中国教育和科研计算机网

网络信息中心

　　中国教育和科研计算机网网络信息中心（China Education and Research Network Information Center，简称CERNIC）是一个面向全国教育和科研单位的Internet资源注册和管理部门。负责中国教育和科研计算机网CERNET的IP网络地址分配、网络域名注册和网络资源注册，并为CERNET用户提供网络技术支持，对外定期发布CERNET的最新信息等。

　　CERNIC提供的主要服务如下：

　　1、注册服务（URL：http://www.nic.edu.cn/RS/cindex.html）

　　为CERNET用户提供网络资源分配、注册和管理等服务。

　　IP地址分配

　　欲加入CERNET的单位用户应首先与相应的CERNET地区网络中心取得联系，根据本单位的实际需求，如实填写"IP地址申请表"（URL：http://www.nic.edu.cn/RS/templates/ipform），以电子邮件的方式发至CERNET地区网络中心，各地区网络中心所负责的省、自治区和直辖市及相应IP地址申请受理的e-mail地址如表1所示，再由CERNET地区网络中心转交CERNIC进行处理。CERNIC一般在两周内发出IP地址分配结果。

　　域名注册

　　CERNET用户在申请到IP地址，并已经正式与CERNET联网以后，即可以申请EDU.CN下的域名。用户可从CERNIC主页（URL：http://www.nic.edu.cn/RS/templates/domainform）下载域名申请表格，填写后以电子邮件的方式发给CERNET的本地区网络中心，由地区网络中心审核后转交CERNIC处理。在填写表格前请认真阅读"中国教育和科研计算机网EDU.CN网络域名注册办法"（URL：http://www.nic.edu.cn/RS/policy/ policy1.txt）。域名注册的处理周期一般为两周。

　　网络资源注册

　　CERNET用户在从CERNIC申请到域名，并建立自己的局域网和信息资源后，可以通过填写"网络资源注册表格"（URL：http://www.nic.edu.cn/RS/ service.html），申请在CERNET主页上加入此信息资源的链接。

　　2、目录服务（URL：http://www.nic.edu.cn/DS/cindex.html）

　　提供网络资源的目录查询和数据库检索服务。用户可以在CERNET范围内查询有关域名、IP地址空间、人员、主机等信息。

　　3、出版刊物（URL：http://www.edu.cn/cernet/news/）

　　出版季刊《CERNET导报》，定期发布CERNET网络进展。

　　4、信息发布和信息资源建设

　　建立和维护CERNET的信息服务器，如CERNET主页（URL：http://www.edu.cn）、中国SunSITE（URL：http://sunsite.edu.cn）等。

　　5、服务联系

　　热线电话：　　(010)62784049

　　服务/咨询电子邮件信箱：webmaster@net.edu.cn

　　CERNIC通信地址： 　　北京清华大学中央主楼224房间（100084）

表1：CERNET各地区网络中心所负责的省、自治区和直辖市:地区网络中心

　　CERNIC 2000年第四季度新增域名表

CERNIC累计域名注册月统计图

（1995年12月－2000年12月）

CERNIC累计IP地址分配月统计图

（1993年9月－2000年12月）

《互联网信息服务管理办法》

中华人民共和国国务院

　　第一条为了规范互联网信息服务活动，促进互联网信息服务健康有序发展，制定本办法。

　　第二条在中华人民共和国境内从事互联网信息服务活动，必须遵守本办法。本办法所称互联网信息服务，是指通过互联网向上网用户提供信息的服务活动。

　　第三条互联网信息服务分为经营性和非经营性两类。经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。

　　第四条国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的，不得从事互联网信息服务。

　　第五条从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务，依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的，在申请经营许可或者履行备案手续前，应当依法经有关主管部门审核同意。

　　第六条从事经营性互联网信息服务，除应当符合《中华人民共和国电信条例》规定的要求外，还应当具备下列条件：
　　（一）有业务发展计划及相关技术方案；
　　（二）有健全的网络与信息安全保障措施，包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度；
　　（三）服务项目属于本办法第五条规定范围的，已取得有关主管部门同意的文件。

　　第七条从事经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证（以下简称经营许可证）。
　　省、自治区、直辖市电信管理机构或者国务院信息产业主管部门应当自收到申请之日起６０日内审查完毕，作出批准或者不予批准的决定。予以批准的，颁发经营许可证；不予批准的，应当书面通知申请人并说明理由。申请人取得经营许可证后，应当持经营许可证向企业登记机关办理登记手续。

　　第八条从事非经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时，应当提交下列材料：
　　（一）主办单位和网站负责人的基本情况；
　　（二）网站网址和服务项目；
　　（三）服务项目属于本办法第五条规定范围的，已取得有关主管部门的同意文件。省、自治区、直辖市电信管理机构对备案材料齐全的，应当予以备案并编号。

　　第九条从事互联网信息服务，拟开办电子公告服务的，应当在申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时，按照国家有关规定提出专项申请或者专项备案。

　　第十条省、自治区、直辖市电信管理机构和国务院信息产业主管部门应当公布取得经营许可证或者已履行备案手续的互联网信息服务提供者名单。 　　第十一条互联网信息服务提供者应当按照经许可或者备案的项目提供服务，不得超出经许可或者备案的项目提供服务。非经营性互联网信息服务提供者不得从事有偿服务。互联网信息服务提供者变更服务项目、网站网址等事项的，应当提前３０日向原审核、发证或者备案机关办理变更手续。

　　第十二条互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。

　　第十三条互联网信息服务提供者应当向上网用户提供良好的服务，并保证所提供的信息内容合法。

　　第十四条从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存６０日，并在国家有关机关依法查询时，予以提供。

　　第十五条互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息：
　　（一）反对宪法所确定的基本原则的；
　　（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； 　
　　（三）损害国家荣誉和利益的；
　　（四）煽动民族仇恨、民族歧视，破坏民族团结的；
　　（五）破坏国家宗教政策，宣扬邪教和封建迷信的；
　　（六）散布谣言，扰乱社会秩序，破坏社会稳定的；
　　（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；
　　（八）侮辱或者诽谤他人，侵害他人合法权益的；
　　（九）含有法律、行政法规禁止的其他内容的。

　　第十六条互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。

　　第十七条经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作，应当事先经国务院信息产业主管部门审查同意；其中，外商投资的比例应当符合有关法律、行政法规的规定。

　　第十八条国务院信息产业主管部门和省、自治区、直辖市电信管理机构，依法对互联网信息服务实施监督管理。新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门，在各自职责范围内依法对互联网信息内容实施监督管理。

　　第十九条违反本办法的规定，未取得经营许可证，擅自从事经营性互联网信息服务，或者超出许可的项目提供服务的，由省、自治区、直辖市电信管理机构责令限期改正，有违法所得的，没收违法所得，处违法所得３倍以上５倍以下的罚款；没有违法所得或者违法所得不足５万元的，处１０万元以上１００万元以下的罚款；情节严重的，责令关闭网站。违反本办法的规定，未履行备案手续，擅自从事非经营性互联网信息服务，或者超出备案的项目提供服务的，由省、自治区、直辖市电信管理机构责令限期改正；拒不改正的，责令关闭网站。

　　第二十条制作、复制、发布、传播本办法第十五条所列内容之一的信息，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关、国家安全机关依照《中华人民共和国治安管理处罚条例》、《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规的规定予以处罚；对经营性互联网信息服务提供者，并由发证机关责令停业整顿直至吊销经营许可证，通知企业登记机关；对非经营性互联网信息服务提供者，并由备案机关责令暂时关闭网站直至关闭网站。

　　第二十一条未履行本办法第十四条规定的义务的，由省、自治区、直辖市电信管理机构责令改正；情节严重的，责令停业整顿或者暂时关闭网站。

　　第二十二条违反本办法的规定，未在其网站主页上标明其经营许可证编号或者备案编号的，由省、自治区、直辖市电信管理机构责令改正，处５０００元以上５万元以下的罚款。

　　第二十三条违反本办法第十六条规定的义务的，由省、自治区、直辖市电信管理机构责令改正；情节严重的，对经营性互联网信息服务提供者，并由发证机关吊销经营许可证，对非经营性互联网信息服务提供者，并由备案机关责令关闭网站。

　　第二十四条互联网信息服务提供者在其业务活动中，违反其他法律、法规的，由新闻、出版、教育、卫生、药品监督管理和工商行政管理等有关主管部门依照有关法律、法规的规定处罚。

　　第二十五条电信管理机构和其他有关主管部门及其工作人员，玩忽职守、滥用职权、徇私舞弊，疏于对互联网信息服务的监督管理，造成严重后果，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开除的行政处分。

　　第二十六条在本办法公布前从事互联网信息服务的，应当自本办法公布之日起６０日内依照本办法的有关规定补办有关手续。

　　第二十七条本办法自公布之日起施行。

《互联网电子公告服务管理规定》

信息产业部

　　第一条为了加强对互联网电子公告服务（以下简称电子公告服务）的管理，规范电子公告信息发布行为，维护国家安全和社会稳定，保障公民、法人和其他组织的合法权益，根据《互联网信息服务管理办法》的规定，制定本规定。

　　第二条在中华人民共和国境内开展电子公告服务和利用电子公告发布信息，适用本规定。本规定所称电子公告服务，是指在互联网上以电子布告牌、电子白板、电子论坛、网络聊天室、留言板等交互形式为上网用户提供信息发布条件的行为。

　　第三条电子公告服务提供者开展服务活动，应当遵守法律、法规，加强行业自律，接受信息产业部及省、自治区、直辖市电信管理机构和其他有关主管部门依法实施的监督检查。

　　第四条上网用户使用电子公告服务系统，应当遵守法律、法规，并对所发布的信息负责。

　　第五条从事互联网信息服务，拟开展电子公告服务的，应当在向省、自治区、直辖市电信管理机构或者信息产业部申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时，提出专项申请或者专项备案。

　　省、自治区、直辖市电信管理机构或者信息产业部经审查符合条件的，应当在规定时间内连同互联网信息服务一并予以批准或者备案，并在经营许可证或备案文件中专项注明；不符合条件的，不予批准或者不予备案，书面通知申请人并说明理由。

　　第六条开展电子公告服务，除应当符合《互联网信息服务管理办法》规定的条件外，还应当具备下列条件：
　　（一）有确定的电子公告服务类别和栏目；
　　（二）有完善的电子公告服务规则；
　　（三）有电子公告服务安全保障措施，包括上网用户登记程序、上网用户信息安全管理制度、技术保障设施；
　　（四）有相应的专业管理人员和技术人员，能够对电子公告服务实施有效管理。

　　第七条已取得经营许可或者已履行备案手续的互联网信息服务提供者，拟开展电子公告服务的，应当向原许可或者备案机关提出专项申请或者专项备案。 　　省、自治区、直辖市电信管理机构或者信息产业部，应当自收到专项申请或者专项备案材料之日起６０日内进行审查完毕。经审查符合条件的，予以批准或者备案，并在经营许可证或备案文件中专项注明；不符合条件的，不予批准或者不予备案，书面通知申请人并说明理由。

　　第八条未经专项批准或者专项备案手续，任何单位或者个人不得擅自开展电子公告服务。

　　第九条任何人不得在电子公告服务系统中发布含有下列内容之一的信息：
　　（一）反对宪法所确定的基本原则的；
　　（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；
　　（三）损害国家荣誉和利益的；
　　（四）煽动民族仇恨、民族歧视，破坏民族团结的；
　　（五）破坏国家宗教政策，宣扬邪教和封建迷信的；
　　（六）散布谣言，扰乱社会秩序，破坏社会稳定的；
　　（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；
　　（八）侮辱或者诽谤他人，侵害他人合法权益的；
　　（九）含有法律、行政法规禁止的其他内容的；

　　第十条电子公告服务提供者应当在电子公告服务系统的显著位置刊载经营许可证编号或者备案编号、电子公告服务规则，并提示上网用户发布信息需要承担的法律责任。

　　第十一条电子公告服务提供者应当按照经批准或者备案的类别和栏目提供服务，不得超出类别或者另设栏目提供服务。

　　第十二条电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。

　　第十三条电子公告服务提供者发现其电子公告服务系统中出现明显属于本办法第九条所列的信息内容之一的，应当立即删除，保存有关记录，并向国家有关机关报告。

　　第十四条电子公告服务提供者应当记录在电子公告服务系统中发布的信息内容及其发布时间、互联网地址或者域名。记录备份应当保存６０日，并在国家有关机关依法查询时，予以提供。

　　第十五条互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息，记录备份应保存６０日，并在国家有关机关依法查询时，予以提供。

　　第十六条违反本规定第八条、第十一条的规定，擅自开展电子公告服务或者超出经批准或者备案的类别、栏目提供电子公告服务的，依据《互联网信息服务管理办法》第十九条的规定处罚。

　　第十七条在电子公告服务系统中发布本规定第九条规定的信息内容之一的，依据《互联网信息服务管理办法》第二十条的规定处罚。

　　第十八条违反本规定第十条的规定，未刊载经营许可证编号或者备案编号、未刊载电子公告服务规则或者未向上网用户作发布信息需要承担法律责任提示的，依据《互联网信息服务管理办法》第二十二条的规定处罚。

　　第十九条违反本规定第十二条的规定，未经上网用户同意，向他人非法泄露上网用户个人信息的，由省、自治区、直辖市电信管理机构责令改正；给上网用户造成损害或者损失的，依法承担法律责任。

　　第二十条未履行本规定第十三条、第十四条、第十五条规定的义务的，依据《互联网信息服务管理办法》第二十一条、第二十三条的规定处罚。

　　第二十一条在本规定施行以前已开展电子公告服务的，应当自本规定施行之日起６０日内，按照本规定办理专项申请或者专项备案手续。

　　第二十二条 本规定自发布之日起施行。

李嘉诚捐资千万美元支持未来互联网研究

教育部亦向我校提供五百万美元配套资金

（鲍龙）

　　香港特区著名爱国实业家、长江实业集团董事局主席李嘉诚先生9月22日向清华大学捐赠1000万美元，支持我校建设中国未来资讯科技发展的重要研究基地--未来互联网络技术研究中心；教育部也将提供500万美元的配套资金，通过中心设在我校的中国教育和科研计算机网，在全国范围进行未来互联网技术的研究。

　　据悉，未来互联网Internet2技术在传输速率、安全性、稳定性、功能等各方面，都比现在的互联网具有优势。以Internet2技术运行的网络，速度比现在的互联网快1000倍以上；而且，Internet2可广泛应用于医疗保健、国家安全、远程教学、能源研究、生物医学、环境监测、制造工程等领域。全世界一百七十多所大学与企业及政府合作，正在研究开发最先进的互联网应用及技术。而我国在这一领域的研究尚处于起步阶段。

　　我校负责建设的未来互联网络技术研究中心，建筑面积逾3万平方米。它落成后，不仅可为Internet2技术的研究提供基础设施，而且将作为Internet2的运作示范中心，与美国Internet2及世界其它先进信息网络相互连接，成为我国先进信息技术的研究基地。

　　教育部副部长韦钰院士、我校校长王大中院士等出席了捐赠仪式。仪式前，李嘉诚先生等听取了我校专家关于网络技术和光纤通讯发展情况的介绍，参观了生物芯片实验室。随后，李嘉诚还饶有兴致地在物理系报告厅，利用互联网与tom.com网友在"聊天室"进行了交流。

　　《新清华》2000年9月29日

CERNIC提供IPv6地址分配服务

　　CERNIC提供IPv6地址分配服务。凡具有半年以上6BONE实验网络实际运行经验的CERNET会员均可直接向CERNIC申请正式的IPv6地址。IPv6地址申请表格下载地址http://www.nic.edu.cn/RS/templates/ipv6form。

中国教育和科研计算机网CERNET

第七届学术年会召开

　　10月24－28日，中国教育和科研计算机网CERNET2000年年会―第七届学术年会在上海召开，250多个高校与研究机构的500余名代表出席会议。大会开幕式由CERNET管委会成员、上海交通大学副校长沈为平教授主持。

　　出席本次会议的领导有：教育部科技司副司长袁成琛，CERNET管委会主任、清华大学副校长梁尤能教授，教育部科技司信息化处处长杨冬占，教育部科技发展中心副主任李志民，上海市教育委员会科技处处长蒋红，上海国民经济信息化办公室信息化处副处长顾晓忠，CERNET专家委员会主任、CERNET网络中心主任吴建平教授，CERNET专家委员会副主任、华南理工大学张凌教授、CERNET专家委员会副主任、电子科技大学雷维礼教授、CERNET专家委员会委员、华东南地区网络中心常务副主任汪为农教授等。

　　一年一度的CERNET年会是CERNET与广大用户进行直接、面对面交流的好机会，也是促进CERNET发展一个重要的方式。此次会议上，来自CERNET各用户单位、国内外知名IT产品提供商的代表就网络建设、网络技术和网络应用方面的情况进行了广泛的交流。

　　近一年以来，在教育部、国家有关部门和CERNET全体联网单位和用户的支持下，经过全体人员的共同努力，CERNET又获得了更大的成绩。

　　国家"211工程"《CERNET地区网络和重点学科信息服务体系》建设已经完成，目前试运行良好，正在准备鉴定验收。在这项工作中，CERNET完成了八大地区网络中心的升级和扩容，完成了24个地区主节点的建设，建成了一个大型的中国教育信息搜索学院，建成了20多个分布式的重点学科信息服务系统，已经开始在全国高校的学科建设中发挥了作用。这项工程使CERNET完成了基本体系和构架的建设，具有了连接全国所有高校的能力。

　　高速主干网建设迅速。为了贯彻落实《中共中央、国务院关于深化教育改革、全面推进素质教育的决定》，适应国家《面向21世纪教育振兴行动计划》中远程教育工程的要求，1999年CERNET开始建设自己的高速主干网。该主干网将覆盖全国29个中心城市，总长为两万公里。目前已完成总工程量的40%，即8000多公里的工程量。目前已开通北京－武汉－广州、北京－南京－上海之间2.5G的高速主干网，连接21个城市的中高速地区网（155M）正在紧张的建设之中。目前已有40~50所高校以10M~100M的高速率接入到CERNET主干网。CERNET的高速网络服务平台即认证服务、目录服务、安全服务、时间服务等正在抓紧建设。但由于全国乃至全球的信息网络飞速发展使得光纤等基本原材料，供不应求，加之施工困难，使得部分城市所在的学校还没有实现高速接入，出现了网络建设不能满足用户需求的矛盾。目前，高速网建设工程各承担单位正在全力以赴，在国内有关部门的支持配合下，争取明年上半年完成主要建设目标。

　　CERNET还支持和保障了一批网络应用项目。例如，全国网上招生录取系统在2000年普通高等学校招生和录取工作中发挥了相当好的作用。另外，在国务院领导直接关心下，CERNET实现了与中国电信为代表的国内几大网之间的成功互联，促进了国家信息化建设的发展。

　　下一带互联网研究工作进展顺利。CERNET在全国第一个实现了与国际下一代高速网INTERNET 2的互联，目前国内仅有CERNET的用户可以顺利地直接访问INTERNET 2的资源。

　　由于完成了上述几方面的工作，CERNET的发展跃上了一个新台阶。CERNET的主干网带宽已从原来的2M升至大部分155M，部分达到2.5G。国际带宽从16M升至100M以上，联网单位数从1999年底的500个增至750个，联网主机数从30万台增至80万台，联网用户数从200万增至400万左右，为国家的信息化建设进程做出了自己的贡献。

　　虽然取得了骄人的成绩，但目前CERNET仍然面临许多困难，如：CERNET高速主干网建设工程中，光纤供应不能保证，建设施工难度大；从省网到联网单位的联接没有很好地解决；对于国际流量的计费方法，尚存在一些不同意见。在新的一年，CERNET将加快建设高速宽带接入网，并不断提高服务质量，为用户提供更为廉价、优质的网络服务。

中国教育和科研计算机网CERNET主干网升级工程

项目验收会举行

　　12月26日上午，受国家计委委托，由教育部主持的"中国教育和科研计算机网CERNET主干网升级工程"项目验收会在清华大学举行。"中国教育和科研计算机网CERNET升级工程"项目验收委员会全体委员，教育部科技司杨东占处长、CERNET专家委员会全体成员以及项目承担单位的代表共30多人出席了会议。会议由项目验收委员会主任陈太一院士、教育部科技司杨东占处长和主持。

　　国家重点工业性试验项目"中国教育和科研计算机网CERNET主干网升级工程"1998年3月由国家计委正式批复立项。该项目由教育部主持，清华大学等19所高校共同承担建设。该工程采用卫星通信技术升级CERNET主干网。项目建设的主要目的是根据各地的实际情况，组成由DDN信道和卫星信道联合使用的主干网，配套建设全国网络中心卫星通信站和地区网络中心卫星通信站、配套建设边远地区节点和卫星通信移动站，同时建设一批网络管理和网络安全系统。

　　卫星通信系统具有系统开通快捷、信道速率升级方便、非对称调整容易、覆盖范围广等优点，可以弥补电信部门DDN信道线路资源不足、线路故障修复时间长、覆盖范围有限等弱点，对于我国边远地区高校接入中国教育和科研计算机网有很大的帮助。

　　该项目完全由承担单位自行设计、自行实施建设，在设计和实施的过程中采用了当前国际先进技术。例如针对卫星线路在传送IP信息存在的弱点，采用了同步多址体制、双层前向纠错、策略性路由等关键技术，在全国建成了22个卫星地面站，系统的整体功能和性能达到了设计要求。

　　经过一年多的实际应用，该项目已经产生了明显的社会效益和经济效益。1999年CERNET支持了全国的网上高考录取；针对东北长春、哈尔滨、大连各个节点DDN无法提速的困难，CERNET开通了东北地区4个节点的卫星通道，解决了该地区的燃眉之急；使用卫星通信技术迅速提升了西部11个省市区的接入容量。在加速进行西部大开发的今天，CERNET主干网升级工程将对边远地区教育水平的提高起到重大的推动作用。

　　项目验收委员会认为："中国教育和科研计算机网CERNET主干网升级工程"按照立项中规定的内容和要求已经基本完成，在系统规模、线路速率、卫星系统的运行管理和维护体系等方面超过了原立项的要求，并一致同意该项目通过验收。

　　"中国教育和科研计算机网CERNET主干网升级工程"项目的完成使CERNET主干网地面DDN信道和空中卫星信道相互补充，形成"天地合一"的格局，从而扩展了CERNET的接入能力，提高了主干网的速率和可靠性；CERNET升级工程的完成及时解决了CERNET发展过程中通信线路严重不足的问题，使我国边远地区的高校接入CERNET更加方便快捷，将使CERNET真正成为我国各类高等学校、中小学和各级教育管理部门实现信息交流、信息共享的公共基础设施。

　　（声明：以上所摘录文章仅限内部交流）

Internet上电子商务系统的安全保密技术

张玉清

（清华大学信息网络工程研究中心E-mail:zhangyq@cernet.edu.cn）

　　1电子商务的大趋势

　　传统的电子商务采用EDI、ATM(自动支付机)、信用卡等方式实现日常的商务活动，从现在的信息技术水平来看，它们存在下述缺点：1)耗时；2)成本高，3)连通性有限。

　　随着国际互联网Internet网络技术的普及应用，整个国家或地区及全球性的网上交易成为可能且逐步成熟。近年来，美国，加拿大等国家通过电脑联网从事商品买卖，进行股票交易和拍卖商品已成为普通现象。

　　新的Internet电子商务将可利用世界范围连通的、无中心管理机构、可交互、低成本的Internet发展业务。它的成本低，即时性和互通性好，可以通过WWW查看各个公司所建立Web页面，提供高速、全球分布式在线提供广告、产品目录、服务项目、有关文本和图表等。这为电子商务提供了新的发展机遇，并将给传统商业带来革命。

　　电子商务既是Internet发展到高级阶段的产物，又反过来推动着Internet向新的层次迈进，因为在商品社会中，只有与商业活动息息相关的技术才有生命力。

　　电子商务引发了新一轮的网络应用热潮。据美国IBM公司对全球1000家企业所做的调查，1997年以前，只有4%的企业实现了网上的电子交易（仅指在线交易），然而到1997年第二季度就上升到9%，调查显示，到1998年底这个数字将上升到42%。目前全球46%的大型企业已在Internet上开展业务，据IDC预测，2000年全球电子商务的贸易额将达到1000亿美元（1996年仅为10亿美元）。电子商务将是下一个世纪最大的商业领域。

　　但是目前已有许多案例表明，在全球Internet网上尚不能为提供电子商务所需的安全和可靠性。保证安全和可靠性是发展Internet电子商务的主要障碍和关键。

　　由于Internet网的全球性、开放性、无缝连通性、共享性、动态性发展，使得任何人都可以自由地接入Internet，其中有善者，也有恶者。恶者会采用各种攻击手段对电子商务进行破坏活动，如：1)中断；2)窃听；3)窜改；4)伪造等。

　　在Internet这个跨国、跨洲、覆盖全球、无所不包的、有着数千万用户的Internet上，要想进行集中统一管理、控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、保证通信的可靠性和敏感信息的安全保密、提供源和目标的认证、实施法律意义上的公证和仲裁，即使不是不可能的，也是极难实现的。对此严峻现实需要有清醒的认识。提高自卫能力，除了加强制度，法规等管理措施外，还要以现代化安全保密科学知识武装自已，强化我们信息系统的安全保密能力，这是在现代国际性信息大社会中生存的必由之路。

　　Intranet（内域网）是将Internet的网络技术用于单位、部门和企业专用网的产物。在Internet环境发展新型电子商务，最根本的是要发展各商家，各部门的Intranet；而要解决Internet电子商务的安全问题，本质上是要解决Intranet的安全问题。

　　2电子商务的安全性要求

　　电子商务的一个至关重要的问题是，在Internet上的客户、商家和银行会丢失什么？他们必须信赖的是谁？谁来承担这类风险？已提出的大批用于Internet电子商务协议回答这些问题。通过广泛的检验这些协议表明，在电子商务中客户可能会损失他们的金钱和秘密。为了保护他们的隐私和金钱，Internet的交易必须做到安全、可靠和匿名。

　　可靠性和安全性是相互关联的。电子商务系统的可靠性要是不高则可能被攻破而失窃。可靠性可能要求安全性来提供认证、完整性和不可反驳性(irrefutability)。可靠行不等于安全性，服务器上的可靠协议对攻击者和授权用户都提供可靠的服务。

　　匿名和安全保密性是彼此不同但又相互关联的特性。保密性意味信息的主人可以控制信息，安全性要完全控制信息。匿名意味找不到信息的主人，即身份与信息不关联，匿名保证个人隐私(匿名货币可能带来一些风险，如传送匿名恐吓信和接受有关赎金、匿名敲诈、逃税等)。

　　如前所述，信息安全性是成功发展电子商务的一个决定性因素。客户、商家、银行、信用卡公司、要通过Internet进行交易，都必须有足够高的安全性。最主要的有：

　　1)安全支付机构，以处理各种类型支付信息的传递和处理，诸如信用卡、电子支票、借贷卡(debit card)和数字货币。

　　2)提供不可否认商业交易，要能保证A的订货、B收的货款、B的发货、A收到货等都应具有不可否认性，可通过对各消息源的认证和签字技术实现。

　　3)保证经过Internet传递的数据的完整性，才能可靠地进行Internet商业。由数据完整性和保密性技术实现。

　　4)在Internet商业系统的基础设施中还应包括一些可信赖机构。例如帮助证明客户身份的机构，客户可将X.509的证书向商店出示。为此要建立一个合法的发行X.509证书的机构，在Internet网可能有多个这样的机构存在。

　　这些要求的实现大多要借助于数据的安全保密技术，其中最主要的有：

　　1)认证性(Authentication)：正确识别消息源或发信人的身份，防止主动攻击。有两种类型认证，一是TCP/IP应用联机认证，如TELNET, FTP等，一般要输入IP和口令；二是要求对消息、转汇和e-mail的源的认证。

　　2)保密性(confidentiality)：保证只有授权人才能阅读和使用计算机系统和网中存贮、传递、和显示的信息。防止被动攻击。一般按密级划分受保护信息。

　　3)数据完整性(data integrity)：传送或存贮的信息仅由受权人修改(写入、变动、改变状态和次序、删除、嵌入、创建、延迟或重复等)。分面向连通的与无连通的两种业务，可恢复和不可恢复性业务。

　　4)不可否认性(nonrepudiation)：消息发送者和接收者均不能否认一个消息的传送事实。

　　5)接入(或访问)控制(access control)：控制对信息源或目的系统的访问。

　　6)可用性(availability)：受权者需要时，系统能随机提供服务，(包括功能、效率、兼容、方便、安全和可维护性等)。

　　7)安全协议(secure protocol)为实现各类安全业务而制定的各种通信规程。

　　8)防火墙(firewall)。控制Intranet和internet的连通，保证Intranet的安全和保密。

　　9)知识产权保护（protection of knowlege ownership )。

　　3电子商务安全保密技术的研究内容

　　依据电子商务对安全性要求，以下内容将是国内信息安全人士所要重点研究的领域：

　　（1）适用于中国电子商务系统的密码算法

　　内容：
　　·数据加密的标准算法；
　　·数据签名的标准算法；
　　·数据散列的标准算法；
　　·伪随机数生成算法；
　　·匿名签名算法；
　　·密钥托管与分配体制；
　　·密码算法的数学理论与基础。

　　（2）适用于中国电子商务系统的层次结构

　　内容：
　　·中国电子商务系统的安全体系；
　　·与全球电子商务系统的连通兼容和安全保密的关系
　　·电子商务系统安全体系中的防火墙技术
　　·电子商务系统安全体系中的认证和接入控制系统；
　　·电子商务系统的可信赖机构；
　　·电子商务系统安全体系中的密钥管理技术；
　　·电子商务系统安全体系中的各类安全协议；
　　·电子货币的实现技术与方法。

　　4结论

　　电子商务已成为替代传统商务的新的趋势，而在电子商务中，保障交易的安全性和可靠性是最基本的目标，这就要求在安全保密技术上进行深入的研究和开发，从而为我国建立Internet上电子商务应用系统打下坚实的基础。 　

CERNET网络安全应急响应服务

段海新 张千里

（清华大学信息网络工程研究中心北京100084）

　　计算机网络特别是Internet已经把人们的工作和生活,国家的教育、经济、政治、军事等各行业和部门紧密地联系在一起，逐渐成为整个社会基础设施的重要组成部分。网络安全问题是随着Internet的发展而产生的，近年来得到普遍关注。

　　本文首先讨论了Internet安全问题的起因，然后简要地介绍了国内外网络安全事件应急响应服务的背景,最后,重点介绍了中国教育和科研计算机网络(CERNET)应急响应组CCERT运行一年来的经验和体会。

　　Internet安全的概念和问题的根源

　　Internet安全问题的产生,首先是由于在Internet研究、设计、实现与运营管理的各个阶段，人们没有把安全作为一个主要的因素考虑在内。Internet最早的用户是少量的研究人员，彼此之间基本都是相互信任的。比如，有关TCP/IP协议的大多数RFC总是以"本备忘录中不讨论安全问题"（Security issues are not discussed in this memo）的说明为结尾。

　　另一方面的原因在于，网络协议的开放性、系统的通用性以及攻击工具的易用性,使得通过Internet互连的系统都是可访问的，与地理位置和软硬件平台无关。系统的通用性使得系统的行为是可预知的，某一系统的缺陷很有可能在另外一个系统中重现。另外，各种攻击工具在网络中广泛散发，使得即使是网络的入门者也可能对网络造成很大的威胁。

　　Internet没有一个集中的管理权威和统一的安全政策，也是安全问题的重要因素之一。各管理域虽然基于一定的信任与合作关系，但仍然各自为政。各管理域有不同的安全需求、安全策略，也有不同强度的安全保护措施，一个管理域中被认为合法的行为可能给另一个管理域造成很大的危害。

　　计算机应急响应服务的国内外发展情况

　　1988年，在Internet上自我复制和传播的Morris蠕虫程序导致当时Internet上10%的主机瘫痪，成为网络安全史上的具有里程碑性质的案例，也直接导致了计算机网络应急服务组织的诞生。Morris事件一方面使人们意识到基于TCP/IP的Internet竟然如此脆弱；另一方面，人们也感到Internet上的安全事件不再局限于某一站点和局域网，然而人们在这种事件面前缺乏快速响应和协调一致的能力。

　　1.国外的历史和现状

　　在Morris事件之后的一个星期之内，美国国防部（DoD）在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心（CERT/CC），以协调Internet上的安全事件处理。目前，CERT/CC是DoD资助下的抗毁性网络系统计划（Networked Systems Survivability Program）的一部分，下设三个部门：事件处理、缺陷（Vulnerability）处理、计算机应急事件响应组（CSIRT）。在CERT/CC成立之后的12年里，共处理了28万多份电子邮件，18300个热线电话，帮助了80多个应急响应组织的建设和运行，其中美国联邦政府的应急响应组织FedCIRC的服务就是CERT/CC直接提供的。

　　就在CERT/CC成立后不久，随着Internet的飞速发展，美国和世界各地都成立了大量的CSIRT组织，面向不同的用户群体，性质也各不相同。如地区性的、特定厂商产品的、商业性的、学术性的等等，这些组织一般统称为IRT或CSIRT。在这种情况下，NIST联合CERT/CC、CIAC、NASA，以及其他IRT组织一起，成立了事件响应与安全组论坛（FIRST）。

　　FIRST是IRT组织、厂商、安全学术组织与其他相关团体的集合，现有成员组织80多个，覆盖18个国家和地区。FIRST通过促进多个IRT组织及厂商间的通信与协作，提高计算机的安全性，为IRT组织和其他安全专家提供一个讨论安全缺陷的论坛，共同寻找一个可接受的方案。其他共享信息还包括入侵者使用的方法和技巧，以及建议的草稿等。FIRST的大量工作都是由来自各成员组织的志愿者完成的，从FIRST中获益的比例与IRT愿意提供的贡献成比例。一个IRT要成为FIRST的会员，需要接受两个正式成员一年以上的考察。

　　2.国内背景和现状

　　我国早期的计算机安全事件的应急7响应工作主要包括计算机病毒防范和千年虫问题的解决，但是关于网络安全事件响应工作起步较晚。1999年5月，在CERNET建成5周年之际，清华大学信息网络工程研究中心成立了中国第一个专门从事网络安全应急响应的组织-中国教育和科研计算机网络安全应急响应组CCERT。1999年10月,东南大学网络中心成立了CERNET华东（北）地区安全事件响应组NJCERT。另外，ChinaNet等许多部门也在组建类似的组织从事安全事件的应急处理工作，一些专业的网络安全公司，如启明星辰、新泰网安、东方博远等公司也在开展商业性的安全咨询和救援服务。

　　在这种情况下，国家计算机网络与信息安全管理中心（简称国信安办）成立了中国计算机安全应急响应组协调中心（CN-CERT/CC），为各行业、部门和公司的应急响应组协调和交流提供便利条件，同时为政府等重要部门提供应急响应服务。在CN-CERT/CC的协调与支持下，国内应急响应组织之间已经展开了一些内部的协调活动，并开始参与国际交流。

　　3.应急响应组织（IRT）的分类、服务和特点

　　国内外现有安全事件应急响应组织大概可以分5类：第一类是网络服务提供商的IRT组织，如CERNET的CCERT，主要为CERNET的接入用户提供增值的服务；第二类为企业或政府组织的IRT组织，如美国联邦的FedCIRC、美国银行的BACIRT（Bank of America CIRT）等；第三类是厂商IRT，如Sun、Cisco等公司的响应组，主要为本公司产品的安全问题提供响应和支持；第四类为商业化的IRT，面向全社会提供商业化的安全救援服务；第五类是一些国内或国际间的协调组织如FIRST、CN-CERT/CC等。有些IRT既是协调组织，同时又提供服务，如CERT/CC。

　　IRT组织都不仅仅坐等安全事件发生以后才去补救，未雨绸缪、防患于未然也是IRT组织的重要服务内容，所以一般还提供安全公告、安全咨询、风险评估、入侵检测、安全技术的教育与培训、入侵追踪等多种服务。就应急响应服务本身而言，由于它具有以下特点使得这一服务非常困难：
　　（1）技术的复杂性与专业性；
　　（2）知识和经验的依赖性；
　　（3）事件的突发性强；
　　（4）需要广泛的协调与合作。

　　CCERT运行一年来的回顾
　　1. CCERT在网络安全应急响应中的优势

　　CCERT依托于CERNET，CERNET开展安全事件的应急响应服务有其必然的优势，主要体现在以下几个方面：
　　（1）高速、大规模、免费的网络实验环境；
　　（2）活跃的参与者，主要是对网络安全具有浓厚兴趣的在校大学生、研究生和专业技术人员；
　　（3）可控的网络基础设施。对国际出口、国内链路、路由、IP地址、域名等资源的控制，使CCERT能够为CERNET范围内的安全事件作出快速反应；
　　（4）作为网络服务提供者，直接了解用户的需求；
　　（5）作为教育和科研机构，便于开展国际交流。

　　2. CCERT所处理的安全事件统计与分析

　　然而，与国外类似的组织如CERT/CC相比，CCERT目前没有得到来自国家相关部门的资助。在人力与物力投入都严重不足的条件下，CCERT经过一年的摸爬滚打，完成了大量的工作。最初CCERT把客户群定位在CERNET，由于中国的许多IP地址无法逆向解析到相应的域名，因此CCERT也对来自或有关CERNET以外的报告和投诉提供尽可能的服务。目前主要开展以下几个方面的服务和研究：
　　（1）事件响应，包括入侵、垃圾邮件以及邮件炸弹、恶意扫描和DoS事件处理；
　　（2）给站点管理员提供增强系统安全性的配置建议；
　　（3）提供安全信息公告和安全资源，包括反垃圾邮件和禁止扫描的公告、操作系统补丁、增强网络安全性的工具软件等；
　　（4）网络安全领域的研究，包括安全管理、入侵检测、安全体系结构、公钥基础设施PKI。

　　截止到2000年6月，CCERT共处理2000多份安全事件的报告，其中包括以下三类：
　　（1）1800多起垃圾邮件和邮件炸弹；
　　（2）110多起扫描与拒绝服务（DoS）攻击；
　　（3）50起系统入侵报告。

　　在所处理的事件报告中，90%左右的安全事件跟垃圾邮件相关，有来自国外的投诉，也有国内用户的报告。国内大量单位的电子邮件服务器使用缺省配置，为其他组织的用户中转邮件，其中包括大量的商业广告、政治宣传等垃圾邮件。转发垃圾邮件的直接危害是服务器所有者流量费用的增加，另外有可能被受害者拒绝访问，导致去往某些网络的邮件无法发送。针对这一情况，CCERT对CERNET的主要邮件服务器做了中转测试，向中转邮件服务器的管理员给出了修改配置的建议。根据用户的报告，CCERT也对国外转发垃圾邮件的站点发出了一些警告，并封锁情节严重的站点。经过努力，近期CERNET关于垃圾邮件的投诉和报告已经明显减少。

　　其次是关于扫描的报告。CERNET环境中的扫描事件可分为两类：一类是关于服务发现的端口扫描，如proxy hunter程序；另一类是试图寻找系统缺陷的恶意扫描，主要包括pop3、sun RPC、Netbios、imap、SOCKS等缺陷的扫描，这种扫描一般是系统入侵的前兆。针对逐渐增多的恶意扫描，CCERT通过各种渠道发布了关于禁止恶意扫描的公告，对于增强用户的安全意识和规范用户的行为，都起到了积极的作用。

　　在CCERT所处理的50起系统入侵事件中，多数入侵是由于众所周知的系统缺陷所引起的，解决方法也是在网络中很容易获得的，比较典型的包括Sun rpc.statd、rpc.ttdbserver、Linux imapd、wu_ftpd、FreeBSD pop3d等。成功的入侵仅占少数，绝大多数入侵活动在缺陷扫描之后，发现没有漏洞可乘便终止了。黑客在成功入侵之后一般做以下几件事情：
　　（1）替换某些系统程序，如/bin/login、/bin/ps等，留下后门或特洛伊木马程序。
　　（2）在隐蔽的位置安装口令窃听程序，如sniffit等。
　　（3）删除入侵活动相关的系统日志记录。

　　拒绝服务（DoS）的攻击也是经常发生的安全事件，比系统入侵更为容易。常见的拒绝服务攻击包括利用系统和协议缺陷向目标发送一些特殊格式的包，导致系统崩溃，如teardrop、land、OOB等；另外一种是通过洪泛式的流量导致系统资源耗尽或负载过重而无法向合法用户提供有效的服务，如SYN Flood、Smurf、ICMP flood等。另一类大规模的拒绝服务攻击DDoS（Distributed DoS）近期引起了广泛的关注，尽管还没有这类事件的报告，但是我们认为在中国目前的网络环境中，这一攻击的潜在可能是有的。DDoS的攻击者首先利用系统缺陷控制大量计算机，称为Agent，然后在这些Agent上安装DDoS的攻击工具（如Trin00、TFN/TFN2K、Stacheldraht）等。在攻击者的控制之下，成百上千台Agent同时向目标发起洪泛式的流量，导致系统负载过重而无法提供有效的服务。由于防火墙无法区分合法的还是非法的流量，因此无法过滤；另外，这些流量的源地址一般都是伪造的，无法跟踪；最后，攻击者和Agent之间的控制命令一般都是加密的，很难检测。因此，一旦成为DDoS的攻击目标，被攻击者可采取的防范措施很少。

　　3.常见的问题

　　事实上，如果加强安全管理、增进管理域之间的协调与合作，安全问题并不像媒体宣传的那样可怕。许多网络安全事件是很容易通过加强管理、增强网络和系统配置来防范的。CCERT在对事件处理过程中发现网络运营者主要存在如下问题：
　　（1）责任不清。许多部门没有一个完整的资产列表，没有一个明确的安全负责人，有些多用户系统有多个系统管理员，有些则找不到。
　　（2）策略不明。很多部门没有明确哪些系统需要保护、需要怎样的保护。
　　（3）管理员安全意识和安全知识不足。许多系统使用默认的安装方式、缺省系统配置，安装之后不打补丁，而且运行着许多不必要的网络服务。
　　（4）多种服务安装在同一台计算机上，如Web/FTP/EMAIL/DNS等。一种服务（如FTP）的缺陷导致黑客入侵常常引起所有的服务终止。

　　关于增强网络和系统安全配置的建议

　　CCERT和国外某些组织的实验表明，通过合理配置系统，并关闭不必要的网络服务，99%的利用系统缺陷的入侵是可以防范的。因此在系统和网络安装与运行维护过程中，增强系统的安全配置是最为有效的防范措施。基于此，我们给出常见的操作系统和网络设备的安全配置检查表（check list）以及相应的参考文档，参见CERNET第七届年会上的报告httǜ鎕ttǜ鎕ttp://www.shnet.edu.cn/。内容主要包括：

　　（1）Unix、NT等操作系统安装安全配置检查表；
　　（2）路由器安全配置检查表；
　　（3）利用路由器防止拒绝服务攻击；
　　（4）怎样监测系统入侵；
　　（5）怎样从入侵状态中恢复。

　　网络安全涉及每一个人，网络整体的安全性依赖于所有用户和管理员的安全意识和安全技术的普及，以及各类组织特别是网络管理域之间的协调与合作。在公众网络上，我们既要保护用户不受攻击，又要规范用户的行为，同时不成为攻击行为的中转站。在这一领域，我们的工作还任重道远。
　　

　　（《计算机世界日报》2000－11－6）
　　（声明：上述摘录文章仅限于内部交流）