網(wǎng)絡(luò)安全報(bào)告

1、 計(jì)算機(jī)網(wǎng)絡(luò)安全報(bào) 告 08信管2班 張 欽 欽 200802032236計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展正處在鼎盛時(shí)期。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)步，促進(jìn)了網(wǎng)絡(luò)應(yīng)用的普及。而網(wǎng)絡(luò)應(yīng)用的新需求又推動(dòng)了計(jì)算機(jī)網(wǎng)絡(luò)的新發(fā)展.隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和internet的廣泛普及，信息已經(jīng)成為現(xiàn)代社會(huì)生活的核心。國(guó)家政府機(jī)構(gòu)、各企事業(yè)單位不僅大多建立了自己的局域網(wǎng)系統(tǒng)，而且通過(guò)各種方式與互聯(lián)網(wǎng)相連。通過(guò)上網(wǎng)樹立形象、拓展業(yè)務(wù)，已經(jīng)成為政府辦公、企業(yè)發(fā)展的重要手段。(一)、計(jì)算機(jī)安全的定義 國(guó)際標(biāo)準(zhǔn)化組織（iso）將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的

2、原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說(shuō)的信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。 (二)、影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素 1、網(wǎng)絡(luò)系統(tǒng)本身的問題 目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如unix,ms nt 和windows。黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。具體包括以下幾個(gè)方面：穩(wěn)定性和可擴(kuò)充性方面，由于設(shè)計(jì)的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響；網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)，一

3、是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計(jì)和選型考慮欠周密，從而使其受到影響；網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)，一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計(jì)和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定；缺乏安全策略。許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會(huì)被其他人員濫用；訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯(cuò)誤，從而給他人以可乘之機(jī)； 2、來(lái)自內(nèi)部網(wǎng)用戶的安全威脅

4、來(lái)自內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)用戶的安全威脅，使用者缺乏安全意識(shí)，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失，管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)任在一個(gè)安全設(shè)計(jì)充分的網(wǎng)絡(luò)中，人為因素造成的安全漏洞無(wú)疑是整個(gè)網(wǎng)絡(luò)安全性的最大隱患。網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限 ,利用這些權(quán)限破壞網(wǎng)絡(luò)安全的隱患也是存在的。如操作口令的泄漏 ,磁盤上的機(jī)密文件被人利用，臨時(shí)文件未及時(shí)刪除而被竊取，內(nèi)部人員有意無(wú)意的泄漏給黑客帶來(lái)可乘之機(jī)等，都可能使網(wǎng)絡(luò)安全機(jī)制形同虛設(shè)。 其自然。特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對(duì)內(nèi)部網(wǎng)用戶來(lái)說(shuō)一點(diǎn)作用也不起。 3、缺乏有效的手段

5、監(jiān)視、硬件設(shè)備的正確使用及評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性完整準(zhǔn)確的安全評(píng)估是黑客入侵防范體系的基礎(chǔ)。它對(duì)現(xiàn)有或?qū)⒁獦?gòu)建的整個(gè)網(wǎng)絡(luò)的安全防護(hù)性能作出科學(xué)、準(zhǔn)確的分析評(píng)估，并保障將要實(shí)施的安全策略技術(shù)上的可實(shí)現(xiàn)性、經(jīng)濟(jì)上的可行性和組織上的可執(zhí)行性。網(wǎng)絡(luò)安全評(píng)估分析就是對(duì)網(wǎng)絡(luò)進(jìn)行檢查，查找其中是否有可被黑客利用的漏洞，對(duì)系統(tǒng)安全狀況進(jìn)行評(píng)估、分析，并對(duì)發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡(luò)系統(tǒng)安全性能的過(guò)程。評(píng)估分析技術(shù)是一種非常行之有效的安全技術(shù) 4、黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對(duì)新出現(xiàn)的

6、安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時(shí)，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。(三) 計(jì)算機(jī)網(wǎng)絡(luò)安全的六大指標(biāo)詳述一、 可靠性可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性。可靠性是系統(tǒng)安全的最基于要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)。網(wǎng)絡(luò)信息系統(tǒng)的可靠性測(cè)度主要有三種：抗毀性、生存性和有效性?？箽允侵赶到y(tǒng)在人為破壞下的可靠性。比如，部分線路或節(jié)點(diǎn)失效后，系統(tǒng)是否仍然能夠提供一定程度的服務(wù)。增強(qiáng)抗毀性可以有效地避免因各種災(zāi)害(戰(zhàn)爭(zhēng)、地震等)造成的大面積癱瘓事件。生存性是在隨機(jī)破壞下系統(tǒng)的

7、可靠性。生存性主要反映隨機(jī)性破壞和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)系統(tǒng)可靠性的影響。這里，隨機(jī)性破壞是指系統(tǒng)部件因?yàn)樽匀焕匣仍斐傻淖匀皇А?有效性是一種基于業(yè)務(wù)性能的可靠性。有效性主要反映在網(wǎng)絡(luò)信息系統(tǒng)的部件失效情況下，滿足業(yè)務(wù)性能要求的程度。比如，網(wǎng)絡(luò)部件失效雖然沒有引起連接性故障，但是卻造成質(zhì)量指標(biāo)下降、平均延時(shí)增加、線路阻塞等現(xiàn)象。 可靠性主要表現(xiàn)在硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面。硬件可靠性最為直觀和常見。軟件可靠性是指在規(guī)定的時(shí)間內(nèi)，程序成功運(yùn)行的概率。人員可靠性是指人員成功地完成工作或任務(wù)的概率。人員可靠性在整個(gè)系統(tǒng)可靠性中扮演重要角色，因?yàn)橄到y(tǒng)失效的大部分原因是人為差錯(cuò)造成

8、的。人的行為要受到生理和心理的影響，受到其技術(shù)熟練程度、責(zé)任心和品德等素質(zhì)方面的影響。因此，人員的教育、培養(yǎng)、訓(xùn)練和管理以及合理的人機(jī)界面是提高可靠性的重要方面。環(huán)境可靠性是指在規(guī)定的環(huán)境內(nèi)，保證網(wǎng)絡(luò)成功運(yùn)行的概率。這里的環(huán)境主要是指自然環(huán)境和電磁環(huán)境。 二、可用性可用性是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性。即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性。可用性是網(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能。網(wǎng)絡(luò)信息系統(tǒng)最基本的功能是向用戶提供服務(wù)，而用戶的需求是隨機(jī)的、多方面的、有時(shí)還有時(shí)間要求?？捎眯砸话阌孟到y(tǒng)正常使用時(shí)

9、間和整個(gè)工作時(shí)間之比來(lái)度量。可用性還應(yīng)該滿足以下要求：身份識(shí)別與確認(rèn)、訪問控制(對(duì)用戶的權(quán)限進(jìn)行控制，只能訪問相應(yīng)權(quán)限的資源，防止或限制經(jīng)隱蔽通道的非法訪問。包括自主訪問控制和強(qiáng)制訪問控制)、業(yè)務(wù)流控制(利用均分負(fù)荷方法，防止業(yè)務(wù)流量過(guò)度集中而引起網(wǎng)絡(luò)阻塞)、路由選擇控制(選擇那些穩(wěn)定可靠的子網(wǎng)，中繼線或鏈路等)、審計(jì)跟蹤(把網(wǎng)絡(luò)信息系統(tǒng)中發(fā)生的所有安全事件情況存儲(chǔ)在安全審計(jì)跟蹤之中，以便分析原因，分清責(zé)任，及時(shí)采取相應(yīng)的措施。審計(jì)跟蹤的信息主要包括：事件類型、被管客體等級(jí)、事件時(shí)間、事件信息、事件回答以及事件統(tǒng)計(jì)等方面的信息。) 三、保密性保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過(guò)程，

10、或供其利用的特性。即，防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。保密性是在可靠性和可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段。常用的保密技術(shù)包括：防偵收(使對(duì)手偵收不到有用的信息)、防輻射(防止有用信息以各種途徑輻射出去)、信息加密(在密鑰的控制下，用加密算法對(duì)信息進(jìn)行加密處理。即使對(duì)手得到了加密后的信息也會(huì)因?yàn)闆]有密鑰而無(wú)法讀懂有效信息)、物理保密(利用各種物理方法，如限制、隔離、掩蔽、控制等措施，保護(hù)信息不被泄露)。(四) 網(wǎng)絡(luò)安全問題的根源前面已經(jīng)介紹了網(wǎng)絡(luò)上常見的安全威脅與攻擊，下面來(lái)看一下這些安全問題的根源所在，大體上有物理安全問題、方案設(shè)計(jì)的缺陷、系統(tǒng)的安全漏洞、

11、tcp/ip協(xié)議的安全和人等幾個(gè)方面。4.1 物理安全問題除了物理設(shè)備本身的問題外，物理安全問題還包括設(shè)備的位置安全、限制物理訪問、物理環(huán)境安全和地域因素等。物理設(shè)備的位置極為重要。所有基礎(chǔ)網(wǎng)絡(luò)設(shè)施都應(yīng)該放置在嚴(yán)格限制來(lái)訪人員的地方，以降低出現(xiàn)未經(jīng)授權(quán)訪問的可能性.4.2 方案設(shè)計(jì)的缺陷有一類安全問題根源在于方案設(shè)計(jì)時(shí)的缺陷。由于在實(shí)際中，網(wǎng)絡(luò)的結(jié)構(gòu)往往比較復(fù)雜，為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信，往往要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn)，從而提出更高的網(wǎng)絡(luò)開放性的要求。開放性和安全性正是一對(duì)相生相克的矛盾。 由于特定的環(huán)境往往會(huì)有特定的安全需求，所以不存在可以到處通用的解決方案，往往需要制訂不同的方案。

12、如果設(shè)計(jì)者的安全理論與實(shí)踐水平不夠的話，設(shè)計(jì)出來(lái)的方案經(jīng)常會(huì)出現(xiàn)很多漏洞，這也是安全威脅的根源之一。4.3 系統(tǒng)的安全漏洞隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或后門也不可避免的存在，比如我們常用的操作系統(tǒng)，無(wú)論是windows還是linux幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù)器最典型的如微軟的iis服務(wù)器、瀏覽器、數(shù)據(jù)庫(kù)、等都被發(fā)現(xiàn)過(guò)存在安全隱患?？梢哉f(shuō)任何一個(gè)軟件系統(tǒng)都可能因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在安全漏洞，這也是網(wǎng)絡(luò)安全問題的主要根源之一。 目前我們發(fā)現(xiàn)的安全漏洞數(shù)量已經(jīng)相當(dāng)龐大，據(jù)統(tǒng)計(jì)已經(jīng)接近病毒的數(shù)量。以下列舉了一些典型的安全漏洞，他們?cè)谛掳l(fā)布的

13、系統(tǒng)或已經(jīng)打過(guò)補(bǔ)丁的系統(tǒng)中可能已經(jīng)不再存在，但是了解他們依然具有非常積極的意義！1） 操作系統(tǒng)類安全漏洞操作系統(tǒng)類安全漏洞包括非法文件訪問、遠(yuǎn)程獲得root權(quán)限、系統(tǒng)后門、nis漏洞、finger漏洞、rpc漏洞等 2） 網(wǎng)絡(luò)系統(tǒng)類安全漏洞典型例子包括：cisco ios的早期版本不能抵抗很多拒絕服務(wù)類的攻擊（如land）等3） 應(yīng)用系統(tǒng)類安全漏洞各種應(yīng)用都可能隱含安全缺陷，尤其是較早的一些產(chǎn)品和國(guó)內(nèi)一些公司的產(chǎn)品對(duì)安全問題很少考慮，更是如此，如通過(guò)tcp/ip協(xié)議應(yīng)用mail server、www server、ftp server、dns時(shí)出現(xiàn)的安全漏洞等4.4 tcp/ip協(xié)議的安全問題

14、因特網(wǎng)最初設(shè)計(jì)考慮時(shí)該網(wǎng)不會(huì)因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此他在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在這嚴(yán)重的不適應(yīng)性。作為因特網(wǎng)靈魂的tcp/ip協(xié)議，更存在著很大的安全隱患，缺乏強(qiáng)健的安全機(jī)制，這也是網(wǎng)絡(luò)不安全的主要因素之一。下面我們可以舉tcpip的主要協(xié)議之一ip協(xié)議作為例子來(lái)說(shuō)明這個(gè)問題。ip協(xié)議依據(jù)ip頭中的目的地址項(xiàng)來(lái)發(fā)送ip數(shù)據(jù)包，如果目的地址是本地網(wǎng)絡(luò)內(nèi)的地址，該ip包就被直接發(fā)送到目的地，如果目的地址不在本地網(wǎng)絡(luò)內(nèi)，該ip包就會(huì)被發(fā)送到網(wǎng)關(guān)，再由網(wǎng)關(guān)決定將其發(fā)送到何處，這是ip協(xié)議路由ip包的方法。我們發(fā)現(xiàn)ip協(xié)議在路由ip包時(shí)對(duì)ip頭中提供的ip

15、源地址不做任何檢查，并且認(rèn)為ip頭中的ip源地址即為發(fā)送該包的機(jī)器的ip地址。當(dāng)接收到該包的目的主機(jī)要與源主機(jī)進(jìn)行通信時(shí)，它以接收到的ip包的ip頭中ip源地址作為其發(fā)送的ip包的目的地址，來(lái)與源主機(jī)進(jìn)行數(shù)據(jù)通信。ip的這種數(shù)據(jù)通信方式雖然非常簡(jiǎn)單和高效，但它同時(shí)也是ip的一個(gè)安全隱患，常常會(huì)使tcpip網(wǎng)絡(luò)遭受兩類攻擊，最常見的一類就是服務(wù)拒絕攻擊dos，如前面提到過(guò)的tcpsyn flooding攻擊；ip不進(jìn)行源地址檢驗(yàn)常常會(huì)使tcpip網(wǎng)絡(luò)遭受另一類最常見的攻擊是劫持攻擊，即攻擊者通過(guò)攻擊被攻擊主機(jī)獲得某些特權(quán)，這種攻擊只對(duì)基于源地址認(rèn)證的主機(jī)奏效，基于源地址認(rèn)證是指以ip地址作為安全

16、權(quán)限分配的依據(jù)。4.5 人的因素人是信息活動(dòng)的主體，人的因素其實(shí)是網(wǎng)絡(luò)安全問題的最主要的因素，體現(xiàn)在下面二占1人為的無(wú)意失誤如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)給網(wǎng)絡(luò)安全帶來(lái)威脅。2人為的惡意攻擊人為的惡意攻擊也就是黑客攻擊，這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。黑客活動(dòng)幾乎覆

17、蓋了所有的操作系統(tǒng)，包括unix、windows、linux等。黑客攻擊比病毒破壞更具目 目的性，因而也更具危害性。更為嚴(yán)峻的是，黑客技術(shù)逐漸被越來(lái)越多的人掌握和發(fā)展。目前，世界上有20多萬(wàn)個(gè)黑客網(wǎng)站，這些站點(diǎn)都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而系統(tǒng)、站點(diǎn)遭受攻擊的可能性就變大了。尤其是現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好、殺傷力強(qiáng)，成為網(wǎng)絡(luò)安全的主要威脅之一。1.6 管理上的因素網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要措施。事實(shí)上，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于安全方面的管理。據(jù)it界企業(yè)團(tuán)體itaa的調(diào)查顯示，美國(guó)9

18、0的it企業(yè)對(duì)黑客攻擊準(zhǔn)備不足。目前，美國(guó)7585的網(wǎng)站都抵擋不住黑客的攻擊，約有75的企業(yè)網(wǎng)上信息失竊，其中25的企業(yè)損失在25萬(wàn)美元以上。此外，管理的缺陷還可能出現(xiàn)在系統(tǒng)內(nèi)部人員泄露機(jī)密或外部人員通過(guò)非法手段截獲而導(dǎo)致機(jī)密信息的泄漏，從而為一些不法分子制造了可乘之機(jī)。 (五) 網(wǎng)絡(luò)常見的安全威脅和攻擊手段 在了解安全問題之前，我們先來(lái)研究一下目前網(wǎng)絡(luò)上存在的一些安全威脅和攻擊手段。然后我們?cè)賮?lái)了解一些出現(xiàn)安全問題的根源，這樣我們就可以對(duì)安全問題有一個(gè)很好的認(rèn)識(shí)。迄今為止，網(wǎng)絡(luò)上存在上無(wú)數(shù)的安全威脅和攻擊，對(duì)于他們也存在著不同的分類方法。我們可以按照攻擊的性質(zhì)、手段、結(jié)果等暫且將其分為機(jī)密攻

19、擊、非法訪問、惡意攻擊、社交工程、計(jì)算機(jī)病毒、不良信息資源和信息戰(zhàn)幾類。竊取機(jī)密攻擊：所謂竊取機(jī)密攻擊是指未經(jīng)授權(quán)的攻擊者（黑客）非法訪問網(wǎng)絡(luò)、竊取信息的情況，一般可以通過(guò)在不安全的傳輸通道上截取正在傳輸?shù)男畔⒒蚶脜f(xié)議或網(wǎng)絡(luò)的弱點(diǎn)來(lái)實(shí)現(xiàn)的。常見的形式可以有以下幾種：1） 網(wǎng)絡(luò)踩點(diǎn)（footprinting）攻擊者事先匯集目標(biāo)的信息，通常采用whois、finger等工具和dns、ldap等協(xié)議獲取目標(biāo)的一些信息，如域名、ip地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、相關(guān)的用戶信息等，這往往是黑客入侵之前所做的第一步工作。2） 掃描攻擊掃描攻擊包括地址掃描和端口掃描等，通常采用ping命令和各種端口掃描工具，可以獲

20、得目標(biāo)計(jì)算機(jī)的一些有用信息，例如機(jī)器上打開了哪些端口，這樣就知道開設(shè)了哪些服務(wù)，從而為進(jìn)一步的入侵打下基礎(chǔ)。3） 協(xié)議指紋黑客對(duì)目標(biāo)主機(jī)發(fā)出探測(cè)包，由于不同操作系統(tǒng)廠商的ip協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微的差別（也就是說(shuō)各個(gè)廠家在編寫自己的tcp/ip協(xié)議棧時(shí)，通常對(duì)特定的rfc指南做出不同的解釋），因此各個(gè)操作系統(tǒng)都有其獨(dú)特的響應(yīng)方法，黑客經(jīng)常能確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)。常常被利用的一些協(xié)議棧指紋包括：ttl值、tcp窗口大小、df標(biāo)志、tos、ip碎片處理、icmp處理、tcp選項(xiàng)處理等。4） 信息流監(jiān)視這是一個(gè)在共享型局域網(wǎng)環(huán)境中最常采用的方法。由于在共享介質(zhì)的網(wǎng)絡(luò)上數(shù)據(jù)包會(huì)經(jīng)過(guò)每個(gè)網(wǎng)

21、絡(luò)節(jié)點(diǎn)，網(wǎng)卡在一般情況下只會(huì)接受發(fā)往本機(jī)地址或本機(jī)所在廣播（或多播）地址的數(shù)據(jù)包，但如果將網(wǎng)卡設(shè)置為混雜模式（promiscuous），網(wǎng)卡就會(huì)接受所有經(jīng)過(guò)的數(shù)據(jù)包?；谶@樣的原理，黑客使用一個(gè)叫sniffer的嗅探器裝置，可以是軟件，也可以是硬件）就可以對(duì)網(wǎng)絡(luò)的信息流進(jìn)行監(jiān)視，從而獲得他們感興趣的內(nèi)容，例如口令以及其他秘密的信息。5） 會(huì)話劫持（session hijacking）利用tcp協(xié)議本身的不足，在合法的通信連接建立后攻擊者可以通過(guò)阻塞或摧毀通信的一方來(lái)接管已經(jīng)過(guò)認(rèn)證建立起來(lái)的連接，從而假冒被接管方與對(duì)方通信。非法訪問1） 口令破解可以采用字典破解和暴力破解來(lái)獲得口令。2） ip欺

22、騙攻擊者可以通過(guò)偽裝成被信任的ip地址等方式來(lái)獲取目標(biāo)的信任。這主要是針對(duì)防火墻的ip包過(guò)濾以及l(fā)inux/unix下建立的ip地址信任關(guān)系的主機(jī)實(shí)施欺騙。3） dns欺騙由于dns服務(wù)器相互交換信息的時(shí)候并不建立身份驗(yàn)證，這就使得黑客可以使用錯(cuò)誤的信息將用戶引向錯(cuò)誤主機(jī)。4） 重放攻擊攻擊者利用身份認(rèn)證機(jī)制中的漏洞先把別人有用的信息記錄下來(lái)，過(guò)一段時(shí)間后再發(fā)送出去。5） 非法使用系統(tǒng)資源被某個(gè)非法用戶以未授權(quán)的方式使用6） 特洛伊木馬把一個(gè)能幫助黑客完成某個(gè)特定動(dòng)作的程序依附在某一合法用戶的正常程序中，這時(shí)合法用戶的程序代碼已經(jīng)被改變，而一旦用戶觸發(fā)該程序，那么依附在內(nèi)的黑客指令代碼同時(shí)被激

23、活，這些代碼往往能完成黑客早已指定的任務(wù)。(六) 計(jì)算機(jī)系統(tǒng)安全隱患每年我們都要在計(jì)算機(jī)系統(tǒng)上花費(fèi)上百萬(wàn)美元建立與管理信息，這些信息用于商業(yè)決策、客戶服務(wù)和保持競(jìng)爭(zhēng)力。但是你知不知道這些信息是否安全？簡(jiǎn)單地用一張軟盤就可拷貝下你占有商業(yè)先機(jī)的信息，并且你可能從不會(huì)察覺信息已被偷走，直到競(jìng)爭(zhēng)對(duì)手把你的商業(yè)計(jì)劃作為他們自己的來(lái)宣布。你如何得知怎么樣才是足夠安全？不同的公司以它們自己不同的安全觀點(diǎn)建立了大型計(jì)算機(jī)網(wǎng)絡(luò)，并且經(jīng)常連接到網(wǎng)絡(luò)上工作。這樣不同的信息安全需求，導(dǎo)致確保一個(gè)真正安全的、可審計(jì)的系統(tǒng)非常困難。因特網(wǎng)上電子商業(yè)的導(dǎo)入，提高了企業(yè)加緊保護(hù)他們數(shù)字資源信息安全的需求。目前，計(jì)算機(jī)系統(tǒng)和

24、信息安全問題是it業(yè)最為關(guān)心和關(guān)注的焦點(diǎn)之一。據(jù)icsa統(tǒng)計(jì)，有11的安全問題導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)被破壞，14導(dǎo)致數(shù)據(jù)失密，15的攻擊來(lái)自系統(tǒng)外部，來(lái)自系統(tǒng)內(nèi)部的安全威脅高達(dá)60。由于受到內(nèi)部心懷不滿的職工安放的程序炸彈侵害，omega engineering公司蒙受了價(jià)值900萬(wàn)美元的銷售收入和合同損失，由于受到來(lái)自網(wǎng)絡(luò)的侵襲，citibank銀行被竊了1000萬(wàn)美元，后來(lái)他們雖然追回了750萬(wàn)美元損失，但卻因此失去了7的重要客戶，其聲譽(yù)受到了沉重打擊。這只是人們知道的兩個(gè)因安全問題造成巨大損失的例子，實(shí)際上，更多的安全入侵事件沒有報(bào)告。據(jù)美國(guó)聯(lián)邦調(diào)查局估計(jì)，僅有7的入侵事件被報(bào)告了，而澳大利亞聯(lián)邦

25、警察局則認(rèn)為這個(gè)數(shù)字只有5。因?yàn)樵S多入侵根本沒有被檢測(cè)到，還有一些受到侵襲的企業(yè)由于害怕失去客戶的信任而沒有報(bào)告。那么，為什么當(dāng)今信息系統(tǒng)中存在如此之多的安全隱患，安全問題如此突出呢？這是與計(jì)算機(jī)系統(tǒng)的發(fā)展、當(dāng)今流行系統(tǒng)的設(shè)計(jì)思路、當(dāng)前it系統(tǒng)的使用狀況緊密相關(guān)的。下面，我們從以下幾個(gè)方面簡(jiǎn)要論述。從計(jì)算機(jī)系統(tǒng)的發(fā)展看安全問題安全問題如此突出和嚴(yán)重是與it技術(shù)和環(huán)境的發(fā)展分不開的。早期的業(yè)務(wù)系統(tǒng)是局限于大型主機(jī)上的集中式應(yīng)用，與外界聯(lián)系較少，能夠接觸和使用系統(tǒng)的人員也很少，系統(tǒng)安全隱患尚不明顯 .現(xiàn)在業(yè)務(wù)系統(tǒng)大多是基于客戶/服務(wù)器模式 和internet/intranet網(wǎng)絡(luò)計(jì)算模式的分布式應(yīng)

26、用，用戶、程序和數(shù)據(jù)可能分布在世界的各個(gè)角落，給系統(tǒng)的安全管理造成了很大困難。早期的網(wǎng)絡(luò)大多限于企業(yè)內(nèi)部，與外界的物理連接很少，對(duì)于外部入侵的防范較為容易，現(xiàn)在，網(wǎng)絡(luò)已發(fā)展到全球一體化的internet，每個(gè)企業(yè)的intranet都會(huì)有許多與外部連接的鏈路，如通過(guò)專線連入internet，提供遠(yuǎn)程接入服務(wù)供業(yè)務(wù)伙伴和出差員工訪問等等。在這樣一個(gè)分布式應(yīng)用的環(huán)境中，企業(yè)的數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、www服務(wù)器、文件服務(wù)器、應(yīng)用服務(wù)器等等每一個(gè)都是一個(gè)供人出入的“門戶”，只要有一個(gè)“門戶”沒有完全保護(hù)好忘了上鎖或不很牢固，“黑客”就會(huì)通過(guò)這道門進(jìn)入系統(tǒng)，竊取或破壞所有系統(tǒng)資源。隨著系統(tǒng)和網(wǎng)絡(luò)的

27、不斷開放，供黑客攻擊系統(tǒng)的簡(jiǎn)單易用的“黑客工具”和“黑客程序（bo程序）”不斷出現(xiàn)，一個(gè)人不必掌握很高深的計(jì)算機(jī)技術(shù)就可以成為黑客，黑客的平均年齡越來(lái)越小，現(xiàn)在是1416歲。從計(jì)算機(jī)系統(tǒng)的特點(diǎn)看安全問題在現(xiàn)代典型的計(jì)算機(jī)系統(tǒng)中，大都采用tcp/ip作為主要的網(wǎng)絡(luò)通訊協(xié)議，主要服務(wù)器為unix或windows nt操作系統(tǒng)。眾所周知，tcp/ip和unix都是以開放性著稱的。系統(tǒng)之間易于互聯(lián)和共享信息的設(shè)計(jì)思路貫穿與系統(tǒng)的方方面面，對(duì)訪問控制、用戶驗(yàn)證授權(quán)、實(shí)時(shí)和事后審計(jì)等安全內(nèi)容考慮較少，只實(shí)現(xiàn)了基本安全控制功能，實(shí)現(xiàn)時(shí)還存在一些這樣那樣的漏洞。tcp/ip的結(jié)構(gòu)與基于專用主機(jī)(如ibm es

28、/9000、as/400)和網(wǎng)絡(luò)(如sna網(wǎng)絡(luò))的體系結(jié)構(gòu)相比，靈活性、易用性、開發(fā)性都很好，但是，在安全性方面卻存在很多隱患。tcp/ip的網(wǎng)絡(luò)結(jié)構(gòu)沒有集中的控制，每個(gè)節(jié)點(diǎn)的地址由自己配置，節(jié)點(diǎn)之間的路由可任意改變。服務(wù)器很難驗(yàn)證某客戶機(jī)的真實(shí)性。ip協(xié)議是一種無(wú)連接的通訊協(xié)議，無(wú)安全控制機(jī)制，存在各種各樣的攻擊手段。實(shí)際上，從tcp/ip的網(wǎng)絡(luò)層，人們很難區(qū)分合法信息流和入侵?jǐn)?shù)據(jù)，dos(denial of services，拒絕服務(wù))就是其中明顯的例子。 unix操作系統(tǒng)更是以開放性著稱的，在安全性方面存在許多缺限。我們知道，在用戶認(rèn)證和授權(quán)管理方面，unix操作系統(tǒng)對(duì)用戶登錄的管理是靠

29、用戶名和口令實(shí)現(xiàn)的，一個(gè)用戶可以沒有口令(實(shí)際上，大多數(shù)人都是這么用的)；一個(gè)人只要擁有了合法的用戶名和口令，就可以在任意時(shí)間、從任意地點(diǎn)進(jìn)入系統(tǒng)，同時(shí)登錄的進(jìn)程數(shù)也沒有限制，這些都是安全上的隱患。雖然有的系統(tǒng)對(duì)上述內(nèi)容有一定程度的限制措施，但也需要復(fù)雜的配置過(guò)程，不同系統(tǒng)上配置方法也很不一致，實(shí)際上無(wú)法全面有效地實(shí)施。在對(duì)資源的訪問控制管理方面，unix只有讀、寫和執(zhí)行三種權(quán)限，無(wú)法對(duì)文件進(jìn)行更為細(xì)致的控制。用戶可以寫某個(gè)文件，就能刪除它。而在許多應(yīng)用的環(huán)境下，我們是希望某些用戶只能update文件，不能刪除它的。如果對(duì)文件的控制控制權(quán)限擴(kuò)展到讀、寫、增加、刪除、創(chuàng)建、執(zhí)行等多種，就可以防止

30、惡意或無(wú)意的破壞發(fā)生。unix還缺乏完善有效的跟蹤審計(jì)能力。如一個(gè)用戶企圖多次訪問某敏感資源時(shí)，系統(tǒng)無(wú)法采取強(qiáng)有力的措施處置，管理員也很難發(fā)現(xiàn)。這種情況下，如果能及時(shí)迅速地通知安全管理員，能把該用戶趕出(logout)操作系統(tǒng)，甚至封死該帳戶，使其無(wú)法繼續(xù)登錄，無(wú)疑會(huì)大大加強(qiáng)系統(tǒng)的安全性。另外，不同的unix及unix的不同版本在實(shí)現(xiàn)的過(guò)程中都會(huì)有這樣那樣的bug，其中許多bug是與安全有關(guān)的。80年代中期，internet上流行的著名“蠕蟲”病毒事件就是由unix系統(tǒng)的安全 bug造成的。 廠商在發(fā)現(xiàn)并修正bug后會(huì)把patch放在其公司站點(diǎn)上供用戶下載和安裝，但許多用戶沒有技術(shù)能力和精力理

31、解、跟蹤這些patch并及時(shí)安裝。有的unix操作系統(tǒng)雖然能夠達(dá)到較高的安全級(jí)別，但在缺省安裝和配置中一般采用較低的安全控制，需要進(jìn)行許多配置過(guò)程才能達(dá)到較高的安全級(jí)別。由于水平和精力所限，一般用戶環(huán)境中很難完成這樣精確的安全配置，經(jīng)常存在錯(cuò)誤的配置，導(dǎo)致安全問題。更為嚴(yán)重的是，一臺(tái)unix服務(wù)器上經(jīng)常要安裝很多商業(yè)應(yīng)用軟件，這些軟件大多以root用戶運(yùn)行。而這些軟件往往存在一些安全漏洞或錯(cuò)誤的安全配置，從而導(dǎo)致root權(quán)限被人竊取。所以，我們需要一種系統(tǒng)掃描工具，定期檢查系統(tǒng)中與安全有關(guān)的軟件、資源、patch的情況，發(fā)現(xiàn)問題及時(shí)報(bào)告并給出解決建議。才能使系統(tǒng)經(jīng)常處于安全的狀態(tài)。 (七) 建

32、立網(wǎng)絡(luò)安全屏障,保障企業(yè)信息安全 近年來(lái)internet正以驚人的速度在全球發(fā)展，internet技術(shù)已經(jīng)廣泛滲透到各個(gè)領(lǐng)域，政府全面啟動(dòng)政府上網(wǎng)工程，在網(wǎng)絡(luò)上成立一個(gè)虛擬的政府，在internet上實(shí)現(xiàn)政府的職能工作。企業(yè)加快信息化步伐，以圖向全球擴(kuò)張。然而，由internet的發(fā)展而帶來(lái)的網(wǎng)絡(luò)系統(tǒng)的安全問題，正變得日益突出，“黑客”“肉雞”“掛馬”“ddos攻擊”也成為網(wǎng)絡(luò)上最熱門的詞語(yǔ)。據(jù)統(tǒng)計(jì)，2009年上半年國(guó)內(nèi)被掛馬的網(wǎng)頁(yè)數(shù)量突破2億。從個(gè)人網(wǎng)站到企業(yè)網(wǎng)絡(luò)，從政府網(wǎng)站到流行軟件，無(wú)不受其所害?！昂诳汀币呀?jīng)從原來(lái)的“技術(shù)炫耀”向“職業(yè)化”發(fā)展。中國(guó)互聯(lián)網(wǎng)用戶每年因?yàn)榫W(wǎng)絡(luò)安全損失被“黑掉

33、”的錢財(cái)高達(dá)76億！就目前企業(yè)面臨的安全問題，記者對(duì)安全業(yè)界的領(lǐng)軍企業(yè)紅科網(wǎng)安公司進(jìn)行了深入了解,據(jù)紅科安全專家介紹黑客入侵方式中危害最嚴(yán)重的當(dāng)屬sql注入。 sql注入的實(shí)際意義是利用某些數(shù)據(jù)庫(kù)的外部接口把用戶數(shù)據(jù)插入到實(shí)際的數(shù)據(jù)操作語(yǔ)言當(dāng)中，從而達(dá)到入侵?jǐn)?shù)據(jù)庫(kù)乃至操作系統(tǒng)的目的，很多黑客通過(guò)sql注入交互和命令，利用數(shù)據(jù)庫(kù)實(shí)現(xiàn)木馬植入到網(wǎng)站中。sql注入和緩沖區(qū)溢出漏洞相比，可以繞過(guò)防火墻直接訪問數(shù)據(jù)庫(kù)，進(jìn)一步獲得數(shù)據(jù)庫(kù)所在的服務(wù)器權(quán)限，給企業(yè)造成的損失十分慘重，更使廣大互聯(lián)網(wǎng)用戶深受其害。黑客攻擊方式中危害最嚴(yán)重的當(dāng)屬ddos攻擊。攻擊方式包括：syn變種攻擊，tcp混亂數(shù)據(jù)包攻擊，針對(duì)

34、用udp協(xié)議的攻擊，針對(duì)webserver的多連接攻擊等。黑客制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊，嚴(yán)重時(shí)造成系統(tǒng)死機(jī)。企業(yè)被迫停止服務(wù)，造成的損失無(wú)法估量。 現(xiàn)在企業(yè)的安全意識(shí)相對(duì)薄弱，少數(shù)安全意識(shí)較強(qiáng)企業(yè)在安全部署方面，也還是安全產(chǎn)品的簡(jiǎn)單堆砌，無(wú)法真正保障企業(yè)的網(wǎng)絡(luò)信息安全。面對(duì)黑客攻擊，只有通過(guò)安全產(chǎn)品部署與安全服務(wù)實(shí)施共同架構(gòu)的安全體系。才是解決網(wǎng)絡(luò)安全問題的根本方法。 紅科公司推出的“網(wǎng)站安全保鏢服務(wù)”，“網(wǎng)絡(luò)安全整體解決方案”，“信息安全體系”均針對(duì)各領(lǐng)域企業(yè)的不同安全需求，根據(jù)企業(yè)網(wǎng)絡(luò)的實(shí)際情況提供專家分析，制定相應(yīng)的解決方案。將一切攻擊抵御在紅科公司

35、建立的安全屏障外，真正保障企業(yè)的網(wǎng)絡(luò)信息安全。(八) 安全專家常用的漏洞分析方法漏洞分析是指在代碼中迅速定位漏洞，弄清攻擊原理，準(zhǔn)確地估計(jì)潛在的漏洞利用方式和風(fēng)險(xiǎn)等級(jí)的過(guò)程。扎實(shí)的漏洞利用技術(shù)是進(jìn)行漏洞分析的基礎(chǔ)，否則很可能將不可利用的bug判斷成漏洞，或者將可以允許遠(yuǎn)程控制的高危漏洞誤判成d.o.s型的中級(jí)漏洞。一般情況下，漏洞發(fā)現(xiàn)者需要向安全專家提供一段能夠重現(xiàn)漏洞的代碼，這段代碼被稱作poc(proof of concept)。poc可以是很多種形式，只要能夠觸發(fā)漏洞就行。例如，它可能是一個(gè)能夠引起程序崩潰的畸形文件，也可能是一個(gè)metasploit的exploit模塊。根據(jù)poc的不同

36、，漏洞分析的難度也會(huì)有所不同按照msf標(biāo)準(zhǔn)公布出來(lái)的exploit顯然要比幾個(gè)二進(jìn)制形式的數(shù)據(jù)包容易分析得多。在拿到poc之后，安全專家需要部署實(shí)驗(yàn)環(huán)境，重現(xiàn)攻擊過(guò)程，并進(jìn)行分析調(diào)試，以確定到底是哪個(gè)函數(shù)、哪一行代碼出的問題，并指導(dǎo)開發(fā)人員制作補(bǔ)丁。安全專家常用的分析方法包括：(1)動(dòng)態(tài)調(diào)試：使用ollydbg等調(diào)試工具，跟蹤軟件，從棧中一層層地回溯出發(fā)生溢出的漏洞函數(shù)。所不同按照msf標(biāo)準(zhǔn)公布出來(lái)的exploit顯然要比幾個(gè)二進(jìn)制形式的數(shù)據(jù)包容易分析得多。在拿到poc之后，安全專家需要部署實(shí)驗(yàn)環(huán)境，重現(xiàn)攻擊過(guò)程，并進(jìn)行分析調(diào)試，以確定到底是哪個(gè)函數(shù)、哪一行代碼出的問題，并指導(dǎo)開發(fā)人員制作補(bǔ)丁

37、。安全專家常用的分析方法包括：(1)動(dòng)態(tài)調(diào)試：使用ollydbg等調(diào)試工具，跟蹤軟件，從棧中一層層地回溯出發(fā)生溢出的漏洞函數(shù)。 (2)靜態(tài)分析：使用ida等逆向工具，獲得程序的“全局觀”和高質(zhì)量的反匯編代碼，輔助動(dòng)態(tài)調(diào)試。(3)指令追蹤技術(shù)：我們可以先正常運(yùn)行程序，記錄下所有執(zhí)行過(guò)的指令序列;然后觸發(fā)漏洞，記錄下攻擊狀況下程序執(zhí)行過(guò)的指令序列;最后比較這兩輪執(zhí)行過(guò)的指令，重點(diǎn)逆向兩次執(zhí)行中表現(xiàn)不同的代碼區(qū)，并動(dòng)態(tài)調(diào)試和跟蹤這部分代碼，從而迅速定位漏洞函數(shù)。除了安全專家需要分析漏洞之外，黑客也經(jīng)常需要分析漏洞。比如當(dāng)微軟公布安全補(bǔ)丁之后，全世界的用戶不可能全都立刻patch，因此，在補(bǔ)丁公布后一

38、周左右的時(shí)間內(nèi)，其所修復(fù)的漏洞在一定范圍內(nèi)仍然是可利用的。安全補(bǔ)丁一旦公布，其中的漏洞信息也就相當(dāng)于隨之一同公布了。黑客可以通過(guò)比較分析patch前后的pe文件而得到漏洞的位置，經(jīng)驗(yàn)豐富的黑客甚至可以在補(bǔ)丁發(fā)布當(dāng)天就寫出exploit。鑒于這種攻擊的價(jià)值，補(bǔ)丁比較也是漏洞分析方法中重要的一種，不同的是，這種分析方法多被攻擊者采用。計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進(jìn)行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)等綜合起來(lái)，形成一套完整

39、的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。我們必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強(qiáng)計(jì)算機(jī)立法和執(zhí)法的力度，建立備份和恢復(fù)機(jī)制，制定相應(yīng)的安全標(biāo)準(zhǔn)。此外，由于計(jì)算機(jī)病毒、計(jì)算機(jī)犯罪等技術(shù)是不分國(guó)界的，因此必須進(jìn)行充分的國(guó)際合作，來(lái)共同對(duì)付日益猖獗的計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒等問題。 袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀

40、羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄

41、肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅

42、節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆

43、羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀

44、膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻

45、衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅

46、罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆

47、膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇

48、袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁

49、羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞

50、腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆

51、袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇

52、肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈

53、膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆羅罿莁蒂袁羈蒄蚈螇肇膃蒀蚃肇芆蚆蕿肆莈葿羇肅膇蚄袃肄芀薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膁芆薄螆膀荿莆螞腿肈薂薈膈芁蒞羇膇莃蝕袃膆蒅蒃螈膅膅蚈蚄膅芇蒁羃芄莀蚇衿芃蒂蒀螅節(jié)膁蚅蟻衿莄蒈蚇袈蒆螃羆袇膆薆袂袆羋螂螈裊莀薄蚄羄蒃莇羂羃膂薃袈羃芅莆螄羂蕆薁螀羈膇蒄蚆羀艿蠆