A. 網路傳播與國家信息安全保障
摘 要:網路傳播的首要前提是保障網路信息安全,因為網路信息安全是國家信息安全的實質內容和關鍵因素,也是整個社會所有安全得以保障的基礎。隨著虛擬社會逐漸強大,國家的政治主權、經濟主權、文化主權,科技秘密以及軍事安全等都越來越依賴於「第四領土」的有效管轄。網路傳播可能危害國家信息安全,因此必須從以下幾個方面著手建設網路信息傳播安全保障體系:掌握信息安全領域前沿技術,提升信息安全產業核心競爭力;加強網路防護和應急處理能力,完善建設信息安全法律法規和標准,提高信息安全管理水平;加快網路專業人才培養,增強全民信息安全意識。如是,才能切實維護國家信息安全,保障國家信息主權,促進和諧社會建設。
網路信息由於含有特定的觀念、價值和意識形態,對國家的政治和文化發展產生著重要影響。新技術變革向網路信息安全問題提出了新的挑戰,網路信息安全正在告別傳統的病毒感染、網站被黑及資源濫用階段,進入復雜多元、綜合交互的新的歷史時期,「國家秘密由紙介質為主向聲、光、電、磁、網路等多種載體轉化。涉密信息系統安全基礎薄弱,核心技術受制於人,互聯網逐漸成為泄密主渠道。」[1]P.5網路信息安全已經成為整個社會安全的基礎,其重要性已上升到國家安全戰略高度。我國「十二·五規劃」明確提出,「加強互聯網管理,確保國家網路與信息安全」。[2]
網路信息安全跟國防建設和國計民生息息相關,嚴重影響著國家安危、戰爭勝負、外交成敗、經濟競爭的輸贏以及國際輿論話語權。那麼什麼是信息安全呢「信息安全是指在政府主導和社會參與下,綜合運用技術、法律、管理、教育等手段,積極應對敵對勢力攻擊、網路犯罪和意外事故等信息空間的各種威脅,有效保護信息基礎設施、應用服務和信息內容的安全,保護信息和信息系統在信息存儲、處理、傳輸過程中免遭偶發的或有意的非授權泄露、修改和破壞,保障經濟發展、社會穩定、國家安全和公眾利益。」[3]
網路信息安全保障已經成為一個亟待探討與解決的重要議題。危害信息安全的事件不斷發生,形勢十分嚴峻。在全球范圍內,計算機病毒、網路攻擊、垃圾郵件、系統漏洞、網路竊密、網路詐騙、虛假信息、知識侵權、隱私侵犯、網路色情等網路違法犯罪等問題日漸突出,嚴重威脅到我國的經濟、文化和國家安全。必須「把國家安全的視野從單純的物理疆域擴充至數字化空間,把對國家安全的防衛重點從處理危機擴充到全面防範。」[4] 國家信息安全作為一種新型安全,是指國家政治、經濟、軍事、文化等信方面的戰略安全。信息成為繼國土、資源等有形物質之後又一拉開國與國之間戰略優勢的無形領土。
一、網路信息傳播行為具有的特性
《第28次中國互聯網路發展狀況統計報告》指出,2011年上半年,遇到過病毒或木馬攻擊的網民達到2.17億,比例為44.7%;有過賬號或密碼被盜經歷的網民達到1.21億人,半年增加2107萬人,佔到網民總數的24.9%。[5]網路信息在產生、存儲、處理、傳遞和利用的各個環節中都有被竊、被篡改或被濫用的危險。這是由於,網路傳播具有無界性、虛擬性、匿名性、無跡性、突襲性以及易控性等。
1.網路傳播的無界性。通過互聯網可以在瞬間向世界任何的角落發送或者獲取信息,這為跨地區、跨省和跨國違法犯罪信息傳播增添了便利。網路世界為各種跨境犯罪和恐怖活動的滋生提供了可乘之機,網路傳播已成為罪犯和恐怖分子最具威力的武器之一。例如,「9·11」恐怖襲擊活動組織與策劃正是通過加密後的電子郵件傳送的。
2.網路傳播的虛擬性。一方面,由於網路空間無政府狀態,監管復雜程度高,虛擬行為必然會生成眾多安全問題;另一方面,這種虛擬行為通過技術手段將虛幻現實呈現在大眾面前,沖擊現實社會倫理乃至法律。例如,網路游戲《第二人生》中就有「虛擬強奸」,雖然構不上現實中強奸罪,卻可能涉嫌傳播淫穢物品罪,或構成民事侵權。
3.網路傳播的匿名性。出於保護隱私的考慮,互聯網自建設之初,沒有設定有效的身份鑒別功能。網路的匿名性讓它成為許多人們釋放自己陰暗面的場所。比如,2007年12月CCTV的新聞聯播在播出某女孩抨擊不良網路視聽節目時,用「很黃很暴力」來形容網路,從此被憤怒的網民公布個人資料,不斷電話騷擾,該女生只得休學逃避。正是由於網民處於匿名狀態,所以進行攻擊的時候有恃無恐。
4.網路傳播的無跡性。大多數信息犯罪是通過程序和數據等無形操作實現,加之信息犯罪作案不受時間與地點限制,對硬體之類的信息載體可以不造成損壞,甚至不留下任何痕,從而使犯罪行為不易偵破,嚴重威脅信息安全。例如,2007年黑色團伙利用熊貓燒香等病毒遠程式控制制中毒計算機,竊取網游和網銀密碼。「熊貓燒香」就集合了多種不同的傳播方式,包括U盤傳染、文件感染、區域網感染等。
5.網路傳播的突襲性。「伺機作惡」是信息安全攻擊者的重要特點。在許多場合,攻擊者寧願等待,等到條件最理想時才發動攻擊;或者,利用所謂專家的大意或疏忽伺機作惡,結果常常會產生不可預見的長期影響。舉個例子,2010年,「Stuxnet」超級計算機病毒,開始控制被感染的中國工廠,造成生產事故或停工。如果有人在企業區域網內使用了帶毒U盤,整個系統都會被感染,此時Stuxnet可以接管西門子設施的關鍵操作系統,並在十分之一秒里控制設備的操作。
6.網路傳播的易控性。盡管網路傳播具有匿名性,通過一定的技術處理,可以記錄信息傳遞過程。這樣在物理空間的隱私保護,在虛擬空間中就成了可以任意穿越的無用屏障,只要電子信息的使用者留有一絲表明自己身份的真實信息,其一切活動均有可能被掌控。再如說,谷歌每天記錄數十億個搜索請求,大部分數據來源於網站的主動監測。
二、不良網路信息傳播對國家信息安全的危害
作為國家安全體系中的重要組成部分,信息安全對國家安全的影響總是通過政治、經濟、軍事、文化等層面發生作用。比如,美國政府已經把網路安全視為國家安全優先考慮的問題。「一個國家只有樹立綜合的信息安全觀,從政治、經濟、軍事、文化等多方面加固『信息疆域』,才能實現真正的信息安全,最終達到維護國家安全的目的。」[6]國家信息安全主要包括政治信息安全、經濟信息安全、軍事信息安全、文化信息安全等幾種類型。不良的網路傳播將嚴重危害國家信息安全。下面將對這些危害進行探討:
1.不良網路傳播對國家政治安全構成危害。國家政治信息安全是國家政治制度和意識形態穩定的基礎。網路傳播如果控制不當,可能會分化政治權力,瓦解國家政權。從國家與民眾來看,網路信息傳播打破了國家對政治信息的壟斷,政治權力向民眾轉移;從國家與國家來看,網路傳播為某些西方國家推行強權政治提供了更方便的手段和途徑,利用互聯網在別國建立反政府組織、開展反動輿論宣傳、進行間諜活動、盜竊國家政治情報,企圖煽動民心,顛覆別國政府,維護超級大國在東西半球的霸權。
2.不良網路傳播對國家經濟安全構成危害。網路經濟信息安全已成為亟待解決的涉及國家經濟全局和長遠利益的關鍵問題之一。某些國家或利益集團可能藉助網路竊取國家重要經濟信息,從而威脅國家經濟安全。保證國民經濟基礎設施信息安全,方能保障國家經濟信息安全,保證國民經濟建設健康發展。令人堪憂的是,我國商業銀行的軟硬體系統國產化率不到3%,電梯、地鐵程序都採用國外系統。操作系統、資料庫、網路交換機的核心技術基本掌握在美國企業手中。這些系統一旦被攻擊,後果無法預料。
3.不良網路傳播對軍事安全構成的危害。網路信息安全是打贏高技術戰爭的戰略課題,軍事信息在通過網路的獲取、處理、傳輸和儲存過程中泄露或破壞會給整個軍事行動會造成慘重的損失。美國軍方明確表示,21世紀初美國武器庫中最令人生畏、最重要的武器將不是高性能的戰斗機、轟炸機、坦克或艦艇,而是從信息系統湧出的強大信息流。各個大國近年來一直不惜成本研究網路攻擊技術,組建網路部隊。2010年,美國網路司令部全面運作。2011年,美國公布《網路空間國際戰略》,將網路戰略提升到國家戰略的高度。[7]
4.不良網路傳播對文化安全構成的危害。傳統文化是維系本民族穩定和發展的重要保障。某些西方國家藉助其在信息內容和技術上的優勢,不顧發展中國家的國情,第三世界輸出影視作品、廣告、藝術品、互聯網路的同時,也在潛移默化地輸出西方的文化觀念、倫理道德、生活方式和行為准則,進行文化滲透和意識形態領域的佔領,導致發展中國家的傳統文化和價值觀念發生混亂,導致民族凝聚力降低,集體認同度降低,社會進入動盪之中。
5.不良網路傳播對輿論安全構成的危害。境內外敵對勢力把中國視為霸權挑戰者和政治異類,把互聯網作為對我顛覆、滲透和破壞的重要工具和渠道,影響社會穩定的各種因素也往往通過網路進一步擴展、放大。以美國為首的西方國家對社會主義國家繼續推行和平演變政策,將輿論攻心戰從無線廣播擴展到網路傳播途徑,通過互聯網進行清晰無噪音的圖文傳播,對社會主義國家的國內時事進行評論,企圖混淆視聽,渙散國民凝聚力。
三、網路傳播保障國家信息主權的必要性
網路信息安全已成為關系社會安全、文化安全、經濟安全、軍事安全乃至國家安全的重大戰略問題。在網路傳播時代,傳統意義上的以地域為界限的國家以及由此派生出來的「主權」概念,在網路傳播時代已經注入新的內涵。從政治、經濟、軍事和文化等角度來看,網路時代的信息主權分為政治信息主權、經濟信息主權、軍事信息主權、文化信息主權以及科技信息主權等備受矚目,歸結到一點,就是國家信息主權。
國家信息主權,簡而言之,就是指「國家主權在網路信息活動中的體現,是指國家對信息必然享有保護、管理和控制的能力。」[8]信息主權對內體現為國家對其領域內任何信息的製造、傳播和交易活動擁有最高權利;對外體現為國家有權決定採取何種方式,以什麼樣的程序參與國際信息活動,並且有權在信息主權受到它國侵犯時採取措施進行保護。
如果說領土和領海是一個主權國家的「第一領土」和「第二領土」,那麼隨著飛機和無線電技術的出現,各國的領空就成為「第三領土」,而網路時代國家主權行使的空間將不再局限於領土、領海、領空,必須包括網路空間。一個國家的經濟主權、政治主權、文化主權,以及軍事安全等都越來越依賴於「第四領土」——「虛擬領土」的有效管轄。
當代政治的發展大大限制和縮小了戰爭目標,土地與財富的關系疏離了,並且傳統戰爭的爭奪土地的目的轉變為增加財富,軍事實力主要通過對信息和知識資本的控制來衡量,因而信息主權是信息安全的首要內容。[9]在信息社會里,一旦國家或地區信息系統遭受進攻和破壞,信息流動被鎖定或中斷,將會導致整個國家財政金融瓦解、能源供應中斷、交通運輸混亂、社會秩序失控、乃至國防能力下降,危及國家安全和民族生存。
目前,發展中國家嚴重依賴發達國家的信息資源和信息技術,正遭受著「信息霸權」和「電子殖民主義」的掠奪和威脅。大多數傳播弱國的形象受到西方傳媒傷害,面臨國家主權受到干涉乃至顛覆的危險。來自美國等西方國家的跨國宣傳對蘇聯東歐社會主義陣營的解體起到了巨大作用,「西方媒介絕不僅僅是起到了『推波助瀾』的作用,它們的煽動、慫恿式的直接宣傳甚至是這場巨變的直接原因。」[10]
美國政治學者約瑟夫·奈認為,一個領導著世界信息革命的國家註定比任何國家都有力量。信息繼物質、能量之後一種新的戰略資源。在經濟上信息意味著財富,在文化上信息意味著話語權,在軍事上信息意味著戰鬥力。人類生活質量、社會變革、經濟發展、國家安全越來越多地依賴網路信息傳播。為了保障國家信息安全,歐美各國利用各種技術措施保護信息系統安全,建立完善的信息安全保護機制、構建信息安全屏障,如安全邊界、防火牆、殺毒、人侵檢測預警、訪問控制、身份鑒別、特權審查,以及信息加密等。
四、保障網路傳播信息安全的兩大措施
保密是信息安全的核心內容。「國家秘密是國家安全和利益的信息表現形式,是國家的重要戰略資源。」
[1]P.2~3《中華人民共和國保守國家秘密法》第三條基於憲法第53條「公民保守國家秘密的義務」規定:「一切國家機關、武裝力量、社會團體、企業事業單位和公民都有保守國家秘密的義務。」第九條規定「涉及國家安全和利益的事項,泄露後可能損害國家在政治、經濟、國防、外交等領域的安全和利益的,應當確定為國家秘密」,屬於國家秘密的一共有八個方面。[11]擅自超越時間和空間傳播這些事項,都可能泄露國家秘密。
1.控制新聞輿論:嚴格防範網路傳播泄露國家秘密
通過互聯網竊取、泄露國家秘密、情報或者軍事秘密,構成犯罪的,依照刑法有關規定追究刑事責任。網路傳播活動中,應該從以下幾個方面嚴格防範國家信息安全受到侵犯:
1.政治方面。嚴禁在有權發布者正式發布前提前報道黨和政府及有關領導機關尚在研究中和尚未公開的重大決策、方針,按照有關規定應當統一發布的重大政治新聞。國家外交活動和海峽兩岸上層交往、祖國同海外華人交往的所謂「秘聞」也不能擅自發布。擅自報道這些信息可能使人民產生混亂的認知,或者讓國家的政治、外交等蒙受巨大損失。
2.軍事方面。嚴禁報道國防和軍隊建設的重大方針和規劃,軍事領導機關的重大決策,重要軍事會議,軍隊的組織編制、實力、設防部署、軍事調動、軍事演習、軍事禁區等情況,以至部隊的番號、名稱、任務,以及國防科技研究重要成果和國防工業等事項。比如,軍事專家僅憑一張軍艦船體組裝階段的粗略外觀圖就可以推知船體結構、長度、空船噸位、最大噸位,進而推知航程、作戰范圍,以及軍事用途等數據。
3.司法行政方面。嚴禁報道司法行政工作中屬於國家秘密的信息,如:司法行政工作的總體布局,重要部署、工作計劃和綜合報告;有關勞改、勞教工作的工作計劃及其實施情況,監獄、勞改隊、少管所和勞教所的設置、武器裝備、警戒設施、看押和護衛兵力部署及案件查處情況;對社會安定、國家統一、民族團結、對外關系有重大影響的案犯的關押、改造情況,涉及國防安全、尖端科技的公證事項及其請示、批復、檔案材料,等等。
4.經濟方面。嚴禁披露正在研究中或尚未公布的經濟決策、計劃數字、統計數字,特別是關於物價、貨幣、工資、稅率、匯率、利率等預期變動情況,以及某些重要原料和產品的市場需求情況等。比如2010年6月9日,一位央行經濟學家泄露一組5月宏觀數據,當日下午滬深股市強勁上揚,驚天大逆轉。這起經濟案件受到有關部門嚴肅處理。
5.科技方面。嚴禁擅自報道我國處於國際領先地位或先進水平的重大科技成果,特別是能夠反映高新技術領域突破的、反映國家防禦和治安實力的科技成果。比如,1981 年9月20日,大陸首次用一枚運載火箭發射三顆人造衛星,官方守口如瓶。第4天,北京一家報紙進行詳細報道,國外情報部門如獲至寶。相關責任人受到上級嚴厲處置。
6.輿論傳播。嚴禁發布跟黨和國家重大戰略決策相左,或者抨擊我國政治制度的言論,營造網路輿論對我國發動政治攻擊,詆毀我國國家形象,威脅我國國家安全。近年來,「境外敵對勢力越來越重視利用互聯網對我國實施政治上的全方位打壓……不但損害我國政權和政治制度的穩定以及人民群眾的團結和諧,而且惡化我國的政治外交環境。」[12]比如,散布「中國網路威脅論」,捏造中國在非洲搞新殖民主義的謠言等。
2.構建防禦體系:加強網路信息傳播安全保障
網路信息的安全保障體系已經成為一個國家綜合國力的重要組成部分,必須建立在自主、可信、可控和產業化的基礎上。信息安全保障從發展具體技術手段轉而強調系統級整體安全,由設備級防護轉變為系統級防護,進而轉變為安全體系結構,以應對大規模網路協同攻擊。我國《2006—2020年國家信息化發展戰略》指出,要「全面加強國家信息安全保障體系建設。堅持積極防禦、綜合防範,探索和把握信息化與信息安全的內在規律,主動應對信息安全挑戰,實現信息化與信息安全協調發展。」[13]
1.積極跟蹤、研究與掌握國際信息安全領域的先進理論、前沿技術和發展動態。開展對信息技術產品漏洞、後門的發現研究。掌握核心安全技術,提高關鍵設備裝備能力,促進我國信息安全技術和產業的自主發展。美國通過壟斷的網路軟體及硬體核心技術,將網路陷阱、秘密通道、邏輯炸彈等散布到全世界。1993年3月,加拿大專家發現微軟公司和Windows操作系統為美國國家安全局留有「後門」;海灣戰爭期間,伊拉克的許多進口的電子系統、設備出現自毀,原因是重要晶元或軟體之中隱植有「邏輯炸彈」。
2.提升信息安全產業的核心競爭力。加強以密碼技術為基礎的信息安全防護和網路信任體系的建設。加大研發投入,研發具有自主知識產權的相關硬體及軟體。加快制定信息安全國家標准,加大力度推進可信計算技術等核心產業發展。美國控制著全球網際網路主幹,世界各國網際網路信息經過美國本土,通過對全球信息的監控,控制和支配全球信息流,這些信息若被別有用心地分析、挖掘,將嚴重威脅企業、行業乃至國家安全。
3.提高網路與信息系統的防護水平,加強應急處理能力,重點保護基礎信息網路和關系國家安全、經濟命脈、社會穩定的重要信息系統。例如:深入到社會生活各個角落的物聯網是一個泛在的網路,在公開場所中傳輸的無線信號很容易被竊取,也更容易被干擾,這將直接影響物聯網體系安全。如:2011年8月下旬以來,山東省荷澤市300餘家物流網站遭遇黑客攻擊,300餘家物流行業遭受不同程度影響。[14]
4.完善建設信息安全法律法規和標准,不斷提高網路信息安全的法律保障能力,防範網路信息風險,保證網路信息系統正常運行。雖然我國已經有了《計算機信息網路國際互聯網安全保護管理辦法》等相應的法律法規,但是仍然缺乏系統性和權威性。今後的發展方向是制定《信息安全法》,盡快將其納入國家立法規劃,涵蓋六個方面:信息安全管理、信息安全標准、信息服務中的安全問題、電子商務中的信息安全問題、電子政務中的信息安全問題,以及信息安全與公民隱私權的保護等。
5.加強信息安全管理水平,加強信息安全風險評估工作,建立和完善維護國家信息安全的長效機制。建設和完善信息安全監控體系,提高對網路安全事件應對和防範能力,有利於防止有害信息傳播。重視災難備份建設,增強信息基礎設施和重要信息系統的抗毀能力和災難恢復能力。比如,「9·11」 恐怖事件,造成美國一批公司因為重要數據的毀滅而無法正常恢復營業。而中國計劃在北京、廣東、蘇州、重慶、青島,以及福建等6個區域布點建設國家數據災難備份中心。
6.加快信息安全專業人才培養,增強國民信息安全意識。從國家戰略高度來看待信息安全人才的培養,為國家的信息安全保障貯備更多合格有用的人才;加強和完善信息安全專業學科建設;對於既懂管理又懂技術的信息安全高、精、尖人才,國家要重點關注和培養。我國十分重視信息安全人才培養,到目前為止,全國設立信息安全專業的高等院校已達50多所。
結語:依法保障網路空間國家信息安全
國家的經濟主權、政治主權、文化主權,以及軍事安全等都越來越依賴於「第四領土」——網路空間的有效管轄,一旦喪失了對信息的控制權和保護權,就很難把握自己的命運,就會危及國家主權。網路信息安全小則關繫到人民生活幸福安定,大則關繫到國家安全保障,正如美國學者羅伯特·福特納所言,「信息可以加強或削弱國家的主權。各個政府或者反對派都承認,這就是它們試圖控制社會上的信息的原因。」[12]
為了確保國家信息安全,需要構建攻防兼備的信息安全積極防禦體系、嚴謹的信息安全管理體系、完善的信息安全應急體系,以及科學的信息安全威懾體系。在進行網路傳播活動時,既要依法保障網民知情權,又要杜絕網路傳播隱患,保守國家政治、經濟、軍事和科技秘密,保障國家信息安全,維護國家信息主權,促進和諧社會建設。
B. https與http的區別是什麼
https協議和http有著很大的區別。總的來說,http效率更高,https安全性更高。
首先談談什麼是HTTPS:
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協議 它是一個安全通信通道,它基於HTTP開發,用於在客戶計算機和伺服器之間交換信息。它使用安全套接字層(SSL)進行信息交換,簡單來說它是HTTP的安全版。 它是由Netscape開發並內置於其瀏覽器中,用於對數據進行壓縮和解壓操作,並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的安 全全套接字層(SSL)作為HTTP應用層的子層。(HTTPS使用埠443,而不是象HTTP那樣使用埠80來和TCP/IP進行通信。)SSL使 用40 位關鍵字作為RC4流加密演算法,這對於商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證,如果需要的話用戶可以確認發送者是誰。
HTTPS和HTTP的區別:
https協議需要到ca申請證書,一般免費證書很少,需要交費。 http是超文本傳輸協議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協議 http和https使用的是完全不同的連接方式用的埠也不一樣,前者是80,後者是443。
http的連接很簡單,是無狀態的 HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議 要比http協議安全 HTTPS解決的問題:
1 . 信任主機的問題. 採用https 的server 必須從CA 申請一個用於證明伺服器用途類型的證書. 改證書只有用於對應的server 的時候,客戶度才信任次主機. 所以目前所有的銀行系統網站,關鍵部分應用都是https 的. 客戶通過信任該證書,從而信任了該主機. 其實這樣做效率很低,但是銀行更側重安全. 這一點對我們沒有任何意義,我們的server ,採用的證書不管自己issue 還是從公眾的地方issue, 客戶端都是自己人,所以我們也就肯定信任該server.
2 . 通訊過程中的數據的泄密和被竄改
一般意義上的https, 就是 server 有一個證書.
a) 主要目的是保證server 就是他聲稱的server. 這個跟第一點一樣.
b) 服務端和客戶端之間的所有通訊,都是加密的. i. 具體講,是客戶端產生一個對稱的密鑰,通過server 的證書來交換密鑰. 一般意義上的握手過程. ii. 加下來所有的信息往來就都是加密的. 第三方即使截獲,也沒有任何意義.因為他沒有密鑰. 當然竄改也就沒有什麼意義了.
少許對客戶端有要求的情況下,會要求客戶端也必須有一個證書.
a) 這里客戶端證書,其實就類似表示個人信息的時候,除了用戶名/密碼, 還有一個CA 認證過的身份. 應為個人證書一般來說上別人無法模擬的,所有這樣能夠更深的確認自己的身份.
b) 目前少數個人銀行的專業版是這種做法,具體證書可能是拿U盤作為一個備份的載體.像我用的交通銀行的網上銀行就是採取的這種方式。 HTTPS 一定是繁瑣的. a) 本來簡單的http協議,一個get一個response. 由於https 要還密鑰和確認加密演算法的需要.單握手就需要6/7 個往返. i. 任何應用中,過多的round trip 肯定影響性能. b) 接下來才是具體的http協議,每一次響應或者請求, 都要求客戶端和服務端對會話的內容做加密/解密. i. 盡管對稱加密/解密效率比較高,可是仍然要消耗過多的CPU,為此有專門的SSL 晶元. 如果CPU 信能比較低的話,肯定會降低性能,從而不能serve 更多的請求.
符:SSL的簡介:
SSL是Netscape公司所提出的安全保密協議,在瀏覽器(如Internet Explorer、Netscape Navigator)和Web伺服器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之間構造安全通道來進行數據傳輸,SSL運行在TCP/IP層之上、應用層之下,為應用程序提供加密數據通道,它採用了RC4、MD5 以及RSA等加密演算法,使用40 位的密鑰,適用於商業信息的加密。同時,Netscape公司相應開發了HTTPS協議並內置於其瀏覽器中,HTTPS實際上就是SSL over HTTP,它使用默認埠443,而不是像HTTP那樣使用埠80來和TCP/IP進行通信。HTTPS協議使用SSL在發送方把原始數據進行加密,然 後在接受方進行解密,加密和解密需要發送方和接受方通過交換共知的密鑰來實現,因此,所傳送的數據不容易被網路黑客截獲和解密。 然而,加密和解密過程需要耗費系統大量的開銷,嚴重降低機器的性能,相關測試數據表明使用HTTPS協議傳輸數據的工作效率只有使用HTTP協議傳輸的十 分之一。假如為了安全保密,將一個網站所有的Web應用都啟用SSL技術來加密,並使用HTTPS協議進行傳輸,那麼該網站的性能和效率將會大大降低,而 且沒有這個必要,因為一般來說並不是所有數據都要求那麼高的安全保密級別,所以,我們只需對那些涉及機密數據的交互處理使用HTTPS協議,這樣就做到魚與熊掌兼得。總之不需要用https 的地方,就盡量不要用。
C. 無線網路傳輸機制的採用加密法保護無線信號
除了上面的幾種方法能夠保護無線區域網的工作安全性外,還有一種比較有效的保護方法,那就是對無線傳輸信號進行加密,這種方法往往具有很高的安全防範效果。
當前無線節點設備比較常用的加密方法包括兩種,一種是WEP加密技術,另外一種就是WPA加密技術。其中WEP技術也叫對等保密技術,該技術一般在網路鏈路層進行RC4對稱加密,無線上網用戶的密鑰內容一定要與無線節點的密鑰內容完全相同,才能正確地訪問到網路內容,這樣就能有效避免非授權用戶通過監聽或其他攻擊手段來偷偷訪問本地無線網路。正常來說,WEP加密技術為我們普通用戶提供了40位、128位甚至152位長度的幾種密鑰演算法機制。一旦無線上網信號經過WEP加密後,本地無線網路附近的非法用戶即使通過專業工具竊取到上網傳輸信號,他們也無法看到其中的具體內容,如此一來本地無線上網信號就不容易對外泄密了,那麼無線區域網的數據發送安全性和接收安全性就會大大提高了。而且WEP加密的選用位數越高,非法用戶破解無線上網信號的難度就越大,本地無線網路的安全系數也就越高。
不過WEP加密技術也存在明顯缺陷,比方說同一個無線區域網中的所有用戶往往都共享使用相同的一個密鑰,只有其中一個用戶丟失了密鑰,那麼整個無線區域網網路都將變得不安全。而且考慮到WEP加密技術已經被發現存在明顯安全缺陷,非法用戶往往能夠在有限的幾個小時內就能將加密信號破解掉。
因為WPA加密技術先天性不足,催生了另外一個更加安全的加密技術-WPA的出現,這種加密技術可以看作是WEP加密技術的增強產品,它比WEP加密技術更具安全性和保護性,這種加密技術包含TKIP加密方式和AES加密方式。
在為無線節點設備設置加密密鑰時,我們可以使用兩種方式來進行,一種方式比較簡單,另外一種方式則不那麼簡單。比較簡單的方式就是我們可以使用無線節點設備中自帶的密鑰生成器來自動生成密鑰,另外一種方式就是我們採用手工方法選擇合適的加密密鑰,比方說我們可以使用字母A-F和數字0-9的組合來混合設置加密密鑰。
要對無線上網信號進行加密時,我們可以先從普通無線工作站中運行IE瀏覽器程序,並在瀏覽窗口中輸入無線節點設備默認的後台管理地址,之後正確輸入管理員帳號名稱以及密碼,進入到該設備的後台管理頁面,單擊該頁面中的「首頁」選項卡,並在對應選項設置頁面的左側顯示區域單擊「無線網路」項目,在對應該項目的右側列表區域,找到「安全方式」設置選項,並用滑鼠單擊該設置項旁邊的下拉按鈕,從彈出的下拉列表中我們可以看到無線節點設備一般能夠同時支持「WEP」加密協議和「WPA」加密協議。
選中最常用的「WEP」加密協議,之後選擇好合適的身份驗證方式,一般無線節點設備都為用戶提供了共享密鑰、自動選擇以及開放系統這三個驗證方式,為了有效保護無線網路傳輸信息的安全,我們應該在這里選用「共享密鑰」驗證方式。接著在「WEP密碼」文本框中正確輸入合適的無線網路訪問密碼,再單擊對應設置頁面中的「執行」按鈕,以便保存好上面的設置操作,最後將無線節點設備重新啟動一下,如此一來我們就在無線節點設備中成功地對本地無線網路進行了加密
正常情況下只需要選擇的不是WPA2這個加密碼方式即可解決問題。
無線網路所面臨的安全威脅更加嚴重。所有常規有線網路中存在的安全威脅和隱患都依然存在於無線網路中。外部人員可以通過無線網路繞過防火牆,對專用網路進行非授權訪問。
無線網路傳輸的信息容易被竊取、篡改和插入。無線網路容易受到拒絕服務攻擊和干擾,內部員工可以設置無線網卡以端對端模式與外部員工直接連接。此外無線網路的安全技術相對比較新,安全產品還比較少。
(4)無線網路傳輸的信不易被竊取篡改擴展閱讀:
wifi的安全級別介紹如下:
移動節點、AP等每一個實體都有可能是攻擊對象或攻擊者。由於無線網路在移動設備和傳輸媒介方面的特殊性,使得一些攻擊更容易實施,對無線網路安全技術的研究比有線網路的限制更多、難度更大。
無線網路的脆弱性是由於其媒體的開放性、終端的移動性、動態變化的網路拓撲結構、協作演算法、缺乏集中監視和管理點以及沒有明確的防線造成的。