1、<p>　　編號：_______________</p><p><b>　　畢業(yè)論文（設計）</b></p><p>　　題目：網絡倫理問題與對策研究 </p><p>　　院 別 ：信息與電子工程學院 </p><p>　　專 業(yè) ：計算機信息管理 </p><

2、;p>　　姓 名 ： </p><p>　　成 績 ： </p><p>　　指導教師 ： </p><p><b>　　2014年4月</b></p><p><b>　　目

3、 錄</b></p><p>　　第一章 引 言1</p><p><b>　　1.1 概論1</b></p><p>　　1.2 網絡倫理道德問題的形成根源2</p><p>　　1.4 網絡安全技術的研究目的意義和背景4</p><p>　　第二章 網絡安全初步分析5

4、</p><p>　　2.1 網絡面臨的安全威脅5</p><p>　　2.2 網絡安全常見問題6</p><p>　　2.3 網絡安全的必要8</p><p>　　2.4 網絡的安全管理8</p><p>　　2.4.1 安全管理原則8</p><p>　　2.4.2 安全管理的實現(xiàn)

5、9</p><p>　　2.5 采用先進的技術和產品9</p><p>　　2.6 常用的網絡攻擊及防范對策12</p><p>　　2.6.1 特洛伊木馬12</p><p>　　2.6.2 郵件炸彈13</p><p>　　2.6.3 過載攻擊13</p><p>　　2.6.4

6、 淹沒攻擊14</p><p>　　第三章 網絡拓撲結構的安全設計14</p><p>　　3.1網絡拓撲結構分析14</p><p>　　3.2 網絡攻擊淺析16</p><p>　　第四章 防火墻技術17</p><p>　　4.1防火墻的定義和由來17</p><p>　　

7、4.2 防火墻的選擇18</p><p>　　4.3 防密技術20</p><p>　　4.3.1 對稱加密技術20</p><p>　　4.3.2 非對稱加密/公開密鑰加密20</p><p>　　4.3.3 RSA算法20</p><p>　　4.4注冊與認證管理21</p><p&

8、gt;　　第五章 解決網絡倫理道德問題的有效途徑22</p><p>　　5.1 在技術方面22</p><p>　　5.1.1設置網絡警察22</p><p>　　5.1.2軟件自身的安全22</p><p>　　5.1.3編制破解惡意程序的軟件22</p><p>　　5.2 在法律方面23</

9、p><p>　　5.3在教育方面23</p><p>　　5.4在網絡管理方面24</p><p>　　5.5在自律方面24</p><p><b>　　結 論25</b></p><p><b>　　參考文獻26</b></p><p>&l

10、t;b>　　摘 要</b></p><p>　　網絡時代的到來，創(chuàng)造了一個新的便捷生活方式，人們在信息化、數(shù)字化的世界中體驗自我，溝通世界。但不可避免的隨著網絡的發(fā)展，在提供信息資源共享、信息便捷的同時，也帶來了網絡倫理或網絡的問題。因此，我們迫切需要建立良性的網絡倫理道德規(guī)范，網絡倫理的構建離不開倫理道德的引導。  　　網絡時代的到來，不僅使網絡成為生產、社會和社會服務的主要手

11、段、廣泛的運用在、、娛樂等社會活動中，并逐步成為日常生活中重要的溝通方式，也使得人們的生活方式和思維方式發(fā)生了變革。網絡為人類創(chuàng)造了一個虛擬的空間和新的生存方式，使人類可以在信息化、數(shù)字化的世界中自由的交流信息，溝通世界。網絡主要特征是信息的傳遞快捷、獲取方便、其內容豐富、交往全球性，并因此為人們廣泛運用。網絡時代改變了社會各階層群體的活動空間和生存生活方式，也改變了建立在生活和生存方式基礎上的倫理道德觀念. 　　網絡在為人類生活提供

12、信息資源共享、便捷的同時，也使當今現(xiàn)實的價值觀念和道德觀念受到了新挑戰(zhàn)。因此，如何適應網絡虛擬社會的需要，建立與之相適應的道德準則，就成為網絡時代給我們提出的新課題。</p><p>　　網絡倫理道德，是以現(xiàn)實社會道德規(guī)范為基礎，是對社會道德規(guī)范的延伸與拓展，是人們在進行網絡活動時要遵循必要的道德規(guī)范。它是針對網上行為的特殊性，針對網絡虛擬空間生活自身的特點的基礎上建立起來的一種新的倫理道德規(guī)范，并且借鑒傳統(tǒng)現(xiàn)實

13、社會道德成果與經驗，建立起適應網絡倫理關系要求的新的倫理觀。</p><p>　　【關鍵詞：】網絡　倫理挑戰(zhàn)　倫理原則　倫理建設 </p><p><b>　　第一章 引 言</b></p><p><b>　　1.1 概論</b></p><p>　　21世紀全世界的計算機都將通過Interne

14、t聯(lián)到一起，信息安全的內涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。 </p><p>　　一個國家的信息安全體系實際上包括國家的法規(guī)和政策，以及技術與市場的發(fā)展平臺。我國在構建信息防衛(wèi)系統(tǒng)時，應著力發(fā)展自己獨

15、特的安全產品，我國要想真正解決網絡安全問題，最終的辦法就是通過發(fā)展民族的安全產業(yè)，帶動我國網絡安全技術的整體提高。</p><p>　　網絡安全產品有以下幾大特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統(tǒng)一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化；第三，隨著網絡在社會各個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的

16、網絡安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產業(yè)。 </p><p>　　信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到，發(fā)展安全產業(yè)的政策是信息安全保障系

17、統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。 </p><p>　　1.2 網絡倫理道德問題的形成根源</p><p>　　網絡技術在給人類帶來便利的同時，也給人們帶來了很多的倫理傷害。但我們不能因此而逃避，不能因網絡倫理道德問題的出現(xiàn)而遠離和拒絕網絡文化，而應該積極探究其產生的根源，以及有效的解決辦法。網絡倫理道德問題的形成根源主要有以下幾方

18、面：</p><p>　　1．網絡自身特點弱化了傳統(tǒng)倫理道德的約束力?；ヂ?lián)網絡上無中心、無限制、無最終的管理者，人們在網絡空間中較之現(xiàn)實空間思想和行為享有更大的自由：自由地進出網絡；自由地選擇信息；自由地發(fā)布信息。于是道德的無政府主義在這里就找到了市場，此外，網絡世界的虛擬性質也造成了傳統(tǒng)倫理約束力的弱化。 </p><p>　　2．網絡空間的道德沖突容易使網民陷入道德相對主義。在互聯(lián)網絡

19、這個全球信息高速公路上，各個國家、各個民族、各個地區(qū)的交往頻繁，在政治、經濟、文化、環(huán)境、價值觀念和道德意識上發(fā)生了相互的交流、碰撞，由于地域性、民族性及意識形態(tài)的差異和對立，對同一倫理道德行為會有各種不同的甚至是完全相反的評判和選擇標準。</p><p>　　3. 網絡法律和道德建設的相對滯后使網絡倫理道德問題的出現(xiàn)有了可乘之機。網絡對于我國來說是一個新興的東西，對于世界來說，也是時間不長。迄今為止，因特網上尚

20、無全球統(tǒng)一的網絡規(guī)范，有的只是一些地區(qū)性、行業(yè)性法規(guī)。在我國網絡管理方面的法律，倫理道德，社會制約等方面法規(guī)的研究都存在滯后現(xiàn)象，這就使網民在網絡空間上陷入到無法可依、無規(guī)范可循的茫然不知所措的狀態(tài)。另一方面，現(xiàn)實社會中，轉型時期所存在的一系列倫理道德的滑坡現(xiàn)象，甚至黨政干部中的腐敗墮落現(xiàn)象，使網路倫理道德問題的存在有了現(xiàn)實的根據(jù)。 　　4．網民自我宣泄和自我表現(xiàn)的心理要求促使了網絡倫理道德問題的形成?，F(xiàn)代社會是一個生活和工作節(jié)奏快速

21、緊張的社會，現(xiàn)實社會的競爭和壓力，使人們產生強烈的壓抑感。長期處于這樣一種緊張狀態(tài)和壓抑狀態(tài)下的人們，需要尋找一個宣泄自我、釋放自我的機會和空間，而網絡空間正滿足了他們的需求。 1.3 網絡倫理道德問題的表現(xiàn)形式</p><p>　　網絡倫理道德是人們通過電子信息網絡進行社會交往時而表現(xiàn)出來的道德關系。它主要探討人與網絡之間的關系，以及在網絡社會(虛擬社會)中人與人之間的關系。電子信息網絡實現(xiàn)的是人類信息交流方

22、式的全球化和全面化，由于信息交流本身對人類存在的本質意義和網絡對社會生活各方面的重要和影響，使得它成為從具有技術創(chuàng)新意義擴展到具有全面社會意義的新事物。信息的全球化既給人們帶來了很大的便利性，同時也給社會帶來了許多的倫理道德問題。其具體表現(xiàn)在以下幾個方面1．發(fā)布或傳播虛假信息，這既包括虛假承諾，也包括在網站上的以訛傳訛。 2．剽竊他人的勞動成果，這包括營銷企業(yè)在網站或電子刊物上未經允許便采用他人制作的網頁背景圖案，圖片，外觀設計，

23、程序代碼，轉載其他媒體(包括書籍)上的信息資料等。 3．違背他人意愿強行發(fā)布商業(yè)信息。這類行為最典型的事例是發(fā)布垃圾郵件(sPAM)，主要包括不請自來的商業(yè)郵件(UCE)和不請自來的群發(fā)郵件(UBE)滋擾郵件接收者。 4．不分對象地發(fā)布或傳播受限制的信息。涉及暴利、色情、迷信和違反通常道德法則的信息，一旦被缺乏鑒別能力的未成年人閱讀，會對他們的身心造成損害，也要避免未成年人</p><p>　　5．為了商業(yè)目

24、的無節(jié)制地占用免費或廉價的網絡資源?；ヂ?lián)網上有許多免費資源供公眾利用，例如共享軟件交流區(qū)，BBS討論區(qū)，新聞組以及免費登錄的搜索引擎等，但大部分營銷企業(yè)卻濫用這些免費資源。 </p><p>　　6．濫用跟蹤和信息記錄技術?，F(xiàn)在網站廣泛采用的客戶跟蹤和信息記錄技術(如Cookies)使訪問者的隱私受到了威脅。 7．出賣、轉讓或泄漏網民個人資料，這些資料可能包括網民的通訊地址、電子信箱地址、電話號碼等私人信息。

25、8．單方面隨意或頻繁變更承諾過的交易條件，利用用戶的轉移成本盤剝用戶。例如，將原本免費提供給用戶的電子信箱更改為收費信箱，更改信箱容量的大小，改變交貨時間或者忽然讓用戶承擔貨物的運輸費用等。 9．通過惡意編碼違背他人意愿在他人的計算機上安裝程序或篡改他人計算機上的設置，這包括有意或無意地向網民傳播計算機病毒，也包括強行更改用戶瀏覽器的起始頁面瀏覽器圖標欄上公司信息。 10．侵犯知識產權。這主要包括著作權和專利權。主要表現(xiàn)為3種形式

26、：(1)網絡主體對網絡外社會中知識產權的侵犯；(2)網絡主體對網絡主體知識產權的侵犯；(3)社會對網絡主體知識產權的侵犯。 11．網上戀情、網上交友在年輕網民中十分流行和時髦?？墒窃谄渚W絡交往中攙雜了很多欺騙和隱瞞事實的行為，在其心理上造成了一定程度的傷害，甚至也給他們的學習和家庭造成了很大的負面影響。 12．利用網絡的虛擬性和網絡主</p><p>　　1.4 網絡安全技術的研究目的意義和背景</p&

27、gt;<p>　　目前計算機網絡面臨著很大的威脅，其構成的因素是多方面的。這種威脅將不斷給社會帶來了巨大的損失。網絡安全已被信息社會的各個領域所重視。隨著計算機網絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機構、企事業(yè)單位帶來了革命性的改革。但由于計算機網絡具有聯(lián)結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網上信息的安全和保密是一個至關重要

28、的問題。對于軍用的自動化指揮網絡、C3I系統(tǒng)、銀行和政府等傳輸敏感數(shù)據(jù)的計算機網絡系統(tǒng)而言，其網上信息的安全和保密尤為重要。因此，上述的網絡必須有足夠強的安全措施，否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性。故此，網絡的安全措施應是能全方位地針對各種不同的威脅和網絡的脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究

29、計算機網絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網絡安全的管理及其技術措施。</p><p>　　認真分析網絡面臨的威脅，我認為計算機網絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程，是一個安全管理和技術防范相結合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機網絡應用部門領導的重視，加強工作人員的責任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎上，再采用先進的技術和產品，構造全方位的防御機制

30、，使系統(tǒng)在理想的狀態(tài)下運行。</p><p>　　第二章 網絡安全初步分析</p><p>　　2.1 網絡面臨的安全威脅</p><p>　　計算機網絡上的通信面臨的威脅主要包括：</p><p>　　截獲，攻擊者從網絡上竊聽信息；</p><p>　　中斷, 攻擊者有意中斷網絡上的通信；</p>&

31、lt;p>　　篡改，攻擊者有意更改網絡上的通信；</p><p>　　偽造，攻擊者使假的信息在網絡上傳輸。</p><p>　　上述的四種威脅可以分為兩類：即被動攻擊和主動攻擊。其中截獲信息被稱為被動攻擊，攻擊者只是被動地觀察和分析信息，而不干擾信息流，一般用于對網絡上傳輸?shù)男畔热葸M行了解。中斷、篡改和偽造信息被稱為主動，主動攻擊對信息進行各種處理，如有選擇地更改、刪除或偽造等。被

32、動攻擊是不容易被檢測出來的，一般可以采取加密的方法，使得攻擊伏特計能識別網絡中所傳輸?shù)男畔ⅰτ谥鲃庸舫诉M行信息加密以外，還應該采取鑒別等措施。攻擊者主要是指黑客，除此之外還包括計算機病毒、蠕蟲、特洛伊木馬及邏輯炸彈等。</p><p>　　網絡不安全的原因是多方面的，主要包括：</p><p>　　(1) 來自外部的不安全因素，即網絡上存在的攻擊。在網絡上，存在著很多的敏感信息，有許

33、多信息都是一些有關國家政府、軍事、科學研究、經濟以及金融方面的信息，有些別有用心的人企圖通過網絡攻擊的手段截獲信息。</p><p>　　(2) 來自網絡系統(tǒng)本身的，如網絡中存在著硬盤、軟件、通信、操作系統(tǒng)或其他方面的缺陷與漏洞，給網絡攻擊者以可乘之機。這是黑客能夠實施攻擊的根本，也是一些網絡愛好者利用網絡存在的漏洞，編制攻擊程序的練習場所。</p><p>　　(3) 網絡應用安全管理方

34、面的原因，網絡管理者缺乏網絡安全的警惕性，忽視網絡安全，或對網絡安全技術缺乏了解，沒有制定切實可行的網絡策略和措施。</p><p>　　(4) 網絡安全協(xié)議的原因。在互聯(lián)網上使用的協(xié)議是TCP/IP，其IPV版在設計之初沒有考慮網絡安全問題，從協(xié)議的根本上缺乏安全的機制，這是互聯(lián)網存在的安全威脅的主要原因。</p><p>　　2.2 網絡安全常見問題</p><p&

35、gt;<b>　　防止惡意軟件</b></p><p>　　目標：保護軟件和信息的完整性。</p><p>　　(1) 應提醒用戶警覺未授權軟件或惡意軟件的危險；</p><p>　　(2) 并且管理員應適當?shù)匾胩厥獾目刂剖侄螜z測或防范這些軟件的侵襲；</p><p>　　(3) 安裝并定期更新抗病毒的檢測和修復

36、軟件；</p><p>　　(4) 定期檢查支持關鍵業(yè)務進程的系統(tǒng)的軟件和數(shù)據(jù)內容。</p><p>　　用戶口令管理（針對管理員）</p><p>　　目的：防止用戶口令泄露。</p><p><b>　　方法：</b></p><p>　　要求用戶在使用時更改初始口令；</p>

37、<p>　　用戶忘記口令時，必須在對該用戶進行適當?shù)纳矸葑R別后才能向其提供臨時口令；</p><p>　　應避免使用明文電子郵件傳送口令；</p><p>　　應該根據(jù)情況考慮使用雙因素認證。</p><p>　　第一個要素（所知道的內容）：需要使用使用者記憶的身份認證內容，例如密碼和身份號碼等。</p><p>　　第二個要素

38、（所擁有的物品）：使用者擁有擁有的特殊認證加強機制，例如動態(tài)密碼卡，IC卡，磁卡等。</p><p>　　第三個要素（所具備的特征）：使用者本身擁有的唯一牲，例如指紋、瞳孔、聲音等。</p><p>　　單獨來看，這三個要素中的任何一個都有問題?！八鶕碛械奈锲贰笨梢员槐I走；“所知道的內容”可以被猜出、被分享，復雜的內容可能會忘記；“所具備的特征”最為強大，但是代價昂貴且擁有者本身易受攻擊，

39、一般用在頂級安全需求中。把前兩種要素結合起來的身份認證的方法就是“雙因素認證”。</p><p>　　雙因素認證和利用自動機提款相似：使用者必須利用提款卡（認證設備），再輸入個人識別號碼（已知信息），才能提取其帳戶的款項。</p><p>　　用戶口令管理（針對用戶）</p><p>　　(1) 應避免在紙上記錄口令；</p><p>　　

40、(2) 只要有跡象表明系統(tǒng)或口令可能遭到破壞時，應立即更改口令；</p><p>　　(3) 最少要有六個字符；</p><p>　　(4) 口令必須便于記憶；</p><p>　　(5) 不應該使用別人通過個人輸相關信息；</p><p>　　(6) 不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母；</p>

41、<p>　　(7) 定期更改口令；</p><p>　　(8) 首次登錄時應更改臨時口令；</p><p>　　(9) 不共享個人用戶口令。</p><p>　　2.3 網絡安全的必要</p><p>　　隨著計算機技術的不斷發(fā)展，計算機網絡已經成為信息時代的重要特征，人們稱它為信息高速公路。網絡是計算機技術和通信技術的產

42、物，是應社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設自己的信息高速公路。我國近年來計算機網絡發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時間里，計算機網絡一定會得到極大的發(fā)展，那時將全面進入信息時代。正因為網絡應用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。</p><p>　　2.4 網絡的安全管理</p><p>　　面

43、對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統(tǒng)的安全保密設施外，還必須花大力氣加強網絡的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網絡安全所必須考慮的基本問題。</p><p>　　2.4.1 安全管理原則</p><p>　　網絡信息系統(tǒng)的安全管理主要基3 個原則：</p><p><b>　　① 多

44、人負責原則</b></p><p>　　每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作以得到保障。與安全有關的活動有：訪問控制使用證件的發(fā)放與回收；信息處理系統(tǒng)使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護；系統(tǒng)軟件的設計、實現(xiàn)和修改；重要程序和數(shù)據(jù)的刪除和銷毀等。</p><

45、p><b>　?、?任期有限原則</b></p><p>　　一般來講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期地循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。</p><p><b>　?、?職責分離原則</b></p&

46、gt;<p>　　除非經系統(tǒng)主管領導批準，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情。出與對安全的考慮，下面每組內的兩項信息處理工作應當分開：計算機操作與計算機編程；機密資料的接收與傳送；安全管理和系統(tǒng)管理；應用程序和系統(tǒng)程序的編制；訪問證件的管理與其他工作；計算機操作與信息處理系統(tǒng)使用媒介的保管等。</p><p>　　2.4.2 安全管理的實現(xiàn)</p>

47、<p>　　信息系統(tǒng)的安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應的管理制度或采用相應的規(guī)范。具體工作是：</p><p>　　① 根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。</p><p>　　② 根據(jù)確定的安全等級，確定安全管理范圍。</p><p>　?、?制訂相應的機房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限

48、制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記管理。</p><p>　　2.5 采用先進的技術和產品</p><p>　　要保證計算機網絡系統(tǒng)的安全性，還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。</p><p><b>　　防火墻技術</b>&l

49、t;/p><p>　　為保證網絡安全，防止外部網對內部網的非法入侵，在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設定哪些內部服務可已被外界訪問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。它可監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，確認其來源及去處，檢查數(shù)據(jù)的格式及內容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應用層網關、數(shù)據(jù)包過濾、代理服務器等

50、幾大類型。一個防火墻策略要符合四個目標，而每個目標通常都不是通過一個單獨的設備或軟件來實現(xiàn)的。大多數(shù)情況下的防火墻的組件放在一起使用以滿足公司安全目的的需要。防火墻要能確保滿足以下三個目標實現(xiàn)一個公司的安全策略。例如，也許你的安全策略只需對MAIL服務器的SMTP流量作些限制，那么你要直接在防火墻強制這些策略。</p><p>　　(1)創(chuàng)建一個阻塞點</p><p>　　防火墻在一個公司

51、私有網絡和公網間建立一個檢查點并要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設備就可以監(jiān)視，過濾各檢查所 進來和出去的流量。網絡安全產業(yè)稱這些檢查點為阻塞點。通過強制所有進出流量都通過這些檢查點，網絡管理員可以集中在較少的地方來實現(xiàn)安全目的。如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。檢查點的另一個名字叫做網絡邊界。</p><p>　　(2) 記錄IN

52、TERNET 活動</p><p>　　防火墻還能夠強制日志記錄，并且提供警報功能。通過在防火墻上實現(xiàn)日志服務，安全管理員可以監(jiān)視所有從外部網或互聯(lián)網的訪問。好的日志策略是實現(xiàn)適當網絡安全的有效工具之一。防火墻對于管理員進行日志存檔提供了更多的信息。</p><p><b>　　(3)限制網絡暴露</b></p><p>　　防火墻在你的網絡

53、周圍創(chuàng)建了一個保護的邊界。并且對于公網隱藏了你內部系統(tǒng)的一些信息以增加保密性。當遠程節(jié)點偵測到你的網絡時，他們僅僅能看到防火墻。遠程設備將不會知道你內部網絡的布局以及都有些什么。防火墻提高認證功能和對網絡加密來限制網絡信息的暴露。通過對所能進來的流量時行源檢查，以限制從外部發(fā)動的攻擊。</p><p><b>　　數(shù)據(jù)加密技術</b></p><p>　　與防火墻配合

54、使用的安全技術還有數(shù)據(jù)加密技術，是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術手段之一。隨著信息技術的發(fā)展，網絡安全與信息保密日益引起人們的關注。它是一門古老而深奧的學科，對一般人來說是非常陌生的。長期以來，只在很小的范圍內使用，如軍事、外交、情報等部門。計算機密碼學是研究計算機信息加密、解密及其變換的科學，是數(shù)學和計算機的交叉學科，也是一門新興的學科。</p><p>　　隨著計

55、算機網絡和計算機通訊技術的發(fā)展，計算機密碼學得到前所未有的重視并迅速普及和發(fā)展起來。在國外，它已成為計算機安全主要的研究方向。</p><p>　　密碼學的歷史比較悠久，在四千年前，古埃及人就開始使用密碼來保密傳遞消息。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外，從技術上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術和物理防范技術的不斷發(fā)展。按作用不同, 數(shù)據(jù)加密技術主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整

56、性的鑒別以及密鑰管理技術四種。</p><p><b>　　認證技術</b></p><p>　　認證技術是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程，即認證建立信息的發(fā)送者或接收者的身份。認證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證

57、信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有：消息認證、身份認證、數(shù)字簽名。</p><p><b>　　計算機病毒的防范</b></p><p>　　首先要加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件：</p><p>　?、?、較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有４

58、萬多種，在各種操作系統(tǒng)中包括Windows、 UNIX和Netware系統(tǒng)都有大量能夠造成危害的計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查毒、殺毒范圍廣、能力強的特點。</p><p>　?、?、完善的升級服務。與其它軟件相比，防病毒軟件更需要不斷地更新升級，以查殺層出不窮的計算機病毒。</p><p>　　2.6 常用的網絡攻擊及防范對策</p>

59、<p>　　2.6.1 特洛伊木馬</p><p>　　特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個部分，即實現(xiàn)攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力，在網絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，

60、它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對計算機的危害極大，通過特洛伊木馬，網絡攻擊者可以讀寫未經授權的文件，甚至可以獲得對被攻擊的計算機的控制權。 </p><p>　　防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網絡掃描軟件定期

61、監(jiān)視內部主機上的監(jiān)聽TCP服務。</p><p>　　2.6.2 郵件炸彈</p><p>　　郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計算機的正常工作。此種攻擊經常出現(xiàn)在網絡黑客通過計算機網絡對某一目標的報復活動中。</p>

62、<p>　　防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息，也可使自己的SMTP連接只能達成指定的服務器，從而免受外界郵件的侵襲。</p><p>　　2.6.3 過載攻擊</p><p>　　載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求

63、。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊，它是通過大量地進行人為地增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。防止過載攻擊的方法有：限制單個用戶所擁有的最大進程數(shù)；殺死一些耗時的進程。然而，不幸的是這兩種方法都存在一定的負面效應。通過對單個用戶所擁有的最大進程數(shù)的限制和耗時進程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應，從而出現(xiàn)類似拒絕服務的現(xiàn)象。通常，管理員可以使用網絡監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通

64、過主機列表和網絡地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網絡外部還是網絡內部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。</p><p>　　2.6.4 淹沒攻擊</p><p>　　常情況下，TCP連接建立要經歷3次握手的過程，即客戶機向主機發(fā)送SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發(fā)

65、送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時主機的IP不存在或當時沒有被使用所以無法向主機發(fā)送RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷地向被攻擊的主機發(fā)送SYN請求，被攻擊主機就會一直處于等待狀態(tài)

66、，從而無法響應其他用戶的請求。</p><p>　　對付淹沒攻擊的最好方法是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)，當連接數(shù)超過某一給定的數(shù)值時，實時關閉這些連接。</p><p>　　第三章 網絡拓撲結構的安全設計</p><p>　　3.1網絡拓撲結構分析</p><p>　　網絡的拓撲結構首先應因地制宜，根據(jù)組網單位的實

67、際情況按照單位的各部門安全性要求劃分，盡量使同一安全級別的上網計算機處于同一網段的安全控制域中。局域網中的拓撲結構主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問/沖突檢測（Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的IEEE802.3規(guī)范,利用這一方法建成的網絡,我們稱之為以太網,在以太網的通信方式中,每一個工作站都可以

68、讀取電纜上傳輸?shù)乃袛?shù)據(jù),將以太網卡(支持IEEE802.3規(guī)范的網卡)設置為混雜模式,網卡便會將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū),以供系統(tǒng)和程序調用.但是入侵者還是可能通過割開網線,非法接入等手段來偵聽網絡,截獲數(shù)據(jù),根據(jù)線路中的數(shù)據(jù)流量找到網絡的信息中心,因此布線要杜絕經過不可靠的區(qū)域,以防止非法接入,在各網段的控制器上設置網段內所有主機的介質訪問控制器(MAC)地址,該地址為6個字節(jié),是用來區(qū)分網絡設備的唯一標志.此外,對于每一個

69、接入網絡中的計算機都必須先登記后連線接入,網段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的MA</p><p>　　網絡分段 網絡分段通常被認為是控制網絡廣播風暴的一種基本手段,實際上也是保證網絡安全的一項重要措施.其目的是將非法用戶與敏感的網絡資源相互隔離,從而防上可能的非法偵聽.</p><p>　　以交換式集線器代替共享式集線器 對局域網的中心計算機進行分段后,以太網的偵聽的危險仍然存在.這是因為網

70、絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器.這樣,當用戶與主機進行數(shù)據(jù)通信時,兩臺機器之間的數(shù)據(jù)包(稱為單播包Nicest Packet)還是會被同一臺集線器上的其他用戶所偵聽.因此應該以交換式集線器代替共享式集線器,使單播包公在兩個節(jié)點之間傳送,從而防止非法偵聽。</p><p>　　VLAN(虛擬局域網)的劃分 為了克服以太網的廣播問題,除上述方法外,還

71、可以運用VLAN技術,將以太網通信變?yōu)辄c到點通信,以防止大部分基于網絡偵聽的入侵。</p><p>　　基于以上拓撲結構的連接方式,用電纜和集線器連接而成的網絡始終是同一網段, 在網上傳播的數(shù)據(jù)可以被所有的連接設備接收,為了防止網絡的入侵嗅探,可以把網絡分段,隔離網絡通信合用橋接器,交換器,路由器,應用網關都可以實現(xiàn)各網段的通信隔離,同時將多個局域網進行互聯(lián),拓展網絡形成廣域網,還可將本地局域網與因特網連接從而成

72、為全球最大的廣域網．但對于網絡拓撲結構的安全技術是加強對外界的攻擊的防范和應策.</p><p>　　3.2 網絡攻擊淺析</p><p>　　攻擊是指非授權行為。攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網絡上成功實施的攻擊級別以來于擁護采取的安全措施。</p><p>　　在此先分析眼下比較流行的攻擊Dodos分布式拒絕服務攻擊：Do

73、es是Denial of Service的簡稱，即拒絕服務，造成Does的攻擊行為被稱為Does攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的Does攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。而分布式拒絕服務(DDo

74、S:Distributed Denial of Service)攻擊是借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在Internet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百

75、上千次代理程序的運行。而且現(xiàn)在沒有有限的方法來避免這樣的攻</p><p>　　因為此攻擊基于TCP/IP協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？</p><p>　　確保所有服務器采用最新系統(tǒng)，并打上安全補丁。計算機緊急響應協(xié)調中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。 </p><p>　　確保管理員對所有主

76、機進行檢查，而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？誰在使用主機？哪些人可以訪問主機？不然，即使黑客侵犯了系統(tǒng)，也很難查明。 </p><p>　　確保從服務器相應的目錄或文件數(shù)據(jù)庫中刪除未使用的服務如FTP或NFS。Wu-Ftpd等守護程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權系統(tǒng)的權限，并能訪問其他系統(tǒng)——甚至是受防火墻保護的系統(tǒng)。 </p><p&

77、gt;　　確保運行在Unix上的所有服務都有TCP封裝程序，限制對主機的訪問權限。 </p><p>　　禁止內部網通過Modem連接至PSTN系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護的主機，即刻就能訪問極為機密的數(shù)據(jù)。 </p><p>　　禁止使用網絡訪問程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳送口令，而

78、Telnet和Rlogin則正好相反，黑客能搜尋到這些口令，從而立即訪問網絡上的重要服務器。此外，在Unix上應該將.rhost和hosts.equiv文件刪除，因為不用猜口令，這些文件就會提供登錄訪問！ </p><p>　　限制在防火墻外與網絡文件共享。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓。 </p><p>　　確保手頭有一張最新的網絡拓撲圖

79、。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網絡設備，還應該包括網絡邊界、非軍事區(qū)（DMZ）及網絡的內部保密部分。 </p><p>　　在防火墻上運行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當造成的，使DoS/DDoS攻擊成功率很高，所以定要認真檢查特權端口和非特權端口。 </p><p>　　檢查所有網絡設備和主機/服務器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時間出

80、現(xiàn)變更，幾乎可以肯定：相關的主機安全受到了威脅。</p><p>　　第四章 防火墻技術</p><p>　　4.1防火墻的定義和由來</p><p>　　網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯(lián)設備。它對兩個或多個網絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的

81、安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。</p><p>　　目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。</p><p>　　雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅，

82、也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅動型的攻擊。</p><p>　　自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術得到了飛速的發(fā)展。國內外已有數(shù)十家公司推出了功能各不相同的防火墻產品系列。</p><p>　　防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。在這一層上,企業(yè)對安全

83、系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內部網絡系統(tǒng)?如果答案是“是”,則說明企業(yè)內部網還沒有在網絡層采取相應的防范措施。</p><p>　　作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發(fā)展和網絡應用的不斷變化,現(xiàn)代防火墻技術已經逐步走向網絡層之外的其他安全層次,不

84、僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。</p><p>　　4.2 防火墻的選擇</p><p>　　總擁有成本防火墻產品作為網絡系統(tǒng)的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統(tǒng)可能遭受最大損失的成本。以一個非關鍵部門的網絡系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應

85、用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統(tǒng)的建設總成本,關鍵部門則應另當別論選擇防火墻的標準有很多,但最重要的是以下兩條:。 </p><p>　　(1) 防火墻本身是安全的 </p><p>　　作為信息系統(tǒng)安全產品,防火墻本身也

86、應該保證安全,不給外部侵入者以可乘之機。如果像馬其諾防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統(tǒng)內部,網絡系統(tǒng)也就沒有任何安全性可言了。 </p><p>　　通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火

87、墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。</p><p>　　(2) 可擴充性 </p><p>　　在網絡系統(tǒng)建設的初期,由于內部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻

88、產品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大了產品覆蓋面。</p><p><b>　　4.3 防密技術</b></p><p>　　信息交換

89、加密技術分為兩類：即對稱加密和非對稱加密。 </p><p>　　4.3.1 對稱加密技術</p><p>　　在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對

90、象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES（數(shù)據(jù)加密標準）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。 </p><p>　　4.3.2 非對稱加密/公開密鑰加密</p><p>　　在非對稱加密體系中，密鑰被分解為一對（即公開

91、密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數(shù)字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數(shù)學難題之上，是計算機復雜性理論發(fā)展的必

92、然結果。最具有代表性是RSA公鑰密碼體制。</p><p>　　4.3.3 RSA算法</p><p>　　RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。RSA算法的描述如下：</p><p&g

93、t;　　公開密鑰：n=pq(p、q分別為兩個互異的大素數(shù)，p、q必須保密) </p><p>　　e與（p-1）(q-1)互素 </p><p>　　私有密鑰：d=e-1 {mod(p-1)(q-1)} </p><p>　　加密：c=me(mod n),其中m為明文，c為密文。 </p><p>　　解密：m=cd(mod n) </

94、p><p>　　利用目前已經掌握的知識和理論，分解2048bit的大整數(shù)已經超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。</p><p>　　4.4注冊與認證管理</p><p><b>　　認證機構</b></p><p>　　CA（Certification Authorty）就是這樣一個確保信

95、任度的權威實體，它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網絡用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅與密碼學有關系，而且與整個PKI系統(tǒng)的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標準，能夠很好地和其他廠家的CA產品兼容

96、。</p><p><b>　　注冊機構</b></p><p>　　RA（Registration Authority）是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設計和實現(xiàn)網絡化、安全的且易于操作的RA系統(tǒng)。 </p><p>

97、<b>　　密鑰備份和恢復</b></p><p>　　為了保證數(shù)據(jù)的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。</p><p><b>　　證書管理與撤消系統(tǒng)</b></p><p>　　

98、證書是用來證明證書持有者身份的電子介質，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的發(fā)布機制撤消證書或采用在線查詢機制，隨時查詢被撤消的證書。</p><p>　　第五章 解決網絡倫理道德問題的

99、有效途徑</p><p>　　遏制網絡中不道德行為的方案有很多，可以從技術方面、法律方面、教育方面、網絡管理和自律方面來建立有效的解決途徑。 5.1 在技術方面</p><p>　　加強網絡技術監(jiān)控和網絡場所的管理。盡快研制出低成本、易普及的網絡技術監(jiān)控系統(tǒng)，通過這種系統(tǒng)及時發(fā)現(xiàn)、制止和清除不規(guī)范、不道德的網絡行為。同時還要加強對網絡場所的管理，尤其是要加強對商業(yè)性服務的網絡管理?？梢圆?/p>

100、取以下幾方面的措施：</p><p>　　5.1.1設置網絡警察</p><p>　　對網絡犯罪行為進行及時的監(jiān)控和跟蹤，盡可能對正在實施的犯罪行為進行制止，使破壞和損失降至最低。而對已成事實的網絡犯罪行為主體進行追捕并追究其應負的法律責任。</p><p>　　5.1.2軟件自身的安全</p><p>　　對于進行網絡安全監(jiān)控的軟件，其自身

101、的安全也是很重要的方面。提高網絡監(jiān)控軟件的安全性能，是網絡安全的基礎，可以更加有效地發(fā)揮其監(jiān)控職能。</p><p>　　5.1.3編制破解惡意程序的軟件</p><p>　　對于已經造成破壞和損失的網絡不道德行為，通過編制的破解軟件對不道德行為進行終止，避免造成更大的損失。對已造成的損失進行最大程度的恢復。 </p><p><b>　　5.2 在法律方

102、面</b></p><p>　　法律的出臺往往滯后于互聯(lián)網技術的發(fā)展，法律出現(xiàn)真空，才會有了一系列的網絡倫理道德問題。因此，要出臺相關的法律法規(guī)來約束不道德行為，完善相應的法律體系是當務之急。網絡法制建設要遵循網絡立法原則：繼承性原則；尊重性原則；前瞻性原則；接近性原則；有利性原則；兼顧型原則；國家性原則；國際性原則。主要的措施有： </p><p>　　(1)建立網絡行為道德

103、標準和法律規(guī)定，規(guī)范人們的網絡行為。 (2)組建網絡管理組織，提高網絡執(zhí)法隊伍的管理、執(zhí)法水平。電子信息網絡將在人們的社會生活中扮演越來越重要的角色，電子空間的有序性和道德水平將直接關系到整個社會的穩(wěn)定和文明程度。因此，組建精干的網絡管理組織，提高網絡執(zhí)法隊伍的管理、執(zhí)法水平是非常必要的。 (3)加強國際合作。為維護網絡安全，可建立國際性的反黑客組織，抵御和消滅電腦黑客行動。網際網絡是國際性的網絡，是“電子聯(lián)合國”、“電子地球村”，

104、管理好、用好它是各國共同的責任。 (4)繼續(xù)加強網絡法律的研究，完善網絡行業(yè)法規(guī)制度。 　 </p><p><b>　　5.3在教育方面</b></p><p>　　(1) 培養(yǎng)網民的網絡道德自律意識，堅持遵守網絡道德的基本原則，即無害原則、平等原則、尊重原則、公正原則、參與原則、允許原則、創(chuàng)新原則、可持續(xù)發(fā)展原則、自組織和他組織相統(tǒng)一的原則。 (2) 必須

105、引導網民對各種信息采取辯證的揚棄態(tài)度。雖說網絡無國界、無民族、無階級，但網民則是有國籍，有民族性，隸屬于一定階級和社會中的，因而他們的網絡行為就不應該是中性的、可以任意妄為的。 (3) 強化網民的網絡整體觀念和群體意識。盡管網民在網絡終端始終是一個人，但他在網上的行為卻是一種社會行為而不是個人行為，因此，他必須對自己在網上的言行負責。</p><p>　　5.4在網絡管理方面</p><p

106、>　　(1) 組建網絡行業(yè)協(xié)會。由行業(yè)內最有影響力、最有號召力的企業(yè)帶頭組建網絡行業(yè)協(xié)會，協(xié)會會員單位的義務和權利通過協(xié)會章程明確的加以規(guī)定，章程的義務條款中明確規(guī)定協(xié)會成員不允許出現(xiàn)不道德的網絡行為，協(xié)會受理網絡消費者投訴，一旦發(fā)現(xiàn)成員單位有違反規(guī)定的不道德的網絡行為，則立即將其開除出會，這樣該協(xié)會確立的行業(yè)行為規(guī)范就會在行業(yè)中樹起一面旗幟，協(xié)會也會因此成為網絡倫理中不道德行為斗爭的堡壘。 　　(2) 加強各個網站管理者的

107、責任意識。各個網站的管理者有責任維護好其管轄網站的網絡環(huán)境，對不道德的網絡行為及時的發(fā)現(xiàn)并進行清理，以維護網絡環(huán)境的健康向上。 </p><p><b>　　5.5在自律方面</b></p><p>　　網絡倫理道德的自律主要從三方面著手：樹立網民的道德意識；建立網絡道德規(guī)章制度；嚴格實施道德規(guī)章制度。 　　在自律的同時加以有效的輿論監(jiān)督和行業(yè)協(xié)會的管理則會更有效的

108、整頓網絡倫理道德問題。 　　在以上五種有效的解決途徑中，自律是最為重要也是最有效的措施。首先，技術是短期內無法立刻實現(xiàn)的，受到時間和技術水平的限制；法律應用于具有虛擬性的網絡環(huán)境中，也就使得網絡的法律主體難以確定，對于觸犯法律的網民所應承擔的法律責任程度難以明確；教育只具有單方面的主動性，還存在一個網民是否愿意接受的問題。因此，通過網民的自律來維護網絡環(huán)境是最重要，也是最根本的解決途徑，以達到自組織和他組織的統(tǒng)一。 　　網絡倫理道德