,信息安全問題日益嚴重起來。
當然,黑客在中國的活動遠不止以上這些。而從目前破獲的黑客案件看,多數黑客是國內一些涉世不深的青少年。如入侵江西169網的黑客馬強是剛剛從鎮江十六中學計算機班畢業的學生。他們中的大多數都是從國內外的一批諸如"黑客俱樂部"、"黑客基地"、"黑客禁區"、"黑客小學"、"黑客之家"、"黑客世界"、"黑客居"等黑客網站上了解黑客信息,學習黑客教程,掌握黑客手法和技術,獲取黑客工具,交流黑客經驗,使得這些涉世不深、法律意識淡薄,但對計算機係統和網絡有著濃厚興趣的青少年對侵入他人計算機係統充滿了好奇和技術挑戰心態,當然也有一些居心不良,以惡意破壞網絡和盜取情報、金錢為目的的犯罪分子,從而構成了一個複雜的黑客群體,對國內的計算機係統和信息網絡構成極大威脅。
真正的黑客
對於黑客的猖獗進攻,可以說是防不勝防。黑客隻需要一台計算機、一條電話線和一個調製解調器就可以遠距離作案。這固然一方麵是由於網絡自身的缺陷所造成,但更重要的一方麵是因為黑客都是網絡上的技術高手。黑客絕不會盲目的四處出擊,他們有自己的一套近乎完美的攻擊策略。
(1)第一階段:獲取一個登錄賬號
對UNIX係統進行攻擊的首要目標是獲取一個登錄賬號與口令,攻擊者試圖獲取存在/etC/passwD或NIS映射中的加密口令拷貝。一旦他們等到這樣一個口令文件,他們可以對其運行CraCk,並可能猜出至少一個口令,盡管策略指導與係統軟件努力強化好的口令選擇,但卻往往難以做到。
攻擊者是如何登錄目標UNIX係統的呢?首先,網絡黑客收集存在於不同UNIX產品上的安全漏洞信息以及擴大這些漏洞的方法。然後,黑客收集關於目標組織中計算機係統與網絡的信息,最後,黑客利用脆弱點獲得機會,並努力登錄進入係統。
的確還存在其他攻擊方法,多數明顯地是拒絕服務攻擊。然而,獲得登錄權限的企圖看起來是最危險與頻繁的。
(2)第二階段:獲取根訪問權
攻擊的第二階段不一定是一個網絡問題。入侵者會試圖擴大一個特定UNIX係統上的已有漏洞,例如試圖發現一個setuID根腳本,以便獲取作為根運行的能力。一些網絡問題,像未加限製的NFS允許根對其讀與寫,這可以被用來獲取根訪問權。ASTAN確實沒有特意深入這個領域的攻擊,相反,SATAN掃描第一階段問題,即允許遠程用戶級別或根級訪問係統。第二階段的更好工具可能是COPS,這是SATAN創建者的另一個程序。
對係統管理員而言,保護係統不受這種攻擊的合適方法是關閉由廠商推薦的下列安全措施:CIAC與CERT,並在他們可用時安裝修正設施。仔細的配置與安裝可以幫助減少潛在的脆弱點。如果存在一個允許用戶以根方式行動的漏洞,則入侵者可能被utMp/wtMp中的陷阱所捉獲(所有當前的登錄用戶排列在utMp文件中。一個登錄與注銷的曆史記錄可以從utMp文檔傳至wtMp文件。"last"命令將形式化wtMp文件,並提供所有登錄的列表,包括關於登錄源與登錄期間的信息)。然而,不是所有的程序在utMp/wtMp中均存在條目:reMsh/rsh在遠程係統執行命令因而在utMp/wtMp中沒有標識條目。syslOg文件對監控係統的活動也很有用。係統監控程序的存在提供一種附加的跟蹤能力。
像suDO、DO!一樣sys或Osh這樣的允許獲取超級用戶權限的程序,應在限製時間基礎上提供給用戶,比如自動24小時限製,才能使根暴露的機會最小化。這些程序中的一部分,像Osh,提供了對許可根行為的控製,這樣減少了可能發生的故障範圍。無論如何,根口令應該經常改變,對根登錄位置的控製也應給予考慮。
(3)第三階段:擴展訪問權
一旦入侵者擁有根訪問權,這個係統即可被用來攻擊網絡上的其他網絡。通常的攻擊方法包括對登錄守護程序作修改以便獲取口令(FtpD、Telnet、rlOgInD、lOgIn)、增加包窺探儀以獲取網絡通信口令,並將它們返回給入侵者,以及偽裝成試圖利用受托關係來獲取訪問權的攻擊。
正如前麵提及的,ASTAN特別注意攻擊的第一階段,並提供對第二階段的幫助。SATAN在第三階段中沒有任何作為。通過模仿竊賊,SATAN可以幫助定位一輛在停車場上未關門的汽車,並指出哪扇門未關(第二階段)。最後,即第三階段,在停車場中駕駛這輛車以便查找其他未鎖門的汽車。因為SATAN可能已收集了關於其他重要主機的信息(NFS服務或MS服務),第三階段可能用這些信息將攻擊集中在獲取其他係統的訪問權上。
通常,一旦入侵者控製了你的係統,你幾乎無計可施。一個入侵高手可以輕易地通過修改記賬與認證記錄抹去其痕跡。一些專業黑客甚至設計了自動程序,完全隱藏他們的行蹤,一個流行的版本是rOOtkIt。這個軟件包與ps、ls、suM、whO等文件一起發布;係統管理員不能肯定二進製的完整性(IntegrIty),因為suM命令給出的是感染過的信息。類似地,ps命令不能顯示入侵者運行的程序。
擺脫黑客的陰影
隨著黑客的日益猖獗,信息安全問題越來越多地被提到各級政府和網絡管理部門,尤其是電子商務應用的重要議事日程上來。並且,在對付黑客的鬥爭中,也取得一定的戰果。
對付黑客,首先是分析他們的心理和掌握他們的手法、特征,從而有效地阻止其進行破壞活動。
一個典型的青少年黑客據說有如下特征:
通常是12歲~30歲的男性
聰明,但在學校裏的表現並不出色
適應環境的能力較差,不被他人所理解
出身於不和的家庭
當然,他們無法得到女性的青睞
黑客往往與社會格格不入,他們具有以下可能危害社會的個性:
自以為是,妄自尊大
耽於巨大成功的幻想中
需要不斷得到他人的注意和崇拜
如果自尊心受到傷害,會采取強烈的報複手段
個人權利至高無上
無情地利用他人
對人和事不是抬得很高,就是貶得一錢不值
缺乏同情心
並非所有的黑客都是瘋子,或患了心理疾病。他們的構成很複雜,但他們傾向於做一個"邊緣人",用被社會所排斥的人的思維方式來思考。紐約佩斯大學心理學教授玻西·布萊克博士說:"不論他們的年齡有多大,黑客都是孩子。"他認為,惡意的黑客活動也許源於"內生興奮缺乏症",簡單地說就是,黑客的家庭生活、飲食或社會生活有一定的問題,使他們的頭腦不能分泌足夠的"感覺興奮和良好"的化學物質,從而無法產生內在的滿足感。
我們應該怎樣看待這樣的青少年呢?蔑視?漠視?仇視?仰視?他們自稱為盜火的普羅米修斯,但實際上,他們盜來的可能隻是個一次性打火機而已。
黑客是奇怪的人,他沒有歸屬感,他沒有權威,他身上有些東西不對頭,他沒有停留在應該停留的位置上,他不是正常人中的一員。
他心中有一個陰影,這個陰影不會消失,因為它也許本來就是虛幻的。不管花費多大的力氣,這個陰影無法被逮捕,被起訴,被監禁,或者被解雇。對待這一陰影的唯一建設性的方式是,更多地了解陰影所附著的那個人。了解的過程可能是痛苦的、醜陋的、令人困惑的,但卻是必要的。了解黑客不僅僅需要放下社會地位的架子,不僅僅需要法律的客觀公正,還需要人與人之間的理解和同情。
但是,這樣的認識也不應該把我們導向一個誤區,即把黑客看成病態的一群。這對黑客是不夠公平的,因為將其等同於"癮君子",可能會使我們的心目中產生一個頭腦麻木的患者的形象,而忘記了黑客活動中具有創造力的激動人心的一麵。也許我們的社會需要這樣的人;也許隻有具備多種多樣的性格的社會才是健康的。我們既需要外向開拓的人,也需要內向思辯的人,需要思想家也需要行動家。從許多大科學家的經曆也可看出:羞於與人交往的孤獨者常常會創造驚人的構想和發明。今日的青少年黑客是未來的棟梁之材嗎?多給一些時間,也許他們會的。
但是,對付黑客,僅僅做到以上這點是遠遠不夠的,還要使用多種安全策略,防止IP欺騙及黑客通過WWW主機攻入係統,嚴格保護口令設置,使黑客的攻擊企圖難以得逞。
從工具角度來看,使用優秀的防火牆是防止黑客入侵的一種有效手段,可使用包過濾、協議過濾、地址過濾、隔離式過濾及巡回網關等措施來有效防範許多來自外部的間諜盜竊數據資源及對係統的破壞活動。
然而,防止外部黑客入侵僅僅是黑客防範的一個環節,也是我們平常所理解的黑客防範的概念。但從權威機構統計數據來看,目前發生的黑客攻擊事件有70%以上來自內部攻擊和越權使用,因此防內已成為當前黑客防範的重要環節,且這一環節是防火牆所無能為力的。所以,黑客防範僅靠防火牆已不能讓人放心。在使用防火牆構架第一道防範大堤的同時,還應重視使用黑客入侵防範軟件等工具加強電子交易係統本身的安全性能,即防外又防內,使黑客攻擊難於得逞。
但是網絡是動態的,黑客也是多謀善變的。買安全產品或服務,僅配置一次是不夠的。防火牆如此,其他安全產品也是如此。隨著網絡中的應用、工作站以及操作係統的數量和類型的改變,網絡安全性的挑戰會越來越激烈。黑客會利用不斷發現的網絡或係統安全漏洞,采用各種新的方式、方法攻擊你的係統,因此你的安全策略應該能夠適應它。
網威......黑客入侵防範軟件正是通過不斷跟蹤分析黑客行為和手法,來研究網絡和係統安全漏洞,網威軟件為您提供了不斷更新的網絡測試方法和漏洞修補措施。它通過不斷地檢測和監控你的網絡和係統,發現新的威脅和弱點,通過給你一個循環反饋來及時作出有效的安全策略和執行決定,以便在黑客攻擊你之前,先一步使用,進行安全防護。
具體地說,從技術上對付黑客攻擊,主要采用下列手段:
①使用防火牆技術,建立網絡安全屏障。使用防火牆係統來防止外部網絡對內部網絡的未授權訪問,作為網威軟件的補充,共同建立網絡信息係統的對外安全屏障。目前全球聯入Internet的計算機中約有1/3是處於防火牆保護之下,主要目的就是根據本單位的安全策略,對外部網絡與內部網絡交流的數據進行檢查,符合的予以放行,不符合的拒之門外。
②使用安全掃描工具發現黑客。經常使用網威等安全檢測、掃描工具作為加強內部網絡與係統的安全防護性能和抗破壞能力的主要掃描工具,用於發現安全漏洞及薄弱環節。當網絡或係統被黑客攻擊時,可用該軟件及時發現黑客入侵的跡象,進行處理。
③使用有效的監控手段抓住入侵者。經常使用網威等監控工具對網絡和係統的運行情況進行實時監控,用於發現黑客或入侵者的不良企圖及越權使用,及時進行相關處理(如跟蹤分析、反攻擊等),防範於未然。
④時常備份係統,若被攻擊可及時修複。這一個安全環節與係統管理員的實際工作關係密切,所以係統管理員要定期地備份文件係統,以便在非常情況下(如係統癱瘓或受到黑客的攻擊破壞時)能及時修複係統,將損失減少到最低。
⑤加強防範意識,防止攻擊。加強管理員和係統用戶的安全防範意識,可大大提高網絡、係統的安全性能,更有效地防止黑客的攻擊破壞。
四、遏製病毒:還"網"一片晴空
網絡絕不是一個"一塵不染的數字化樂園",它可以釋放出難以形容的生產能量,但也可以成為恐怖主義者和江湖巨騙的工具,或是彌天大謊和惡意中傷的大本營。什麼時候能還網絡一片晴空?網絡上最肮髒的地方
1975年美國一位科幻小說家突發奇想,在他的作品中描述了一個高級電子控製機器人,根據主人發的指令,對其他機器係統進行幹擾和破壞。這種設想的控製指令便是令人生畏的計算機病毒雛形。
1983年11月,弗萊德·科恩提出了計算機病毒的概念。
人類發明了電腦,但同時也為自己製造了麻煩。如果某一天,您的電腦突然唱起了"揚基進行曲",那您可就得頭疼了,因為電腦病毒已在您周圍出現了!
有時電腦沒有唱歌,但在顯示器上出現了一條龍,或者是屏幕上的字符一個接一個不見了,那都表示您的電腦感染了病毒。電腦病毒具有驚人的"智慧",星期五病毒認定了在星期五發作。蘋果病毒則極富幽默感,每隔半小時,它在屏幕上要求"我要吃蘋果",這時隻有輸入"蘋果請"三個漢字,係統才恢複正常。
這些當然隻是表麵現象。電腦病毒之所以叫"病毒"就是因為它與生物病毒有十分相像之處,它們都具有傳染性、潛伏性、隱蔽性和破壞性。計算機病毒是指一段隱蔽在計算機之中,並且繁殖以影響電腦正常運行的程序。它的危害可從以下兩個方麵來說明:
第一,病毒對網絡的主要危害。病毒程序通過"自我複製"傳染正在運行的其他程序,並與正常運行的程序爭奪計算機資源;病毒程序可衝毀存儲器中的大量數據,致使計算機其他用戶的數據蒙受損失;病毒不僅侵害所使用的計算機係統,而且侵害與該係統聯網的其他計算機係統;病毒程序可導致計算機為核心的網絡失靈。
第二,病毒對(微型)計算機的危害。破壞磁盤文件分配表,使用戶在磁盤上的信息丟失;將非法數據定入操作係統(如DOS的內存參數區),引起係統崩潰;刪除硬盤或軟盤上特定的可執行文件或數據文件;修改或破壞文件的數據;影響內存常駐程序的正常執行;在磁盤上產生虛假壞分區,從而破壞有關的程序或數據文件;更改或重新寫入磁盤的卷標號;不斷反複傳染拷貝,造成存儲空間減少,並影響係統運行效率;對整個磁盤或磁盤上的特定磁道進行格式化;係統掛起,造成顯示屏幕或鍵盤的封鎖狀態。
自從1986年計算機病毒的實現被專家們在實驗中證實以後,便迅速蔓延到全世界,一個小巧的病毒程序可令一台微型計算機、一個大型計算機係統或一個網絡處於癱瘓。這一方麵反映了當今計算機係統的脆弱性,另一方麵也反映了計算機病毒的危害性。計算機病毒已對計算機係統和網絡安全構成了極大的威脅。
計算機病毒,按照廣義概念,可以分為以下幾種:
①蠕蟲(WOrM)。蠕蟲是一種短小的程序,這個程序使用未定義過的處理器來自行完成運行處理。它通過在網絡中連續高速地複製自己,長時間的占用係統資源,使係統因負擔過重而癱瘓。
②邏輯炸彈(LOgICBOMb)。它是一個由滿足某些條件(如時間、地點、特定名字的出現等)時,受激發而引起破壞的程序。邏輯炸彈是由寫程序的人有意設置的,它有一個定時器,由寫程序的人安裝,不到時間不爆炸,一旦爆炸,將造成致命性的破壞。
③特洛伊木馬(TrOIanHOrse)。它是一個外表上很有吸引力,並且顯得很可靠的程序,往往出現在網絡的電子公告牌上。這些程序帶有人們喜愛的名字,當使用者通過網絡引入自己的計算機後,使用一定時間或運行一定次數後,便會發生各種故障或問題。從功能上看,和邏輯炸彈有異曲同工之處。
④陷井入口(BaCkDOOr)。陷井入口是由程序開發者有意安排的。當應用程序開發完畢時,放入計算機中,實際運行後隻有他自己掌握操作的秘密,使程序能正常完成某種事情,而別人則往往會進入死循環或其他歧路。
⑤核心大戰(COreWars)。這是允許兩個程序互相破壞的遊戲程序,它能造成對計算機係統安全的威脅。
帶毒的E-mail
隨著計算機網絡的推廣,各式各樣的病毒如潮水般湧入我國。以Word宏病毒為例,這是一類用WordBasIC編寫的病毒代碼,專門攻擊使用Word字處理軟件編輯的文檔,它可使文件長度莫名其妙地成倍增長,甚至出現好幾兆的小文檔;它還會使文件"另存為"失效、打印報錯,等等。
WordBasIC屬於高級語言,程序編寫簡單,對於各種已有宏病毒,略加修改又是一個新的變種。首例Word宏病毒是1995年8月才在美國流行,但兩個月後便出現在亞洲,現在在中國大陸流傳最廣泛的是TaIWan.NO.1(台灣1號)病毒。宏病毒實際上是利用了微軟公司所提出的ACtIveX思想中的缺陷,這一思想還應用在微軟的Office係列中。目前,在Internet網上的一些節點,隨時可遇到一百多種的Word宏病毒。
在Internet上傳遞一個文件,比如從美國的矽穀到我國的西安,隻需要1秒鍾,而現在每年在Internet上傳送的文件卻是以數十億計算。傳統的殺毒工具根本不考慮像Word這樣的文本文件,而Word作為微軟公司Office係列產品又有著極為廣泛的應用,用戶很可能在不知不覺中將帶有宏病毒的Word文檔作為電子郵件的附件發送出去,從而也把病毒傳送了出去。
對於Internet用戶,當對方將帶毒文檔或其他文件作為電子郵件發送過來時,直到自己將文件"另存為(Saveas)"到硬盤或軟盤上,文件一直處於重編碼狀態。傳統的基於服務器(將殺毒軟件放在局域網LAN的文件服務器上)或客戶端(將殺毒軟件放在客戶機上)的殺毒軟件對它都無能為力,用戶等於把自己的整個係統完全暴露在病毒攻擊之下。曾經有一些反病毒公司試圖將殺毒軟件放在局域網的服務器運行在NetWare環境下,采用IPX通信協議,而目前有80%的係統與Internet的連接方式則是通過運行於UNIX環境下的網關,采用的是TCP/IP協議,這是兩套相互不兼容的協議。於是,從Internet上傳送過來的電子郵件和下載的文件能夠繞過服務器,不經任何檢測便進入用戶係統。
現在,各種利用電子郵件傳播病毒的事例層出不窮。1999年,先後有"Happy99"、"美莉莎"等數種電子郵件病毒在世界各地大規模爆發,對網絡安全造成極大威脅。
誰來管理網絡空間
計算機病毒屬於計算機犯罪的一種。首先這是高技術犯罪,隱蔽性大且不易偵破,是某些具有電腦知識的人惡作劇或是為了顯示自己高超的編程技巧而製造的,因而絕大部分電腦病毒是故意編製的;其次,是電腦在原理上相當脆弱,沒有自我保護功能,各個環節幾乎都是透明的。
世界上平均每天有六種以上的新病毒產生,花樣越來越多,編程手段也愈來愈高明,使人防不勝防。
但是,人們在與病毒的"鬥爭"中,也逐步形成了一套行之有效的預防和查殺病毒的方法,在病毒未發作前就查到它並將其殺除。
為使人們理解防殺病毒的方法,以下簡要說明病毒的"工作原理"。
病毒是編程高手的"作品","寫作目的"主要是"表現能力"。
"自我複製"是病毒的第一特點,是病毒"生命力"的基本形式。入侵的病毒通常在發作前把自己複製到其他載體上(其他的文件、軟盤或網上另一台電腦),使自己的信息形式得以流傳。
幹擾破壞,這是病毒的第二特點。實際上,不應存在的數據也可以算作是病毒(如軟件垃圾),因為"存在"本身就是占用了不應占用的空間。有些病毒隻幹擾不破壞,屬於"良性"病毒。有些則瘋狂地破壞,如同"炸彈"用自己的粉身碎骨毀壞別人。
寄生潛伏,這是病毒的第三特點。病毒程序如果以普通的程序文件的形式保存在磁盤上,就會較容易被發現(其實這也很難找到),而且難於被啟動運行(隻有啟動運行後才能複製和破壞)。因此,病毒大多采用嵌入經常運行的正常程序中的方式寄生潛伏,經常隨宿主程序的啟動而啟動。為了潛伏,病毒不能每次啟動都發揮特點,它總是需要在某些條件滿足時才發作,比如在連接上網時複製到網上另一台電腦中,在某個"紀念日""爆炸"。網絡條件下的病毒已經發展成為病毒程序"集團",一個入侵,另一個遙控,通過網絡保持聯係。
根據病毒的"工作原理",我們就不難理解以下對付病毒的措施:建立安全的上機習慣,並結合使用高明的防毒產品。即要做到:檢查所有新軟件;檢查所有新數據盤;注意所有可疑行為;禁止使用A驅;購買適用的消毒產品;消除病毒時慎用消毒產品。
目前,市場上有四種常見的對付病毒的軟件:
①IntegrItyCheCkers或CheCksuMPrOgraMs能夠確定文件是否在最近一次校驗和檢查程序運行後發生過變化。任何由病毒引起的感染均改變受感染的程序,如果病毒不在內存中,則校驗和檢查程序能檢測出這種變化。
②SCanners被用來鑒別病毒,檢查是否有感染的文件,或證實程序沒有被感染。與校驗和檢查方法不同的是,它能在一個新軟件運行之前檢測它是否帶有病毒。
③安裝TSR(常駐內存)程序和設備驅動程序,用來監控病毒和病毒行為,並報告或阻止異常行為。
④Cleanap程序可刪除所發現的感染文件,或消除文件中的病毒。
但是,盡管防毒科技有了長足發展,人們在對付病毒的鬥爭中也取得了一係列勝利,新的病毒還會不斷出現。麵對網絡病毒,為了網絡世界的平安,我們必須時刻準備著戰鬥。除此之外,別無選擇。