網(wǎng)絡(luò)安全論文.doc

警惕網(wǎng)絡(luò)隱患 加強電子郵件安全電子郵件(E-mail)、遠程登錄(Telnet)及網(wǎng)絡(luò)文件傳輸(FTP)是Internet互聯(lián)網(wǎng)絡(luò)的三大傳統(tǒng)服務(wù)。近年來,盡管以環(huán)球信息網(wǎng)WWW (World Wide Web)為代表的多媒體信息服務(wù)發(fā)展非常迅速,但電子郵件依舊是Internet上使用最為頻繁和廣泛的服務(wù)。相對其它網(wǎng)絡(luò)服務(wù)來講,電子郵件對網(wǎng)絡(luò)連接和協(xié)議結(jié)構(gòu)的要求較低,因此電子郵件一般都是首先開通的網(wǎng)絡(luò)服務(wù),甚至在網(wǎng)絡(luò)沒有覆蓋的地區(qū),也可以通過一定的方法享用電子郵件。比如,零散的用戶可以通過電話網(wǎng)異步撥號,以終端方式進入遠地的郵件服務(wù)器,接收和發(fā)送郵件。電子郵件的使用相當(dāng)廣泛,甚至可以和普通郵政服務(wù)媲美。許多網(wǎng)絡(luò)用戶將自己的電子郵件和普通郵件的地址并列印在名片上,就足以看出電子郵件的影響之大。相對普通郵件而言,電子郵件有著許多明顯的優(yōu)越之處。即使跨越洲際的電子郵件,其速度也可以與電話或者傳真相當(dāng),比普通郵件要快得多,但費用僅僅相當(dāng)于普通郵件,遠低于電話或者傳真,而且電子郵件還具有許多普通郵件所不具有的特點,比如郵件的多復(fù)本投遞等等。 Internet電子郵件基于可靠的順序數(shù)據(jù)流服務(wù),比如TCP協(xié)議。電子郵件作為一種網(wǎng)絡(luò)應(yīng)用服務(wù),采用的是簡單郵件傳輸協(xié)議SMTP (Simple Mail Transfer Protocol)。傳統(tǒng)的電子郵件基于文本格式,對于非文本格式的二進制數(shù)據(jù),比如可執(zhí)行程序,首先需要通過一些編碼程序,像U-NIX系統(tǒng)命令uuencode,將這些二進制數(shù)據(jù)轉(zhuǎn)換為文本格式,然后夾帶在電子郵件的正文部分。隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展,大量多媒體數(shù)據(jù),如圖形、音頻、視頻數(shù)據(jù)可能需要通過電子郵件傳輸。Internet采用quot;類型/編碼quot;格式的多目的互聯(lián)網(wǎng)絡(luò)郵件擴展MIME (Multipurpose Internet Mail Extensions)標(biāo)準(zhǔn)來標(biāo)識和編碼這些多媒體數(shù)據(jù)。 正是因為電子郵件使用廣泛,因此,郵件的安全一直受到網(wǎng)絡(luò)管理人員的重視。特別是1988年發(fā)生在美國的Internet蠕蟲(worm)事件,是涉及安全問題的典型例子。在蠕蟲爆發(fā)后的一至兩天內(nèi),使用BSDUNIX及變種SUNOS操作系統(tǒng)的主機受其影響的數(shù)目達到幾千臺。許多網(wǎng)絡(luò)主機的管理員發(fā)現(xiàn)他們的機器中出現(xiàn)大量的命令解釋器(shell)進程,甚至管理員也無法啟動其它進程以清除它們,只好關(guān)閉電源以求恢復(fù)正常。但一旦機器重新啟動,很快便重新充滿大量的異常進程,使得用戶原有的工作不能完成。蠕蟲侵入系統(tǒng)的方法大致有三種,其中一種就是利用BSDUNIX電子郵件程序中的一個調(diào)試后門以及一個關(guān)于串處理函數(shù)的錯誤首先侵入系統(tǒng),然后將蠕蟲的主要代碼引導(dǎo)進入系統(tǒng)。這次蠕蟲事件一般被認(rèn)為是計算機病毒開始受到廣泛研究的標(biāo)志,影響及其深遠。盡管很快發(fā)布了修改這些后門和錯誤的郵件程序,但是人們?nèi)匀粚τ嘘P(guān)電子郵件引起的安全問題充滿警惕。一方面,仍舊有一些含有這些錯誤的程序在不同的系統(tǒng)中運行。另外一個方面,許多計算機quot;黑客quot;在不斷地quot;發(fā)掘quot;各種可能存在的侵入系統(tǒng)的方法。 隨著Internet在中國的迅速拓展,特別是中國教育和科研計算機網(wǎng)(CERNET)以及商業(yè)性的ChinaNet和COMNet的發(fā)展,電子郵件同樣成為許多網(wǎng)絡(luò)用戶使用的工具,互聯(lián)的校園網(wǎng)絡(luò)在促進學(xué)校科研教育發(fā)展的同時,也非常容易成為網(wǎng)絡(luò)攻擊的對象,特別是在網(wǎng)絡(luò)建設(shè)的初期,網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)防范能力都較為薄弱Internet電子郵件據(jù)不完全統(tǒng)計，Internet上每天傳送的電子郵件達數(shù)十億份。然而，電子郵件在網(wǎng)絡(luò)中是以明文形式傳輸和存儲，就猶如明信片一樣在網(wǎng)上飛來飛去，個人隱私和公司機密隨時存在被截獲和瀏覽的風(fēng)險。端到端電子郵件加密服務(wù)已成為電子郵件市場的迫切需求。盡管大多數(shù)Internet電子郵件都是基于BSDUNIX的郵件系統(tǒng),但是現(xiàn)在Internet使用的電子郵件系統(tǒng)的版本非常復(fù)雜。在這里,我們選擇基于SYSVR4系統(tǒng)的SUNSOLARIS2.4操作系統(tǒng)使用的郵件程序作為說明的例子。這也是在CERNET上使用最廣泛的郵件系統(tǒng)。電子郵件的投遞用戶在使用電子郵件時,一般使用的是mail或者Mailtool之類的工具。這些工具可以方便用戶書寫、遞交、收取以及閱讀郵件,比如基于窗口系統(tǒng)的Mailtool可以使用各種圖標(biāo)管理郵件。有些工具甚至可以根據(jù)MIME指定的quot;類型/編碼quot;格式自動調(diào)用相應(yīng)的解碼解釋程序。郵件工具mail獲得來自用戶提交的郵件以后,調(diào)用路由(指郵件的路由)程序sendmail進行郵件路由。根據(jù)郵件所附的接收方地址中指定的接收主機,如xxxyyy.zzz中的yyy.zzz,與位于主機yyy.zzz的sendmail后臺守護程序建立TCP連接(連接端口25),建立連接的雙方按照SMTP協(xié)議進行交互,并且完成郵件數(shù)據(jù)的投遞,接收方sendmail程序接收的郵件數(shù)據(jù)根據(jù)接收用戶的名稱,放置在系統(tǒng)的郵件目錄,如/usr/mail目錄的xxx文件。接收用戶同樣使用mail或者Mailtool工具獲取和閱讀這些已經(jīng)投遞的郵件。如果投遞失敗,這些郵件將重新返回發(fā)起方。電子郵件實際的投遞過程要比上述給出的復(fù)雜,在郵件發(fā)送方和接收方會涉及更多的配置文件,具體內(nèi)容可以參考操作系統(tǒng)所附的網(wǎng)絡(luò)管理手冊中的郵件配置部分。電子郵件的安全問題電子郵件系統(tǒng)的配置相當(dāng)簡單,以致校園網(wǎng)中每個IP地址的主機都可以使用電子郵件接收和發(fā)送電子郵件。這將產(chǎn)生兩個方面的隱患:首先,每個用戶可能在不同的主機上擁有帳戶,如果直接使用這些帳戶發(fā)送郵件,那么,發(fā)出的郵件會攜帶不同的發(fā)送方郵件地址,在迷惑郵件接收方的同時,使得本地郵件發(fā)送的管理工作相當(dāng)困難,同時過分暴露內(nèi)部網(wǎng)絡(luò)細節(jié)。其次,如果主機配置能夠接收郵件,則必定需要啟動郵件路由程序sendmail作為后臺進程傾聽來自郵件發(fā)送方的郵件連接請求,如果每臺主機為了接收郵件都啟動這個后臺進程,既浪費可用的計算資源,又可能產(chǎn)生安全后患,因為這些后臺程序可能正是網(wǎng)絡(luò)攻擊時使用的后門。除了電子郵件以外,其它網(wǎng)絡(luò)資源服務(wù)的后臺服務(wù)器進程,比如gopherd和httpd等,都可能產(chǎn)生相同的問題。校園網(wǎng)絡(luò)的特點是主機數(shù)多、用戶數(shù)多,相應(yīng)的網(wǎng)絡(luò)管理和安全管理的任務(wù)也比較復(fù)雜。因此,需要參考國外學(xué)術(shù)教育機構(gòu)網(wǎng)絡(luò)管理的經(jīng)驗,采取一定的措施,使得適當(dāng)?shù)募泄芾韥斫鉀Q這種散亂的局面。在對電子郵件的管理方面,許多國外大型公司要求非常嚴(yán)格,因為,安全和保密同樣重要,在防止外界侵入的同時,還需防止內(nèi)部資源的泄漏。解決方案在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,是網(wǎng)絡(luò)管理設(shè)定的quot;防火墻quot;。一般使用網(wǎng)絡(luò)路由器(router)完成網(wǎng)絡(luò)隔離的作用,比如通過對于IP報頭的過濾,也可以使用更高層次的應(yīng)用層網(wǎng)關(guān)作為隔離,這時可以對于TCP報頭進行過濾,甚至可以完成對報文內(nèi)容的過濾。由于這個quot;防火墻quot;的存在,外部網(wǎng)絡(luò)不能直接訪問內(nèi)部網(wǎng)絡(luò)的某些受限制服務(wù)功能,同樣,quot;防火墻quot;也能限制或者監(jiān)視內(nèi)部主機訪問網(wǎng)絡(luò)的活動。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,與quot;防火墻quot;相連的是稱作quot;非軍事區(qū)quot;的連接地帶。在這些連接地帶,允許外部網(wǎng)絡(luò)在一定的限制條件下訪問,并且這些訪問被良好地監(jiān)視和記錄下來。即使位于這些連接地帶的主機受到來自外部網(wǎng)絡(luò)的侵入,由于這些主機的內(nèi)容可以通過備份迅速恢復(fù),因此將不會影響內(nèi)部網(wǎng)絡(luò)的正常運行。一般校園網(wǎng)絡(luò)的控制部門,比如學(xué)校的信息中心或者計算中心,負責(zé)構(gòu)造和維護上述的quot;防火墻quot;以及相應(yīng)的設(shè)施,包括處于quot;非軍事區(qū)quot;的部分。處于quot;非軍事區(qū)quot;的主機包括網(wǎng)絡(luò)資源服務(wù),如WWW、Gopher、FTP等的服務(wù)器以及有關(guān)郵件管理的quot;郵件中繼(MR)quot;和quot;郵件交換(MX)quot;主機。在這里,我們將MR和MX作為兩個不同的主機存在quot;非軍事區(qū)quot;。實際上,可以根據(jù)需要將這兩個主機合二為一。有時候,為了提高速度和效率,甚至可以設(shè)置幾個不同的MR和MX。對于quot;非軍事區(qū)quot;上的主機,一般應(yīng)該選用安全級較高的操作系統(tǒng),quot;防火墻quot;將隔離所有直接通過quot;防火墻quot;連接內(nèi)部和外部網(wǎng)絡(luò)的郵件,因此,任何用戶將不能夠直接向外部網(wǎng)絡(luò)發(fā)送郵件,同樣外部網(wǎng)絡(luò)郵件也不能直接到達內(nèi)部網(wǎng)絡(luò)。在每臺可以發(fā)送郵件的機器中,首先配置郵件直接投遞的域為quot;防火墻quot;所保護的域,并且指定域外投遞的quot;郵件中繼quot;為位于quot;非軍事區(qū)quot;的MR。如果內(nèi)部網(wǎng)絡(luò)的用戶投遞郵件給本域的用戶,則采用直接建立郵件連接的投遞方法。反之,這個用戶投遞郵件給外部網(wǎng)絡(luò)用戶,則此郵件首先遞交給MR,再由MR投遞給指定的外部用戶?？梢愿鶕?jù)情況設(shè)置這種郵件投遞是否需要經(jīng)過quot;防火墻quot;的過濾。每個由MR向外投遞的郵件都在MR中留下日志,以備日后查閱,這樣可以大大地方便郵件管理員診斷差錯的工作,并且可以作為安全保障的一部分。當(dāng)外部網(wǎng)絡(luò)的用戶需要向內(nèi)部網(wǎng)絡(luò)發(fā)出郵件的時候,情況變得稍微復(fù)雜一些。舉個例子說明,如果給的用戶發(fā)出郵件,根據(jù)Internet層次域名管理的原則,將依次在cn、、域進行域名解釋。作為的授權(quán)域名解釋服務(wù)DNS將返回所需主機的域名解釋記錄,其中quot;郵件交換quot;域設(shè)置成為位于quot;非軍事區(qū)quot;的MX。由于外部用戶無法直接與內(nèi)部主機建立郵件連接,因此,必定依次使用quot;郵件交換quot;域中的內(nèi)容,也就是與MX建立郵件連接,這個連接的數(shù)據(jù)必須經(jīng)過quot;防火墻quot;的報頭或者數(shù)據(jù)過濾,以禁止特定外部子網(wǎng)的訪問。經(jīng)過一定的延時以后,MX最終將郵件投遞給內(nèi)部網(wǎng)絡(luò)的用戶,這段時間足夠?qū)赡茉趒uot;非軍事區(qū)quot;出現(xiàn)的異常情況作出反應(yīng)。通過上述設(shè)置MR和MX的方法,一方面可提供一定的郵件安全保障,另一方面也增加了郵件投遞的可靠性。位于quot;非軍事區(qū)quot;的MR和MX可以選用較為可靠的硬件設(shè)備和軟件程序,并且依賴不間斷電源(UPS)可以保證24小時不關(guān)機工作。參與郵件投遞的接收方,不論位于內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò),由于關(guān)機或者軟硬件錯誤暫時無法接收郵件,郵件可以首先保留在MX或者MR。在此后的一段時期,MX或者MR能夠自動以一定的時間間隔重新嘗試郵件投遞。在累積一定的次數(shù)以后,如果仍然不能成功投遞,郵件將返回發(fā)送方。這個優(yōu)點的作用是明顯的,在校園網(wǎng)絡(luò)中大部分機器由于安全和經(jīng)濟的原因不能24小時開機,而許多郵件的接收由于地理時間差往往在非工作時間進行,如果使用MX,就能夠避免這樣的問題。同樣,使用MR可以提高向外投遞郵件的可靠性。以上僅是使用MR和MX較為簡單的情況。通過郵件系統(tǒng)配置中的必定規(guī)則,可以進一步加大對郵件系統(tǒng)管理的力度。這些改寫規(guī)則能夠規(guī)范向外投遞郵件的發(fā)送方地址,也能夠?qū)⑻囟ㄓ脩舻泥]件在內(nèi)部網(wǎng)絡(luò)中轉(zhuǎn)移。除了郵件改寫規(guī)則外,使用quot;別名quot;(aliases)的方法也能夠屏蔽外界網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)用戶細節(jié)的了解,從而提高內(nèi)部網(wǎng)絡(luò)的安全性。在電子郵件(E-mail)盛行的年代，傳真機為何仍然不可缺少？1、法律認(rèn)可：傳真可能還是法律上認(rèn)可的文件傳遞方式，因此對一個公司來說，許多文件仍然需要過傳真方式傳遞，而電子郵件不行； 2、及時性：用傳真機發(fā)送文件即發(fā)即到，沒有延時，發(fā)送方成功發(fā)送后，也就意味著接收方已經(jīng)收到。而電子郵件一般卻都存在延時、發(fā)送之后丟失的現(xiàn)象；3、安全性：電子郵件安全性很差，容易被偽造和截獲，導(dǎo)致機密性商業(yè)文件被泄露。而傳真機通過電話線，采用點對點的直接傳輸，從根本上避免了電子郵件傳輸?shù)陌踩[患。但是，傳統(tǒng)傳真機浪費紙張、吱吱作響、傳真發(fā)黑、來回奔走、經(jīng)常故障，與當(dāng)今電腦和網(wǎng)絡(luò)辦公環(huán)境格格不入，傳真機要繼續(xù)生存，必須走“與電腦相結(jié)合，與局域網(wǎng)相適應(yīng)，與互聯(lián)網(wǎng)共發(fā)展”的道路。由金恒科技（深圳）有限公司推出的AOFAX網(wǎng)絡(luò)傳真系列產(chǎn)品，是新一代傳真機的典范，引領(lǐng)著未來傳真發(fā)展的方向，受到了廣大用戶的熱烈歡迎。AOFAX網(wǎng)絡(luò)傳真系列產(chǎn)品，給傳真用戶帶來的變化，可以用“多、快、好、省”來概括：多：也即多臺電腦共享：AOFAX網(wǎng)絡(luò)傳真等于給員工配備專用傳真機，每個員工都在自己的電腦前發(fā)送傳真，收到傳真自動分發(fā)給員工，工作效率大為提高；快：也即快速收發(fā)傳真：用AOFAX網(wǎng)絡(luò)傳真，鼠標(biāo)一動立刻發(fā)送，收到傳真自動分發(fā)，能傳真群發(fā)、失敗重發(fā)、優(yōu)先發(fā)送、智能電話簿、個性化語音導(dǎo)航收發(fā)等；好：也即好的管理功能：AOFAX網(wǎng)絡(luò)傳真具有傳真自動保管和查找，員工收發(fā)權(quán)限管 理，電腦簽字蓋章，簽審流程管理、IP和電話路由管理，傳真統(tǒng)計和計費等；?。喊ㄊ『牟模篈OFAX網(wǎng)絡(luò)傳真用數(shù)碼芯片代替?zhèn)鹘y(tǒng)的紙質(zhì)文件，收發(fā)傳真無須紙 張耗材，每天都為你節(jié)省支出，再多的業(yè)務(wù)傳真和垃圾傳真都不用怕；省人力：AOFAX網(wǎng)絡(luò)傳真收發(fā)傳真不用跑來跑去，不再排隊等候和人工送紙撥號，傳真機免維護，無需專人整理保管紙面?zhèn)髡娴?；省話費：AOFAX網(wǎng)絡(luò)傳真用戶互發(fā)免費高速傳真，員工出差可漫游登錄到公司收發(fā)傳真，還可以通過員工自己的郵件收發(fā)傳真等。其實，傳統(tǒng)傳真機具有的種種優(yōu)勢，電子郵件如果著力解決，從技術(shù)上來講并不存在障礙。電子郵件不能取代傳真機的最大理由，還是用戶使用的“慣性”。先進的東西，不能在用戶中形成習(xí)慣，注定被束之高閣，而傳真機已經(jīng)被大家廣泛地應(yīng)用，這時，如果你新辦一個公司，或者你的傳真機壞了，因為你的生意伙伴都在用，你就不得不去購買一臺。除此以外，傳真機還有使用方便、操作簡單、可以與電話機共用等優(yōu)勢。中國有超過1500萬傳真機用戶，全球有近1.3億用戶，AOFAX系列網(wǎng)絡(luò)傳真機在保證與普通傳真機互發(fā)徹底通暢的情況下，結(jié)合了電腦、局域網(wǎng)和互聯(lián)網(wǎng)技術(shù)，實現(xiàn)了“收發(fā)傳真不用紙、不費力、不花錢”，讓傳真這一上百年的產(chǎn)品，煥發(fā)了青春。我們不敢說由金恒科技創(chuàng)造的AOFAX網(wǎng)絡(luò)傳真會讓傳真技術(shù)發(fā)揚光大，但有一點是肯定的，AOFAX網(wǎng)絡(luò)傳真的推出，將使傳真告別費紙低效、臟黑費力的狀況，從此進入綠色、省錢、高效、免費、漫游的嶄新境界。保證電子郵件安全的建議下面給出的五項建議可以保證電子郵件的安全水平達到更高程度：1. 關(guān)閉電子郵件地址自動處理功能。由于軟件中自動處理功能的日益增加，我們會越來越多地看到由于意外地選擇了錯誤收件人而造成的安全事件了。微軟Outlook中的“可怕的自動填寫功能” 就是一個很明顯的例子，在使用下拉式清單的時間很容易不小心選擇臨近實際收件人的收件人。在討論類似商業(yè)機密之類敏感信息的時間，這樣的操作很容易導(dǎo)致各種安全事件的出現(xiàn)。2. 發(fā)送電子郵件給多個人的時間采用密送（BCC）的設(shè)置。從安全角度來說，將電子郵件地址與沒有必要知道的人分享，是一個壞做法。在未經(jīng)允許的情況下，將電子郵件地址與陌生人分享也是不禮貌的。在發(fā)送電子郵件給多個人的時間，可以選擇收件人（TO）或者抄送（CC）的方式，這樣的情況下，所有收件人可以分享所有的電子郵件地址。如果沒有明確確認(rèn)電子郵件地址應(yīng)該被所有收件人分享的時間，應(yīng)該使用密送（BCC）的設(shè)置。這樣的話，收件人不會知道還有其它接收者的存在。3. 只在一個確定安全的地方保存電子郵件。加密傳送電子郵件將有效地保護信息的安全，而接收和解密后保存為純文本格式文件的電子郵件很有可能被系統(tǒng)中的其它用戶獲得，莎拉帕林事件就說明了網(wǎng)絡(luò)郵箱的服務(wù)提供商并不擅長這樣的保護工作，無法保證存儲的電子郵件中隱私不被泄露，而且普遍使用的微軟Windows系統(tǒng)支持通用網(wǎng)絡(luò)文件系統(tǒng)CIFS的分享，并且密碼效力也很低。4. 只使用私人郵箱發(fā)送私人電子郵件。你進行分享的任何電子郵件地址都會受到垃圾郵件發(fā)送者的關(guān)注，不論是發(fā)送電子郵件，還是利用電子郵件標(biāo)題的地址進行欺騙。更多的垃圾郵件發(fā)送者和網(wǎng)絡(luò)釣魚攻擊人會采用，冒充網(wǎng)絡(luò)服務(wù)提供商的垃圾郵件攔截器所使用的黑名單或者懶惰的郵件服務(wù)器系統(tǒng)管理員的方式從你這里騙取電子郵件地址。5. 每次發(fā)送郵件的時間，都要仔細檢查收件人，特別是在發(fā)送郵件列表時。在本來應(yīng)該回復(fù)郵件列表的時間，不小心