電子支付與安全

1、電子商務支付與安全P199 案例解析1. 防火墻雖然可以防止外來入侵，但也不是能的，根據上述案例，如果你是管理員，應當如何處理？防范 黑客攻擊 的措施：（ 1） .選用安全的口令根據十幾個 黑客 軟件的工作原理 ,參照口令破譯的難易程度 ,以破解需要的時間為排序 指標,這里列出了常見的采用危險口令的方式:用戶名（帳號）作為口令 ;用戶名 （帳號）的變換形式作為口令 ;使用生日作為口令 ;常用的英文單詞作為口令 ;5 位或 5 位以下的字符作為口令因此 ,我們在設置口令時應該遵循以下原則: 口令應該包括大小寫字母，有控制符更好；口令不要太常規(guī)；應保守口令秘密并經常改變口令.最糟糕的口令是具有明顯

2、特征的口令，不要循環(huán)使用舊的口令；至少每九十天把所有的口令改變一次，對于那些具有高安全特權的口令更應該經常地改變 .應把所有的缺省都從系統(tǒng)中去掉 ，如果服務器是有某個服務公司建立的，要注意找出 類似 GUEST，MANAGER，SERVICE 等的口令并立即改變這些口令 ；如果接收到兩個錯誤的口令就應斷開系統(tǒng)連接應及時取消調離或停止工作的雇員的帳號以及無用的帳號 ；在驗證過程中 ，口令不得以明文方式傳輸文件是只讀的 ;用戶輸入的明口令 ，在內存逗留的時間盡可能縮短，用后及時銷毀 ;一次身份驗證只限于當次登錄 （login）， 其壽命于會話長度相等 ;除用戶輸入口令準備登錄外，網絡中的其他驗證過

3、程對用戶是透明的.我們之所以如此強調口令設置的重要性，是因為關于網站安全調查的結果表明;超過80%的安全侵犯都是由于人民選用了拙劣的口令而導致的.這樣，我們可以推斷， 80%的入侵可以通過選擇好的口令來阻止 .（2）.實施存取控制存取控制規(guī)定何種主體對何種具有何種操作權力 .存取控制是內部網絡安全理論的重要 方面 ，它包括人員權限 ，數據標識 ，權限控制 ，控制類型 ，風險分析等內容 .3.保證數據的完整性完整性是在數據處理過程中 ，在原來數據和現行數據之間保持完全一致的證明手段.一般常用數字簽名和數據加密算法來保證 .（3）.確保數據的安全通過加密算法對數據處理過程進行加密 ，并采用數字簽名

4、及認證來確保數據的安全 .（4）.使用安全的服務器系統(tǒng)如今可以選擇的服務器系統(tǒng)是很多的 :UNIX，WindowsNT，Novell，Intranet等，但是關鍵服務器最好使用 UNIX 系統(tǒng) .（5）.謹慎開放缺乏安全保障的應用和端口（ 6） .定期分析系統(tǒng)日志7）.不斷完善服務器系統(tǒng)的安全性能系統(tǒng)的安全性 ,應隨時關注這些信息 ,及時完善自己的系統(tǒng) .（ 8 ） . 排除人為因素再完善的安全體制 ,沒有足夠的安全意識和技術人員經常維護 ,安全性將大打折扣2 當本機構發(fā)生人員變動，網絡調整和應用變化時，對防火 墻的安全規(guī)則，維護需要采取哪些措施？第一，做好硬件維護當處理數據越來越多，占用資源

5、也隨之增多時，服務器 就需要更多的內存和硬盤容量來儲存這些資源，因此，每隔 段時間后服務器需要升級， 可是需要注意的增加內存或者硬 盤時，要考慮到兼容性、穩(wěn)定性，否則不同型號的內存有可 能會引起系統(tǒng)出錯。還有對設備進行卸載和更換時，需要仔細閱讀說明書， 不要強行拆卸，而且必須在完全斷電，服務器接地良好的情 況下進行，防止靜電對設備造成損壞。第二，做好數據的備份對企業(yè)來說，服務器上的數據是非常寶貴，如果數據庫 丟失了，損失是非常巨大的，因此，企業(yè)需對數據進行定期 備份，以防萬一。一般企業(yè)都需要每天對服務器上的數據進行備份，而且要將備份數據放置在不同服務器上，數據需要備份，同樣需要防盜?？梢酝ㄟ^密

6、碼保護好磁 帶并且如果你的備份程序支持加密功能， 你還可以加密這些 數據。同時，要定好備份時間，通常備份的過程會選擇在晚 上 10 點以后進行，到半夜結束。第三，定期做好網絡檢查網站檢查也是很重要的一步，對網絡的代碼進行檢查，是 否被黑客放置了網頁木馬和 ASP 木馬、網站代碼中是否有 后門程序，是否存在 SQL 注入漏洞、上傳文件漏洞等常見 的危害站點安全的漏洞。 對服務器操作系統(tǒng)的日志進行分 析，檢查系統(tǒng)是否被入侵，查看是否被黑客安裝了木馬及對 系統(tǒng)做了哪些改動。第四，關閉不必要的服務，只開該開的端口對于初學者，建議在所有的工作站上使用 Windows 2000。 Windows 2000

7、 是一個非常安全的操作系統(tǒng)。如果你 并不想這樣做，那么至少使用 Windows NT 。你可以鎖定工 作站，使得一些沒有安全訪問權的人想要獲得網絡配置信息 變得困難或是不可能?；蛘哧P閉那些不必要開的服務，做好本地管理和組管理。Windows系統(tǒng)有很多默認的服務其實沒必要開的，甚至可以說是危險的， 比如：默認的共享遠程注冊表訪問 (Remote Registry Service)，系統(tǒng)很多敏感的信息都是寫在注冊表里 的，如 pcanywhere 的加密密碼等。關閉那些不必要的端口。一些看似不必要的端口，確可 以向黑客透露許多操作系統(tǒng)的敏感信息，如 windows 2000 server 默認開啟

8、的 IIS 服務就告訴對方你的操作系統(tǒng)是 windows 2000。 69 端口告訴黑客你的操作系統(tǒng)極有可能是 linux 或者 unix 系統(tǒng)， 因為 69 是這些操作系統(tǒng)下默認的 tftp 服務使用的端口。對端口的進一步訪問，還可以返回該服務 器上軟件及其版本的一些信息， 這些對黑客的入侵都提供了 很大的幫助。此外，開啟的端口更有可能成為黑客進入服務 器的門戶。以上是服務器日常操作安全維護的一些技巧。 確保企業(yè) 的信息安全，以防服務器上的敏感信息丟失，中國諾網希望 提出的這些建議， 可以幫助到有需要的企業(yè)們。2. 防止入侵， 維護網絡安全和應用安全， 僅依靠防火墻等技術，可以達到要求嗎？各

9、類防火墻的優(yōu)缺點（1）包過濾防火墻使用包過濾防火墻的優(yōu)點包括： 防火墻對每條傳入和傳出網絡的包實行低水平控制。 每個 IP 包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防 火墻將基于這些信息應用過濾規(guī)則。防火墻可以識別和丟棄帶欺騙性源 IP 地址的包。包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防 火墻，繞過是困難的。包過濾通常被包含在路由器數據包中，所以不必額外的系統(tǒng)來處理這個特征。使用包過濾防火墻的缺點包括：配置困難。因為包過濾防火墻很復雜，人們經常會忽略建立一些必要的規(guī)則， 或者錯誤配置了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場上，許多新 版本的防火墻對

10、這個缺點正在作改進，如開發(fā)者實現了基于圖形化用戶界面 （GUI）的配置和更直接的規(guī)則定義。為特定服務開放的端口存在著危險，可能會被用于其他傳輸。例如， Web 服 務器默認端口為 80，而計算機上又安裝了 RealPlayer ，那么它會搜尋可以允許 連接到 RealAudio 服務器的端口，而不管這個端口是否被其他協(xié)議所使用， RealPlayer 正好是使用 80 端口而搜尋的。就這樣無意中， RealPlayer 就利用 了 Web 服務器的端口?？赡苓€有其他方法繞過防火墻進入網絡，例如撥入連接。但這個并不是防火 墻自身的缺點，而是不應該在網絡安全上單純依賴防火墻的原因。（ 2）狀態(tài) /

11、動態(tài)檢測防火墻狀態(tài)/動態(tài)檢測防火墻的優(yōu)點有：檢查 IP 包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則。識別帶有欺騙性源 IP 地址包的能力。包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防 火墻，繞過是困難的。基于應用程序信息驗證一個包的狀態(tài)的能力， 例如基于一個已經建立的 FTP 連接，允許返回的 FTP 包通過?；趹贸绦蛐畔Ⅱ炞C一個包狀態(tài)的能力，例如允許一個先前認證過的連接 繼續(xù)與被授予的服務通信。記錄有關通過的每個包的詳細信息的能力?；旧?，防火墻用來確定包狀態(tài) 的所有信息都可以被記錄，包括應用程序對包的請求，連接的持續(xù)時間，內部 和外部系統(tǒng)所做的連接請求等。狀

12、態(tài)/動態(tài)檢測防火墻的缺點：狀態(tài)/動態(tài)檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網絡通信的規(guī)則存在時?？墒?，硬件速度越快，這個問題就越不易察 覺，而且防火墻的制造商一直致力于提高他們產品的速度。（3）應用程序代理防火墻使用應用程序代理防火墻的優(yōu)點有：指定對連接的控制，例如允許或拒絕基于服務器 IP 地址的訪問，或者是允許 或拒絕基于用戶所請求連接的 IP 地址的訪問。通過限制某些協(xié)議的傳出請求， 來減少網絡中不必要的服務。大多數代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。這些信息對 追蹤攻擊和發(fā)生的

13、未授權訪問的事件事很有用的。使用應用程序代理防火墻的缺點有：必須在一定范圍內定制用戶的系統(tǒng)， 這取決于所用的應用程序。一些應用程序可能根本不支持代理連接。（ 4） NAT使用 NAT 的優(yōu)點有：所有內部的 IP 地址對外面的人來說是隱蔽的。因為這個原因，網絡之外沒有 人可以通過指定 IP 地址的方式直接對網絡內的任何一臺特定的計算機發(fā)起攻 擊。如果因為某種原因公共 IP 地址資源比較短缺的話， NAT 可以使整個內部網絡 共享一個 IP 地址。可以啟用基本的包過濾防火墻安全機制，因為所有傳入的包如果沒有專門指定配置到 NAT ，那么就會被丟棄。內部網絡的計算機就不可能直接訪問外部網 絡。使用 NAT 的缺點：NAT 的缺點和包過濾防火墻的缺點是一樣的。 雖然可以保障內部網絡的安全， 但它也是一些類似的局限。而且內網可以利用現流傳比較廣泛的木馬程序可以 通過 NAT 做外部連接，就像它可以穿過包過濾防火墻一樣的容易。注意：現在有很多廠商開發(fā)的防火墻，特別是狀態(tài) /動態(tài)檢測防火墻，除了它 們應該具有的功能之外也提供了 NAT 的功能。（5）個人防火墻 個人防火墻的優(yōu)點有： 增加了保護級別，不需要額外的硬件資源個人防火墻除了可以抵擋外來攻擊的同時， 還可以抵擋內部的攻擊個人防火墻是對公共網絡中的單個系統(tǒng)提供了保護。例如一個家庭用戶使用