編號： _ 河南廣播電視大學(xué) 商丘學(xué)院 畢業(yè)論文（設(shè)計(jì)） 題目： 網(wǎng)絡(luò) 倫 理問題與對策研究 院 別 ： 信息與電子工程學(xué)院 專 業(yè) ： 計(jì)算機(jī)信息管理 姓 名 ： 李 玲 俠 成 績 ： 指導(dǎo)教師 ： 董 君 2014 年 4 月 河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） I I 目 錄 第一章 引 言 . 1 1.1 概論 . 1 1.2 網(wǎng)絡(luò)倫理道德問題的形成根源 . 2 1.4 網(wǎng)絡(luò)安全技術(shù)的研究目 的意義和背景 . 4 第二章 網(wǎng)絡(luò)安全初步分析 . 5 2.1 網(wǎng)絡(luò)面臨的安全威脅 . 5 2.2 網(wǎng)絡(luò)安全常見問題 . 6 2.3 網(wǎng)絡(luò)安全的必要 . 8 2.4 網(wǎng)絡(luò)的安全管理 . 8 2.4.1 安全管理原則 . 8 2.4.2 安全管理的實(shí)現(xiàn) . 9 2.5 采用先進(jìn)的技術(shù)和產(chǎn)品 . 9 2.6 常用的網(wǎng)絡(luò)攻擊及防范對策 . 12 2.6.1 特洛伊木馬 . 12 2.6.2 郵件炸彈 . 12 2.6.3 過載攻擊 . 13 2.6.4 淹沒攻擊 . 13 第三章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計(jì) . 14 3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析 . 14 3.2 網(wǎng)絡(luò)攻擊淺析 . 15 第四章 防火墻技術(shù) . 17 4.1防火墻的定義和由來 . 17 4.2 防火墻的選擇 . 18 4.3 防密技術(shù) . 19 4.3.1 對稱加密技術(shù) . 19 4.3.2 非對稱加密 /公開密鑰加密 . 19 4.3.3 RSA算法 . 20 4.4注冊與認(rèn)證管理 . 20 第五章 解決網(wǎng)絡(luò)倫理道德問題的有效途徑 . 21 5.1 在技術(shù)方面 . 21 5.1.1設(shè)置網(wǎng)絡(luò)警察 . 22 5.1.2軟件自身的安全 . 22 網(wǎng)絡(luò)倫理問題與對策研究 II 5.1.3編制破解惡意程序的軟件 . 22 5.2 在法律方面 . 22 5.3在教育方面 . 23 5.4在網(wǎng)絡(luò)管理方面 . 23 5.5在自律方面 . 23 結(jié) 論 . 24 參考文獻(xiàn) . 25 河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） III III 摘 要 網(wǎng) 絡(luò)時(shí)代的到來，創(chuàng)造了一個新的便捷生活方式，人們在信息化、數(shù)字化的世界中體驗(yàn)自我，溝通世界。但不可避免的隨著網(wǎng)絡(luò)的發(fā)展，在提供信息資源共享、信息便捷的同時(shí)，也帶來了網(wǎng)絡(luò)倫理或網(wǎng)絡(luò)的問題。因此，我們迫切需要建立良性的網(wǎng)絡(luò)倫理道德規(guī)范，網(wǎng)絡(luò)倫理的構(gòu)建離不開倫理道德的引導(dǎo)。 網(wǎng)絡(luò)時(shí)代的到來，不僅使網(wǎng)絡(luò)成為生產(chǎn)、社會和社會服務(wù)的主要手段、廣泛的運(yùn)用在、娛樂等社會活動中，并逐步成為日常生活中重要的溝通方式，也使得人們的生活方式和思維方式發(fā)生了變革。網(wǎng)絡(luò)為人類創(chuàng)造了一個虛擬的空間和新的生存方式，使人類可以在信 息化、數(shù)字化的世界中自由的交流信息，溝通世界。網(wǎng)絡(luò)主要特征是信息的傳遞快捷、獲取方便、其內(nèi)容豐富、交往全球性，并因此為人們廣泛運(yùn)用。網(wǎng)絡(luò)時(shí)代改變了社會各階層群體的活動空間和生存生活方式，也改變了建立在生活和生存方式基礎(chǔ)上的倫理道德觀念 . 網(wǎng)絡(luò)在為人類生活提供信息資源共享、便捷的同時(shí)，也使當(dāng)今現(xiàn)實(shí)的價(jià)值觀念和道德觀念受到了新挑戰(zhàn)。因此，如何適應(yīng)網(wǎng)絡(luò)虛擬社會的需要，建立與之相適應(yīng)的道德準(zhǔn)則，就成為網(wǎng)絡(luò)時(shí)代給我們提出的新課題。 網(wǎng)絡(luò)倫理道德，是以現(xiàn)實(shí)社會道德規(guī)范為基礎(chǔ)，是對社會道德規(guī)范的延伸與拓展，是人們在 進(jìn)行網(wǎng)絡(luò)活動時(shí)要遵循必要的道德規(guī)范。它是針對網(wǎng)上行為的特殊性，針對網(wǎng)絡(luò)虛擬空間生活自身的特點(diǎn)的基礎(chǔ)上建立起來的一種新的倫理道德規(guī)范，并且借鑒傳統(tǒng)現(xiàn)實(shí)社會道德成果與經(jīng)驗(yàn)，建立起適應(yīng)網(wǎng)絡(luò)倫理關(guān)系要求的新的倫理觀。 【 關(guān)鍵詞： 】 網(wǎng)絡(luò) 倫理挑戰(zhàn) 倫理原則 倫理建設(shè) 河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 1 1 第一章 引 言 1.1 概論 21 世紀(jì)全世界的計(jì)算機(jī)都將通過 Internet 聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入 21 世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的 時(shí)候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。 一個國家的信息安全體系實(shí)際上包括國家的法規(guī)和政策，以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。 網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會 各個方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。 信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重 要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。 網(wǎng)絡(luò)倫理問題與對策研究 2 1.2 網(wǎng)絡(luò)倫理道德問題的形成根源 網(wǎng)絡(luò)技術(shù)在給人類帶來便利的同時(shí)，也給人們帶來了很多的倫理傷害。但我們不能因此而逃避，不能因網(wǎng)絡(luò)倫理道德問題的出現(xiàn)而遠(yuǎn)離和拒絕網(wǎng)絡(luò)文化，而應(yīng)該積極探究其產(chǎn)生的根源，以及有效的解決辦法。網(wǎng)絡(luò)倫理道德問題的形成根源主要有以下幾方面： 1網(wǎng)絡(luò)自身特點(diǎn)弱化了傳統(tǒng)倫理道德的約束力。互聯(lián)網(wǎng)絡(luò)上無中心、無限制、無最終的管理者，人們在網(wǎng)絡(luò)空間中較之現(xiàn)實(shí)空間思想和行為享有更大的自由：自由地進(jìn)出網(wǎng)絡(luò)；自由地選 擇信息；自由地發(fā)布信息。于是道德的無政府主義在這里就找到了市場，此外，網(wǎng)絡(luò)世界的虛擬性質(zhì)也造成了傳統(tǒng)倫理約束力的弱化。 2網(wǎng)絡(luò)空間的道德沖突容易使網(wǎng)民陷入道德相對主義。在互聯(lián)網(wǎng)絡(luò)這個全球信息高速公路上，各個國家、各個民族、各個地區(qū)的交往頻繁，在政治、經(jīng)濟(jì)、文化、環(huán)境、價(jià)值觀念和道德意識上發(fā)生了相互的交流、碰撞，由于地域性、民族性及意識形態(tài)的差異和對立，對同一倫理道德行為會有各種不同的甚至是完全相反的評判和選擇標(biāo)準(zhǔn)。 3. 網(wǎng)絡(luò) 法律 和道德建設(shè)的相對滯后使網(wǎng)絡(luò)倫理道德問題的出現(xiàn)有了可乘之機(jī)。網(wǎng)絡(luò)對于我國來說是一個新興的東西，對于世界來說，也是時(shí)間不長。迄今為止，因特網(wǎng)上尚無全球統(tǒng)一的網(wǎng)絡(luò)規(guī)范，有的只是一些地區(qū)性、行業(yè)性法規(guī)。在我國網(wǎng)絡(luò)管理方面的法律，倫理道德，社會制約等方面法規(guī)的研究都存在滯后現(xiàn)象，這就使網(wǎng)民在網(wǎng)絡(luò)空間上陷入到無法可依、無規(guī)范可循的茫然不知所措的狀態(tài)。另一方面，現(xiàn)實(shí)社會中，轉(zhuǎn)型時(shí)期所存在的一系列倫理道德的滑坡現(xiàn)象，甚至黨 政干部中的腐敗墮落現(xiàn)象，使網(wǎng)路倫理道德問題的存在有了現(xiàn)實(shí)的根據(jù)。 4網(wǎng)民自我宣泄和自我表現(xiàn)的心理要求促使了網(wǎng)絡(luò)倫理道德問題的形成。 現(xiàn)代 社會是一個生活和工作節(jié)奏快速緊張的社會，現(xiàn)實(shí)社會的競爭和壓力，使人們產(chǎn)生強(qiáng)烈的壓抑感。長期處于這樣一種緊張狀態(tài)和壓抑狀態(tài)下的人們，需要尋找一個宣泄自我、釋放自我的機(jī)會和空間，而網(wǎng)絡(luò)空間正滿足了他們的需求。 河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 3 3 1.3 網(wǎng)絡(luò)倫理道德問題的表現(xiàn)形式 網(wǎng)絡(luò)倫理道德是人們通過 電子 信息網(wǎng)絡(luò)進(jìn)行社會交往時(shí)而表現(xiàn)出來的道德關(guān)系。它主要探討人與網(wǎng)絡(luò)之間的關(guān)系，以及在網(wǎng)絡(luò)社會 (虛擬社會 )中人與人之間的關(guān)系。電子信息網(wǎng)絡(luò)實(shí)現(xiàn)的是人類信息交流方式的全球化和全面化，由于信息交流本身對人類存在的本質(zhì)意義和網(wǎng)絡(luò)對社會生活各方面的重要和影響，使得它成為從具有技術(shù)創(chuàng)新意義擴(kuò)展到具有全面社會意義的新事物。信息的全球化既給人們帶來了很大的便利性，同時(shí)也給社會帶來了許多的倫理道德問題。其具體表現(xiàn)在以下幾個方面 1發(fā)布或 傳播虛假信息，這既包括虛假承諾，也包括在網(wǎng)站上的以訛傳訛。 2剽竊他人的勞動成果，這包括營銷 企業(yè) 在網(wǎng)站或電子刊物上未經(jīng)允許便采用他人制作的網(wǎng)頁背景圖案，圖片，外觀設(shè)計(jì)，程序代碼，轉(zhuǎn)載其他媒體 (包括書籍 )上的信息資料等。 3違背他人意愿強(qiáng)行發(fā)布商業(yè)信息。這類行為最典型的事例是發(fā)布垃圾郵件 (sPAM)，主要包括不請自來的商業(yè)郵件 (UCE)和不請自來的群發(fā)郵件 (UBE)滋擾郵件接收者。 4不分對象地發(fā)布或傳播 受限制的信息。涉及暴利、色情、迷信和違反通常道德法則的信息，一旦被缺乏鑒別能力的未成年人閱讀，會對他們的身心造成損害，也要避免未成年人涉足富有賭博性質(zhì)的網(wǎng)絡(luò)游戲。 5為了商業(yè)目的無節(jié)制地占用免費(fèi)或廉價(jià)的網(wǎng)絡(luò)資源?；ヂ?lián)網(wǎng)上有許多免費(fèi)資源供公眾利用，例如共享軟件交流區(qū)， BBS 討論區(qū)，新聞組以及免費(fèi)登錄的搜索引擎等，但大部分營銷企業(yè)卻濫用這些免費(fèi)資源。 6濫用跟蹤和信息記錄技術(shù)。現(xiàn)在網(wǎng)站廣泛采用的客戶跟蹤和信息記錄技術(shù) (如 Cookies)使訪問者的隱私受到了威脅。 7出賣、轉(zhuǎn)讓或泄漏網(wǎng)民個人資料，這些資料可能包括網(wǎng)民的通訊地址、電子信箱地址、電話號碼等私人信息。 8單方面隨意或頻繁變更承諾過的交易條件，利用用戶的轉(zhuǎn)移成本盤剝用戶。例如，將網(wǎng)絡(luò)倫理問題與對策研究 4 原本免費(fèi)提供給用戶的電子信箱更改為收費(fèi)信箱，更改信箱容量的大小，改變交貨時(shí)間或者忽然讓用戶承擔(dān)貨物的運(yùn)輸費(fèi)用等。 9通過惡意編碼違背他人意愿在他人的計(jì)算機(jī)上安裝程序或篡改他人計(jì)算機(jī)上的設(shè)置，這包括有意或無意地向網(wǎng)民傳播計(jì)算機(jī)病毒，也包括強(qiáng)行更改用戶瀏覽器的起始頁面瀏覽器圖標(biāo)欄上公司信息 。 10侵犯知識產(chǎn)權(quán)。這主要包括著作權(quán)和專利權(quán)。主要表現(xiàn)為 3 種形式： (1)網(wǎng)絡(luò)主體對網(wǎng)絡(luò)外社會中知識產(chǎn)權(quán)的侵犯； (2)網(wǎng)絡(luò)主體對網(wǎng)絡(luò)主體知識產(chǎn)權(quán)的侵犯； (3)社會對網(wǎng)絡(luò)主體知識產(chǎn)權(quán)的侵犯。 11網(wǎng)上戀情、網(wǎng)上交友在年輕網(wǎng)民中十分流行和時(shí)髦。可是在其網(wǎng)絡(luò)交往中攙雜了很多欺騙和隱瞞事實(shí)的行為，在其心理上造成了一定程度的傷害，甚至也給他們的學(xué)習(xí)和家庭造成了很大的負(fù)面影響。 12利用網(wǎng)絡(luò)的虛擬性和網(wǎng)絡(luò)主體的難以確定性進(jìn)行商業(yè)犯罪、商業(yè)欺詐，給許多網(wǎng)民帶來了財(cái)產(chǎn)的損失和精神上的傷害。例如，有人在網(wǎng)絡(luò)上利用 計(jì)算機(jī)技術(shù)盜用他人的銀行卡信息，盜取他人財(cái)物，進(jìn)行網(wǎng)絡(luò)犯罪。 1.4 網(wǎng)絡(luò)安全技術(shù)的研究目的 意義和背景 目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會帶來了巨大的損失。網(wǎng)絡(luò)安全已被信息社會的各個領(lǐng)域所重視。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌 行為 的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要 的問題。對于軍用的自動化指揮網(wǎng)絡(luò)、 C3I 系統(tǒng)、銀行和政府等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，上述的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。無河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 5 5 論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和 網(wǎng)絡(luò)的 脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文就進(jìn)行初步探討計(jì)算機(jī)網(wǎng)絡(luò)安全 的管理及其技術(shù)措施。 認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個極為復(fù)雜的系統(tǒng)工程，是一個安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識，自覺執(zhí)行各項(xiàng)安全制度，在此基礎(chǔ)上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運(yùn)行。 第二章 網(wǎng)絡(luò)安全初步分析 2.1 網(wǎng)絡(luò)面臨的安全威脅 1. 計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨的威脅主要包括： 1) 截獲，攻擊者從網(wǎng)絡(luò)上竊聽信息； 2) 中斷 , 攻擊者有意中斷網(wǎng)絡(luò)上的 通信； 3) 篡改，攻擊者有意更改網(wǎng)絡(luò)上的通信； 4) 偽造，攻擊者使假的信息在網(wǎng)絡(luò)上傳輸。 上述的四種威脅可以分為兩類：即被動攻擊和主動攻擊。其中截獲信息被稱為被動攻擊，攻擊者只是被動地觀察和分析信息，而不干擾信息流，一般用于對網(wǎng)絡(luò)上傳輸?shù)男畔?nèi)容進(jìn)行了解。中斷、篡改和偽造信息被稱為主動，主動攻擊對信息進(jìn)行各種處理，如有選擇地更改、刪除或偽造等。被動攻擊是不容易被檢測出來的，一般可以采取加密的方法，使得攻擊伏特計(jì)能識別網(wǎng)絡(luò)中所傳輸?shù)男畔?。對于主動攻擊除了進(jìn)行信息加密以外，還應(yīng)網(wǎng)絡(luò)倫理問題與對策研究 6 該采取鑒別等措施。攻擊者主要是指黑客，除此 之外還包括計(jì)算機(jī)病毒、蠕蟲、特洛伊木馬及邏輯炸彈等。 2. 網(wǎng)絡(luò)不安全的原因是多方面的，主要包括： (1) 來自外部的不安全因素，即網(wǎng)絡(luò)上存在的攻擊。在網(wǎng)絡(luò)上，存在著很多的敏感信息，有許多信息都是一些有關(guān)國家政府、軍事、科學(xué)研究、經(jīng)濟(jì)以及金融方面的信息，有些別有用心的人企圖通過網(wǎng)絡(luò)攻擊的手段截獲信息。 (2) 來自網(wǎng)絡(luò)系統(tǒng)本身的，如網(wǎng)絡(luò)中存在著硬盤、軟件、通信、操作系統(tǒng)或其他方面的缺陷與漏洞，給網(wǎng)絡(luò)攻擊者以可乘之機(jī)。這是黑客能夠?qū)嵤┕舻母荆彩且恍┚W(wǎng)絡(luò)愛好者利用網(wǎng)絡(luò)存在的漏洞，編制攻擊程序的練習(xí)場所。 (3) 網(wǎng)絡(luò)應(yīng)用安全管理方面的原因，網(wǎng)絡(luò)管理者缺乏網(wǎng)絡(luò)安全的警惕性，忽視網(wǎng)絡(luò)安全，或?qū)W(wǎng)絡(luò)安全技術(shù)缺乏了解，沒有制定切實(shí)可行的網(wǎng)絡(luò)策略和措施。 (4) 網(wǎng)絡(luò)安全協(xié)議的原因。在互聯(lián)網(wǎng)上使用的協(xié)議是 TCP/IP，其 IPV版在設(shè)計(jì)之初沒有考慮網(wǎng)絡(luò)安全問題，從協(xié)議的根本上缺乏安全的機(jī)制，這是互聯(lián)網(wǎng)存在的安全威脅的主要原因。 2.2 網(wǎng)絡(luò)安全常見問題 1. 防止惡意軟件 目標(biāo)：保護(hù)軟件和信息的完整性。 (1) 應(yīng)提醒用戶警覺未授權(quán)軟件或惡意軟件的危險(xiǎn)； (2) 并且管理員應(yīng)適當(dāng)?shù)匾胩厥獾目刂剖侄螜z測或防范這些軟件的侵襲； (3) 安裝并定期更新抗病毒的檢測和修復(fù)軟件； (4) 定期檢查支持關(guān)鍵業(yè)務(wù)進(jìn)程的系統(tǒng)的軟件和數(shù)據(jù)內(nèi)容。 2. 用戶口令管理（針對管理員） 目的：防止用戶口令泄露。 河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 7 7 方法： (1) 要求用戶在使用時(shí)更改初始口令； (2) 用戶忘記口令時(shí)，必須在對該用戶進(jìn)行適當(dāng)?shù)纳矸葑R別后才能向其提供臨時(shí)口令； (3) 應(yīng)避免使用明文電子郵件傳送口令； (4) 應(yīng)該根據(jù)情況考慮使用雙因素認(rèn)證。 第一個要素（所知道的內(nèi)容）：需要使用使用者記憶的身份認(rèn)證內(nèi)容，例如密碼和身份號碼等。 第二個要素（所擁有的物品）：使用者擁有擁有的特殊認(rèn)證加強(qiáng)機(jī)制，例如動態(tài)密碼卡， IC卡，磁卡等。 第三個要素（所具備的特征）：使用者本身擁有的唯一牲，例如指紋、瞳孔、聲音等。 單獨(dú)來看，這三個要素中的任何一個都有問題。“所擁有的物品”可以被盜走；“所知道的內(nèi)容”可以被猜出、被分享，復(fù)雜的內(nèi)容可能會忘記；“所具備的特征”最為強(qiáng)大，但是代價(jià)昂貴且擁有者本身易受攻擊，一般用在頂級安全需求中。把前兩種要素結(jié)合起來的身份認(rèn)證的方法就是“雙因素認(rèn)證”。 雙因素 認(rèn)證和利用自動機(jī)提款相似：使用者必須利用提款卡（認(rèn)證設(shè)備），再輸入個人識別號碼（已知信息），才能提取其帳戶的款項(xiàng)。 3. 用戶口令管理（針對用戶） (1) 應(yīng)避免在紙上記錄口令； (2) 只要有跡象表明系統(tǒng)或口令可能遭到破壞時(shí)，應(yīng)立即更改口令； (3) 最少要有六個字符； (4) 口令必須便于記憶； (5) 不應(yīng)該使用別人通過個人輸相關(guān)信息 ； 網(wǎng)絡(luò)倫理問題與對策研究 8 (6) 不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母 ； (7) 定期更改口令 ； (8) 首次登錄時(shí)應(yīng)更改臨時(shí)口令 ； (9) 不共享個人用戶口令。 2.3 網(wǎng)絡(luò)安全的必要 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時(shí)代的重要特征，人們稱它為信息高速公路。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信 技術(shù)的產(chǎn)物，是應(yīng)社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我國近年來計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長的時(shí)間里，計(jì)算機(jī)網(wǎng)絡(luò)一定會得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí) 代。 正因?yàn)榫W(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的 。 2.4 網(wǎng)絡(luò)的安全管理 面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密設(shè)施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理 和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題。 2.4.1 安全管理原則 網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基 3 個原則 ： 多人負(fù)責(zé)原則 每一項(xiàng)與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。與安全有關(guān)的活動有：訪問控制使用證件的發(fā)放與回收；信息處理系統(tǒng)使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護(hù)；系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；重要程序和數(shù)據(jù)的刪除和銷毀等。 河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 9 9 任期有限原則 一般來講， 任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。 職責(zé)分離原則 除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。出與對安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開：計(jì)算機(jī)操作與計(jì)算機(jī)編程；機(jī)密資料的接收與傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制；訪問證件的管理與其他工作；計(jì)算機(jī)操作與信息 處理系統(tǒng)使用媒介的保管等。 2.4.2 安全管理的實(shí)現(xiàn) 信息系統(tǒng)的 安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是： 根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。 根據(jù)確定的安全等級，確定安全管理范圍。 制訂相應(yīng)的機(jī)房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用磁卡、身份卡等手段，對人員進(jìn)行識別 、登記管理。 2.5 采用先進(jìn)的技術(shù)和產(chǎn)品 要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng) 的安全性，還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。 1. 防火墻技術(shù) 網(wǎng)絡(luò)倫理問題與對策研究 10 為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。它可監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過濾、代理服務(wù)器等幾大類型。 一個防火墻 策略要符合四個目標(biāo)，而每個目標(biāo)通常都不是通過一個單獨(dú)的設(shè)備或軟件來實(shí)現(xiàn)的。大多數(shù)情況下的防火墻的組件放在一起使用以滿足公司安全目的的需要。防火墻要能確保滿足以下三個目標(biāo)實(shí)現(xiàn)一個公司的安全策略。例如，也許你的安全策略只需對 MAIL 服務(wù)器的 SMTP流量作些限制，那么你要直接在防火墻強(qiáng)制這些策略。 (1)創(chuàng)建一個阻塞點(diǎn) 防火墻在一個公司私有網(wǎng)絡(luò)和公網(wǎng)間建立一個檢查點(diǎn)并要求所有的流量都要通過這個檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾各檢查所 進(jìn)來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為阻塞點(diǎn)。 通過強(qiáng)制所有進(jìn)出流量都通過這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的地方來實(shí)現(xiàn)安全目的。如果沒有這樣一個供監(jiān)視和控制信息的點(diǎn)，系統(tǒng)或安全管理員則要在大量的地方來進(jìn)行監(jiān)測。檢查點(diǎn)的另一個名字叫做網(wǎng)絡(luò)邊界。 (2) 記錄 INTERNET 活動 防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。通過在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對于管理員進(jìn)行日志存檔提供了更多的信息。 (3)限制網(wǎng)絡(luò)暴露 防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個保 護(hù)的邊界。并且對于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 11 11 些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測到你的網(wǎng)絡(luò)時(shí)，他們僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對所能進(jìn)來的流量時(shí)行源檢查，以限制從外部發(fā)動的攻擊。 2. 數(shù)據(jù)加密技術(shù) 與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。 它是一門古老而深奧的學(xué)科，對一般人來 說是非常陌生的。長期以來，只在很小的范圍內(nèi)使用，如軍事、外交、情報(bào)等部門。計(jì)算機(jī)密碼學(xué)是研究計(jì)算機(jī)信息加密、解密及其變換的科學(xué)，是數(shù)學(xué)和計(jì)算機(jī)的交叉學(xué)科，也是一門新興的學(xué)科。 隨著計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)通訊技術(shù)的發(fā)展，計(jì)算機(jī)密碼學(xué)得到前所未有的重視并迅速普及和發(fā)展起來。在國外，它已成為計(jì)算機(jī)安全主要的研究方向。 密碼學(xué)的歷史比較悠久，在四千年前，古埃及人就開始使用密碼來保密傳遞消息。 目前各國除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷 發(fā)展。按作用不同 , 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。 3. 認(rèn)證技術(shù) 認(rèn)證技術(shù)是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認(rèn)證是指驗(yàn)證一個最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接收者的身份。認(rèn)證的主要目的有兩個：第一，驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗(yàn)證信息的完整性，保證信息在傳送過程中未被竄改或延遲等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。 4. 計(jì)算機(jī)病毒的防范 網(wǎng)絡(luò)倫理問題與對策研究 12 首先要加強(qiáng)工作人員防 病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件： 、較強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有萬多種，在各種操作系統(tǒng)中包括 Windows、 UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計(jì)算機(jī)病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查毒、殺毒范圍廣、能力強(qiáng)的特點(diǎn)。 、完善的升級服務(wù)。與其它軟件相比，防病毒軟件更需要不斷地更新升級，以查殺層出不窮的計(jì)算機(jī)病毒。 2.6 常用的網(wǎng)絡(luò)攻擊及防范對策 2.6.1 特洛伊木馬 特洛伊木馬是夾帶 在執(zhí)行正常功能的程序中的一段額外操作代碼。因?yàn)樵谔芈逡聊抉R中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時(shí)，表面上是執(zhí)行正常的程序，而實(shí)際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個部分，即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個含有特洛伊木馬的程序時(shí)，它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對計(jì)算機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計(jì)算機(jī)的控制權(quán)。 防止 在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時(shí)，對每一個文件進(jìn)行數(shù)字簽名，而在運(yùn)行文件時(shí)通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽 TCP 服務(wù)。 2.6.2 郵件炸彈 郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機(jī)器不斷的大量的向同一地址發(fā)送河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 13 13 電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計(jì)算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過 計(jì)算機(jī)網(wǎng)絡(luò)對某一目標(biāo)的報(bào)復(fù)活動中。 防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進(jìn)行配置，自動刪除來自同一主機(jī)的過量或重復(fù)的消息，也可使自己的 SMTP 連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。 2.6.3 過載攻擊 載攻擊是攻擊者通過服務(wù)器長時(shí)間發(fā)出大量無用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊，它是通過大量地進(jìn)行人為地增大 CPU 的工作量，耗費(fèi) CPU的工作時(shí)間，使其它的用戶一直處于等待狀態(tài)。防 止過載攻擊的方法有：限制單個用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。然而，不幸的是這兩種方法都存在一定的負(fù)面效應(yīng)。通過對單個用戶所擁有的最大進(jìn)程數(shù)的限制和耗時(shí)進(jìn)程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機(jī)列表和網(wǎng)絡(luò)地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡(luò)外部還是網(wǎng)絡(luò)內(nèi)部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。 2.6.4 淹沒攻擊 常情況下， TCP連接建立要經(jīng)歷 3次握手的過 程，即客戶機(jī)向主機(jī)發(fā)送 SYN請求信號；目標(biāo)主機(jī)收到請求信號后向客戶機(jī)發(fā)送 SYN/ACK 消息；客戶機(jī)收到 SYN/ACK 消息后再向主機(jī)發(fā)送 RST 信號并斷開連接。 TCP 的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會。攻擊者可以使用一個不存在或當(dāng)時(shí)沒有被使用的主機(jī)的 IP 地址，向被攻擊主機(jī)發(fā)出 SYN 請求網(wǎng)絡(luò)倫理問題與對策研究 14 信號，當(dāng)被攻擊主機(jī)收到 SYN 請求信號后，它向這臺不存在 IP 地址的偽裝主機(jī)發(fā)出 SYN/消息。由于此時(shí)主機(jī)的 IP不存在或當(dāng)時(shí)沒有被使用所以無法向主機(jī)發(fā)送 RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。如果攻擊者不斷地 向被攻擊的主機(jī)發(fā)送 SYN請求，被攻擊主機(jī)就會一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶的請求。 對付淹沒攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)處于 SYN-RECEIVED 狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。 第三章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計(jì) 3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)首先應(yīng)因地制宜，根據(jù)組網(wǎng)單位的實(shí)際情況按照單位的各部門安全性要求劃分，盡量使同一安全級別的上網(wǎng)計(jì)算機(jī)處于同一網(wǎng)段的安全控制域中。局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問 /沖突檢測（ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 IEEE802.3 規(guī)范 ,利用這一方法建成的網(wǎng)絡(luò) ,我們稱之為以太網(wǎng) ,在以太網(wǎng)的通信方式中 ,每一個工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù) ,將以太網(wǎng)卡 (支持 IEEE802.3規(guī)范的網(wǎng)卡 )設(shè)置為混雜模式 ,網(wǎng)卡便會將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū) ,以供系統(tǒng)和程序調(diào)用 .但是入侵者還是可能通過割開網(wǎng)線 ,非法接入等手段來偵聽網(wǎng)絡(luò) ,截獲數(shù)據(jù) ,根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心 ,因此布線要杜絕經(jīng)過不可靠的區(qū)域 ,以防止非法接入 ,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段內(nèi)所有主機(jī)的介質(zhì)訪問控制器 (MAC)地址 ,該地址為 6 個字節(jié) ,是用來區(qū)分網(wǎng)絡(luò)設(shè)備的唯一標(biāo)志 .此外 ,對于每一個接入網(wǎng)絡(luò)中的計(jì)算機(jī)都必須先登記后連線接入 ,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的 MAC地址便發(fā)出警告 ,網(wǎng)管人員立即查找該設(shè)備 ,因此在局域網(wǎng)中應(yīng)該采用以下三種組網(wǎng)方式來加強(qiáng)安全防范 . 網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段 ,實(shí)際上也是保河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 15 15 證網(wǎng)絡(luò)安全的一項(xiàng)重要措施 .其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離 ,從而防上可能的 非法偵聽 . 以交換式集線器代替共享式集線器 對局域網(wǎng)的中心計(jì)算機(jī)進(jìn)行分段后 ,以太網(wǎng)的偵聽的危險(xiǎn)仍然存在 .這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī) ,而使用最廣泛的分支集線器通常是共享式集線器 .這樣 ,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí) ,兩臺機(jī)器之間的數(shù)據(jù)包 (稱為單播包 Nicest Packet)還是會被同一臺集線器上的其他用戶所偵聽 .因此應(yīng)該以交換式集線器代替共享式集線器 ,使單播包公在兩個節(jié)點(diǎn)之間傳送 ,從而防止非法偵聽。 VLAN(虛擬局域網(wǎng) )的劃分 為了克服以太網(wǎng)的廣播問題 ,除上述方法外 ,還 可以運(yùn)用VLAN技術(shù) ,將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信 ,以防止大部分基于網(wǎng)絡(luò)偵聽的入侵。 基于以上拓?fù)浣Y(jié)構(gòu)的連接方式 ,用電纜和集線器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段 , 在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連接設(shè)備接收 ,為了防止網(wǎng)絡(luò)的入侵嗅探 ,可以把網(wǎng)絡(luò)分段 ,隔離網(wǎng)絡(luò)通信合用橋接器 ,交換器 ,路由器 ,應(yīng)用網(wǎng)關(guān)都可以實(shí)現(xiàn)各網(wǎng)段的通信隔離 ,同時(shí)將多個局域網(wǎng)進(jìn)行互聯(lián) ,拓展網(wǎng)絡(luò)形成廣域網(wǎng) ,還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)但對于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全技術(shù)是加強(qiáng)對外界的攻擊的防范和應(yīng)策 . 3.2 網(wǎng)絡(luò)攻擊淺析 攻擊是指非授 權(quán)行為。攻擊的范圍從簡單的使服務(wù)器無法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級別以來于擁護(hù)采取的安全措施。 在此先分析眼下比較流行的攻擊 Dodos 分布式拒絕服務(wù)攻擊： Does 是 Denial of Service 的簡稱，即拒絕服務(wù)，造成 Does 的攻擊行為被稱為 Does 攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的 Does 攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的 連接請求沖擊計(jì)算機(jī)，使得所有可用的網(wǎng)絡(luò)倫理問題與對策研究 16 操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請求。而分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊是借助于客戶 /服務(wù)器技術(shù)，將多個計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動 DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊帳號將 DDoS 主控程序安裝在一個計(jì)算機(jī)上，在一個設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Internet 上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動攻擊。利 用客戶 /服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。而且現(xiàn)在沒有有限的方法來避免這樣的攻擊 因?yàn)榇斯艋?TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？ 1) 確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到 DDoS攻擊的系統(tǒng)都沒有及時(shí)打上補(bǔ)丁。 2) 確保管理員對所有主機(jī)進(jìn)行檢查，而不僅針對關(guān)鍵主機(jī)。這是為了確保管理員知道每個主機(jī)系統(tǒng)在 運(yùn)行什么？誰在使用主機(jī)？哪些人可以訪問主機(jī)？不然，即使黑客侵犯了系統(tǒng)，也很難查明。 3) 確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫中刪除未使用的服務(wù)如 FTP 或 NFS。 Wu-Ftpd等守護(hù)程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng) 甚至是受防火墻保護(hù)的系統(tǒng)。 4) 確保運(yùn)行在 Unix上的所有服務(wù)都有 TCP封裝程序，限制對主機(jī)的訪問權(quán)限。 5) 禁止內(nèi)部網(wǎng)通過 Modem 連接至 PSTN系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)，即刻就能訪問極為機(jī)密的數(shù)據(jù)。 6) 禁止使用網(wǎng)絡(luò)訪問程序如 Telnet、 Ftp、 Rsh、 Rlogin和 Rcp，以基于 PKI的訪問程序如 SSH取代。 SSH不會在網(wǎng)上以明文格式傳送口令，而 Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外，在 Unix 上應(yīng)該河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 17 17 將 .rhost和 hosts.equiv 文件刪除，因?yàn)椴挥貌驴诹?，這些文件就會提供登錄訪問！ 7) 限制在防火墻外與網(wǎng)絡(luò)文件共享。這會使黑客有機(jī)會截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓。 8) 確保手頭有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。這張圖應(yīng)該詳細(xì)標(biāo)明 TCP/IP地址、主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（ DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部 分。 9) 在防火墻上運(yùn)行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當(dāng)造成的，使 DoS/DDoS 攻擊成功率很高，所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。 10) 檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī) /服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時(shí)間出現(xiàn)變更，幾乎可以肯定：相關(guān)的主機(jī)安全受到了威脅。 第四章 防火墻技術(shù) 4.1 防火墻的定義和由來 網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)?數(shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān) (代理服務(wù)器 )以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。 雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。 自從 1986年美國 Digital公司在 Internet 上安裝 了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各網(wǎng)絡(luò)倫理問題與對策研究 18 不相同的防火墻產(chǎn)品系列。 防火墻處于 5層網(wǎng)絡(luò)安全體系中的最底層 ,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上 ,企業(yè)對安全系統(tǒng)提出的問題是 :所有的 IP 是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng) ?如果答案是“ 是 ”, 則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。 作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障 ,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看 ,防火墻處于網(wǎng)絡(luò)安全的最底層 ,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸 ,但 隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化 ,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次 ,不僅要完成傳統(tǒng)防火墻的過濾任務(wù) ,同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 4.2 防火墻的選擇 總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障 ,其總擁有成本 (TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例 ,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為 10 萬元 ,則該部門所配備防火墻的總成本也不應(yīng)該 超過 10萬元。當(dāng)然 ,對于關(guān)鍵部門來說 ,其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算 ,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本 ,關(guān)鍵部門則應(yīng)另當(dāng)別論選擇防火墻的標(biāo)準(zhǔn)有很多 ,但最重要的是以下 兩 條 :。 (1) 防火墻本身是安全的 作為信息系統(tǒng)安全產(chǎn)品 ,防火墻本身也應(yīng)該保證安全 ,不給外部侵入者以可乘之機(jī)。如果像 馬其諾 防線一樣 ,正面雖然牢不可破 ,但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部 ,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。 通常 ,防火墻的安全性問題來自兩個方面 :其一是防火墻本身的設(shè)計(jì) 是否合理 ,這類問題一般用戶根本無從入手 ,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。所以對用戶來說 ,河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 19 19 保守的方法是選擇一個通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說 ,防火墻的許多配置需要系統(tǒng)管理員手工修改 ,如果系統(tǒng)管理員對防火墻不十分熟悉 ,就有可能在配置過程中遺留大量的安全漏洞。 (2) 可擴(kuò)充性 在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期 ,由于內(nèi)部信息系統(tǒng)的規(guī)模較小 ,遭受攻擊造成的損失也較小 ,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加 ,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會急劇上升 ,此時(shí)便需要增加具有 更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性 ,或擴(kuò)充成本極高 ,這便是對投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間 ,在安全水平要求不高的情況下 ,可以只選購基本系統(tǒng) ,而隨著要求的提高 ,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資 ,對提供防火墻產(chǎn)品的廠商來說 ,也擴(kuò)大了產(chǎn)品覆蓋面。 4.3 防密技術(shù) 信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。 4.3.1 對稱加密技術(shù) 在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖 。 這種加密方法可簡化加密處理過程 ，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有 N個交換對象，那么他就要維護(hù) N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重 DES是 DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個獨(dú)立的 56 為密鑰對信息進(jìn)行 3次加密，從而使有效密鑰長度達(dá)到 112位。 4.3.2 非對稱加密 /公開密鑰加密 在非對稱加密體系中，密鑰被分解為 一對（即公開密鑰和私有密鑰）。這對密鑰中任網(wǎng)絡(luò)倫理問題與對策研究 20 何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是 RSA公鑰密碼體制。 4.3.3 RSA 算法 RSA算法是 Rivest、 Shamir和 Adleman于 1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在 RSA 體制中使用了這樣一個基本事實(shí)：到目前為止，無法找到一個有效的算法來分解兩大素?cái)?shù)之積。 RSA算法的描述如下： 公開密鑰： n=pq(p、 q分別為兩個互異的大素?cái)?shù)， p、 q必須保密 ) e與（ p-1） (q-1)互素 私有密鑰： d=e-1 mod(p-1)(q-1) 加密： c=me(mod n),其中 m為明文， c為密文。 解密： m=cd(mod n) 利用目前 已經(jīng)掌握的知識和理論，分解 2048bit 的大整數(shù)已經(jīng)超過了 64 位計(jì)算機(jī)的運(yùn)算能力，因此在目前和預(yù)見的將來，它是足夠安全的。 4.4 注冊與認(rèn)證管理 1) 認(rèn)證機(jī)構(gòu) CA（ Certification Authorty）就是這樣一個確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。由 CA 簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明 證書，任何相信該 CA 的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。 CA 也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強(qiáng)安全性的 CA 是至關(guān)重河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 21 21 要的，這不僅與密碼學(xué)有 關(guān)系，而且與整個 PKI 系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場認(rèn)同的一個關(guān)鍵，它不需支持各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其他廠家的 CA產(chǎn)品兼容。 2) 注冊機(jī)構(gòu) RA（ Registration Authority）是用戶和 CA 的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是 CA頒發(fā)證書的基礎(chǔ)。 RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的 RA系統(tǒng)。 3) 密鑰備份和恢復(fù) 為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的 ，設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個 PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。 4) 證書管理與撤消系統(tǒng) 證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時(shí)也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制，隨時(shí)查詢被撤消的證書。 第五 章 解決網(wǎng)絡(luò)倫理道德問題的有效途徑 遏制網(wǎng)絡(luò)中不道德行為的方案有很多，可以從技術(shù)方面、法律方面、 教育 方面、網(wǎng)絡(luò)管理和自律方面來建立有效的解決途徑。 5.1 在技術(shù)方面 加強(qiáng)網(wǎng)絡(luò)技術(shù)監(jiān)控和網(wǎng)絡(luò)場所的管理。盡快研制出低成本、易普及的網(wǎng)絡(luò)技術(shù)監(jiān)控系網(wǎng)絡(luò)倫理問題與對策研究 22 統(tǒng)，通過這種系統(tǒng)及時(shí)發(fā)現(xiàn)、制止和清除不規(guī)范、不道德的網(wǎng)絡(luò)行為。同時(shí)還要加強(qiáng)對網(wǎng)絡(luò)場所的管理，尤其是要加強(qiáng)對商業(yè)性服務(wù)的網(wǎng)絡(luò)管理?？梢圆扇∫韵聨追矫娴拇胧?5.1.1 設(shè)置網(wǎng)絡(luò)警 察 對網(wǎng)絡(luò)犯罪行為進(jìn)行及時(shí)的監(jiān)控和跟蹤，盡可能對正在實(shí)施的犯罪行為進(jìn)行制止，使破壞和損失降至最低。而對已成事實(shí)的網(wǎng)絡(luò)犯罪行為主體進(jìn)行追捕并追究其應(yīng)負(fù)的法律責(zé)任。 5.1.2 軟件自身的安全 對于進(jìn)行網(wǎng)絡(luò)安全監(jiān)控的軟件，其自身的安全也是很重要的方面。提高網(wǎng)絡(luò)監(jiān)控軟件的安全性能，是網(wǎng)絡(luò)安全的基礎(chǔ)，可以更加有效地發(fā)揮其監(jiān)控職能。 5.1.3 編制破解惡意程序的軟件 對于已經(jīng)造成破壞和損失的網(wǎng)絡(luò)不道德行為，通過編制的破解軟件對不道德行為進(jìn)行終止，避免造成更大的損失。對已造成的損失進(jìn)行最大程度的恢復(fù)。 5.2 在法律方 面 法律的出臺往往滯后于互聯(lián)網(wǎng)技術(shù)的 發(fā)展 ，法律出現(xiàn)