中国教育和科研计算机网网络信息中心(ChinaEducationandResearchNetworkInformationCenter,简称CERNIC)是一个面向全国教育和科研单位的Internet资源注册和管理部门。负责中国教育和科研计算机网CERNET的IP网络地址分配、网络域名注册和网络资源注册,并为CERNET用户提供网络技术支持,对外定期发布CERNET的最新信息等。
CERNIC提供的主要服务如下:
为CERNET用户提供网络资源分配、注册和管理等服务。
IP地址分配
域名注册
网络资源注册
提供网络资源的目录查询和数据库检索服务。用户可以在CERNET范围内查询有关域名、IP地址空间、人员、主机等信息。
出版季刊《CERNET导报》,定期发布CERNET网络进展。
4、信息发布和信息资源建设
5、服务联系
服务/咨询电子邮件信箱:webmaster@net.edu.cn
CERNIC通信地址:北京清华大学中央主楼224房间(100084)
表1:CERNET各地区网络中心所负责的省、自治区和直辖市:地区网络中心
地区网络中心
E-mail地址
负责省市、自治区、直辖市
华南理工大学
Nicstaff@gznet.edu.cn
(020)87110596
87110018
87114790
广东、广西、海南
东南大学
Nicstaff@njnet.edu.cn
(025)3794341,42
3614718
江苏、安徽、山东
华中理工大学
Nic@sea.whnet.edu.cn
(027)87541443
87541440
湖北、湖南、河南
上海交通大学
Ghfeng@shnet.edu.cn
(021)62932919
62933558
上海、浙江、福建、
江西
西安交通大学
Dhn@mail.xanet.edu.cn
(029)3268575
3269037
陕西、青海、甘肃、
宁夏、新疆
电子科技大学
Nic-staff@cdnet.edu.cn
(028)3203691
3201194
四川、云南、贵州、
西藏、重庆
东北大学
Chang@neu.edu.cn
(024)23841798
23908770
辽宁、吉林、黑龙江
清华大学
Ip-staff@net.edu.cn(IP)
Auto-dbm@net.edu.cn(DNS)
(010)62784049
北京
北京大学
Hostmaster@pku.edu.cn
(010)62751980
62751984
天津、河北、北京
北京邮电大学
Mayan@bupt.edu.cn
(010)62283044
-8001,8002
内蒙古、山西、北京
CERNIC2000年第四季度新增域名表
名称
域名
所在地
注册日期
贵阳中医学院
gyctcm.edu.cn
贵阳市
2000-10-13
四川美术学院
scfai.edu.cn
重庆市
贵阳医学院
gmc.edu.cn
天津建筑材料工业学校
tjbmic.edu.cn
天津市
天津市和平区教育局
tjhp.edu.cn
四川外语学院
sisu.edu.cn
杭州应用工程技术学院
hiat.edu.cn
杭州市
NSFCNET
北京市
2000-10-16
CERNET华东北地区青岛主节点
ouqd.edu.cn
青岛市
2000-10-17
宜宾师范高等专科学校
ybtc.edu.cn
宜宾市
2000-10-18
康定民族师范高等专科学校
kdntc.edu.cn
康定县
河北政法管理干部学院
hebcplc.edu.cn
石家庄
2000-10-19
上海电子技术高等专科学校
shcemt.edu.cn
上海市
哈尔滨体育学院
hrbipe.edu.cn
哈尔滨
上海市建设职工大学
cpspci.edu.cn
2000-10-20
成都市大弯中学
dawanhs.edu.cn
成都市
2000-10-31
石家庄师范高等专科学校
sjztc.edu.cn
西安广播电视大学
xartvu.edu.cn
西安市
2000-11-2
侨鑫高级管理人才培训中心
kingold.edu.cn
广州市
2000-11-6
河北职业技术师范学院
hevttc.edu.cn
秦皇岛
江苏省南通第一中学
jsntyz.edu.cn
南通市
徐州建筑职业技术学院
xzcat.edu.cn
徐州市
邵阳高等专科学校
syhc.edu.cn
邵阳市
2000-11-9
西北民族学院
xbmu.edu.cn
兰州市
天津职业技术师范学院
tjttu.edu.cn
2000-11-10
教育部科技发展中心
nem.edu.cn
仲恺农业技术学院
zhku.edu.cn
2000-11-14
北京医学高等专科学校
bjmc.edu.cn
2000-11-15
台州广播电视大学
tztvu.edu.cn
台州市
2000-11-17
上海音乐学院
shcmusic.edu.cn
2000-11-20
广西工学院(广西技术学院)
gxut.edu.cn
柳州市
2000-11-21
新侨职业技术学院
xqpi.edu.cn
2000-11-22
安徽省屯溪第一中学
txyz.edu.cn
黄山市
2000-11-23
云南中医学院
yntm.edu.cn
昆明市
2000-11-29
南京师范专科学校
njnc.edu.cn
南京市
2000-12-5
海南省教育厅
hainan.edu.cn
海口市
2000-12-7
黄冈师范学院
hgnc.edu.cn
黄冈市
2000-12-18
襄樊学院
xfu.edu.cn
襄樊市
2000-12-20
金华职业技术学院
jhc.edu.cn
金华市
衡山桥中学
wjhsqms.edu.cn
武进市
中州大学
zhzhu.edu.cn
郑州市
2000-12-26
洛阳工业高等专科学校
lyct.edu.cn
洛阳市
广东水利电力职业技术学院
gdsdxy.edu.cn
CERNIC累计域名注册月统计图
(1995年12月-2000年12月)
CERNIC累计IP地址分配月统计图
(1993年9月-2000年12月)
《互联网信息服务管理办法》
中华人民共和国国务院
第一条为了规范互联网信息服务活动,促进互联网信息服务健康有序发展,制定本办法。
第二条在中华人民共和国境内从事互联网信息服务活动,必须遵守本办法。本办法所称互联网信息服务,是指通过互联网向上网用户提供信息的服务活动。
第五条从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务,依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的,在申请经营许可或者履行备案手续前,应当依法经有关主管部门审核同意。
第十二条互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。
第十三条互联网信息服务提供者应当向上网用户提供良好的服务,并保证所提供的信息内容合法。
第十五条互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:(一)反对宪法所确定的基本原则的;(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;(三)损害国家荣誉和利益的;(四)煽动民族仇恨、民族歧视,破坏民族团结的;(五)破坏国家宗教政策,宣扬邪教和封建迷信的;(六)散布谣言,扰乱社会秩序,破坏社会稳定的;(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;(八)侮辱或者诽谤他人,侵害他人合法权益的;(九)含有法律、行政法规禁止的其他内容的。
第十六条互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
第十七条经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作,应当事先经国务院信息产业主管部门审查同意;其中,外商投资的比例应当符合有关法律、行政法规的规定。
第十八条国务院信息产业主管部门和省、自治区、直辖市电信管理机构,依法对互联网信息服务实施监督管理。新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门,在各自职责范围内依法对互联网信息内容实施监督管理。
第二十一条未履行本办法第十四条规定的义务的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,责令停业整顿或者暂时关闭网站。
第二十二条违反本办法的规定,未在其网站主页上标明其经营许可证编号或者备案编号的,由省、自治区、直辖市电信管理机构责令改正,处5000元以上5万元以下的罚款。
第二十四条互联网信息服务提供者在其业务活动中,违反其他法律、法规的,由新闻、出版、教育、卫生、药品监督管理和工商行政管理等有关主管部门依照有关法律、法规的规定处罚。
第二十五条电信管理机构和其他有关主管部门及其工作人员,玩忽职守、滥用职权、徇私舞弊,疏于对互联网信息服务的监督管理,造成严重后果,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开除的行政处分。
第二十六条在本办法公布前从事互联网信息服务的,应当自本办法公布之日起60日内依照本办法的有关规定补办有关手续。
第二十七条本办法自公布之日起施行。
《互联网电子公告服务管理规定》
信息产业部
第一条为了加强对互联网电子公告服务(以下简称电子公告服务)的管理,规范电子公告信息发布行为,维护国家安全和社会稳定,保障公民、法人和其他组织的合法权益,根据《互联网信息服务管理办法》的规定,制定本规定。
第二条在中华人民共和国境内开展电子公告服务和利用电子公告发布信息,适用本规定。本规定所称电子公告服务,是指在互联网上以电子布告牌、电子白板、电子论坛、网络聊天室、留言板等交互形式为上网用户提供信息发布条件的行为。
第三条电子公告服务提供者开展服务活动,应当遵守法律、法规,加强行业自律,接受信息产业部及省、自治区、直辖市电信管理机构和其他有关主管部门依法实施的监督检查。
第四条上网用户使用电子公告服务系统,应当遵守法律、法规,并对所发布的信息负责。
第六条开展电子公告服务,除应当符合《互联网信息服务管理办法》规定的条件外,还应当具备下列条件:(一)有确定的电子公告服务类别和栏目;(二)有完善的电子公告服务规则;(三)有电子公告服务安全保障措施,包括上网用户登记程序、上网用户信息安全管理制度、技术保障设施;(四)有相应的专业管理人员和技术人员,能够对电子公告服务实施有效管理。
第七条已取得经营许可或者已履行备案手续的互联网信息服务提供者,拟开展电子公告服务的,应当向原许可或者备案机关提出专项申请或者专项备案。省、自治区、直辖市电信管理机构或者信息产业部,应当自收到专项申请或者专项备案材料之日起60日内进行审查完毕。经审查符合条件的,予以批准或者备案,并在经营许可证或备案文件中专项注明;不符合条件的,不予批准或者不予备案,书面通知申请人并说明理由。
第八条未经专项批准或者专项备案手续,任何单位或者个人不得擅自开展电子公告服务。
第九条任何人不得在电子公告服务系统中发布含有下列内容之一的信息:(一)反对宪法所确定的基本原则的;(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;(三)损害国家荣誉和利益的;(四)煽动民族仇恨、民族歧视,破坏民族团结的;(五)破坏国家宗教政策,宣扬邪教和封建迷信的;(六)散布谣言,扰乱社会秩序,破坏社会稳定的;(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;(八)侮辱或者诽谤他人,侵害他人合法权益的;(九)含有法律、行政法规禁止的其他内容的;
第十条电子公告服务提供者应当在电子公告服务系统的显著位置刊载经营许可证编号或者备案编号、电子公告服务规则,并提示上网用户发布信息需要承担的法律责任。
第十一条电子公告服务提供者应当按照经批准或者备案的类别和栏目提供服务,不得超出类别或者另设栏目提供服务。
第十二条电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外。
第十三条电子公告服务提供者发现其电子公告服务系统中出现明显属于本办法第九条所列的信息内容之一的,应当立即删除,保存有关记录,并向国家有关机关报告。
第十六条违反本规定第八条、第十一条的规定,擅自开展电子公告服务或者超出经批准或者备案的类别、栏目提供电子公告服务的,依据《互联网信息服务管理办法》第十九条的规定处罚。
第十七条在电子公告服务系统中发布本规定第九条规定的信息内容之一的,依据《互联网信息服务管理办法》第二十条的规定处罚。
第十八条违反本规定第十条的规定,未刊载经营许可证编号或者备案编号、未刊载电子公告服务规则或者未向上网用户作发布信息需要承担法律责任提示的,依据《互联网信息服务管理办法》第二十二条的规定处罚。
第十九条违反本规定第十二条的规定,未经上网用户同意,向他人非法泄露上网用户个人信息的,由省、自治区、直辖市电信管理机构责令改正;给上网用户造成损害或者损失的,依法承担法律责任。
第二十条未履行本规定第十三条、第十四条、第十五条规定的义务的,依据《互联网信息服务管理办法》第二十一条、第二十三条的规定处罚。
第二十一条在本规定施行以前已开展电子公告服务的,应当自本规定施行之日起60日内,按照本规定办理专项申请或者专项备案手续。
第二十二条本规定自发布之日起施行。
李嘉诚捐资千万美元支持未来互联网研究
教育部亦向我校提供五百万美元配套资金
(鲍龙)
香港特区著名爱国实业家、长江实业集团董事局主席李嘉诚先生9月22日向清华大学捐赠1000万美元,支持我校建设中国未来资讯科技发展的重要研究基地--未来互联网络技术研究中心;教育部也将提供500万美元的配套资金,通过中心设在我校的中国教育和科研计算机网,在全国范围进行未来互联网技术的研究。
据悉,未来互联网Internet2技术在传输速率、安全性、稳定性、功能等各方面,都比现在的互联网具有优势。以Internet2技术运行的网络,速度比现在的互联网快1000倍以上;而且,Internet2可广泛应用于医疗保健、国家安全、远程教学、能源研究、生物医学、环境监测、制造工程等领域。全世界一百七十多所大学与企业及政府合作,正在研究开发最先进的互联网应用及技术。而我国在这一领域的研究尚处于起步阶段。
我校负责建设的未来互联网络技术研究中心,建筑面积逾3万平方米。它落成后,不仅可为Internet2技术的研究提供基础设施,而且将作为Internet2的运作示范中心,与美国Internet2及世界其它先进信息网络相互连接,成为我国先进信息技术的研究基地。
教育部副部长韦钰院士、我校校长王大中院士等出席了捐赠仪式。仪式前,李嘉诚先生等听取了我校专家关于网络技术和光纤通讯发展情况的介绍,参观了生物芯片实验室。随后,李嘉诚还饶有兴致地在物理系报告厅,利用互联网与tom.com网友在"聊天室"进行了交流。
《新清华》2000年9月29日
CERNIC提供IPv6地址分配服务
中国教育和科研计算机网CERNET
第七届学术年会召开
10月24-28日,中国教育和科研计算机网CERNET2000年年会―第七届学术年会在上海召开,250多个高校与研究机构的500余名代表出席会议。大会开幕式由CERNET管委会成员、上海交通大学副校长沈为平教授主持。
出席本次会议的领导有:教育部科技司副司长袁成琛,CERNET管委会主任、清华大学副校长梁尤能教授,教育部科技司信息化处处长杨冬占,教育部科技发展中心副主任李志民,上海市教育委员会科技处处长蒋红,上海国民经济信息化办公室信息化处副处长顾晓忠,CERNET专家委员会主任、CERNET网络中心主任吴建平教授,CERNET专家委员会副主任、华南理工大学张凌教授、CERNET专家委员会副主任、电子科技大学雷维礼教授、CERNET专家委员会委员、华东南地区网络中心常务副主任汪为农教授等。
一年一度的CERNET年会是CERNET与广大用户进行直接、面对面交流的好机会,也是促进CERNET发展一个重要的方式。此次会议上,来自CERNET各用户单位、国内外知名IT产品提供商的代表就网络建设、网络技术和网络应用方面的情况进行了广泛的交流。
近一年以来,在教育部、国家有关部门和CERNET全体联网单位和用户的支持下,经过全体人员的共同努力,CERNET又获得了更大的成绩。
国家"211工程"《CERNET地区网络和重点学科信息服务体系》建设已经完成,目前试运行良好,正在准备鉴定验收。在这项工作中,CERNET完成了八大地区网络中心的升级和扩容,完成了24个地区主节点的建设,建成了一个大型的中国教育信息搜索学院,建成了20多个分布式的重点学科信息服务系统,已经开始在全国高校的学科建设中发挥了作用。这项工程使CERNET完成了基本体系和构架的建设,具有了连接全国所有高校的能力。
CERNET还支持和保障了一批网络应用项目。例如,全国网上招生录取系统在2000年普通高等学校招生和录取工作中发挥了相当好的作用。另外,在国务院领导直接关心下,CERNET实现了与中国电信为代表的国内几大网之间的成功互联,促进了国家信息化建设的发展。
下一带互联网研究工作进展顺利。CERNET在全国第一个实现了与国际下一代高速网INTERNET2的互联,目前国内仅有CERNET的用户可以顺利地直接访问INTERNET2的资源。
由于完成了上述几方面的工作,CERNET的发展跃上了一个新台阶。CERNET的主干网带宽已从原来的2M升至大部分155M,部分达到2.5G。国际带宽从16M升至100M以上,联网单位数从1999年底的500个增至750个,联网主机数从30万台增至80万台,联网用户数从200万增至400万左右,为国家的信息化建设进程做出了自己的贡献。
虽然取得了骄人的成绩,但目前CERNET仍然面临许多困难,如:CERNET高速主干网建设工程中,光纤供应不能保证,建设施工难度大;从省网到联网单位的联接没有很好地解决;对于国际流量的计费方法,尚存在一些不同意见。在新的一年,CERNET将加快建设高速宽带接入网,并不断提高服务质量,为用户提供更为廉价、优质的网络服务。
中国教育和科研计算机网CERNET主干网升级工程
项目验收会举行
12月26日上午,受国家计委委托,由教育部主持的"中国教育和科研计算机网CERNET主干网升级工程"项目验收会在清华大学举行。"中国教育和科研计算机网CERNET升级工程"项目验收委员会全体委员,教育部科技司杨东占处长、CERNET专家委员会全体成员以及项目承担单位的代表共30多人出席了会议。会议由项目验收委员会主任陈太一院士、教育部科技司杨东占处长和主持。
国家重点工业性试验项目"中国教育和科研计算机网CERNET主干网升级工程"1998年3月由国家计委正式批复立项。该项目由教育部主持,清华大学等19所高校共同承担建设。该工程采用卫星通信技术升级CERNET主干网。项目建设的主要目的是根据各地的实际情况,组成由DDN信道和卫星信道联合使用的主干网,配套建设全国网络中心卫星通信站和地区网络中心卫星通信站、配套建设边远地区节点和卫星通信移动站,同时建设一批网络管理和网络安全系统。
该项目完全由承担单位自行设计、自行实施建设,在设计和实施的过程中采用了当前国际先进技术。例如针对卫星线路在传送IP信息存在的弱点,采用了同步多址体制、双层前向纠错、策略性路由等关键技术,在全国建成了22个卫星地面站,系统的整体功能和性能达到了设计要求。
经过一年多的实际应用,该项目已经产生了明显的社会效益和经济效益。1999年CERNET支持了全国的网上高考录取;针对东北长春、哈尔滨、大连各个节点DDN无法提速的困难,CERNET开通了东北地区4个节点的卫星通道,解决了该地区的燃眉之急;使用卫星通信技术迅速提升了西部11个省市区的接入容量。在加速进行西部大开发的今天,CERNET主干网升级工程将对边远地区教育水平的提高起到重大的推动作用。
项目验收委员会认为:"中国教育和科研计算机网CERNET主干网升级工程"按照立项中规定的内容和要求已经基本完成,在系统规模、线路速率、卫星系统的运行管理和维护体系等方面超过了原立项的要求,并一致同意该项目通过验收。
"中国教育和科研计算机网CERNET主干网升级工程"项目的完成使CERNET主干网地面DDN信道和空中卫星信道相互补充,形成"天地合一"的格局,从而扩展了CERNET的接入能力,提高了主干网的速率和可靠性;CERNET升级工程的完成及时解决了CERNET发展过程中通信线路严重不足的问题,使我国边远地区的高校接入CERNET更加方便快捷,将使CERNET真正成为我国各类高等学校、中小学和各级教育管理部门实现信息交流、信息共享的公共基础设施。
Internet上电子商务系统的安全保密技术
张玉清
(清华大学信息网络工程研究中心E-mail:zhangyq@cernet.edu.cn)
1电子商务的大趋势
传统的电子商务采用EDI、ATM(自动支付机)、信用卡等方式实现日常的商务活动,从现在的信息技术水平来看,它们存在下述缺点:1)耗时;2)成本高,3)连通性有限。
随着国际互联网Internet网络技术的普及应用,整个国家或地区及全球性的网上交易成为可能且逐步成熟。近年来,美国,加拿大等国家通过电脑联网从事商品买卖,进行股票交易和拍卖商品已成为普通现象。
电子商务引发了新一轮的网络应用热潮。据美国IBM公司对全球1000家企业所做的调查,1997年以前,只有4%的企业实现了网上的电子交易(仅指在线交易),然而到1997年第二季度就上升到9%,调查显示,到1998年底这个数字将上升到42%。目前全球46%的大型企业已在Internet上开展业务,据IDC预测,2000年全球电子商务的贸易额将达到1000亿美元(1996年仅为10亿美元)。电子商务将是下一个世纪最大的商业领域。
但是目前已有许多案例表明,在全球Internet网上尚不能为提供电子商务所需的安全和可靠性。保证安全和可靠性是发展Internet电子商务的主要障碍和关键。
由于Internet网的全球性、开放性、无缝连通性、共享性、动态性发展,使得任何人都可以自由地接入Internet,其中有善者,也有恶者。恶者会采用各种攻击手段对电子商务进行破坏活动,如:1)中断;2)窃听;3)窜改;4)伪造等。
在Internet这个跨国、跨洲、覆盖全球、无所不包的、有着数千万用户的Internet上,要想进行集中统一管理、控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、保证通信的可靠性和敏感信息的安全保密、提供源和目标的认证、实施法律意义上的公证和仲裁,即使不是不可能的,也是极难实现的。对此严峻现实需要有清醒的认识。提高自卫能力,除了加强制度,法规等管理措施外,还要以现代化安全保密科学知识武装自已,强化我们信息系统的安全保密能力,这是在现代国际性信息大社会中生存的必由之路。
Intranet(内域网)是将Internet的网络技术用于单位、部门和企业专用网的产物。在Internet环境发展新型电子商务,最根本的是要发展各商家,各部门的Intranet;而要解决Internet电子商务的安全问题,本质上是要解决Intranet的安全问题。
2电子商务的安全性要求
电子商务的一个至关重要的问题是,在Internet上的客户、商家和银行会丢失什么?他们必须信赖的是谁?谁来承担这类风险?已提出的大批用于Internet电子商务协议回答这些问题。通过广泛的检验这些协议表明,在电子商务中客户可能会损失他们的金钱和秘密。为了保护他们的隐私和金钱,Internet的交易必须做到安全、可靠和匿名。
匿名和安全保密性是彼此不同但又相互关联的特性。保密性意味信息的主人可以控制信息,安全性要完全控制信息。匿名意味找不到信息的主人,即身份与信息不关联,匿名保证个人隐私(匿名货币可能带来一些风险,如传送匿名恐吓信和接受有关赎金、匿名敲诈、逃税等)。
如前所述,信息安全性是成功发展电子商务的一个决定性因素。客户、商家、银行、信用卡公司、要通过Internet进行交易,都必须有足够高的安全性。最主要的有:
1)安全支付机构,以处理各种类型支付信息的传递和处理,诸如信用卡、电子支票、借贷卡(debitcard)和数字货币。
2)提供不可否认商业交易,要能保证A的订货、B收的货款、B的发货、A收到货等都应具有不可否认性,可通过对各消息源的认证和签字技术实现。
3)保证经过Internet传递的数据的完整性,才能可靠地进行Internet商业。由数据完整性和保密性技术实现。
4)在Internet商业系统的基础设施中还应包括一些可信赖机构。例如帮助证明客户身份的机构,客户可将X.509的证书向商店出示。为此要建立一个合法的发行X.509证书的机构,在Internet网可能有多个这样的机构存在。
这些要求的实现大多要借助于数据的安全保密技术,其中最主要的有:
1)认证性(Authentication):正确识别消息源或发信人的身份,防止主动攻击。有两种类型认证,一是TCP/IP应用联机认证,如TELNET,FTP等,一般要输入IP和口令;二是要求对消息、转汇和e-mail的源的认证。
3)数据完整性(dataintegrity):传送或存贮的信息仅由受权人修改(写入、变动、改变状态和次序、删除、嵌入、创建、延迟或重复等)。分面向连通的与无连通的两种业务,可恢复和不可恢复性业务。
4)不可否认性(nonrepudiation):消息发送者和接收者均不能否认一个消息的传送事实。
5)接入(或访问)控制(accesscontrol):控制对信息源或目的系统的访问。
6)可用性(availability):受权者需要时,系统能随机提供服务,(包括功能、效率、兼容、方便、安全和可维护性等)。
7)安全协议(secureprotocol)为实现各类安全业务而制定的各种通信规程。
8)防火墙(firewall)。控制Intranet和internet的连通,保证Intranet的安全和保密。
9)知识产权保护(protectionofknowlegeownership)。
3电子商务安全保密技术的研究内容
依据电子商务对安全性要求,以下内容将是国内信息安全人士所要重点研究的领域:
(1)适用于中国电子商务系统的密码算法
内容:·数据加密的标准算法;·数据签名的标准算法;·数据散列的标准算法;·伪随机数生成算法;·匿名签名算法;·密钥托管与分配体制;·密码算法的数学理论与基础。
(2)适用于中国电子商务系统的层次结构
内容:·中国电子商务系统的安全体系;·与全球电子商务系统的连通兼容和安全保密的关系·电子商务系统安全体系中的防火墙技术·电子商务系统安全体系中的认证和接入控制系统;·电子商务系统的可信赖机构;·电子商务系统安全体系中的密钥管理技术;·电子商务系统安全体系中的各类安全协议;·电子货币的实现技术与方法。
4结论
电子商务已成为替代传统商务的新的趋势,而在电子商务中,保障交易的安全性和可靠性是最基本的目标,这就要求在安全保密技术上进行深入的研究和开发,从而为我国建立Internet上电子商务应用系统打下坚实的基础。
CERNET网络安全应急响应服务
段海新张千里
(清华大学信息网络工程研究中心北京100084)
本文首先讨论了Internet安全问题的起因,然后简要地介绍了国内外网络安全事件应急响应服务的背景,最后,重点介绍了中国教育和科研计算机网络(CERNET)应急响应组CCERT运行一年来的经验和体会。
Internet安全的概念和问题的根源
Internet安全问题的产生,首先是由于在Internet研究、设计、实现与运营管理的各个阶段,人们没有把安全作为一个主要的因素考虑在内。Internet最早的用户是少量的研究人员,彼此之间基本都是相互信任的。比如,有关TCP/IP协议的大多数RFC总是以"本备忘录中不讨论安全问题"(Securityissuesarenotdiscussedinthismemo)的说明为结尾。
另一方面的原因在于,网络协议的开放性、系统的通用性以及攻击工具的易用性,使得通过Internet互连的系统都是可访问的,与地理位置和软硬件平台无关。系统的通用性使得系统的行为是可预知的,某一系统的缺陷很有可能在另外一个系统中重现。另外,各种攻击工具在网络中广泛散发,使得即使是网络的入门者也可能对网络造成很大的威胁。
Internet没有一个集中的管理权威和统一的安全政策,也是安全问题的重要因素之一。各管理域虽然基于一定的信任与合作关系,但仍然各自为政。各管理域有不同的安全需求、安全策略,也有不同强度的安全保护措施,一个管理域中被认为合法的行为可能给另一个管理域造成很大的危害。
计算机应急响应服务的国内外发展情况
1988年,在Internet上自我复制和传播的Morris蠕虫程序导致当时Internet上10%的主机瘫痪,成为网络安全史上的具有里程碑性质的案例,也直接导致了计算机网络应急服务组织的诞生。Morris事件一方面使人们意识到基于TCP/IP的Internet竟然如此脆弱;另一方面,人们也感到Internet上的安全事件不再局限于某一站点和局域网,然而人们在这种事件面前缺乏快速响应和协调一致的能力。
1.国外的历史和现状
就在CERT/CC成立后不久,随着Internet的飞速发展,美国和世界各地都成立了大量的CSIRT组织,面向不同的用户群体,性质也各不相同。如地区性的、特定厂商产品的、商业性的、学术性的等等,这些组织一般统称为IRT或CSIRT。在这种情况下,NIST联合CERT/CC、CIAC、NASA,以及其他IRT组织一起,成立了事件响应与安全组论坛(FIRST)。
2.国内背景和现状
我国早期的计算机安全事件的应急7响应工作主要包括计算机病毒防范和千年虫问题的解决,但是关于网络安全事件响应工作起步较晚。1999年5月,在CERNET建成5周年之际,清华大学信息网络工程研究中心成立了中国第一个专门从事网络安全应急响应的组织-中国教育和科研计算机网络安全应急响应组CCERT。1999年10月,东南大学网络中心成立了CERNET华东(北)地区安全事件响应组NJCERT。另外,ChinaNet等许多部门也在组建类似的组织从事安全事件的应急处理工作,一些专业的网络安全公司,如启明星辰、新泰网安、东方博远等公司也在开展商业性的安全咨询和救援服务。
在这种情况下,国家计算机网络与信息安全管理中心(简称国信安办)成立了中国计算机安全应急响应组协调中心(CN-CERT/CC),为各行业、部门和公司的应急响应组协调和交流提供便利条件,同时为政府等重要部门提供应急响应服务。在CN-CERT/CC的协调与支持下,国内应急响应组织之间已经展开了一些内部的协调活动,并开始参与国际交流。
3.应急响应组织(IRT)的分类、服务和特点
国内外现有安全事件应急响应组织大概可以分5类:第一类是网络服务提供商的IRT组织,如CERNET的CCERT,主要为CERNET的接入用户提供增值的服务;第二类为企业或政府组织的IRT组织,如美国联邦的FedCIRC、美国银行的BACIRT(BankofAmericaCIRT)等;第三类是厂商IRT,如Sun、Cisco等公司的响应组,主要为本公司产品的安全问题提供响应和支持;第四类为商业化的IRT,面向全社会提供商业化的安全救援服务;第五类是一些国内或国际间的协调组织如FIRST、CN-CERT/CC等。有些IRT既是协调组织,同时又提供服务,如CERT/CC。
IRT组织都不仅仅坐等安全事件发生以后才去补救,未雨绸缪、防患于未然也是IRT组织的重要服务内容,所以一般还提供安全公告、安全咨询、风险评估、入侵检测、安全技术的教育与培训、入侵追踪等多种服务。就应急响应服务本身而言,由于它具有以下特点使得这一服务非常困难:(1)技术的复杂性与专业性;(2)知识和经验的依赖性;(3)事件的突发性强;(4)需要广泛的协调与合作。
CCERT运行一年来的回顾1.CCERT在网络安全应急响应中的优势
CCERT依托于CERNET,CERNET开展安全事件的应急响应服务有其必然的优势,主要体现在以下几个方面:(1)高速、大规模、免费的网络实验环境;(2)活跃的参与者,主要是对网络安全具有浓厚兴趣的在校大学生、研究生和专业技术人员;(3)可控的网络基础设施。对国际出口、国内链路、路由、IP地址、域名等资源的控制,使CCERT能够为CERNET范围内的安全事件作出快速反应;(4)作为网络服务提供者,直接了解用户的需求;(5)作为教育和科研机构,便于开展国际交流。
2.CCERT所处理的安全事件统计与分析
截止到2000年6月,CCERT共处理2000多份安全事件的报告,其中包括以下三类:(1)1800多起垃圾邮件和邮件炸弹;(2)110多起扫描与拒绝服务(DoS)攻击;(3)50起系统入侵报告。
其次是关于扫描的报告。CERNET环境中的扫描事件可分为两类:一类是关于服务发现的端口扫描,如proxyhunter程序;另一类是试图寻找系统缺陷的恶意扫描,主要包括pop3、sunRPC、Netbios、imap、SOCKS等缺陷的扫描,这种扫描一般是系统入侵的前兆。针对逐渐增多的恶意扫描,CCERT通过各种渠道发布了关于禁止恶意扫描的公告,对于增强用户的安全意识和规范用户的行为,都起到了积极的作用。
3.常见的问题
事实上,如果加强安全管理、增进管理域之间的协调与合作,安全问题并不像媒体宣传的那样可怕。许多网络安全事件是很容易通过加强管理、增强网络和系统配置来防范的。CCERT在对事件处理过程中发现网络运营者主要存在如下问题:(1)责任不清。许多部门没有一个完整的资产列表,没有一个明确的安全负责人,有些多用户系统有多个系统管理员,有些则找不到。(2)策略不明。很多部门没有明确哪些系统需要保护、需要怎样的保护。(3)管理员安全意识和安全知识不足。许多系统使用默认的安装方式、缺省系统配置,安装之后不打补丁,而且运行着许多不必要的网络服务。(4)多种服务安装在同一台计算机上,如Web/FTP/EMAIL/DNS等。一种服务(如FTP)的缺陷导致黑客入侵常常引起所有的服务终止。
关于增强网络和系统安全配置的建议
CCERT和国外某些组织的实验表明,通过合理配置系统,并关闭不必要的网络服务,99%的利用系统缺陷的入侵是可以防范的。因此在系统和网络安装与运行维护过程中,增强系统的安全配置是最为有效的防范措施。基于此,我们给出常见的操作系统和网络设备的安全配置检查表(checklist)以及相应的参考文档,参见CERNET第七届年会上的报告httǜ鎕ttǜ鎕ttp://www.shnet.edu.cn/。内容主要包括:
(1)Unix、NT等操作系统安装安全配置检查表;(2)路由器安全配置检查表;(3)利用路由器防止拒绝服务攻击;(4)怎样监测系统入侵;(5)怎样从入侵状态中恢复。
网络安全涉及每一个人,网络整体的安全性依赖于所有用户和管理员的安全意识和安全技术的普及,以及各类组织特别是网络管理域之间的协调与合作。在公众网络上,我们既要保护用户不受攻击,又要规范用户的行为,同时不成为攻击行为的中转站。在这一领域,我们的工作还任重道远。