网络信息安全

    C）网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。

    d）随着社会重要基础设施的高度信息化，社会的"命脉"和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。

随着人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题，特别是1993年以后Internet开始商用化，通过Internet进行的各种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据统计，目前网络攻击手段有数千种之多，使网络安全问题变得极其严峻，据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络攻击事件。

    随着Internet的发展，网络安全技术也在与网络攻击的对抗中不断发展。从总体上看，经历了从静态到动态、从被动防范到主动防范的发展过程

  当人们访问他们不应访问的信息时，或他们企图对网络或其资源作希望做的事时，我们成这样的企图为攻击。攻击是一种你不想遇到的行为或一种企图的行为。

第3章 实例
3.1       网络信息应用中字符引发的信息安全问题

说到字符，很多用户也许会不以为然：小小的字符，不过是个非常基础的人机交互表达形式，它能产生什么威胁？但是，威胁偏偏就来自最原始的方面，并且这种威胁往往是最危险的，也是最难以防范的。

正如世界上有各种表达形式和书写格式不同的语言一样，在计算机的世界里同样存在类似的问题：在计算机发展初期，不同的计算机系统对字符的处理方式不同，这导致了各个系统之间不能互相交流。为了解决这个问题，人们制订了多种标准以便不同系统之间也能正确进行字符交互，这就是字符编码的由来。

由于字符可以通过多种途径进行表达，所以它们的编码也多种多样，常见的英文字符编码有ASCII、ANSI、Unicode、UTF、ISO等，对于非英文字符，常见的字符编码有GBK、BIG5、JIS等。可能有的读者已经开始不耐烦了：说了半天"编码"，到底什么才是编码？！

这里，我们用一个小例子帮助大家理解什么是"编码"。我们可以这样理解：一杯水无论放进什么形状的杯子里都还是水，而不会变成老虎之类的，这个道理很简单，对不对？那么同样的法则也适用于字符。对一个字符来说，无论系统内部怎么处理，只要最终显示出来的是原来的字符，那就没错。例如"小"字，Unicode编码把它作为"%D0%A1"存放，而ASCII编码里，它可以用"-12127"来表示，但是无论它怎么变，只要还能还原回"小"字，系统的处理工作就不会出问题

多种编码的产生本来是为了解决字符信息的交互问题，然而正是这些多种多样的编码导致了让人意想不到的后果。字符，这个不起眼的小东西在编码的世界里举起了"大刀"，这使得上面提到的"水变成老虎"成为可能。

字符威胁实录

在接触计算机不久的时候你听说了一个词"ASCII"；到了Windows 2000开始流行的时候，你知道"Unicode"帮你解决了不少乱码问题；当你成为计算机高手以后，你常常会跟"SQL"玩个不亦乐乎，可是你知道吗？在这些你所熟知的字符或编码背后，隐藏着什么样的危险吗？你知道这样的危险就在你身边吗？

控制符：想说爱你不容易

ASCII全称American Standard Code for Information Interchange（美国信息互换标准代码），是最基础的字符表达方式，它能完整表示26个英文字母、10个数字以及通用的格式符号等。ASCII又分为控制字符和可显示字符（也称为"Printable"，即可打印字符），通常情况下，控制字符只能由特殊按键和系统自己产生，而且这些字符中的大部分是我们看不见的。但是你千万不要以为看不见即不存在，恰恰相反，它们时刻存在！例如，在你保存一个文本的时候，系统就会自动在文件结尾添加一个你看不见的结束符号，这个符号的作用就是用来告诉处理程序，读取到这里的时候：停！专业说法可以称之为文件结束符。

不幸的是，上面提到，ASCII控制编码并非只有系统自身可以产生，用户也可以通过特殊的输入方式成功地输出一个键盘上打不出来的特殊字符，这就可能会造成极其严重的后果。老一辈的论坛管理员也许还记得国内那次恐怖论坛攻击事件：很多论坛的帖子在一夜之间全部丢失！可是论坛却没有被入侵过的痕迹，服务器也完好无损，难道见鬼了？！后来，有人仔细查看了论坛日志文件，原来是入侵者用一个特殊符号发了一个帖子，这个符号让处理程序读取文件时误认为文件到这里就结束了，而控制符号是不会显示出来的，所以论坛程序只能认为这"惟一"的帖子格式不对，于是论坛停止了文件读取，在我们看来，即很多论坛帖子被删除了。但是事情仅仅是这样就结束了吗？入侵者只是发了一个控制符号导致了论坛读取错误，然而数据还是在的，只要去掉这个字符就可以恢复了。有人会笑了：小儿科的把戏！不过，别急着下结论，如果那么轻易就结束游戏，管理员就不会哭了：由于这个控制符号的存在，一旦有人写入新的数据，那么在这个帖子后面的所有数据将被清空！因为系统认为文件到这里已经结束了，那么后面的数据将会怎么样？结局只有一个：被全部清空！这时候，破坏论坛的就不再是入侵者了，而是那些热心过头急着发帖问"啊！论坛被黑了！"的成员们了，这个游戏好玩吗？一个字符，歼灭论坛

Unicode：管理员的噩梦

许多人对Unicode的认识是从著名的"IIS Unicode"二次编码漏洞开始的。但是具体什么是Unicode，这就不是所有人都知道的了。Unicode常常被翻译为"万国码"或者"唯独码"，后者也许是来自Unicode发明者的宗旨："推进多文种的统一编码"。Unicode同现在流行的代码页最显著不同点在于：Unicode是两字节的全编码，对于ASCII字符它也使用两字节表示。普通代码页是通过高字节的取值范围来确定字符是ASCII码，还是汉字的高字节。如果发生数据损坏，当整篇文字某处内容被破坏，则会引起其后汉字的混乱。Unicode则一律使用两个字节表示一个字符，最明显的好处是它简化了汉字的处理过程。转贴于 酷文网-论文下载中心 http://www.coolwen.net