电子期刊第四十九期

在网站邮箱阅读邮件时,邮件都显示为乱码,该如何解决?
 
  答:如果您是登陆邮件系统网站,进入邮箱后接收邮件出现乱码,请您察看一下浏览器的编码方式。由于邮件系统在界面设计中采用了框架结构,请您在显示邮件正文的框架中,点击鼠标右键,将“编码方式”调整为“简体中文”,然后再接收邮件,察看邮件内容是否还是乱码。请不要仅修改浏览器的编码方式。

更多问题

十招应对邮件欺诈
 
  当前垃圾邮件和伴随而来的邮件欺诈问题愈演愈烈,此类安全风险的主要威胁在于用户处理邮件安全问题的经验不足,事实上针对此类威胁需要展开有针对性的防御手段加以防护。在此环境下,企业用户和个人需要了解这些几乎不可见,但具有杀伤力的威胁并做好防护工作。从实际的经验看,用户如果希望能够避免与垃圾邮件和其他网络威胁相关的风险,至少要做到十点。

一、采用身份盗窃保护。

二、不要使用主邮件地址。

三、使用临时或一次性信用卡。

四、不要打开垃圾邮件。

五、不要回应未知的可疑邮件。

六、不要点击垃圾邮件中的链接。

七、不要购买垃圾邮件中推销的产品。

八、不要相信你读到的每一件事情。

九、确保ISP或公司拥有垃圾邮件、病毒和间谍软件保护。


十、利用常识判断处理。


  技术追踪
  · 如何进行电子邮件管理
  · 加密技术概念及加密方法
 

  如何进行电子邮件管理
   
 

  现在,如果没有电子邮件系统,很少有企业能够生存,而且大部分企业必须每天处理数万,甚至数十万的消息,使得存储管理者和它们的首席信息官都把电子邮件作为头等大事来看。

  但是,要理顺所有这些信息也是说起来容易做起来难。例如,虽然电子邮件容量在不断增长,但是用户对电子邮件所需要做的事情也越来越多,从法律纠纷情况下的电子取证,到归档和管理数月或甚至数年的电子邮件。更糟糕的是,一些厂商的做法实际上使得这种已经复杂的情况变得更加难以理解。

  看清厂商的高谈阔论

  在电子邮件归档和管理(EAM即E-mail Archiving & Management)的内涵上,人们实际上没有取得一致,而且围绕EAM的各种定义实际上也不能为技术购买者帮上多少忙。但是,即使在最基本的层面上,也不是所有的EAM系统都做同样的事情。

  一些厂商的产品专注于将电子邮件从电子邮件服务器上移除

  一些厂商的产品专注于过滤和删除垃圾邮件或没有用处的邮件

  一些厂商的产品集中于构建及维持电子邮件环境的副本,以便在所有其他地方发生故障时能够备份还原电子邮件系统

  EAM当然范畴很广。但是无论采用哪种方式,几乎所有的EAM系统都提供几种基本的功能。这些核心功能横跨了电子邮件管理的如下方面:

  在长时期内管理电子邮件—但不是在电子邮件服务器上

  搜索和获取电子邮件,无论其时间和状态如何

  对于包含重要商业信息的电子邮件,确认并执行保留政策

  对电子邮件进行设置,以便企业在面临法律问题的时候能够确保其遵循法规

  在归档和/或最终处置之前的生命周期内对电子邮件给予说明

  弄清你的选择

  在过去的两年中,大型厂商,比如微软、Symantec、Google、惠普和戴尔,已经通过收购的方式进入了EAM市场。它们把那些同时提供托管型的和内部部署(on-premise)型解决方案的离散的小型厂商联合起来。EAM之所以吸引这些大型厂商是因为它们认识到:

  Exchange和Notes环境—还有不要忘记Novell GroupWise—从容量上来说,正在达到临界点

  很少有企业试图管理这些日益增长的数据,而且当它们开始做的时候,它们往往做得很差

  这种公司的问题代表了这些厂商的未来潜在收入机会。但是很讽刺的是,微软、IBM和Google等公司的产品创造了这些大量的不受管理的电子邮件,现在它们又要给我们销售更多的产品来处理它们所造成的问题?

  当然,这些通信管理服务很可能给这些厂商带来不断的收入,因为在可预期的未来内我们对通信方式的依赖还将继续。总而言之,这些厂商发现EAM市场非常有吸引力。因此,它们不断发表各种声明,并且在未来几年内将继续对它们的产品进行大量投资。

  确认你的选择

  归档、备份、监视、发现以及策略管理仍然代表着各种不同的解决方案集,每个都有各自不同的业务和技术驱动。即使技术因素相类似甚至一样,每个用户的需求和动机还是有很大不同。

  EAM的范畴很广,涉及企业内的多个领域,包括技术部门和业务部门。对于管理者们来说,应用这些技术有几个常见的理由:

  准备好应付法律保留和法律取证的要求

  在信息管理上满足法律或规章制度的要求

  提高电子邮件环境(Exchange,Notes或GroupWise)的性能

  减少电子邮件服务器上的数据数量,并且避免增加购买更多许可证的需要

  为电子邮件系统提供备份或灾难恢复

  更好的管理存储成本和需求

  市场上总能找到应用EAM技术的新理由。例如,法规遵循就是一个相对新的理由。过去,销售和购买流程关注的是系统管理和存储要求。现在,大部分企业都转向EAM来减少成本并控制信息负荷。确实,由于信息(特别是电子邮件和消息)的增长速度超过了大部分企业所能管理的程度,EAM项目已经成为企业业务的一项成本。企业们需要的就是对这种信息负荷进行管理。

  处理复杂性

  
从更高层次来讲,使用EAM技术有两种主要方式:

  作为消息架构和存储活动的一部分

  作为一个关键的法规遵循及法律业务应用程序

  这两种方式都可能很复杂,而且在一些情况下,可能要根据行业不同而有所差别。例如,律师事务所在使用EAM技术上就和制造企业有很大不同。此外,单个企业也都有自己独特的需求。但是,我们在EAM工具的采用上可以看到有确定的模式。我们将这些模式叫做“业务情境”,例如,使用EAM技术来解决非常专门的业务问题。

  大部分部署EAM的企业是为了满足单个或专门的需求,而不是去满足需求或完全利用EAM产品的功能。在一些情况下,企业之所以部署EAM仅仅是为了给Exchange环境提供一个备份;其他有的利用EAM来规范或监视组织内某个子单位的消息。

  因此,EAM厂商们已经开发了许多不同的方法来满足这些不同的需求。例如,Google/Postin的模块集专注于安全性以及电子邮件过滤以便删除那些垃圾邮件和不合规的邮件。CA提供了先进的电子邮件记录管理以及合规应用程序。Autonomy Zantaz专注于电子取证需求。Mimosa和惠普为电子邮件系统提供有效的备份和恢复。

  虽然如今大部分企业部署EAM相关应用是为了针对某个特定的需求或活动,但是所有这些系统都提供了核心功能以外的更广泛的功能。一些系统横跨多个行业,并且提供更加通用的EAM方法—“水平式”。其他的有的则专注于特定的垂直行业,例如金融服务。这些产品许多都有共同点,这是因为它们需要满足日益复杂的要求。

  结论

  
为了生存,如今大部分企业都依赖于它们系统上有效运行的高容量电子邮件。实际上,所有企业都要求消息机制成为底层IT架构的一部分。许多决策制订者们将微软Exchange这样的系统描述成运营中最重要的通信及业务应用程序。

  但是,EAM厂商还是倾向于关注这些业务问题的一部分,而不是提供真正全方位的产品。这里有七个常见的情境可以用来考察厂商的产品:

  电子邮件备份及灾难恢复

  消息系统优化

  存储优化

  法规遵循

  诉讼和法律取证

  监视内部及外部电子邮件内容

  构建一个公司归档

  这些情境,无论它们是架构导向还是应用导向的,都需要专门的工具、方法以及专业技能的组合。无论是显性的还是隐性的,EAM工具都有特定的核心能力,但是厂商们还是愿意吸引尽可能大的市场。观察这些不同的软件包是如何符合这些业务情境将使你更加深入地了解它们在你的特定环境下的相对优势以及相对弱点。

 

  加密技术概念及加密方法
   
 

  随着网络技术的发展,网络安全也就成为当今网络社会的焦点中的焦点,几乎没有人不在谈论网络上的安全问题,病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变,无所适从。

  但我们必需清楚地认识到,这一切一切的安全问题我们不可一下全部找到解决方案,况且有的是根本无法找到彻底的解决方案,如病毒程序,因为任何反病毒程序都只能在新病毒发现之后才能开发出来,目前还没有哪能一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒,所以我们不能有等网络安全了再上网的念头,因为或许网络不能有这么一日,就象“矛”与“盾”,网络与病毒、黑客永远是一对共存体。

  现代的电脑加密技术就是适应了网络安全的需要而应运产生的,它为我们进行一般的电子商务活动提供了安全保障,如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。其实加密技术也不是什么新生事物,只不过应用在当今电子商务、电脑网络中还是近几年的历史。

  一、加密的由来

  加密作为保障数据安全的一种方式,它不是现在才有的,它产生的历史相当久远,它是起源于要追溯于公元前2000年,虽然它不是现在我们所讲的加密技术(甚至不叫加密),但作为一种加密的概念,确实早在几个世纪前就诞生了。当时埃及人是最先使用特别的象形文字作为信息编码的,随着时间推移,巴比伦、美索不达米亚和希腊文明都开始使用一些方法来保护他们的书面信息。

  近期加密技术主要应用于军事领域,如美国独立战争、美国内战和两次世界大战。最广为人知的编码机器是German Enigma机,在第二次世界大战中德国人利用它创建了加密信息。此后,由于Alan Turing和Ultra计划以及其他人的努力,终于对德国人的密码进行了破解。当初,计算机的研究就是为了破解德国人的密码,人们并没有想到计算机给今天带来的信息革命。随着计算机的发展,运算能力的增强,过去的密码都变得十分简单了,于是人们又不断地研究出了新的数据加密方式,如利用 ROSA 算法产生的私钥和公钥就是在这个基础上产生的。

  二、加密的概念

  数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。

  该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。

  三、加密的理由

  当今网络社会选择加密已是我们别无选择,其一是我们知道在互联网上进行文件传输、电子邮件商务往来存在许多不安全因素,特别是对于一些大公司和一些机密文件在网络上传输。而且这种不安全性是互联网存在基础—TCP/IP协议所固有的,包括一些基于TCP/IP的服务;另一方面,互联网给商家带来了无限的商机,互联网把全世界连在了一起,走向互联网就意味着走向了世界,这对于无数商家无疑是梦寐以求的好事,特别是对于中小企业。为了解决这一对矛盾、为了能在安全的基础上大开这通向世界之门,我们只好选择了数据加密和基于加密技术的数字签名。

  加密在网络上的作用就是防止有用或私有化的信息在网络上被拦截和窃取。一个简单的例子就是密码的传输,计算机密码极为重要,许多安全防护体系是基于密码的,密码的泄露在某种意义上来讲意味着其安全体系的全面崩溃。

  通过网络进行登录时,所键入的密码以明文的形式被传输到服务器,而网络上的窃听是一件极为容易的事情,所以很有可能黑客会窃取得用户的密码,如果用户是Root用户或Administrator用户,那后果将是极为严重的。

  还有如果公司在进行着某个招标项目的投标工作,工作人员通过电子邮件的方式把他们单位的标书发给招标单位,如果此时有另一位竞争对手从网络上窃取到公司的标书,从中知道公司投标的标的,那后果相信不用多说也明白。

  这样的例子实在是太多了,解决上述难题的方案就是加密,加密后的口令即使被黑客获得也是不可读的,加密后的标书没有收件人的私钥也就无法解开,标书成为一大堆无任何实际意义的乱码。总之无论是单位还是个人在某种意义上来说加密也成为当今网络社会进行文件或邮件安全传输的时代象征!

  数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。应用最多的还是电子邮件,如当用户收到一封电子邮件时,邮件上面标有发信人的姓名和信箱地址,很多人可能会简单地认为发信人就是信上说明的那个人,但实际上伪造一封电子邮件对于一个通常人来说是极为容易的事。在这种情况下,就要用到加密技术基础上的数字签名,用它来确认发信人身份的真实性。

  类似数字签名技术的还有一种身份认证技术,有些站点提供入站FTP和WWW服务,当然用户通常接触的这类服务是匿名服务,用户的权力要受到限制,但也有的这类服务不是匿名的,如某公司为了信息交流提供用户的合作伙伴非匿名的FTP服务,或开发小组把他们的Web网页上载到用户的WWW服务器上,现在的问题就是,用户如何确定正在访问用户的服务器的人就是用户认为的那个人,身份认证技术就是一个好的解决方案。

  在这里需要强调一点的就是,文件加密其实不只用于电子邮件或网络上的文件传输,其实也可应用静态的文件保护,如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密,以防他人窃取其中的信息。

  四、两种加密方法

  加密技术通常分为两大类:“对称式”和“非对称式”。

  对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key”,这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bits。

  非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。这里的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人一个人知道。它的优越性就在这里,因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方,不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥,且其中的“公钥”是可以公开的,也就不怕别人知道,收件人解密时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题。

  五、密钥的管理

  密钥既然要求保密,这就涉及到密钥的管理问题,管理不好,密钥同样可能被无意识地泄露,并不是有了密钥就高枕无忧,任何保密也只是相对的,是有时效的。要管理好密钥我们还要注意以下几个方面:

  1、密钥的使用要注意时效和次数

  如果用户可以一次又一次地使用同样密钥与别人交换信息,那么密钥也同其它任何密码一样存在着一定的安全性,虽然说用户的私钥是不对外公开的,但是也很难保证私钥长期的保密性,很难保证长期不被泄露。如果某人偶然地知道了用户的密钥,那么用户曾经和另一个人交换的每一条消息都不再是保密的了。另外使用一个特定密钥加密的信息越多,提供给窃听者的材料也就越多,从某种意义上来讲也就越不安全了。

  因此,一般强调仅将一个对话密钥用于一条信息中或一次对话中,或者建立一种按时更换密钥的机制以减小密钥暴露的可能性。

  2、多密钥的管理

  假设在某机构中有100个人,如果他们任意两人之间可以进行秘密对话,那么总共需要多少密钥呢?每个人需要知道多少密钥呢?也许很容易得出答案,如果任何两个人之间要不同的密钥,则总共需要4950个密钥,而且每个人应记住99个密钥。如果机构的人数是1000、10000人或更多,这种办法就显然过于愚蠢了,管理密钥将是一件可怕的事情。

  Kerberos提供了一种解决这个较好方案,它是由MIT发明的,使保密密钥的管理和分发变得十分容易,但这种方法本身还存在一定的缺点。为能在因特网上提供一个实用的解决方案,Kerberos建立了一个安全的、可信任的密钥分发中心(Key Distribution Center,KDC),每个用户只要知道一个和KDC进行会话的密钥就可以了,而不需要知道成百上千个不同的密钥。

  假设用户甲想要和用户乙进行秘密通信,则用户甲先和KDC通信,用只有用户甲和KDC知道的密钥来加密。用户甲告诉KDC他想和用户乙进行通信,KDC会为用户甲和用户乙之间的会话随机选择一个对话密钥,并生成一个标签,这个标签由KDC和用户乙之间的密钥进行加密,并在用户甲启动和用户乙对话时,用户甲会把这个标签交给用户乙。这个标签的作用是让用户甲确信和他交谈的是用户乙,而不是冒充者。因为这个标签是由只有用户乙和KDC知道的密钥进行加密的,所以即使冒充者得到用户甲发出的标签也不可能进行解密,只有用户乙收到后才能够进行解密,从而确定了与用户甲对话的人就是用户乙。

  当KDC生成标签和随机会话密码,就会把它们用只有用户甲和KDC知道的密钥进行加密,然后把标签和会话钥传给用户甲,加密的结果可以确保只有用户甲能得到这个信息,只有用户甲能利用这个会话密钥和用户乙进行通话。同理,KDC会把会话密码用只有KDC和用户乙知道的密钥加密,并把会话密钥给用户乙。

  用户甲会启动一个和用户乙的会话,并用得到的会话密钥加密自己和用户乙的会话,还要把KDC传给它的标签传给用户乙以确定用户乙的身份,然后用户甲和用户乙之间就可以用会话密钥进行安全的会话了,而且为了保证安全,这个会话密钥是一次性的,这样黑客就更难进行破解了。同时由于密钥是一次性由系统自动产生的,则用户不必记那么多密钥了,方便了人们的通信。

  六、数据加密的标准

  最早、最著名的保密密钥或对称密钥加密算法DES(Data Encryption Standard)是由IBM公司在70年代发展起来的,并经政府的加密标准筛选后,于1976年11月被美国政府采用,DES随后被美国国家标准局和美国国家标准协会(American National Standard Institute,ANSI)承认。

  DES使用56位密钥对64位的数据块进行加密,并对64位的数据块进行16轮编码。与每轮编码时,一个48位的“每轮”密钥值由56位的完整密钥得出来。DES用软件进行解码需用很长时间,而用硬件解码速度非常快。幸运的是,当时大多数黑客并没有足够的设备制造出这种硬件设备。在1977年,人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密,而且需要12个小时的破解才能得到结果。当时DES被认为是一种十分强大的加密方法。

  随着计算机硬件的速度越来越快,制造一台这样特殊的机器的花费已经降到了十万美元左右,而用它来保护十亿美元的银行,那显然是不够保险了。另一方面,如果只用它来保护一台普通服务器,那么DES确实是一种好的办法,因为黑客绝不会仅仅为入侵一个服务器而花那么多的钱破解DES密文。

  另一种非常著名的加密算法就是RSA了,RSA(Rivest-Shamir-Adleman)算法是基于大数不可能被质因数分解假设的公钥体系。简单地说就是找两个很大的质数。一个对外公开的为“公钥”(Prblic key) ,另一个不告诉任何人,称为“私钥”(Private key)。这两个密钥是互补的,也就是说用公钥加密的密文可以用私钥解密,反过来也一样。

  假设用户甲要寄信给用户乙,他们互相知道对方的公钥。甲就用乙的公钥加密邮件寄出,乙收到后就可以用自己的私钥解密出甲的原文。由于别人不知道乙的私钥,所以即使是甲本人也无法解密那封信,这就解决了信件保密的问题。另一方面,由于每个人都知道乙的公钥,他们都可以给乙发信,那么乙怎么确信是不是甲的来信呢?那就要用到基于加密技术的数字签名了。

  甲用自己的私钥将签名内容加密,附加在邮件后,再用乙的公钥将整个邮件加密(注意这里的次序,如果先加密再签名的话,别人可以将签名去掉后签上自己的签名,从而篡改了签名)。这份密文被乙收到以后,乙用自己的私钥将邮件解密,得到甲的原文和数字签名,然后用甲的公钥解密签名,这样一来就可以确保两方面的安全了。

  七、加密技术的应用

  加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用,下面就分别简叙。

  1、在电子商务方面的应用

  电子商务(E-business)要求顾客可以在网上进行各种商务活动,不必担心自己的信用卡会被人盗用。在过去,用户为了防止信用卡的号码被窃取到,一般是通过电话订货,然后使用用户的信用卡进行付款。现在人们开始用RSA(一种公开/私有密钥)的加密技术,提高信用卡交易的安全性,从而使电子商务走向实用成为可能。

  许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者,该公司提供了一种基于RSA和保密密钥的应用于因特网的技术,被称为安全插座层(Secure Sockets Layer,SSL)。

  也许很多人知道Socket,它是一个编程界面,并不提供任何安全措施,而SSL不但提供编程界面,而且向上提供一种安全的服务,SSL 3.0现在已经应用到了服务器和浏览器上,SSL 2.0则只能应用于服务器端。

  SSL 3.0用一种电子证书(electric certificate)来实行身份进行验证后,双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法,在客户与电子商务的服务器进行沟通的过程中,客户会产生一个Session Key,然后客户用服务器端的公钥将Session Key进行加密,再传给服务器端,在双方都知道Session Key后,传输的数据都是以Session Key进行加密与解密的,但服务器端发给用户的公钥必需先向有关发证机关申请,以得到公证。

  基于 SSL 3.0提供的安全保障,用户就可以自由订购商品并且给出信用卡号了,也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来,这样可以节省大量的纸张,为公司节省电话、传真费用。在过去,电子信息交换(Electric Data Interchange,EDI)、信息交易(information transaction )和金融交易(financial transaction)都是在专用网络上完成的,使用专用网的费用大大高于互联网。正是这样巨大的诱惑,才使人们开始发展因特网上的电子商务,但不要忘记数据加密。

  2、加密技术在VPN中的应用

  现在,越多越多的公司走向国际化,一个公司可能在多个国家都有办事机构或销售中心,每一个机构都有自己的局域网LAN(Local Area Network),但在当今的网络社会人们的要求不仅如此,用户希望将这些LAN连结在一起组成一个公司的广域网,这个在现在已不是什么难事了。

  事实上,很多公司都已经这样做了,但他们一般使用租用专用线路来连结这些局域网 ,他们考虑的就是网络的安全问题。现在具有加密/解密功能的路由器已到处都是,这就使人们通过互联网连接这些局域网成为可能,这就是我们通常所说的虚拟专用网(Virtual Private Network,VPN)。当数据离开发送者所在的局域网时,该数据首先被用户湍连接到互联网上的路由器进行硬件加密,数据在互联网上是以加密的形式传送的,当达到目的LAN的路由器时,该路由器就会对数据进行解密,这样目的LAN中的用户就可以看到真正的信息了。

 


 
7*24专线:010-58812000 技术支持邮箱:support@cstnet.cn 垃圾邮件投诉邮箱:abuse@cstnet.cn
© 1994-2008 版权所有:中国科技网网络中心 意见反馈: support@cstnet.cn