網站主小台哥 希望藉此資訊安全網頁，從一個在美國矽谷從事資訊安全高科技人員的角度，提供最新的資訊安全技術及讓國人認識、學習資訊安全議題的管道，以建立正確的資訊安全觀念，選讓所有政府機關單位及企業用戶免於被駭的風險。

狗年新春談資訊系統安全 -- 公元2006年網路安全發展之展望 -- New  

2006 security trend prediction -- The year of Dog      Published on [資安人雜誌]

狗年財星高照，在丙戌狗年來臨之際，有很多人都會去找算命先生去算算流年。筆者在此權充張半仙，為資訊系統網路安全和網路安全產業算算流年，看看它今年之運勢如何，並預測網路安全未來的發展方向。 

天狗保平安或火金浮動年？

今年是丙戌狗年，「一元復始，萬象更新。旺旺吠財，狗年福來。」在這個狗年新春的時候，大家都希望狗兒可以爭氣一點，讓2006年成為平安興旺的一年：網際網路上事事平安，電子商務往來和互動安全；而網路安全產業在狗年會財星高照、生意興旺。

然而，狗年天干屬火，地支屬金，火金年屬躁，是一個浮動之年，在網路上人與人的互動以及銀錢的往來等等，在丙戌年容易會有火花產生，到底是網路上的電子商務之資訊系統真的會天狗保平安嗎？還是火金浮動之年的駭客危機造就了資訊安全商機高漲呢？

到底今年資訊系統網路安全和網路安全產業之運勢如何呢？筆者在此權充張半仙，從一個在美國矽谷從事資訊安全高科技人員的角度，來為網路安全批一批八字，算一算流年吧！ 全文之精彩部分見資安人雜誌. . .

• 午夜鐘聲 -- 幽靈死的鬼故事  (Ghost Story on an Unix Server): 

午夜的鐘聲敲響了，關在幽靈死機器房 的鬼都跑出來了，我們且來聽一聽這些 大鬼和小鬼都在談論些什麼樣駭人聽聞 的鬼故事呢？ T

• 合軍聚眾，對抗駭客 ── 打造協同合作式的安全防禦系統 (Collaborative Security Systems Using Web Services) [資訊傳真周刊]

  去年的Nimda電腦病毒事件造就了一個後Nimda的新紀元。 電腦網路安全器材和設備要互通信息，協同合作地共同聯 防，才能對抗那些無惡不作的電腦病毒，而Web服務的技 術正是一個讓眾多廠商在安全上協同合作的最佳機制。 全文之精彩部分見 資訊傳真周刊 第667期. . . .

  然而，在對抗網路上作惡多端的駭客，與敵人相對峙時，最難的莫過於要廠商和廠商聯合在一起協同合作，這不只是在技術和標準上的問題，還牽涉到廠商各自利益的問題。

  正如孫子兵法上所說：「合軍聚眾，交合而舍，莫難於軍事。」在戰場上兩軍對壘，聯合軍隊和部署陣容而佔取有利的地位，進而創造勝利的條件是最困難部分；在商場上要如何說服眾多的網路安全廠商，摒棄私利，共同聯手來對抗那些在網路上以協同合作的方式來入侵的駭容，也是打造協同合作式的整體安全防禦系統最困難部分。

  協同合作是邁向成功的關鍵，在企業的應用程式系統需要協同合作，企業的網路安全防禦系統需要協同合作，網路安全廠商們需要協同合作；在網路上需要協同合作，而在人與人之間又何嘗不是呢？

• Web服務之安全技術及標準，包括XML資料加密、XML 數位簽章、XKMS、SAML、WS-Security等等。
• 　
• 電子簽名非簽名?

  美國參眾議院先後通過立法，給予電子簽名和在紙上文件手寫簽字一樣享有的相同法律地位。 這項以“Electronic Signature Act”為名的法律賦予電子數位簽章與一般簽名具有一樣的效力， 因此現在即使數百萬元的房屋和車船之類交易，或區區數元的購物，在網路上只要附上電子簽名就 完成手續了。

  此一法案同時也設立了電子簽名的標準，並賦予它在合約及文件上的法定地位。這一個法案使消費者對於 線上交易的信心大為增強，這將加速電子交易的成長和發展。 全文詳見 . . . .

  　

• Internet Security -- 企業在Internet上做生意安全嗎？

  Internet原來只是研究人員和程式設計人員互通信息的網路，由於最近幾年來每個月都有上百萬的新用戶湧上這個資訊高速公路的先鋒，使得大企業也想利用這個用戶日益增多的網路來做一些生意，或者利用這個網路來對企業的客戶提供更佳的服務，但問題是到底這個網路安全嗎？ 會不會羊肉吃不成，倒惹了一身羊羶；沒有賺到錢，反而將企業的重要資訊洩露給在這網路上面橫行的電腦宵小呢？

  　

  ---

• 防火牆 Firewall
• 安全政策Security Policy
• 網路安全的基礎工程─資料加密技術 Encryption
• 用 SOCKS 的假道伐虢計
• 安全的資訊及電子商務網路安全等高科技書籍 -- 小台哥網路安全書籍, some security books published by Symon.
• Selected Papers and Presentations By Symon Chang -- 小台哥網路安全之參考資料, some selected security papers published by Symon and Security Conference presentations presented by Symons.

防火牆 -- Firewall

• Sample ICSA Certified links
• ICSA 防火牆安全認證 管理者可以完全信賴這項國際權威機構所完成的測試和認可

安全政策 -- Security Policy

• Internet Security Policy: A Technical Guide - Contents
• IMPLEMENTING INTERNET FIREWALL SECURITY POLICY From Security Division National Institute of Standards and Technology (NIST)
• Sample Information Security Policy of New York State
• A System Security Policy for You by David Milford, SANS
• Defining a Security Policy Presentation by Ann Sun
• Security Policy Checklist by Brion Moss

資料加密技術

本文就資料加密的原理和各種資料加密技術的方法作一番詳細的介紹。

在現階段的 Internet 旋風中，電子商務成為電腦界和企業界注目的新寵，大家 都想利用公眾網路和全球資訊網來作為企業通訊和商務營運的基礎。然而，欲想 要在 Internet 上大展鴻圖，其先決條件就是要有完善的網路通訊安全保密措施。

缺乏保密性可能會導致嚴重的後果，當然會使得一般的消費大眾躊躇不前，不敢 在網上進行電子商務交易。缺乏保密性也帶給企業及網路服務業者許多法律和財 務的影響，在網上的資料如果發生資料竊案，用戶可能會認為企業及網路服務業 者應該要負法律責任，而興起法律訴訟。

其實，網路通訊的安全並不是一個和 Web 網路技術一樣年輕的新技術，以金融機 關來說，很早就採用加密的安全技術來做電匯和通匯傳銀錢往來的線上交易；但 是目前在電子商務的發展之下，商業的程式應用都想要轉移到網路上面來，因此 在電腦網路上安全保密技術的發展也就倍受重視了。

在電腦網路上的安全保密技術，都是建立在資料加密技術上面。

現代的加密技術之中的運算法則已經變得非常的複雜，已經無法用手工來計算加 密了，比較強力的加密技術一定要用電腦或是特殊的硬體器材來加密或是解密； 而大多數的電腦應用則是用電腦軟體來做加密或是解密的運算工作。

用密鑰來加密的密碼術之中，分為兩大類：一種是用對等式密鑰（Symmetric Key） ；另一種是用非對等式的密鑰（Asymmetric Key）的運算法則。

在對等式密鑰的運算法則之中，解開密碼時所用密鑰是和加密時所用的密鑰相同的 ，或者是可以從加密用的密鑰來推算出解密用的密鑰；反之，在非對等式的運算法 則之中，用來加密和解密的是兩個不同的密鑰，而且也無法從一個密鑰的內容去推 算出另外一個密鑰。

由於加密和解密這兩個密鑰毫無關係，因此可以把其中的一個公開，只要另外一個 密鑰不被人知道，就無法破解密碼的內容，所以這又叫做公開密鑰加密法。

在對等式之中，最常用的是DES 和 IDEA；非對等式之中，最著名的是 RSA。

對等式密鑰的運算法則之中，又分成兩大類：一個是串流式加密（Stream Ciphers） ；另一個是區塊加密（Block Ciphers）。用串流式加密程式時，它把欲加密的檔案 看成一連串位元的資料流，將資料流之中的位元一個一個地加密；反之，用區塊加 密程式時，它把欲加密的檔案一塊一塊地處理，例如說將每64個位元切為一個區塊 ，然後將此一定長的區塊一次加密後輸出。

一般來說，對等式加密運算法則在加密和解密運時要比非對等式快很多。以 DES 為例，它要比 RSA 要快一百倍到一萬倍。這有那麼大的差距是在於用軟體程式或是 用特殊高速的硬體去處理。

在實務上，可以將兩種加密方法並用，以達到最佳的效果。例如，用對等式密鑰去加 密一個信息，然後再將其密鑰用非對等式的運算法則去加密。

值得注意的是公開密鑰方式還是有可能被破解的，就算是私人密鑰被保管得很好，沒 有被歹徒拿到，也不能保證歹徒就無法解開密碼。破解各種加密方法是一門專業，在 英文叫做 Cryptanalysis，密碼分析術。

如何利用密碼分析術來強化密碼的安全度，如何發揮密碼術的最高功效，增強其安全度 ，又是另外一個值得探討的話題了。

用 SOCKS 的假道伐虢計

在 Internet 和 Intranet 之間要築起一座安全的橋樑，讓資訊能夠安全地自由流 通；在 Intranet 之內的資訊要有一些簡便的安全措施，以防止內賊的盜竊；在 Extranet 上的重要任務應用程式，要有安全可靠的計劃，才能擔負大責重任。上面 這些都是網路設計師要想採用 Internet 相關技術到企業網路上面時所面臨的挑戰 ，我們要用什麼錦囊妙計來解決它呢？

在三十六計之中有一個「假道伐虢計」，正是一個可以讓網路設計師派上用場，解 決上述難題的錦囊妙計。

在網路設計上的假道伐虢計，是假借網路防火牆的軟體通訊協定 SOCKS 來提供一 個既簡單又功能強大的中間專用軟體（Middleware），使得一些重要的安全措施可 以完成，就像是春秋時代晉獻公借道虞國去攻打虢國一般。

傳統上，SOCKS 最普遍的是被應用來做防火牆，但是 SOCKS 的本身並不是防火牆， 它是一組由 Internet 工程工作小組（IETF）所開發出來的開放軟體開發標準，用 來處理有關網路安全的事宜。如圖一所示，SOCKS 就好像在中間的虞國一樣，它夾 在 Internet 的伺服器和客戶端，對於出入企業網路的資訊提供流程和安全的管理 。

SOCKS 這一個名詞並不是一些英文字頭的縮寫，而是一個和TCP/IP 的 Socket 埠口 有關的安全標準。一般防火牆系統通常是像閘通道（Gateway）一般的作用在 OSI 模式的第七層應用程式上面，對於 TCP/IP 上的高階協定，諸如 TELNET、HTTP、 FTP 和 SMTP 等協定加以管制，而 SOCKS 卻如圖一所示，作用於 OSI 模式的第四 層會期（Session）層上，像一個代理一般，對於客戶端和伺服器端或是主機到主機 之間的聯絡和交易，提供安全上的服務。

由於 SOCKS 係作用於會期層上，因此它是一個提供會期到會期間安全服務的解決方 案，不會受到高層應用程式變更的影響。

SOCKS 的運作原理

SOCKS 主要是用在以 TCP 通訊架構下的主從運算環境。在客戶端的電腦經由居中的 SOCKS 軟體去向伺服器提出要求。這種要求的信息之中，通常都會有伺服的位址、 連接的型式和識別客戶端的 ID 等資訊。當 SOCKS 收到客戶端所送出的要求時，可 以先做一些安全的檢查工作，檢查合格後就代表客戶端在伺服器上面設置適當的通 訊管道；這種特殊的通訊管道名叫代理電路（Proxy Circuit）。

當代理電路設定好了以後，SOCKS 就變成了轉信站，傳遞在客戶和伺服器端之間往 來的信息。對客戶端而言，SOCKS 像是一個隱形人，好像是客戶端直接和伺服器端 通訊一般，對伺服器端而言，SOCKS 就是它的客戶。

SOCKS 資料何處覓？

SOCKS v5 現在已經正式成為 Internet 工程工作小組（IETF）的標準:

• RFC 1928 是有關 SOCKS v5 通訊協定的詳細規範 ，可以在 Internet 上找到
• RFC 1929 是有關 SOCKS v5 之中使用者名字和口令密碼認證工作 的說明文件
• RFC 1961 是一個通用的安全服務應用程式介面（GSS API）認證方法的規範文件 ，對於在SOCKS 之中加入各種認證方法提出完整的 API。
• 在 SOCKS v5 規範之下的技術是一個 Public Domain 的軟體，NEC 是原始程碼和 程式庫的供應廠商，在它 Internet 的大本營上可以直接取得各種相關的文件、程 式碼、問答集和 SOCKS 最新的消息。

如欲即時取得 SOCKS 的最新動態，或欲詢問有關技術上的問題時，也可 以免費地訂閱 SOCKS 電子郵件信箱。訂閱辦法可以在 Internet 上找到 (http://www.socks.nec.com/socksinfo.html) ，舊的書 信也可以在 Internet 上找到， （詳見網址 http://www.socks.nec.com/socksmail/threads.html 及 http://www.socks.nec.com/socks5mail/maillist.html）。

（註：本文原載在 網路通訊雜誌 第 68 期，1997 年 2 月， 最近由作者本人依最新資料更新節錄。）