電子支付與安全

《電子支付與安全》由會(huì)員分享，可在線閱讀，更多相關(guān)《電子支付與安全（10頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 電子商務(wù)支付與安全 P199 案例解析 1. 防火墻雖然可以防止外來入侵，但也不是能的，根據(jù)上述案例，如果你是管理員，應(yīng)當(dāng)如何處理？ 防范黑客攻擊 的措施： （ 1 ） .選用安全的口令 根據(jù)十幾個(gè) 黑客 軟件的工作原理 ,參照口令破譯的難易程度 ,以破解需要的時(shí)間為排序 指標(biāo) ,這里列出了常見的采用危險(xiǎn)口令的方式 :用戶名 ( 帳號(hào) )作為口令 ;用戶名 (帳號(hào) )的變換形 式作為口令 ;使用生日作為口令 ;常用的英文單詞作為口令 ;5 位或 5

2、位以下的字符作為口令 . 因此 ,我們?cè)谠O(shè)置口令時(shí)應(yīng)該遵循以下原則 : ◆口令應(yīng)該包括大小寫字母 ,有控制符更好 ; ◆口令不要太常規(guī) ; ◆應(yīng)保守口令秘密并經(jīng)常改變口令 . 最糟糕的口令是具有明顯特征的口令 ,不要循環(huán)使用 舊的口令 ;◆至少每九十天把所有的口令改變一次 ,對(duì)于那些具有高安全特權(quán)的口令更應(yīng)該經(jīng) 常地改變 . ◆應(yīng)把所有的缺省都從系統(tǒng)中去掉 , 如果服務(wù)器是有某個(gè)服務(wù)公司建立的， 要注意找出類 似 GUEST,MANAGER,SERVICE 等的口令并立即改變

3、這些口令 ; ◆如果接收到兩個(gè)錯(cuò)誤的口令就應(yīng)斷開系統(tǒng)連接 ◆應(yīng)及時(shí)取消調(diào)離或停止工作的雇員的帳號(hào)以及無用的帳號(hào) ; ◆在驗(yàn)證過程中 , 口令不得以明文方式傳輸 ; ◆口令不得以明文方式存放在系統(tǒng)中 ,確?？诹钜约用艿男问綄懺谟脖P上并包含口令的 文件是只讀的 ; ◆用戶輸入的明口令 ,在內(nèi)存逗留的時(shí)間盡可能縮短 ,用后及時(shí)銷毀 ; ◆一次身份驗(yàn)證只限于當(dāng)次登錄 (login), 其壽命于會(huì)話長(zhǎng)度相等 ; ◆除用戶輸入口令準(zhǔn)備登錄外 ,網(wǎng)絡(luò)中

4、的其他驗(yàn)證過程對(duì)用戶是透明的 . 我們之所以如此強(qiáng)調(diào)口令設(shè)置的重要性 ,是因?yàn)殛P(guān)于網(wǎng)站安全調(diào)查的結(jié)果表明 ;超過 80% 的安全侵犯都是由于人民選用了拙劣的口令而導(dǎo)致的 . 這樣 ,我們可以推斷， 80% 的入侵 可以通過選擇好的口令來阻止 . （2 ） .實(shí)施存取控制 存取控制規(guī)定何種主體對(duì)何種具有何種操作權(quán)力 .存取控制是內(nèi)部網(wǎng)絡(luò)安全理論的重要 方面 ,它包括人員權(quán)限 ,數(shù)據(jù)標(biāo)識(shí) ,權(quán)限控制 ,控制類型 ,風(fēng)險(xiǎn)分析等內(nèi)容 .3. 保證數(shù)據(jù)的完整性 完整性是在數(shù)據(jù)處理過程中 , 在原來數(shù)據(jù)和

5、現(xiàn)行數(shù)據(jù)之間保持完全一致的證明手段 .一 般常用數(shù)字簽名和數(shù)據(jù)加密算法來保證 . （3 ） .確保數(shù)據(jù)的安全 通過加密算法對(duì)數(shù)據(jù)處理過程進(jìn)行加密 ,并采用數(shù)字簽名及認(rèn)證來確保數(shù)據(jù)的安全 . （4 ） .使用安全的服務(wù)器系統(tǒng) 如今可以選擇的服務(wù)器系統(tǒng)是很多的 :UNIX,WindowsNT,Novell,Intranet 等 ,但是 關(guān)鍵服務(wù)器最好使用 UNIX 系統(tǒng) . （ 5 ） .謹(jǐn)慎開放缺乏安全保障的應(yīng)用和端口 （ 6 ） .定期分析系統(tǒng)日志

6、 （ 7 ） .不斷完善服務(wù)器系統(tǒng)的安全性能 很多服務(wù)器系統(tǒng)都被發(fā)現(xiàn)有不少漏洞 ,服務(wù)商會(huì)不斷在網(wǎng)上發(fā)布系統(tǒng)的補(bǔ)丁 .為了保證 系統(tǒng)的安全性 , 應(yīng)隨時(shí)關(guān)注這些信息 ,及時(shí)完善自己的系統(tǒng) . （ 8 ） .排除人為因素 再完善的安全體制 ,沒有足夠的安全意識(shí)和技術(shù)人員經(jīng)常維護(hù),安全性將大打折扣 2 當(dāng)本機(jī)構(gòu)發(fā)生人員變動(dòng)，網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時(shí)，對(duì)防火墻的安全規(guī)則，維護(hù)需要采取哪些措施？ 第一，做好硬件維護(hù) 當(dāng)處理數(shù)據(jù)越來越多，占用資源也隨之增多時(shí)，服務(wù)器就需要更多的內(nèi)存

7、和硬盤容量來儲(chǔ)存這些資源，因此，每隔 段時(shí)間后服務(wù)器需要升級(jí)，可是需要注意的增加內(nèi)存或者硬 盤時(shí)，要考慮到兼容性、穩(wěn)定性，否則不同型號(hào)的內(nèi)存有可 能會(huì)引起系統(tǒng)出錯(cuò)。 還有對(duì)設(shè)備進(jìn)行卸載和更換時(shí)，需要仔細(xì)閱讀說明書， 不要強(qiáng)行拆卸，而且必須在完全斷電，服務(wù)器接地良好的情 況下進(jìn)行，防止靜電對(duì)設(shè)備造成損壞。 第二，做好數(shù)據(jù)的備份 對(duì)企業(yè)來說，服務(wù)器上的數(shù)據(jù)是非常寶貴，如果數(shù)據(jù)庫(kù) 丟失了，損失是非常巨大的，因此，企業(yè)需對(duì)數(shù)據(jù)進(jìn)行定期

8、 備份，以防萬一。一般企業(yè)都需要每天對(duì)服務(wù)器上的數(shù)據(jù)進(jìn) 行備份，而且要將備份數(shù)據(jù)放置在不同服務(wù)器上， 數(shù)據(jù)需要備份，同樣需要防盜。可以通過密碼保護(hù)好磁 帶并且如果你的備份程序支持加密功能，你還可以加密這些 數(shù)據(jù)。同時(shí)，要定好備份時(shí)間，通常備份的過程會(huì)選擇在晚 上 10 點(diǎn)以后進(jìn)行，到半夜結(jié)束。第三，定期做好網(wǎng)絡(luò)檢查 網(wǎng)站檢查也是很重要的一步，對(duì)網(wǎng)絡(luò)的代碼進(jìn)行檢查，是 否被黑客放置了網(wǎng)頁(yè)木馬和 ASP 木馬、網(wǎng)站代碼中是否有 后門程序，是否存在 SQL 注入漏洞、上傳

9、文件漏洞等常見 的危害站點(diǎn)安全的漏洞。對(duì)服務(wù)器操作系統(tǒng)的日志進(jìn)行分 析，檢查系統(tǒng)是否被入侵，查看是否被黑客安裝了木馬及對(duì) 系統(tǒng)做了哪些改動(dòng)。 第四，關(guān)閉不必要的服務(wù)，只開該開的端口 對(duì) 于 初 學(xué) 者 ， 建 議 在 所 有 的 工 作 站 上 使 用 Windows2000 。 Windows2000 是一個(gè)非常安全的操作 系統(tǒng)。如果你并不想這樣做，那么至少使用 WindowsNT 。 你可以鎖定工作站，使得一些沒有安全訪問權(quán)的人想要獲得

10、 網(wǎng)絡(luò)配置信息變得困難或是不可能。 或者關(guān)閉那些不必要開的服務(wù)，做好本地管理和組管 理。 Windows 系統(tǒng)有很多默認(rèn)的服務(wù)其實(shí)沒必要開的，甚 至可以說是危險(xiǎn)的，比如：默認(rèn)的共享遠(yuǎn)程注冊(cè)表訪問 (RemoteRegistryService) ，系統(tǒng)很多敏感的信息都是寫在 注冊(cè)表里的，如 pcanywhere 的加密密碼等。 關(guān)閉那些不必要的端口。一些看似不必要的端口，確可 以 向 黑 客 透 露 許 多 操 作 系 統(tǒng) 的 敏 感 信 息 ， 如 windows2

11、000server 默認(rèn)開啟的 IIS 服務(wù)就告訴對(duì)方你的 操作系統(tǒng)是 windows2000 。 69 端口告訴黑客你的操作系 統(tǒng)極有可能是 linux 或者 unix 系統(tǒng)，因?yàn)?69 是這些操作系 統(tǒng)下默認(rèn)的 tftp 服務(wù)使用的端口。 對(duì)端口的進(jìn)一步訪問， 還 可以返回該服務(wù)器上軟件及其版本的一些信息，這些對(duì)黑客 的入侵都提供了很大的幫助。此外，開啟的端口更有可能成 為黑客進(jìn)入服務(wù)器的門戶。 以上是服務(wù)器日常操作安全維護(hù)的一些技巧。確保企業(yè) 的信息安

12、全，以防服務(wù)器上的敏感信息丟失，中國(guó)諾網(wǎng)希望 提出的這些建議，可以幫助到有需要的企業(yè)們。 2. 防止入侵，維護(hù)網(wǎng)絡(luò)安全和應(yīng)用安全，僅依靠防火墻等技 術(shù)，可以達(dá)到要求嗎？ 各類防火墻的優(yōu)缺點(diǎn) （ 1）．包過濾防火墻 使用包過濾防火墻的優(yōu)點(diǎn)包括： 防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。 每個(gè) IP 包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將 基于這些信息應(yīng)用過濾規(guī)則。 防火墻可以識(shí)別和丟棄帶欺騙性源 IP 地址的包。 包過濾防火墻

13、是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火 墻，繞過是困難的。 包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個(gè)特征。 使用包過濾防火墻的缺點(diǎn)包括： 配置困難。因?yàn)榘^濾防火墻很復(fù)雜， 人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則， 或 者錯(cuò)誤配置了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場(chǎng)上，許多新版本 的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn)，如開發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面 (GUI) 的 配置和更直接的規(guī)則定義。 為特定服務(wù)開放的端口存在著危險(xiǎn)，可能會(huì)被用于其他傳輸。例如， Web

14、 服務(wù) 器默認(rèn)端口為 80 ，而計(jì)算機(jī)上又安裝了 RealPlayer ，那么它會(huì)搜尋可以允許連 接到 RealAudio 服務(wù)器的端口，而不管這個(gè)端口是否被其他協(xié)議所使用， RealPlayer 正好是使用 80 端口而搜尋的。就這樣無意中， RealPlayer 就利用 了 Web 服務(wù)器的端口。 可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò)， 例如撥入連接。 但這個(gè)并不是防火墻自 身的缺點(diǎn)，而是不應(yīng)該在網(wǎng)絡(luò)安全上單純依賴防火墻的原因。 （ 2）．狀態(tài) / 動(dòng)態(tài)檢測(cè)防火墻 狀態(tài) / 動(dòng)態(tài)檢測(cè)防火墻的優(yōu)點(diǎn)有：

15、 檢查 IP 包的每個(gè)字段的能力，并遵從基于包中信息的過濾規(guī)則。 識(shí)別帶有欺騙性源 IP 地址包的能力。 包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火 墻，繞過是困難的。 基于應(yīng)用程序信息驗(yàn)證一個(gè)包的狀態(tài)的能力，例如基于一個(gè)已經(jīng)建立的 FTP 連 接，允許返回的 FTP 包通過。 基于應(yīng)用程序信息驗(yàn)證一個(gè)包狀態(tài)的能力， 例如允許一個(gè)先前認(rèn)證過的連接繼續(xù) 與被授予的服務(wù)通信。 記錄有關(guān)通過的每個(gè)包的詳細(xì)信息的能力。 基本上，防火墻用來確定包狀態(tài)的所 有信

16、息都可以被記錄， 包括應(yīng)用程序?qū)Π恼?qǐng)求， 連接的持續(xù)時(shí)間， 內(nèi)部和外部 系統(tǒng)所做的連接請(qǐng)求等。 狀態(tài) / 動(dòng)態(tài)檢測(cè)防火墻的缺點(diǎn)： 狀態(tài) / 動(dòng)態(tài)檢測(cè)防火墻唯一的缺點(diǎn)就是所有這些記錄、測(cè)試和分析工作可能會(huì)造 成網(wǎng)絡(luò)連接的某種遲滯， 特別是在同時(shí)有許多連接激活的時(shí)候， 或者是有大量的 過濾網(wǎng)絡(luò)通信的規(guī)則存在時(shí)?？墒?，硬件速度越快，這個(gè)問題就越不易察覺，而 且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。 （ 3）．應(yīng)用程序代理防火墻 使用應(yīng)用程序代理防火墻的優(yōu)點(diǎn)有： 指定對(duì)連接的控制，例如允許或拒絕基于服

17、務(wù)器IP 地址的訪問，或者是允許或 拒絕基于用戶所請(qǐng)求連接的 IP 地址的訪問。 通過限制某些協(xié)議的傳出請(qǐng)求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。 大多數(shù)代理防火墻能夠記錄所有的連接， 包括地址和持續(xù)時(shí)間。 這些信息對(duì)追蹤 攻擊和發(fā)生的未授權(quán)訪問的事件事很有用的。 使用應(yīng)用程序代理防火墻的缺點(diǎn)有： 必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應(yīng)用程序。 一些應(yīng)用程序可能根本不支持代理連接。 （ 4）． NAT 使用 NAT 的優(yōu)點(diǎn)有： 所有內(nèi)部的 IP 地址對(duì)外面的人來說是隱蔽的。因?yàn)檫@個(gè)原因，網(wǎng)

18、絡(luò)之外沒有人 可以通過指定 IP 地址的方式直接對(duì)網(wǎng)絡(luò)內(nèi)的任何一臺(tái)特定的計(jì)算機(jī)發(fā)起攻擊。 如果因?yàn)槟撤N原因公共 IP 地址資源比較短缺的話， NAT 可以使整個(gè)內(nèi)部網(wǎng)絡(luò)共 享一個(gè) IP 地址。 可以啟用基本的包過濾防火墻安全機(jī)制， 因?yàn)樗袀魅氲陌绻麤]有專門指定配 置到 NAT ，那么就會(huì)被丟棄。內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)就不可能直接訪問外部網(wǎng)絡(luò)。 使用 NAT 的缺點(diǎn)： NAT 的缺點(diǎn)和包過濾防火墻的缺點(diǎn)是一樣的。雖然可以保障內(nèi)部網(wǎng)絡(luò)的安全， 但它也是一些類似的局限。 而且內(nèi)網(wǎng)可以利用現(xiàn)流

19、傳比較廣泛的木馬程序可以通 過 NAT 做外部連接，就像它可以穿過包過濾防火墻一樣的容易。 注意：現(xiàn)在有很多廠商開發(fā)的防火墻，特別是狀態(tài) / 動(dòng)態(tài)檢測(cè)防火墻，除了它們 應(yīng)該具有的功能之外也提供了 NAT 的功能。 （ 5）．個(gè)人防火墻 個(gè)人防火墻的優(yōu)點(diǎn)有： 增加了保護(hù)級(jí)別，不需要額外的硬件資源。 個(gè)人防火墻除了可以抵擋外來攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊。 個(gè)人防火墻是對(duì)公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù)。 例如一個(gè)家庭用戶使用的是 Modem 或 ISDN/ADSL 上網(wǎng)，可能一個(gè)硬件防火墻對(duì)于

20、他來說實(shí)在是太昂貴 了，或者說是太麻煩了。 而個(gè)人防火墻已經(jīng)能夠?yàn)橛脩綦[蔽暴露在網(wǎng)絡(luò)上的信息， 比如 IP 地址之類的信息等。 個(gè)人防火墻的缺點(diǎn)： 個(gè)人防火墻主要的缺點(diǎn)就是對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口。 要記住，真正的防火 墻應(yīng)當(dāng)監(jiān)視并控制兩 個(gè)或更多的網(wǎng)絡(luò)接口之間的通信。 這樣一來的話， 個(gè)人防火墻本身可能會(huì)容易受 到威脅，或者說是具有這樣一個(gè)弱點(diǎn)，網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則。 好了，在上面我們已經(jīng)介紹了幾類防火墻， 并討論了每種防火墻的優(yōu)缺點(diǎn)。 要記住，任何一種防火墻只是為網(wǎng)絡(luò)通信或者是數(shù)據(jù)傳輸提供了更有保障的安全 性，但是我們也不能完全依賴于防火墻。 除了靠防火墻來保障安全的同時(shí)， 我們 也要加固系統(tǒng)的安全性， 提高自身的安全意識(shí)。 這樣一來，數(shù)據(jù)和通信以及 Web 站點(diǎn)就會(huì)更有安全保障。