網絡安全論文.doc

警惕網絡隱患 加強電子郵件安全電子郵件(E-mail)、遠程登錄(Telnet)及網絡文件傳輸(FTP)是Internet互聯(lián)網絡的三大傳統(tǒng)服務。近年來,盡管以環(huán)球信息網WWW (World Wide Web)為代表的多媒體信息服務發(fā)展非常迅速,但電子郵件依舊是Internet上使用最為頻繁和廣泛的服務。相對其它網絡服務來講,電子郵件對網絡連接和協(xié)議結構的要求較低,因此電子郵件一般都是首先開通的網絡服務,甚至在網絡沒有覆蓋的地區(qū),也可以通過一定的方法享用電子郵件。比如,零散的用戶可以通過電話網異步撥號,以終端方式進入遠地的郵件服務器,接收和發(fā)送郵件。電子郵件的使用相當廣泛,甚至可以和普通郵政服務媲美。許多網絡用戶將自己的電子郵件和普通郵件的地址并列印在名片上,就足以看出電子郵件的影響之大。相對普通郵件而言,電子郵件有著許多明顯的優(yōu)越之處。即使跨越洲際的電子郵件,其速度也可以與電話或者傳真相當,比普通郵件要快得多,但費用僅僅相當于普通郵件,遠低于電話或者傳真,而且電子郵件還具有許多普通郵件所不具有的特點,比如郵件的多復本投遞等等。 Internet電子郵件基于可靠的順序數據流服務,比如TCP協(xié)議。電子郵件作為一種網絡應用服務,采用的是簡單郵件傳輸協(xié)議SMTP (Simple Mail Transfer Protocol)。傳統(tǒng)的電子郵件基于文本格式,對于非文本格式的二進制數據,比如可執(zhí)行程序,首先需要通過一些編碼程序,像U-NIX系統(tǒng)命令uuencode,將這些二進制數據轉換為文本格式,然后夾帶在電子郵件的正文部分。隨著網絡應用的不斷發(fā)展,大量多媒體數據,如圖形、音頻、視頻數據可能需要通過電子郵件傳輸。Internet采用quot;類型/編碼quot;格式的多目的互聯(lián)網絡郵件擴展MIME (Multipurpose Internet Mail Extensions)標準來標識和編碼這些多媒體數據。 正是因為電子郵件使用廣泛,因此,郵件的安全一直受到網絡管理人員的重視。特別是1988年發(fā)生在美國的Internet蠕蟲(worm)事件,是涉及安全問題的典型例子。在蠕蟲爆發(fā)后的一至兩天內,使用BSDUNIX及變種SUNOS操作系統(tǒng)的主機受其影響的數目達到幾千臺。許多網絡主機的管理員發(fā)現他們的機器中出現大量的命令解釋器(shell)進程,甚至管理員也無法啟動其它進程以清除它們,只好關閉電源以求恢復正常。但一旦機器重新啟動,很快便重新充滿大量的異常進程,使得用戶原有的工作不能完成。蠕蟲侵入系統(tǒng)的方法大致有三種,其中一種就是利用BSDUNIX電子郵件程序中的一個調試后門以及一個關于串處理函數的錯誤首先侵入系統(tǒng),然后將蠕蟲的主要代碼引導進入系統(tǒng)。這次蠕蟲事件一般被認為是計算機病毒開始受到廣泛研究的標志,影響及其深遠。盡管很快發(fā)布了修改這些后門和錯誤的郵件程序,但是人們仍然對有關電子郵件引起的安全問題充滿警惕。一方面,仍舊有一些含有這些錯誤的程序在不同的系統(tǒng)中運行。另外一個方面,許多計算機quot;黑客quot;在不斷地quot;發(fā)掘quot;各種可能存在的侵入系統(tǒng)的方法。 隨著Internet在中國的迅速拓展,特別是中國教育和科研計算機網(CERNET)以及商業(yè)性的ChinaNet和COMNet的發(fā)展,電子郵件同樣成為許多網絡用戶使用的工具,互聯(lián)的校園網絡在促進學?？蒲薪逃l(fā)展的同時,也非常容易成為網絡攻擊的對象,特別是在網絡建設的初期,網絡安全意識和網絡防范能力都較為薄弱Internet電子郵件據不完全統(tǒng)計，Internet上每天傳送的電子郵件達數十億份。然而，電子郵件在網絡中是以明文形式傳輸和存儲，就猶如明信片一樣在網上飛來飛去，個人隱私和公司機密隨時存在被截獲和瀏覽的風險。端到端電子郵件加密服務已成為電子郵件市場的迫切需求。盡管大多數Internet電子郵件都是基于BSDUNIX的郵件系統(tǒng),但是現在Internet使用的電子郵件系統(tǒng)的版本非常復雜。在這里,我們選擇基于SYSVR4系統(tǒng)的SUNSOLARIS2.4操作系統(tǒng)使用的郵件程序作為說明的例子。這也是在CERNET上使用最廣泛的郵件系統(tǒng)。電子郵件的投遞用戶在使用電子郵件時,一般使用的是mail或者Mailtool之類的工具。這些工具可以方便用戶書寫、遞交、收取以及閱讀郵件,比如基于窗口系統(tǒng)的Mailtool可以使用各種圖標管理郵件。有些工具甚至可以根據MIME指定的quot;類型/編碼quot;格式自動調用相應的解碼解釋程序。郵件工具mail獲得來自用戶提交的郵件以后,調用路由(指郵件的路由)程序sendmail進行郵件路由。根據郵件所附的接收方地址中指定的接收主機,如xxxyyy.zzz中的yyy.zzz,與位于主機yyy.zzz的sendmail后臺守護程序建立TCP連接(連接端口25),建立連接的雙方按照SMTP協(xié)議進行交互,并且完成郵件數據的投遞,接收方sendmail程序接收的郵件數據根據接收用戶的名稱,放置在系統(tǒng)的郵件目錄,如/usr/mail目錄的xxx文件。接收用戶同樣使用mail或者Mailtool工具獲取和閱讀這些已經投遞的郵件。如果投遞失敗,這些郵件將重新返回發(fā)起方。電子郵件實際的投遞過程要比上述給出的復雜,在郵件發(fā)送方和接收方會涉及更多的配置文件,具體內容可以參考操作系統(tǒng)所附的網絡管理手冊中的郵件配置部分。電子郵件的安全問題電子郵件系統(tǒng)的配置相當簡單,以致校園網中每個IP地址的主機都可以使用電子郵件接收和發(fā)送電子郵件。這將產生兩個方面的隱患:首先,每個用戶可能在不同的主機上擁有帳戶,如果直接使用這些帳戶發(fā)送郵件,那么,發(fā)出的郵件會攜帶不同的發(fā)送方郵件地址,在迷惑郵件接收方的同時,使得本地郵件發(fā)送的管理工作相當困難,同時過分暴露內部網絡細節(jié)。其次,如果主機配置能夠接收郵件,則必定需要啟動郵件路由程序sendmail作為后臺進程傾聽來自郵件發(fā)送方的郵件連接請求,如果每臺主機為了接收郵件都啟動這個后臺進程,既浪費可用的計算資源,又可能產生安全后患,因為這些后臺程序可能正是網絡攻擊時使用的后門。除了電子郵件以外,其它網絡資源服務的后臺服務器進程,比如gopherd和httpd等,都可能產生相同的問題。校園網絡的特點是主機數多、用戶數多,相應的網絡管理和安全管理的任務也比較復雜。因此,需要參考國外學術教育機構網絡管理的經驗,采取一定的措施,使得適當的集中管理來解決這種散亂的局面。在對電子郵件的管理方面,許多國外大型公司要求非常嚴格,因為,安全和保密同樣重要,在防止外界侵入的同時,還需防止內部資源的泄漏。解決方案在內部網絡和外部網絡之間,是網絡管理設定的quot;防火墻quot;。一般使用網絡路由器(router)完成網絡隔離的作用,比如通過對于IP報頭的過濾,也可以使用更高層次的應用層網關作為隔離,這時可以對于TCP報頭進行過濾,甚至可以完成對報文內容的過濾。由于這個quot;防火墻quot;的存在,外部網絡不能直接訪問內部網絡的某些受限制服務功能,同樣,quot;防火墻quot;也能限制或者監(jiān)視內部主機訪問網絡的活動。在內部網絡和外部網絡之間,與quot;防火墻quot;相連的是稱作quot;非軍事區(qū)quot;的連接地帶。在這些連接地帶,允許外部網絡在一定的限制條件下訪問,并且這些訪問被良好地監(jiān)視和記錄下來。即使位于這些連接地帶的主機受到來自外部網絡的侵入,由于這些主機的內容可以通過備份迅速恢復,因此將不會影響內部網絡的正常運行。一般校園網絡的控制部門,比如學校的信息中心或者計算中心,負責構造和維護上述的quot;防火墻quot;以及相應的設施,包括處于quot;非軍事區(qū)quot;的部分。處于quot;非軍事區(qū)quot;的主機包括網絡資源服務,如WWW、Gopher、FTP等的服務器以及有關郵件管理的quot;郵件中繼(MR)quot;和quot;郵件交換(MX)quot;主機。在這里,我們將MR和MX作為兩個不同的主機存在quot;非軍事區(qū)quot;。實際上,可以根據需要將這兩個主機合二為一。有時候,為了提高速度和效率,甚至可以設置幾個不同的MR和MX。對于quot;非軍事區(qū)quot;上的主機,一般應該選用安全級較高的操作系統(tǒng),quot;防火墻quot;將隔離所有直接通過quot;防火墻quot;連接內部和外部網絡的郵件,因此,任何用戶將不能夠直接向外部網絡發(fā)送郵件,同樣外部網絡郵件也不能直接到達內部網絡。在每臺可以發(fā)送郵件的機器中,首先配置郵件直接投遞的域為quot;防火墻quot;所保護的域,并且指定域外投遞的quot;郵件中繼quot;為位于quot;非軍事區(qū)quot;的MR。如果內部網絡的用戶投遞郵件給本域的用戶,則采用直接建立郵件連接的投遞方法。反之,這個用戶投遞郵件給外部網絡用戶,則此郵件首先遞交給MR,再由MR投遞給指定的外部用戶。可以根據情況設置這種郵件投遞是否需要經過quot;防火墻quot;的過濾。每個由MR向外投遞的郵件都在MR中留下日志,以備日后查閱,這樣可以大大地方便郵件管理員診斷差錯的工作,并且可以作為安全保障的一部分。當外部網絡的用戶需要向內部網絡發(fā)出郵件的時候,情況變得稍微復雜一些。舉個例子說明,如果給的用戶發(fā)出郵件,根據Internet層次域名管理的原則,將依次在cn、、域進行域名解釋。作為的授權域名解釋服務DNS將返回所需主機的域名解釋記錄,其中quot;郵件交換quot;域設置成為位于quot;非軍事區(qū)quot;的MX。由于外部用戶無法直接與內部主機建立郵件連接,因此,必定依次使用quot;郵件交換quot;域中的內容,也就是與MX建立郵件連接,這個連接的數據必須經過quot;防火墻quot;的報頭或者數據過濾,以禁止特定外部子網的訪問。經過一定的延時以后,MX最終將郵件投遞給內部網絡的用戶,這段時間足夠對可能在quot;非軍事區(qū)quot;出現的異常情況作出反應。通過上述設置MR和MX的方法,一方面可提供一定的郵件安全保障,另一方面也增加了郵件投遞的可靠性。位于quot;非軍事區(qū)quot;的MR和MX可以選用較為可靠的硬件設備和軟件程序,并且依賴不間斷電源(UPS)可以保證24小時不關機工作。參與郵件投遞的接收方,不論位于內部網絡或者外部網絡,由于關機或者軟硬件錯誤暫時無法接收郵件,郵件可以首先保留在MX或者MR。在此后的一段時期,MX或者MR能夠自動以一定的時間間隔重新嘗試郵件投遞。在累積一定的次數以后,如果仍然不能成功投遞,郵件將返回發(fā)送方。這個優(yōu)點的作用是明顯的,在校園網絡中大部分機器由于安全和經濟的原因不能24小時開機,而許多郵件的接收由于地理時間差往往在非工作時間進行,如果使用MX,就能夠避免這樣的問題。同樣,使用MR可以提高向外投遞郵件的可靠性。以上僅是使用MR和MX較為簡單的情況。通過郵件系統(tǒng)配置中的必定規(guī)則,可以進一步加大對郵件系統(tǒng)管理的力度。這些改寫規(guī)則能夠規(guī)范向外投遞郵件的發(fā)送方地址,也能夠將特定用戶的郵件在內部網絡中轉移。除了郵件改寫規(guī)則外,使用quot;別名quot;(aliases)的方法也能夠屏蔽外界網絡對內部網絡用戶細節(jié)的了解,從而提高內部網絡的安全性。在電子郵件(E-mail)盛行的年代，傳真機為何仍然不可缺少？1、法律認可：傳真可能還是法律上認可的文件傳遞方式，因此對一個公司來說，許多文件仍然需要過傳真方式傳遞，而電子郵件不行； 2、及時性：用傳真機發(fā)送文件即發(fā)即到，沒有延時，發(fā)送方成功發(fā)送后，也就意味著接收方已經收到。而電子郵件一般卻都存在延時、發(fā)送之后丟失的現象；3、安全性：電子郵件安全性很差，容易被偽造和截獲，導致機密性商業(yè)文件被泄露。而傳真機通過電話線，采用點對點的直接傳輸，從根本上避免了電子郵件傳輸的安全隱患。但是，傳統(tǒng)傳真機浪費紙張、吱吱作響、傳真發(fā)黑、來回奔走、經常故障，與當今電腦和網絡辦公環(huán)境格格不入，傳真機要繼續(xù)生存，必須走“與電腦相結合，與局域網相適應，與互聯(lián)網共發(fā)展”的道路。由金恒科技（深圳）有限公司推出的AOFAX網絡傳真系列產品，是新一代傳真機的典范，引領著未來傳真發(fā)展的方向，受到了廣大用戶的熱烈歡迎。AOFAX網絡傳真系列產品，給傳真用戶帶來的變化，可以用“多、快、好、省”來概括：多：也即多臺電腦共享：AOFAX網絡傳真等于給員工配備專用傳真機，每個員工都在自己的電腦前發(fā)送傳真，收到傳真自動分發(fā)給員工，工作效率大為提高；快：也即快速收發(fā)傳真：用AOFAX網絡傳真，鼠標一動立刻發(fā)送，收到傳真自動分發(fā)，能傳真群發(fā)、失敗重發(fā)、優(yōu)先發(fā)送、智能電話簿、個性化語音導航收發(fā)等；好：也即好的管理功能：AOFAX網絡傳真具有傳真自動保管和查找，員工收發(fā)權限管 理，電腦簽字蓋章，簽審流程管理、IP和電話路由管理，傳真統(tǒng)計和計費等；?。喊ㄊ『牟模篈OFAX網絡傳真用數碼芯片代替?zhèn)鹘y(tǒng)的紙質文件，收發(fā)傳真無須紙 張耗材，每天都為你節(jié)省支出，再多的業(yè)務傳真和垃圾傳真都不用怕；省人力：AOFAX網絡傳真收發(fā)傳真不用跑來跑去，不再排隊等候和人工送紙撥號，傳真機免維護，無需專人整理保管紙面?zhèn)髡娴龋皇≡捹M：AOFAX網絡傳真用戶互發(fā)免費高速傳真，員工出差可漫游登錄到公司收發(fā)傳真，還可以通過員工自己的郵件收發(fā)傳真等。其實，傳統(tǒng)傳真機具有的種種優(yōu)勢，電子郵件如果著力解決，從技術上來講并不存在障礙。電子郵件不能取代傳真機的最大理由，還是用戶使用的“慣性”。先進的東西，不能在用戶中形成習慣，注定被束之高閣，而傳真機已經被大家廣泛地應用，這時，如果你新辦一個公司，或者你的傳真機壞了，因為你的生意伙伴都在用，你就不得不去購買一臺。除此以外，傳真機還有使用方便、操作簡單、可以與電話機共用等優(yōu)勢。中國有超過1500萬傳真機用戶，全球有近1.3億用戶，AOFAX系列網絡傳真機在保證與普通傳真機互發(fā)徹底通暢的情況下，結合了電腦、局域網和互聯(lián)網技術，實現了“收發(fā)傳真不用紙、不費力、不花錢”，讓傳真這一上百年的產品，煥發(fā)了青春。我們不敢說由金恒科技創(chuàng)造的AOFAX網絡傳真會讓傳真技術發(fā)揚光大，但有一點是肯定的，AOFAX網絡傳真的推出，將使傳真告別費紙低效、臟黑費力的狀況，從此進入綠色、省錢、高效、免費、漫游的嶄新境界。保證電子郵件安全的建議下面給出的五項建議可以保證電子郵件的安全水平達到更高程度：1. 關閉電子郵件地址自動處理功能。由于軟件中自動處理功能的日益增加，我們會越來越多地看到由于意外地選擇了錯誤收件人而造成的安全事件了。微軟Outlook中的“可怕的自動填寫功能” 就是一個很明顯的例子，在使用下拉式清單的時間很容易不小心選擇臨近實際收件人的收件人。在討論類似商業(yè)機密之類敏感信息的時間，這樣的操作很容易導致各種安全事件的出現。2. 發(fā)送電子郵件給多個人的時間采用密送（BCC）的設置。從安全角度來說，將電子郵件地址與沒有必要知道的人分享，是一個壞做法。在未經允許的情況下，將電子郵件地址與陌生人分享也是不禮貌的。在發(fā)送電子郵件給多個人的時間，可以選擇收件人（TO）或者抄送（CC）的方式，這樣的情況下，所有收件人可以分享所有的電子郵件地址。如果沒有明確確認電子郵件地址應該被所有收件人分享的時間，應該使用密送（BCC）的設置。這樣的話，收件人不會知道還有其它接收者的存在。3. 只在一個確定安全的地方保存電子郵件。加密傳送電子郵件將有效地保護信息的安全，而接收和解密后保存為純文本格式文件的電子郵件很有可能被系統(tǒng)中的其它用戶獲得，莎拉帕林事件就說明了網絡郵箱的服務提供商并不擅長這樣的保護工作，無法保證存儲的電子郵件中隱私不被泄露，而且普遍使用的微軟Windows系統(tǒng)支持通用網絡文件系統(tǒng)CIFS的分享，并且密碼效力也很低。4. 只使用私人郵箱發(fā)送私人電子郵件。你進行分享的任何電子郵件地址都會受到垃圾郵件發(fā)送者的關注，不論是發(fā)送電子郵件，還是利用電子郵件標題的地址進行欺騙。更多的垃圾郵件發(fā)送者和網絡釣魚攻擊人會采用，冒充網絡服務提供商的垃圾郵件攔截器所使用的黑名單或者懶惰的郵件服務器系統(tǒng)管理員的方式從你這里騙取電子郵件地址。5. 每次發(fā)送郵件的時間，都要仔細檢查收件人，特別是在發(fā)送郵件列表時。在本來應該回復郵件列表的時間，不小心