網(wǎng)絡(luò)信息安全探討

　　前言

　　隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時(shí)代的重要特征，人們稱它為信息高速公路。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，是應(yīng)社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來(lái)的，各國(guó)都在建設(shè)自己的信息高速公路。我國(guó)近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國(guó)防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長(zhǎng)的時(shí)間里，計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí)代。

　　正因?yàn)榫W(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的，它是網(wǎng)絡(luò)能否經(jīng)歷考驗(yàn)的關(guān)鍵，如果安全性不好會(huì)給人們帶來(lái)很多麻煩。網(wǎng)絡(luò)信息交流現(xiàn)已是生活中必不可少的一個(gè)環(huán)節(jié)，然而信息安全卻得不到相應(yīng)的重視。本文就網(wǎng)絡(luò)信息的發(fā)展，組成，與安全問(wèn)題的危害做一個(gè)簡(jiǎn)單的探討

　　第1章

　　1.1計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的定義，功能，組成與主要用途

　　計(jì)算機(jī)網(wǎng)絡(luò)源于計(jì)算機(jī)與通信技術(shù)的結(jié)合，其發(fā)展歷史按年代劃分經(jīng)歷了以下幾個(gè)時(shí)期。

　　50-60年代，出現(xiàn)了以批處理為運(yùn)行特征的主機(jī)系統(tǒng)和遠(yuǎn)程終端之間的數(shù)據(jù)通信。

　　60-70年代，出現(xiàn)分時(shí)系統(tǒng)。主機(jī)運(yùn)行分時(shí)操作系統(tǒng)，主機(jī)和主機(jī)之間、主機(jī)和遠(yuǎn)程終端之間通過(guò)前置機(jī)通信。美國(guó)國(guó)防高級(jí)計(jì)劃局開發(fā)的ARPA網(wǎng)投入使用，計(jì)算機(jī)網(wǎng)處于興起時(shí)期。

　　70-80年代是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展最快的階段，網(wǎng)絡(luò)開始商品化和實(shí)用化，通信技術(shù)和計(jì)算機(jī)技術(shù)互相促進(jìn)，結(jié)合更加緊密。網(wǎng)絡(luò)技術(shù)飛速發(fā)展，特別是微型計(jì)算機(jī)局域網(wǎng)的發(fā)展和應(yīng)用十分廣泛。

　　進(jìn)入90年代后，局域網(wǎng)成為計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的基本單元。網(wǎng)絡(luò)間互連的要求越來(lái)越強(qiáng)，真正達(dá)到資源共享、數(shù)據(jù)通信和分布處理的目標(biāo)。

　　迅速崛起的Internet是人們向往的"信息高速公路"的一個(gè)雛形，從它目前發(fā)展的廣度和應(yīng)用的深度來(lái)看，其潛力還遠(yuǎn)遠(yuǎn)沒(méi)有發(fā)揮出來(lái)，隨著21世紀(jì)的到來(lái)，Internet必將在人類的社會(huì)、政治和經(jīng)濟(jì)生活中扮演著越來(lái)越重要的角色。

　　計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展過(guò)程是從簡(jiǎn)單到復(fù)雜，從單機(jī)到多機(jī)，從終端與計(jì)算機(jī)之間的通信發(fā)展到計(jì)算機(jī)與計(jì)算機(jī)之間的直接通信的演變過(guò)程。其發(fā)展經(jīng)歷了具有通信功能的批處理系統(tǒng)、具有通信功能的多機(jī)系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)三個(gè)階段。

　　1.具有通信功能的批處理系統(tǒng)

　　在具有通信功能的批處理系統(tǒng)中，計(jì)算機(jī)既要進(jìn)行數(shù)據(jù)處理，又要承擔(dān)終端間的通信，主機(jī)負(fù)荷加重，實(shí)際工作效率下降;分散的終端單獨(dú)占用一條通信線路，通信線路利用率低，費(fèi)用高。

　　2.具有通信功能的多機(jī)系統(tǒng)

　　具有通信功能的多機(jī)系統(tǒng)的主機(jī)前增設(shè)一個(gè)前端處理機(jī)，用來(lái)專門負(fù)責(zé)通信工作，而且在終端比較集中的地方設(shè)置集中器。集中器實(shí)際也是一臺(tái)計(jì)算機(jī)，它把終端發(fā)來(lái)的信息收集起來(lái)，裝配成用戶的作業(yè)信息，然后再用高速線路傳給前端處理機(jī)。當(dāng)主機(jī)把信息發(fā)給用戶時(shí)，集中器先接收由前端處理機(jī)傳來(lái)的信息，經(jīng)預(yù)處理分發(fā)給用戶，從而實(shí)現(xiàn)了數(shù)據(jù)處理與數(shù)據(jù)通信的分工。

　　3.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)

　　在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，服務(wù)器負(fù)責(zé)處理網(wǎng)絡(luò)上各主機(jī)(或稱為工作站)之間通信控制和通信處理的任務(wù)，網(wǎng)絡(luò)上各主機(jī)負(fù)責(zé)數(shù)據(jù)和用戶作業(yè)的處理，是計(jì)算機(jī)網(wǎng)絡(luò)的資源擁有者。在網(wǎng)絡(luò)系統(tǒng)中，各主機(jī)之間沒(méi)有主次關(guān)系，它們各自相互獨(dú)立，但通過(guò)通信控制設(shè)備和通信介質(zhì)實(shí)現(xiàn)系統(tǒng)中各計(jì)算機(jī)之間的數(shù)據(jù)和系統(tǒng)軟、硬件資源的共享。

　　隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)系統(tǒng)日趨成熟，計(jì)算機(jī)網(wǎng)絡(luò)已逐步滲透到當(dāng)今信息社會(huì)的各個(gè)領(lǐng)域，其應(yīng)用前景是十分廣闊的。

　　計(jì)算機(jī)網(wǎng)絡(luò)是把一定地理范圍內(nèi)的計(jì)算機(jī)通過(guò)通信線路互連起來(lái)，在相應(yīng)通信協(xié)議和網(wǎng)絡(luò)系統(tǒng)軟件的支持下，彼此互相通信并共享資源的系統(tǒng)。因此，可以把計(jì)算機(jī)網(wǎng)絡(luò)定義為：凡將地理位置不同，并具有獨(dú)立功能的多臺(tái)計(jì)算機(jī)系統(tǒng)通過(guò)通信設(shè)備和線路連接起來(lái)，以功能完善的網(wǎng)絡(luò)軟件實(shí)現(xiàn)在網(wǎng)絡(luò)中資源共享的系統(tǒng)，稱之為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。

　　網(wǎng)絡(luò)系統(tǒng)是由網(wǎng)絡(luò)操作系統(tǒng)和用以組成計(jì)算機(jī)網(wǎng)絡(luò)的多臺(tái)計(jì)算機(jī)，以及各種通信設(shè)備構(gòu)成的。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，每臺(tái)計(jì)算機(jī)是獨(dú)立的，任何一臺(tái)計(jì)算機(jī)都不能干預(yù)其它計(jì)算機(jī)的工作，任何兩臺(tái)計(jì)算機(jī)之間沒(méi)有主從關(guān)系。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由網(wǎng)絡(luò)硬件和網(wǎng)絡(luò)軟件兩部分組成。在網(wǎng)絡(luò)系統(tǒng)中，硬件對(duì)網(wǎng)絡(luò)的性能起著決定的作用，是網(wǎng)絡(luò)運(yùn)行的實(shí)體，而網(wǎng)絡(luò)軟件則是支持網(wǎng)絡(luò)運(yùn)行、提高效益和開發(fā)網(wǎng)絡(luò)資源的工具。

　　1.網(wǎng)絡(luò)硬件

　　網(wǎng)絡(luò)硬件是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的物質(zhì)基礎(chǔ)。構(gòu)成一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，首先要將計(jì)算機(jī)及其附屬硬件設(shè)備與網(wǎng)絡(luò)中的其它計(jì)算機(jī)系統(tǒng)連接起來(lái)，實(shí)現(xiàn)物理連接。

　　常見的網(wǎng)絡(luò)硬件有：計(jì)算機(jī)、網(wǎng)絡(luò)接口卡、通信介質(zhì)以及各種網(wǎng)絡(luò)互連設(shè)備等。網(wǎng)絡(luò)中的計(jì)算機(jī)又分為服務(wù)器和網(wǎng)絡(luò)工作站兩類。

　　2.網(wǎng)絡(luò)軟件

　　網(wǎng)絡(luò)軟件是實(shí)現(xiàn)網(wǎng)絡(luò)功能所不可缺少的軟環(huán)境。網(wǎng)絡(luò)軟件通常包括網(wǎng)絡(luò)操作系統(tǒng)(Network Operating System)和網(wǎng)絡(luò)協(xié)議軟件。

　　網(wǎng)絡(luò)操作系統(tǒng)

　　網(wǎng)絡(luò)操作系統(tǒng)是運(yùn)行在網(wǎng)絡(luò)硬件基礎(chǔ)之上的，為網(wǎng)絡(luò)用戶提供共享資源管理服務(wù)、基本通信服務(wù)、網(wǎng)絡(luò)系統(tǒng)安全服務(wù)及其他網(wǎng)絡(luò)服務(wù)的軟件系統(tǒng)。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)的核心，其他應(yīng)用軟件系統(tǒng)需要網(wǎng)絡(luò)操作系統(tǒng)的支持才能運(yùn)行。

　　在網(wǎng)絡(luò)系統(tǒng)中，每個(gè)用戶都可享用系統(tǒng)中的各種資源，所以，網(wǎng)絡(luò)操作系統(tǒng)必須對(duì)用戶進(jìn)行控制，否則，就會(huì)造成系統(tǒng)混亂，造成信息數(shù)據(jù)的破壞和丟失。為了協(xié)調(diào)系統(tǒng)資源，網(wǎng)絡(luò)操作系統(tǒng)需要通過(guò)軟件工具對(duì)網(wǎng)絡(luò)資源進(jìn)行全面的管理，進(jìn)行合理的調(diào)度和分配。

　　網(wǎng)絡(luò)協(xié)議

　　連入網(wǎng)絡(luò)的計(jì)算機(jī)依靠網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)互相通信，而網(wǎng)絡(luò)協(xié)議是靠具體的網(wǎng)絡(luò)協(xié)議軟件的運(yùn)行支持才能工作。凡是連入計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)器和工作站上都運(yùn)行著相應(yīng)的網(wǎng)絡(luò)協(xié)議軟件，比如最常用的互聯(lián)網(wǎng)協(xié)議TCP/IP，網(wǎng)間互連協(xié)議IPX/netbois,等等

　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，其應(yīng)用領(lǐng)域越來(lái)越廣泛。通過(guò)網(wǎng)絡(luò)系統(tǒng)，人們可以坐在家里預(yù)訂去世界各地的飛機(jī)票、火車票、船票，預(yù)訂客房等。通過(guò)遠(yuǎn)程通信可了解全世界各地證券、股市行情，在任何地方的銀行存取貨幣等。通過(guò)網(wǎng)絡(luò)信息系統(tǒng)對(duì)企業(yè)生產(chǎn)、銷售、財(cái)務(wù)、儲(chǔ)運(yùn)、固定資產(chǎn)等各方面進(jìn)行管理，還可以對(duì)企業(yè)進(jìn)行輔助計(jì)劃、輔助決策，對(duì)企業(yè)進(jìn)行宏觀控制。另外，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在信息咨詢業(yè)、辦公自動(dòng)化、軍事、航天航空、教育、氣象、圖書館管理等方面都有廣泛的應(yīng)用。

　　計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用領(lǐng)域十分廣泛，主要有以下幾種用途。

　　1.共享資源

　　建立計(jì)算機(jī)網(wǎng)絡(luò)的主要目的在于實(shí)現(xiàn)"資源共享"，所以其功能主要體現(xiàn)在通過(guò)資源共享而實(shí)現(xiàn)。

　　利用計(jì)算機(jī)網(wǎng)絡(luò)可以共享主機(jī)設(shè)備，如，中型機(jī)、小型機(jī)、工作站等;也可以共享較高級(jí)和昂貴的外部設(shè)備，如：激光打印機(jī)、繪圖儀、數(shù)字化儀、掃描儀等。使不擁有大型計(jì)算機(jī)的用戶也可以通過(guò)網(wǎng)絡(luò)使用大型機(jī)資源，分享到擁有大型機(jī)的優(yōu)勢(shì)，避免系統(tǒng)建設(shè)中的重復(fù)勞動(dòng)和投資。

　　計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)可將分散在各地的計(jì)算機(jī)中的數(shù)據(jù)信息收集起來(lái)，進(jìn)行綜合分析處理。并把分析結(jié)果反饋給相關(guān)的各個(gè)計(jì)算機(jī)中，使數(shù)據(jù)信息得到充分的共享。更重要的是，利用計(jì)算機(jī)網(wǎng)絡(luò)共享軟件、數(shù)據(jù)等信息資源，以最大限度地降低成本，提高效率。

　　通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)可以緩解用戶資源缺乏的矛盾，并可對(duì)各資源的忙與閑進(jìn)行合理調(diào)節(jié)。

　　2.數(shù)據(jù)通信

　　利用計(jì)算機(jī)網(wǎng)絡(luò)可以實(shí)現(xiàn)計(jì)算機(jī)用戶相互間的通信。通過(guò)網(wǎng)絡(luò)上的文件服務(wù)器交換信息和報(bào)文、收發(fā)電子郵件、相互協(xié)同工作等。這些對(duì)辦公室自動(dòng)化、提高生產(chǎn)率起著十分重要的作用。隨著Internet在世界各地的風(fēng)行，傳統(tǒng)的電話、電報(bào)、郵遞等通信方式受到很大沖擊，電子郵件、BBS已為世人廣泛接受，IP電話、視頻會(huì)議等各種通信方式.

　　第2章網(wǎng)絡(luò)安全概述

　　2.1網(wǎng)絡(luò)安全的定義

　　網(wǎng)絡(luò)安全的具體含義會(huì)隨著"角度"的變化而變化。比如：從用戶(個(gè)人、企業(yè)等)的角度來(lái)說(shuō)，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷�用偷聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱，同時(shí)也避免其它用戶的非授權(quán)訪問(wèn)和破壞。

　　從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)"陷門"、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。

　　對(duì)安全保密部門來(lái)說(shuō)，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過(guò)濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。

　　從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。

　　從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)重要問(wèn)題。

　　不同環(huán)境和應(yīng)用中的網(wǎng)絡(luò)安全

　　運(yùn)行系統(tǒng)安全:即保證信息處理和傳輸系統(tǒng)的安全。它側(cè)重于保證系統(tǒng)正常運(yùn)行，避免因?yàn)橄到y(tǒng)的崩潰和損壞而對(duì)系統(tǒng)存貯、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免由于電磁泄漏，產(chǎn)生信息泄露，干擾他人，受他人干擾。

　　網(wǎng)絡(luò)上系統(tǒng)信息的安全:包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、方式控制，安全審計(jì)，安全問(wèn)題跟蹤，計(jì)算機(jī)病毒防治，數(shù)據(jù)加密。

　　網(wǎng)絡(luò)上信息傳播安全:即信息傳播后果的安全。包括信息過(guò)濾等。它側(cè)重于防止和控制非法、有害的信息進(jìn)行傳播后的后果。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э亍?/p>

　　網(wǎng)絡(luò)上信息內(nèi)容的安全:它側(cè)重于保護(hù)信息的保密性、真實(shí)性和完整性。避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行偷聽、冒充、詐騙等有損于合法用戶的行為。本質(zhì)上是保護(hù)用戶的利益和隱私

　　2.2 網(wǎng)絡(luò)信息安全問(wèn)題的產(chǎn)生與網(wǎng)絡(luò)信息安全的威脅

　　可以從不同角度對(duì)網(wǎng)絡(luò)安全作出不同的解釋。一般意義上，網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分。國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為"信息的完整性、可用性、保密性和可靠性";控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問(wèn)控制。

　　互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會(huì)的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問(wèn)題：

　　a)信息泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認(rèn)等，這些都是信息安全的技術(shù)難點(diǎn)。

　　b)在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識(shí)形態(tài)的信息滲透，甚至通過(guò)網(wǎng)絡(luò)進(jìn)行政治顛覆等活動(dòng)，使國(guó)家利益、社會(huì)公共利益和各類主體的合法權(quán)益受到威脅。

　　C)網(wǎng)絡(luò)運(yùn)用的趨勢(shì)是全社會(huì)廣泛參與，隨之而來(lái)的是控制權(quán)分散的管理問(wèn)題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問(wèn)題變得廣泛而復(fù)雜。

　　d)隨著社會(huì)重要基礎(chǔ)設(shè)施的高度信息化，社會(huì)的"命脈"和核心控制系統(tǒng)有可能面臨惡意攻擊而導(dǎo)致?lián)p壞和癱瘓，包括國(guó)防通信設(shè)施、動(dòng)力控制網(wǎng)、金融系統(tǒng)和政府等。

　　隨著人類社會(huì)生活對(duì)Internet需求的日益增長(zhǎng)，網(wǎng)絡(luò)安全逐漸成為Internet及各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展的關(guān)鍵問(wèn)題，特別是1993年以后Internet開始商用化，通過(guò)Internet進(jìn)行的各種電子商務(wù)業(yè)務(wù)日益增多，加之Internet/Intranet技術(shù)日趨成熟，很多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與Internet聯(lián)通。上述上電子商務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密均成為攻擊者的目標(biāo)。據(jù)統(tǒng)計(jì)，目前網(wǎng)絡(luò)攻擊手段有數(shù)千種之多，使網(wǎng)絡(luò)安全問(wèn)題變得極其嚴(yán)峻，據(jù)美國(guó)商業(yè)雜志《信息周刊》公布的一項(xiàng)調(diào)查報(bào)告稱，黑客攻擊和病毒等安全問(wèn)題在2000年造成了上萬(wàn)億美元的經(jīng)濟(jì)損失，在全球范圍內(nèi)每數(shù)秒鐘就發(fā)生一起網(wǎng)絡(luò)攻擊事件。

　　隨著Internet的發(fā)展，網(wǎng)絡(luò)安全技術(shù)也在與網(wǎng)絡(luò)攻擊的對(duì)抗中不斷發(fā)展。從總體上看，經(jīng)歷了從靜態(tài)到動(dòng)態(tài)、從被動(dòng)防范到主動(dòng)防范的發(fā)展過(guò)程

　　當(dāng)人們?cè)L問(wèn)他們不應(yīng)訪問(wèn)的信息時(shí)，或他們企圖對(duì)網(wǎng)絡(luò)或其資源作希望做的事時(shí)，我們成這樣的企圖為攻擊。攻擊是一種你不想遇到的行為或一種企圖的行為。

　　第3章 實(shí)例

　　網(wǎng)絡(luò)信息應(yīng)用中字符引發(fā)的信息安全問(wèn)題

　　說(shuō)到字符，很多用戶也許會(huì)不以為然：小小的字符，不過(guò)是個(gè)非�；�礎(chǔ)的人機(jī)交互表達(dá)形式，它能產(chǎn)生什么威脅?但是，威脅偏偏就來(lái)自最原始的方面，并且這種威脅往往是最危險(xiǎn)的，也是最難以防范的。

　　正如世界上有各種表達(dá)形式和書寫格式不同的語(yǔ)言一樣，在計(jì)算機(jī)的世界里同樣存在類似的問(wèn)題：在計(jì)算機(jī)發(fā)展初期，不同的計(jì)算機(jī)系統(tǒng)對(duì)字符的處理方式不同，這導(dǎo)致了各個(gè)系統(tǒng)之間不能互相交流。為了解決這個(gè)問(wèn)題，人們制訂了多種標(biāo)準(zhǔn)以便不同系統(tǒng)之間也能正確進(jìn)行字符交互，這就是字符編碼的由來(lái)。

　　由于字符可以通過(guò)多種途徑進(jìn)行表達(dá)，所以它們的編碼也多種多樣，常見的英文字符編碼有ASCII、ANSI、Unicode、UTF、ISO等，對(duì)于非英文字符，常見的字符編碼有GBK、BIG5、JIS等�？赡苡械淖x者已經(jīng)開始不耐煩了：說(shuō)了半天"編碼"，到底什么才是編碼?!

　　這里，我們用一個(gè)小例子幫助大家理解什么是"編碼"。我們可以這樣理解：一杯水無(wú)論放進(jìn)什么形狀的杯子里都還是水，而不會(huì)變成老虎之類的，這個(gè)道理很簡(jiǎn)單，對(duì)不對(duì)?那么同樣的法則也適用于字符。對(duì)一個(gè)字符來(lái)說(shuō)，無(wú)論系統(tǒng)內(nèi)部怎么處理，只要最終顯示出來(lái)的是原來(lái)的字符，那就沒(méi)錯(cuò)。例如"小"字，Unicode編碼把它作為"%D0%A1"存放，而ASCII編碼里，它可以用"-12127"來(lái)表示，但是無(wú)論它怎么變，只要還能還原回"小"字，系統(tǒng)的處理工作就不會(huì)出問(wèn)題

　　多種編碼的產(chǎn)生本來(lái)是為了解決字符信息的交互問(wèn)題，然而正是這些多種多樣的編碼導(dǎo)致了讓人意想不到的后果。字符，這個(gè)不起眼的小東西在編碼的世界里舉起了"大刀"，這使得上面提到的"水變成老虎"成為可能。

　　字符威脅實(shí)錄

　　在接觸計(jì)算機(jī)不久的時(shí)候你聽說(shuō)了一個(gè)詞"ASCII";到了Windows 2000開始流行的時(shí)候，你知道"Unicode"幫你解決了不少亂碼問(wèn)題;當(dāng)你成為計(jì)算機(jī)高手以后，你常常會(huì)跟"SQL"玩?zhèn)�不亦樂(lè)乎，可是你知道嗎?在這些你所熟知的字符或編碼背后，隱藏著什么樣的危險(xiǎn)嗎?你知道這樣的危險(xiǎn)就在你身邊嗎?

　　控制符：想說(shuō)愛(ài)你不容易

　　ASCII全稱American Standard Code for Information Interchange(美國(guó)信息互換標(biāo)準(zhǔn)代碼)，是最基礎(chǔ)的字符表達(dá)方式，它能完整表示26個(gè)英文字母、10個(gè)數(shù)字以及通用的格式符號(hào)等。ASCII又分為控制字符和可顯示字符(也稱為"Printable"，即可打印字符)，通常情況下，控制字符只能由特殊按鍵和系統(tǒng)自己產(chǎn)生，而且這些字符中的大部分是我們看不見的。但是你千萬(wàn)不要以為看不見即不存在，恰恰相反，它們時(shí)刻存在!例如，在你保存一個(gè)文本的時(shí)候，系統(tǒng)就會(huì)自動(dòng)在文件結(jié)尾添加一個(gè)你看不見的結(jié)束符號(hào)，這個(gè)符號(hào)的作用就是用來(lái)告訴處理程序，讀取到這里的時(shí)候：停!專業(yè)說(shuō)法可以稱之為文件結(jié)束符。

　　不幸的是，上面提到，ASCII控制編碼并非只有系統(tǒng)自身可以產(chǎn)生，用戶也可以通過(guò)特殊的輸入方式成功地輸出一個(gè)鍵盤上打不出來(lái)的特殊字符，這就可能會(huì)造成極其嚴(yán)重的后果。老一輩的論壇管理員也許還記得國(guó)內(nèi)那次恐怖論壇攻擊事件：很多論壇的帖子在一夜之間全部丟失!可是論壇卻沒(méi)有被入侵過(guò)的痕跡，服務(wù)器也完好無(wú)損，難道見鬼了?!后來(lái)，有人仔細(xì)查看了論壇日志文件，原來(lái)是入侵者用一個(gè)特殊符號(hào)發(fā)了一個(gè)帖子，這個(gè)符號(hào)讓處理程序讀取文件時(shí)誤認(rèn)為文件到這里就結(jié)束了，而控制符號(hào)是不會(huì)顯示出來(lái)的，所以論壇程序只能認(rèn)為這"惟一"的帖子格式不對(duì)，于是論壇停止了文件讀取，在我們看來(lái)，即很多論壇帖子被刪除了。但是事情僅僅是這樣就結(jié)束了嗎?入侵者只是發(fā)了一個(gè)控制符號(hào)導(dǎo)致了論壇讀取錯(cuò)誤，然而數(shù)據(jù)還是在的，只要去掉這個(gè)字符就可以恢復(fù)了。有人會(huì)笑了：小兒科的把戲!不過(guò)，別急著下結(jié)論，如果那么輕易就結(jié)束游戲，管理員就不會(huì)哭了：由于這個(gè)控制符號(hào)的存在，一旦有人寫入新的數(shù)據(jù)，那么在這個(gè)帖子后面的所有數(shù)據(jù)將被清空!因?yàn)橄到y(tǒng)認(rèn)為文件到這里已經(jīng)結(jié)束了，那么后面的數(shù)據(jù)將會(huì)怎么樣?結(jié)局只有一個(gè)：被全部清空!這時(shí)候，破壞論壇的就不再是入侵者了，而是那些熱心過(guò)頭急著發(fā)帖問(wèn)"啊!論壇被黑了!"的成員們了，這個(gè)游戲好玩嗎?一個(gè)字符，殲滅論壇

　　Unicode：管理員的噩夢(mèng)

　　許多人對(duì)Unicode的認(rèn)識(shí)是從著名的"IIS Unicode"二次編碼漏洞開始的。但是具體什么是Unicode，這就不是所有人都知道的了。Unicode常常被翻譯為"萬(wàn)國(guó)碼"或者"唯獨(dú)碼"，后者也許是來(lái)自Unicode發(fā)明者的宗旨："推進(jìn)多文種的統(tǒng)一編碼"。Unicode同現(xiàn)在流行的代碼頁(yè)最顯著不同點(diǎn)在于：Unicode是兩字節(jié)的全編碼，對(duì)于ASCII字符它也使用兩字節(jié)表示。普通代碼頁(yè)是通過(guò)高字節(jié)的取值范圍來(lái)確定字符是ASCII碼，還是漢字的高字節(jié)。如果發(fā)生數(shù)據(jù)損壞，當(dāng)整篇文字某處內(nèi)容被破壞，則會(huì)引起其后漢字的混亂。Unicode則一律使用兩個(gè)字節(jié)表示一個(gè)字符，最明顯的好處是它簡(jiǎn)化了漢字的處理過(guò)程。

　　Unicode編碼標(biāo)準(zhǔn)的出現(xiàn)讓各種系統(tǒng)之間的交流變得簡(jiǎn)單，然而正如愛(ài)情是把雙刃劍那樣，Unicode也會(huì)傷人的。

　　問(wèn)題出在Unicode對(duì)字符的解碼上，它的算法讓一個(gè)字符可以通過(guò)多種編碼格式產(chǎn)生，于是入侵者可以采用"旁門左道"產(chǎn)生一個(gè)非標(biāo)準(zhǔn)編碼的路徑符號(hào)。例如"%c1%1c"，通過(guò)Unicode解碼公式解析出來(lái)的字串為：%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c="/"。我們知道，IIS在打開文件時(shí)，如果該文件名包含Unicode字符，它會(huì)對(duì)其進(jìn)行解碼，如果用戶提供一些特殊的編碼，將可能導(dǎo)致IIS錯(cuò)誤地打開或者執(zhí)行Web根目錄以外的文件。在這里，IIS并不知道這個(gè)是路徑符，就直接發(fā)出了處理請(qǐng)求。于是，入侵者攻擊者利用這個(gè)漏洞繞過(guò)了IIS的路徑檢查，進(jìn)入了系統(tǒng)(圖3)，這就是著名的"IIS Unicode"二次編碼漏洞攻擊原理。

　　論壇：天生和字符有仇

　　如果有人專門去閱讀一些論壇的文件內(nèi)容，會(huì)發(fā)現(xiàn)它們里面都會(huì)有一些代碼專門用來(lái)處理字符，這部分代碼的工作叫做"字符過(guò)濾"。為什么呢?因?yàn)橛刑�多字符都能�?duì)論壇造成傷害，這些字符不一定需要特殊編碼，甚至我們正常敲出的文字里都有可能包含被論壇作者定義為"危險(xiǎn)"的字符。究其原因，就是因?yàn)檎搲�程序的特殊性，因�(yàn)樗鼈児ぷ髟诜��?wù)器和外界的接口處，而且自身也是由純字符組成的，但是一些看似正常的字符會(huì)"不小心"改變了它們的邏輯，這是連論壇作者自己可能都沒(méi)想到的。例如，一些論壇的功能設(shè)置部分會(huì)涉及文件讀寫，因此有必要加上權(quán)限盤查。但是如果作者編寫的權(quán)限檢查代碼忽略了某些特殊字符的輸入，結(jié)果就會(huì)讓入侵者成功地往系統(tǒng)中寫入一個(gè)文件。LB5000論壇就曾經(jīng)出現(xiàn)過(guò)一個(gè)重大漏洞：它的界面設(shè)置模塊對(duì)用戶權(quán)限的盤查不嚴(yán)謹(jǐn)，其中一個(gè)字符輸入沒(méi)有經(jīng)過(guò)身份驗(yàn)證，而這個(gè)設(shè)置會(huì)產(chǎn)生一個(gè)可以讓論壇程序執(zhí)行的文件用于臨時(shí)保存界面配置數(shù)據(jù)，于是入侵者通過(guò)以下格式寫入一個(gè)簡(jiǎn)單的內(nèi)容：setskin.cgi?membercode= ad&action=process&printme=useCGIqw(:standard)%3bopen(HBU,param('a'))%3bprintHBUparam('b')%3b，這樣就能完成對(duì)論壇的寫操作。讓我們簡(jiǎn)單地看看這段代碼。這個(gè)代碼產(chǎn)生了一個(gè)包含以下有用內(nèi)容的leoskin.cgi文件：

　　use CGI qw(:standard);

　　open(HBU,param('a'));

　　print HBU param('b');

　　懂Perl語(yǔ)法的用戶一眼就能看出來(lái)，這是一段簡(jiǎn)單的寫入文件代碼，入侵者只要用"leoskin.cgi?a=>[文件名]&b=[內(nèi)容]"格式的語(yǔ)句就可以向論壇寫入文件。

　　到這里也許有人還不明白：寫個(gè)文件有什么了不起?別忘了，LB5000論壇是基于文件的，它的所有東西都是文件，包括管理員賬號(hào)。既然我們能寫文件，那么只要想辦法寫入一個(gè)管理員賬號(hào)文件，這下了不起沒(méi)有?利用這一點(diǎn)，入侵者還可以寫入一個(gè)執(zhí)行命令的文件——WebShell，進(jìn)而控制整個(gè)服務(wù)器!

　　近期DVBBS論壇最熱的一個(gè)漏洞就是UPFILE漏洞，這個(gè)漏洞為什么得以成功呢?是簡(jiǎn)單的字符起的作用!有誰(shuí)不能用十六進(jìn)制處理工具把里面那個(gè)關(guān)鍵的空格改為結(jié)束符而成功入侵這類論壇呢?!這又是一個(gè)"小"字符摧跨"大"堤壩的典型案例。

　　SQL：你的"針管"在哪里

　　說(shuō)到字符就不能不提一下大名鼎鼎的SQL了，其實(shí)很多論壇過(guò)濾字符最大的原因也是因?yàn)镾QL，這個(gè)不能稱之為漏洞的"結(jié)構(gòu)化查詢語(yǔ)言"讓"AND"、"OR"等最為簡(jiǎn)單的字符成了危險(xiǎn)的代號(hào)。

　　由于ASP的特性，入侵者在一個(gè)連接數(shù)據(jù)庫(kù)操作的URL里加入" AND SQL語(yǔ)句"會(huì)讓IIS執(zhí)行這個(gè)URL里的SQL語(yǔ)句，于是服務(wù)器的噩夢(mèng)又來(lái)了。通過(guò)SQL能做什么呢?最簡(jiǎn)單的是猜測(cè)密碼(比如免費(fèi)下載電影或者享用付費(fèi)用戶才擁有的服務(wù))，如果服務(wù)器的權(quán)限設(shè)置不好，入侵者能直接用SQL執(zhí)行任何系統(tǒng)命令!包括清空整個(gè)數(shù)據(jù)庫(kù)的全部資料

　　奇怪的編碼：格式化字符

　　如今，"溢出攻擊"已經(jīng)成為攻擊的主要方式之一，廣大用戶或多或少都會(huì)聽說(shuō)過(guò)"Shell"這個(gè)名詞，有興趣的人可能還看過(guò)一些溢出程序的代碼。很多人都會(huì)產(chǎn)生出這樣的疑問(wèn)：每個(gè)溢出程序代碼里都會(huì)發(fā)現(xiàn)的那一串甚至幾串用路徑符和類似十六進(jìn)制代碼表示的字符串，那是什么?

　　要說(shuō)明這個(gè)問(wèn)題，必須先知道C語(yǔ)言對(duì)字符的處理方法。在C語(yǔ)言中，寫一行代碼向屏幕打印字符并不是簡(jiǎn)單地向屏幕輸出字符串，能在屏幕顯示的字符實(shí)際上是經(jīng)過(guò)函數(shù)轉(zhuǎn)換的"打印格式"字符，C語(yǔ)言提供了一種格式化字符，它允許程序員控制顯示文本的樣式，我們可以通過(guò)代替特殊的格式字符來(lái)顯示值或數(shù)據(jù)。例如"printf("The value is %s",sVal)"，其中"%s"就是格式化字符，它自身不能用做顯示，而是告訴系統(tǒng)，按照"字符串"的格式把sVal的值放進(jìn)整個(gè)字符串，這就像一個(gè)蛋糕模子，它固定了一種樣式，你做出的蛋糕就只能是這種樣式了。

　　然而問(wèn)題又來(lái)了，"格式化字符"的存在，讓溢出攻擊成了現(xiàn)實(shí)。攻擊者用十六進(jìn)制編碼向內(nèi)存寫入攻擊代碼，并按照一定格式編排格式化字符，讓系統(tǒng)執(zhí)行到這些字符的時(shí)候不再按照原本的程序思路執(zhí)行，而是扭轉(zhuǎn)到攻擊代碼所在的內(nèi)存位置，這就導(dǎo)致了"溢出"(Overflow)。程序就有可能執(zhí)行到攻擊者寫入的命令，這像什么呢?就像一塊過(guò)分膨脹的蛋糕，雖然你的模子是沒(méi)有問(wèn)題的，但是蛋糕烘烤的時(shí)候，它漲出了原有的空間，這樣出來(lái)的蛋糕自然不會(huì)是你喜歡的樣子。同樣的情形發(fā)生在計(jì)算機(jī)內(nèi)存里，就是一組指令漲出了它的"模子"，并且有一部分流入烤箱底部被烤糊了。例如，類似于"x55x8BxEC x33xFFx57xC6......"的攻擊代碼，它是一組用十六進(jìn)制格式符隔開的指令，當(dāng)它寫入內(nèi)存后，實(shí)際上是產(chǎn)生了一組可以讓系統(tǒng)執(zhí)行的"正常"代碼，像是運(yùn)行CMD.EXE，但是這組指令并沒(méi)有指向它們的執(zhí)行代碼，所以通常情況下，它們即使被寫入內(nèi)存也只能是廢物一堆(烤糊的蛋糕，你能吃嗎?)，如果要讓它們起作用，怎么辦呢?這時(shí)候就需要格式化字符的幫助了，通過(guò)執(zhí)行一段特殊的包含格式化字符的代碼，程序指向了包含攻擊指令的內(nèi)存位置，于是攻擊指令生效了

　　防御字符威脅

　　由于字符問(wèn)題由系統(tǒng)內(nèi)部產(chǎn)生，我們無(wú)法把它消滅，只能通過(guò)"后天"的修補(bǔ)來(lái)解決問(wèn)題。最安全的方法就是在我們的程序里加入防護(hù)代碼，并給系統(tǒng)打上補(bǔ)丁，這樣才能盡量避免來(lái)自字符的攻擊。

　　很多公司都有因?yàn)殡娔X被入侵而遭受嚴(yán)重經(jīng)濟(jì)損失的慘痛經(jīng)歷，不少普通用戶也未能避免電腦被破壞的厄運(yùn)，造成如此大損失的并不一定都是技術(shù)高超的入侵者所為，小小的字符串帶給我們的損失已經(jīng)太多。因此，如果你是數(shù)據(jù)庫(kù)程序開發(fā)人員、如果你是系統(tǒng)級(jí)應(yīng)用程序開發(fā)人員、如果你是高級(jí)計(jì)算機(jī)用戶、如果你是論壇管理人員......請(qǐng)密切注意有關(guān)字符漏洞以及其他各類漏洞的最新消息及其補(bǔ)丁，及時(shí)在你的程序中寫入防范最新字符漏洞攻擊的安全檢查代碼并為你的系統(tǒng)安裝最新的補(bǔ)丁會(huì)讓你遠(yuǎn)離字符帶來(lái)的危險(xiǎn)。

　　結(jié)束語(yǔ)

　　經(jīng)過(guò)一段時(shí)間的收集資料，我的畢業(yè)論文終于完成，看著自己的成果，有說(shuō)不出的感觸。

　　通過(guò)這段時(shí)間的努力，對(duì)我這3年半來(lái)的學(xué)習(xí)有了系統(tǒng)的總結(jié)，對(duì)我自己感興趣的知識(shí)也有了一些進(jìn)步。

　　網(wǎng)絡(luò)這個(gè)時(shí)代的主流已經(jīng)發(fā)展的越來(lái)越快了，應(yīng)用也越來(lái)越廣泛，組建的再好的網(wǎng)站都需要有很要的安全性才行，才可靠。所以安全是成功設(shè)計(jì)好組網(wǎng)方式后的最重要的因素，是保障整個(gè)網(wǎng)絡(luò)穩(wěn)定的安全的關(guān)鍵。

【網(wǎng)絡(luò)信息安全探討】相關(guān)文章：

探討網(wǎng)絡(luò)與信息安全10-01

網(wǎng)絡(luò)信息安全控制技術(shù)探討論文10-11

關(guān)于網(wǎng)絡(luò)信息安全防護(hù)措施探討的論文10-08

關(guān)于網(wǎng)絡(luò)信息安全技術(shù)管理探討論文10-08

網(wǎng)絡(luò)信息安全專業(yè)人才培養(yǎng)模式探討10-08

基于NOTES的網(wǎng)絡(luò)辦公系統(tǒng)中信息安全技術(shù)的探討10-08

計(jì)算機(jī)網(wǎng)絡(luò)與信息安全防護(hù)探討論文10-08

云時(shí)代信息安全建設(shè)探討的論文10-09

關(guān)于電力信息安全的探討論文10-09