电子期刊第八十四期

为何我修改了邮箱的弱口令后,仍无法使用客户端软件发送邮件?

  答:当您收到了系统发送的《院邮件系统提醒您修改邮箱弱口令》的通知后,请及时修改邮箱的密码,邮箱密码应设置为字母与数字组合的无规律的形式。密码修改完成后,您需要登录http://mail.cstnet.cn,
进入webmail邮箱,回复邮件到support@cstnet.cn,说明已修改了邮箱弱口令。收到您的邮件后,系统会为您开通相关邮箱的smtp发送邮件功能,这样您就能使用客户端软件发送邮件了。


更多问题

如何实现更节能的数据存储和分析?
 
  面对当前这样的商业环境:在每一条现有的渠道上全天候不间断地开展业务,公司需要收集、存储、跟踪和分析海量数据——从点击流数据和事件日志到手机通话记录的各种数据。

  而这一切都是需要企业和环境付出成本的:数据仓库和存放数据仓库的庞大数据中心耗用大量电能,运行大批服务器和冷却服务器都需要耗电。那么,这方面的耗电量有多大呢?据估计,每年的耗电量多达惊人的610亿千瓦时,据估计成本高达45亿美元。

科研信息化技术与应用

中科院信息化工作动态

中科院国际会议服务平台


技术追踪
  · 进行网络认证时不选择OpenPGP的原因何在?
  · 浅析IDS与IPS:检测与防护的共生与发展
  · 私密浏览真的能保护隐私吗?识别Web浏览器存在的风险
 

进行网络认证时不选择OpenPGP的原因何在?
   
 

  在进行网络认证时,TLS(包括其前身的名称,SSL)加密协议的作用就是提供强加密的解决方案。尽管在加密认证中也存在其它可供选择的项目,举例来说,HTTP摘要式身份验证,它们倾向于使用较弱的结构。但对于HTTP摘要式身份验证来说,最大的问题就是这样的一个事实,它无法提供识别服务器的核查机制。这让它非常容易遭受到中间人类型的网络攻击。

  与此相反,在设计的时间TLS协议就专门考虑到这种情况,并采用了权威的PKI证书来对服务器进行验证。该证书制度属于技术相关的过程,基于来自第三方的认证授权来对服务器进行验证;从某些方面来看,类似采用OpenPGP公钥加密信任模型的网络,和官僚机构的结合性更高。来自信任网络的主要部分属于它的转折点,但是,不是依靠个人判断来选择是否信任,取而代之的是自私自利的商业认证公司来公司使用者谁可以相信,谁不能被信任。

  认证中心系统分为TLS和浏览器使用的HTTPS协议,这样的话,即使使用者希望使用类似Perspectives之类的独立认证核查系统,或者Monkeysphere之类信任网络的话,也还需要对于系统进行繁琐的设置,以便替代CA公钥基础设施。在不包含电子商务要求的自签名证书中,基本上没有比CA签名的注册证书更容易设置的了。传统TLS认证模式的静态IP地址认证不会被自签名证书解除,或者被基于OpenPGP之类的其它公共密钥加密协议的技术所限制。

  TLS中存在的问题有什么?

  在很多情况下,基于TLS的PKI都会出现问题。对于资源不足又需要安全认证的网站来说,由商业机构或者财力雄厚的爱好者来提供支持是不合适的。主机共享,采用便宜的方式来建立一家“真正”的网站,处理使用TLS保护认证时出现的一些令人不快的问题,为了保障服务器认证和强加密方面的认证保护,这些困难是无法消除的。

  在理论上,这是一个可以获得解决的问题。作为一种加密协议,OpenPGP的基本结构是在大约二十年前由加密爱好者眼中的英雄菲尔·齐默尔曼设计的。对于个人、公司和站点来说,在加密/解密过程的半程中使用简单的公钥可以实现非常灵活的设置,并且支持带外模式的密钥核查认证。它采用了大范围的分配机制,并且可以用来进行外部核查。这里面可以包括作为传统OpenPGP默认密钥验证过程服务的网络信任模式,以及Perspectives提供的分布式系统。

  不过,理论和现实很少一致,在现实环境中,这并不属于一个已经获得解决的问题。实际情况是,TLS的应用范围是如此广泛,以至于已经成为了唯一的选择,没有其它竞争者可以对其构成威胁,甚至连达到类似水平的要求都做不到。没有一家竞争对手,可以对CA的公钥基础设施构成最基本的威胁,它们甚至连挑战的机会都没有,就更不用说市场份额了。所有这一切让网络身份认证的简单实现基本覆盖所有标准共享主机的想法成为不可能,在每一个使用OpenPGP之类的外部公共密钥加密协议的案例中:单独CGI的执行情况和PHP实现,都让TLS成为不合理的负担。即使出现了一定的成功,包括Ruby on Rails、Django、CMS plug-ins在内的其它竞争对手也将很快跟进。

  并且不幸的是,部署加密措施的操作很难做到。对于真正基于OpenPGP的网络认证简单实现来说,实施的时间需要了解对服务器运行的软件类型进行假设,这不是什么很方便的事情;或者与OpenPGP的应用与服务器端软件开发人员使用的语言种类有关。在处理主机共享,而网络开发人员对于系统中安装的软件没有或者只有很少的控制权,大部分服务器端语言中常见的加密库都使用来自共享主机的同样外部工具(通常情况GnuPG)来作为OpenPGP支持部分的情况下,这么做是一件非常困难的事情。

  让我们不要忘记处理客户端的艰巨性。功能丰富的新型浏览器可以利用基于HTTPS的URI模式来支持TLS加密。然而,它们不会采用内置OpenPGP的方式来支持网络身份认证。包含强大插件功能的浏览器可以采用相对简单的方法来为系统增加功能,至少在某些情况下可以实现这一点;但插件需要进行开发,并且这样做还涉及到客户端上安装的语言和分布式软件的情况,与共享主机上的软件可用性相比,这样的认证系统可靠性更低。

  OpenPGP面临的另一项挑战

  最终,我们找出了为什么没有以OpenPGP或类似独立公共密钥加密为基础的竞争对手可以替代TLS的原因。所有的努力都需要从基层开始,举例来说,开源软件开发社区应该提供整体解决方案,以自下而上的方式揭开针对基于CA的PKI加密模式在实际网络中的霸权进行挑战的序幕。如果没有具备前瞻性的大学生或者巨型企业支持的话,这样的工作将会是非常难以进行的,毕竟,建立一个新的网络身份认证体系需要做的工作非常多。更糟糕的可能是,即便这样的开源系统得以建立,由于合理性或者资金方面的问题可能会导致它采用许可模式(估计会是非盈利版权)发放,这在某些情况下会阻碍代码的使用,从而限制其推广。这还没有包含对易于使用的标准化带外密钥验证系统的要求,尽管在理论上它并不属于系统的组成部分,但对于达到广泛普及的目标来说将会起到非常大的作用。

  尽管如此,这种做法看起来似乎是目前唯一最有可能并且最简单的方式,可以代替TLS提供更为民主的选择;至少在验证领域的情况是这样,我们甚至预计最终可以普及到全程加密。

  请注意,尽管在本文中采用了OpenPGP作为典例来进行说明,但SSH协议在这方面的效果也非常好。

 
  浅析IDS与IPS:检测与防护的共生与发展
   
 

  入侵检测系统(IDS)是一种动态安全技术,但它不会主动在攻击发生前阻断它们。而入侵防护系统(IPS)则倾向于提供主动性的防护。在一段时间内,IDS和IPS将共同存在。

  存在的发展观

  IDS与IPS的发展其实非常有意思,因为他们的出现与发展的时间间隔并不长,而且到目前为止,各自都有坚定的用户与支持者,当然,各自的缺点也非常明显。在此,虽然有不少人认为IPS终将取代IDS而成为主流,但记者并不敢全部认同。

  IDS在国内发展的一个重要领域是教育,虽然很多IPS厂商也认为教育是其主要市场,但作为先来者,IDS 和很多全网安全方案的结合,帮助了其进一步存活的可能性,当然荷包不足的用户也是其发展的另一个条件。

  当然并非IDS将会一路高歌,恰恰相反,很多用户对于发现问题后及时采取行动的呼声与愿望越发高涨,眼下所担忧的仅仅是这种行动不要由于误打误撞而导致灾难。不管怎么说,这种愿望还是造成了眼前IDS与IPS的边界越来越模糊(甚至是和少数初级的UTM)----发现问题,采取一点点用户心理上能够承受的行动。

  从防火墙到IDS

  其实,回忆早前防火墙在国内的应用可以发现,用户对于安全设备的理解与掌握,往往花费的时间都比较长。

  现在国内用户对防火墙已经有了很高的认知和应用水平(至少对ACL的配置选择已经不在陌生),并认可了其网络大门的地位。但不可否认,防火墙采用规则匹配的原理,对于内容的控制并不严密。虽然少数高端产品可以对应用协议进行动态分析——边界模糊的另一种证明,但这样仍不能对进出网络的数据进行分析,特别是对网络内部发生的事件完全无能为力。

  Juniper公司的工程师向记者表示,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。因此如果把放火防火墙比作大门警卫的话,IDS就是网络中不间断的摄像机。IDS通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说IDS是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案。

  在《网络世界》报社出版的《2005网络产品购买指南》中就曾指出,当前市场上存在的IDS可以分为以下两种:主机型IDS(HIDS)和网络型IDS(NIDS)。HIDS的分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。而NIDS的分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。

  从技术上说,无论采用HIDS还是NIDS,都能发现对方无法检测到的一些入侵行为,可互为补充,完美的IDS产品应该将两者结合起来。一些高端的IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。

  对一个成功的IDS系统来讲,它不但可使企业用户的网络管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的是,IDS大多管理、配置简单,从而使企业人员可以非常容易地获得网络安全。另外,好的IDS产品可以根据网络威胁、系统构造和安全需求的改变而改变。

  IDS系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。业界总结的通用IDS系统的主要功能包括:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动等。

  另外,一些业内的主流厂商,如Cisco、Checkpoint、ISS以及华为3Com等,他们一般采用基于模式匹配、异常情况或者完整性分析的判断方法。

  对于基于模式匹配的检测技术来说,首先要定义违背安全策略的事件特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现,此方法非常类似杀毒软件;而基于异常情况的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于,如何定义所谓的“正常”情况;而完整性分析则关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。

  从IDS到IPS

  前面说过,即便本着用户的呼声,IDS已经流露出了少许“该出手时就出手”的势头,但这毕竟是后话。为了解决IDS旁路侦听模式的弊端,IPS的概念被提了出来——一种采用在线模式的,可以对所有攻击采取适时行动的入侵防御系统。

  在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下,IPS的出现恰恰带有时势造英雄的味道。

  无疑,IPS倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑的内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。

  当然,这样做也是有条件的,IPS必须能够支持众多的攻击方式与协议,因为只有这样才能从网络中进行准确地判断。另外,国内的企业用户在选购IPS的时候,还必须了解一点:由于IPS采用了在线模式,因此其本身对于网络的性能影响要比IDS大很多。因此用户必须考虑打开IPS后对于自身和网络的影响。比如IPS的性能不能是在“裸奔”或仅打开少量过滤器的前提下取得的,也不能是单纯的测试流量,如单纯的UDP流量或单一的包长度。国内用户应当结合自身情况判断,例如企业部署了VoIP的应用,就必须去评价它的时延抖动问题,而且要在语音数据流中混杂一般数据模拟实际情况,否则又会是一场灾难。

  一些厂商也建议国内用户也可以分析IPS在负载情况下的各种效能参数,像对随机端口发送的UDP流量、不考虑处理延时情况下的HTTP最大压力流量、考虑处理延时情况下的HTTP最大压力流量等。

  对于国内用户担心的另一个问题——IPS会对攻击采取行动,因此误报带来的灾难显然要比IDS产品大。在采访中得知,随着技术的进一步发展,这两年来主流IPS厂家的产品在精度控制上有了长足的进步。目前避免误报漏报主要参考两方面技术:一种是并行处理检测;另一种是协议重组。

  前者是指所有流经IPS的数据包,都要被送入FPGA单元中进行过滤器(逻辑门)匹配。由于常用的过滤器超过2000个,为了提高效率,FPGA采用并行处理的方式,实现在一个时钟周期内,完成对数据包实现所有过滤器遍历。无疑,这样可以极大地提升IPS的处理速度,但必须实现FPGA的并行化。

  而后者则将所有流经IPS的数据包,首先经过硬件级别的预处理,这个预处理过程主要完成对数据包的重组,以便IPS能够看清楚具体的应用协议。在此基础上,IPS根据不同应用协议的特征与攻击方式,将重组后的包进行筛选,将一些可疑数据包送入专门的特征库进行比对。由于经过了筛选,可疑数据量大大减少,因此可以大幅度减少IPS处理的工作量,同时降低误报率,当然这个预处理的过程将会是重中之重。

  但无论采用哪种技术,目的都是为了确保提升准确性,最大程度的保护用户的网络系统。而总结对于IPS与IDS的今后发展,套用时下流行的一句话:最大程度的保持现状,将来不排除统一的可能性。

 

私密浏览真的能保护隐私吗?识别Web浏览器存在的风险
   
 

  近几年,Web浏览已经变得不那么匿名了,很大程度上是因为一个跟踪用户Web行踪的系统,它是以我们称之为cookies文件为核心的。Cookies文件使网络站点可以记录一个用户的所有行为。通过收集某个用户浏览网页的信息,cookies可以被看成是发送用户信息到服务器的小型数据发掘者。

  Cookies的功能可以用来帮助用户,比如记录你购物车中的物品,并且有利于网站运营者进行市场和网络活动的监测。你不需要对互联网非常敏感就可以注意到:在访问一个在线商场后,你之前正在寻找的商品开始出现在其它网页的横幅广告和推荐链接上。

  为了阻止网站收集用户信息,浏览器制作者研发了一种通常称为“私密浏览”的模式,它是一个可选的设置,用以阻止发送可识别的用户数据,比如cookies。然而,这个理论与实际应用存在差距,很多用户都有这样一个问题:这种私密浏览方式是否真的是私密的?

  私密浏览是否真的是私密的?

  理论上讲,私密浏览可以使得个人上网的时候并不存储关于他们活动的本地信息。这个选项的预期目的是使用户的浏览历史对分享或使用同一台机器的其他人保密的。为了实现这一点,浏览器必须禁止创建或者清除历史项、cookies文件和缓存项目。

  浏览器把它称为“隐身模式”或“隐形模式”,它通过编造一个身着风衣、聪明的间谍形象来进行私密浏览。排除炒作的因素,私密浏览在对需要与其他人共享计算机,或者使用公共计算机时是十分有效和有益的。通过禁止记录浏览历史和不记录在一个会话中使用的搜索内容和密码,私密浏览模式可以阻止后来的机器使用者看到可能的敏感信息。

  诸如“私密”、“隐身”和“隐形”等词语具有误导性,会给用户错误的安全意识。虽然私密浏览能够从所访问的站点删除cookies和浏览历史,但信息仍然会留在隐藏的缓存中,这些缓存是用于保存频繁使用数据的临时存储空间。同样地,数据仍然会留在DNS日志,插件和闪存cookies中,以上问题私密浏览都不能解决。也许更令人不安的是,浏览器并不能保护用户在私密浏览和非私密浏览会话中被跟踪,因为它们未能隔离这两者。大多数浏览器都有插件,而这些插件又有它们自己的跟踪系统。因此,即使浏览器不泄露cookies,但并不意味着浏览器插件不这样做。另外,如果浏览器没有禁用浏览器扩展(用于扩展浏览器功能的计算机程序,比如自动翻译所有页面成一个特定的语言),当切换回非私密浏览模式时,私密浏览信息会被泄露。

  启用私密浏览模式也不能保证数据不被盗。一个用户可以直接从一个安全站点到一个恶意站点,而没有任何警告。一旦出现这种情况,一个脚本将会在浏览器会话时加载到机器上,无论其是否被保存在cookies文件中,这将允许攻击者获得用户的个人数据。如果这个脚本在用户登录一个可信任站点时运行,那么黑客可以获得登录凭证和其他身份验证数据。

  然而,许多用户相信诸如Firefox浏览器的无脚本插件等附加组件可以为他们提供额外的安全,实际上,这些附加组件可使会话更易受威胁影响,从而增加浏览器风险。首先,大多数Firefox的插件是未经认证的或者未经Mozilla进行合适的检查。事实上,在它的法律声明和限制页上,Firefox声明说:因为没有检查包含在这些插件里的所有内容,它不能对这些内容或它们可能会引起的危害负责。这就意味着,虽然保护你,但是这些方便的小的安全脚本可能会收集你的数据。另外,由于是开源的,许多这些附加组件的编码可能很糟糕,这也是另一个潜在的安全风险。

  通过这些误导性术语,终端用户相信他们能够保护自己,因此实际中可能会更加不注意。虽然印刷精美,尽管有时很难找到,但是大多数人完全不会花时间去阅读它。当与一些其它的Web安全网络浏览措施一起使用时,比如禁用Java小程序,保持系统的补丁修复以及使用良好的反病毒程序,私密浏览可以提供一些安全的措施,而所有上述的措施都应该成为大多数企业的强制性安全规程。如果依次实施,这些手段可以用来支持一个有效的企业纵深防御策略。然而,私密浏览不能代替良好的安全常识,或被当成无视网络安全的雇员访问互联网时的安全技术保证。

 

 
7*24专线:010-58812000   技术支持邮箱:support@cstnet.cn   垃圾邮件投诉邮箱:abuse@cstnet.cn
    © 1994-2011 版权所有:中国科技网网络中心     意见反馈: support@cstnet.cn