电子支付与安全

1、电子商务支付与安全P199 案例解析1. 防火墙虽然可以防止外来入侵，但也不是能的，根据上述案例，如果你是管理员，应当如何处理？防范 黑客攻击 的措施：（ 1） .选用安全的口令根据十几个 黑客 软件的工作原理 ,参照口令破译的难易程度 ,以破解需要的时间为排序 指标,这里列出了常见的采用危险口令的方式:用户名（帐号）作为口令 ;用户名 （帐号）的变换形式作为口令 ;使用生日作为口令 ;常用的英文单词作为口令 ;5 位或 5 位以下的字符作为口令因此 ,我们在设置口令时应该遵循以下原则: 口令应该包括大小写字母，有控制符更好；口令不要太常规；应保守口令秘密并经常改变口令.最糟糕的口令是具有明显

2、特征的口令，不要循环使用旧的口令；至少每九十天把所有的口令改变一次，对于那些具有高安全特权的口令更应该经常地改变 .应把所有的缺省都从系统中去掉 ，如果服务器是有某个服务公司建立的，要注意找出 类似 GUEST，MANAGER，SERVICE 等的口令并立即改变这些口令 ；如果接收到两个错误的口令就应断开系统连接应及时取消调离或停止工作的雇员的帐号以及无用的帐号 ；在验证过程中 ，口令不得以明文方式传输文件是只读的 ;用户输入的明口令 ，在内存逗留的时间尽可能缩短，用后及时销毁 ;一次身份验证只限于当次登录 （login）， 其寿命于会话长度相等 ;除用户输入口令准备登录外，网络中的其他验证过

3、程对用户是透明的.我们之所以如此强调口令设置的重要性，是因为关于网站安全调查的结果表明;超过80%的安全侵犯都是由于人民选用了拙劣的口令而导致的.这样，我们可以推断， 80%的入侵可以通过选择好的口令来阻止 .（2）.实施存取控制存取控制规定何种主体对何种具有何种操作权力 .存取控制是内部网络安全理论的重要 方面 ，它包括人员权限 ，数据标识 ，权限控制 ，控制类型 ，风险分析等内容 .3.保证数据的完整性完整性是在数据处理过程中 ，在原来数据和现行数据之间保持完全一致的证明手段.一般常用数字签名和数据加密算法来保证 .（3）.确保数据的安全通过加密算法对数据处理过程进行加密 ，并采用数字签名

4、及认证来确保数据的安全 .（4）.使用安全的服务器系统如今可以选择的服务器系统是很多的 :UNIX，WindowsNT，Novell，Intranet等，但是关键服务器最好使用 UNIX 系统 .（5）.谨慎开放缺乏安全保障的应用和端口（ 6） .定期分析系统日志7）.不断完善服务器系统的安全性能系统的安全性 ,应随时关注这些信息 ,及时完善自己的系统 .（ 8 ） . 排除人为因素再完善的安全体制 ,没有足够的安全意识和技术人员经常维护 ,安全性将大打折扣2 当本机构发生人员变动，网络调整和应用变化时，对防火 墙的安全规则，维护需要采取哪些措施？第一，做好硬件维护当处理数据越来越多，占用资源

5、也随之增多时，服务器 就需要更多的内存和硬盘容量来储存这些资源，因此，每隔 段时间后服务器需要升级， 可是需要注意的增加内存或者硬 盘时，要考虑到兼容性、稳定性，否则不同型号的内存有可 能会引起系统出错。还有对设备进行卸载和更换时，需要仔细阅读说明书， 不要强行拆卸，而且必须在完全断电，服务器接地良好的情 况下进行，防止静电对设备造成损坏。第二，做好数据的备份对企业来说，服务器上的数据是非常宝贵，如果数据库 丢失了，损失是非常巨大的，因此，企业需对数据进行定期 备份，以防万一。一般企业都需要每天对服务器上的数据进行备份，而且要将备份数据放置在不同服务器上，数据需要备份，同样需要防盗。可以通过密

6、码保护好磁 带并且如果你的备份程序支持加密功能， 你还可以加密这些 数据。同时，要定好备份时间，通常备份的过程会选择在晚 上 10 点以后进行，到半夜结束。第三，定期做好网络检查网站检查也是很重要的一步，对网络的代码进行检查，是 否被黑客放置了网页木马和 ASP 木马、网站代码中是否有 后门程序，是否存在 SQL 注入漏洞、上传文件漏洞等常见 的危害站点安全的漏洞。 对服务器操作系统的日志进行分 析，检查系统是否被入侵，查看是否被黑客安装了木马及对 系统做了哪些改动。第四，关闭不必要的服务，只开该开的端口对于初学者，建议在所有的工作站上使用 Windows 2000。 Windows 2000

7、 是一个非常安全的操作系统。如果你 并不想这样做，那么至少使用 Windows NT 。你可以锁定工 作站，使得一些没有安全访问权的人想要获得网络配置信息 变得困难或是不可能。或者关闭那些不必要开的服务，做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的，甚至可以说是危险的， 比如：默认的共享远程注册表访问 (Remote Registry Service)，系统很多敏感的信息都是写在注册表里 的，如 pcanywhere 的加密密码等。关闭那些不必要的端口。一些看似不必要的端口，确可 以向黑客透露许多操作系统的敏感信息，如 windows 2000 server 默认开启

8、的 IIS 服务就告诉对方你的操作系统是 windows 2000。 69 端口告诉黑客你的操作系统极有可能是 linux 或者 unix 系统， 因为 69 是这些操作系统下默认的 tftp 服务使用的端口。对端口的进一步访问，还可以返回该服务 器上软件及其版本的一些信息， 这些对黑客的入侵都提供了 很大的帮助。此外，开启的端口更有可能成为黑客进入服务 器的门户。以上是服务器日常操作安全维护的一些技巧。 确保企业 的信息安全，以防服务器上的敏感信息丢失，中国诺网希望 提出的这些建议， 可以帮助到有需要的企业们。2. 防止入侵， 维护网络安全和应用安全， 仅依靠防火墙等技术，可以达到要求吗？各

9、类防火墙的优缺点（1）包过滤防火墙使用包过滤防火墙的优点包括： 防火墙对每条传入和传出网络的包实行低水平控制。 每个 IP 包的字段都被检查，例如源地址、目的地址、协议、端口等。防 火墙将基于这些信息应用过滤规则。防火墙可以识别和丢弃带欺骗性源 IP 地址的包。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防 火墙，绕过是困难的。包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。使用包过滤防火墙的缺点包括：配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则， 或者错误配置了已有的规则，在防火墙上留下漏洞。然而，在市场上，许多新 版本的防火墙对

10、这个缺点正在作改进，如开发者实现了基于图形化用户界面 （GUI）的配置和更直接的规则定义。为特定服务开放的端口存在着危险，可能会被用于其他传输。例如， Web 服 务器默认端口为 80，而计算机上又安装了 RealPlayer ，那么它会搜寻可以允许 连接到 RealAudio 服务器的端口，而不管这个端口是否被其他协议所使用， RealPlayer 正好是使用 80 端口而搜寻的。就这样无意中， RealPlayer 就利用 了 Web 服务器的端口。可能还有其他方法绕过防火墙进入网络，例如拨入连接。但这个并不是防火 墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因。（ 2）状态 /

11、动态检测防火墙状态/动态检测防火墙的优点有：检查 IP 包的每个字段的能力，并遵从基于包中信息的过滤规则。识别带有欺骗性源 IP 地址包的能力。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防 火墙，绕过是困难的。基于应用程序信息验证一个包的状态的能力， 例如基于一个已经建立的 FTP 连接，允许返回的 FTP 包通过。基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接 继续与被授予的服务通信。记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态 的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部 和外部系统所做的连接请求等。状

12、态/动态检测防火墙的缺点：状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题就越不易察 觉，而且防火墙的制造商一直致力于提高他们产品的速度。（3）应用程序代理防火墙使用应用程序代理防火墙的优点有：指定对连接的控制，例如允许或拒绝基于服务器 IP 地址的访问，或者是允许 或拒绝基于用户所请求连接的 IP 地址的访问。通过限制某些协议的传出请求， 来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对 追踪攻击和发生的

13、未授权访问的事件事很有用的。使用应用程序代理防火墙的缺点有：必须在一定范围内定制用户的系统， 这取决于所用的应用程序。一些应用程序可能根本不支持代理连接。（ 4） NAT使用 NAT 的优点有：所有内部的 IP 地址对外面的人来说是隐蔽的。因为这个原因，网络之外没有 人可以通过指定 IP 地址的方式直接对网络内的任何一台特定的计算机发起攻 击。如果因为某种原因公共 IP 地址资源比较短缺的话， NAT 可以使整个内部网络 共享一个 IP 地址。可以启用基本的包过滤防火墙安全机制，因为所有传入的包如果没有专门指定配置到 NAT ，那么就会被丢弃。内部网络的计算机就不可能直接访问外部网 络。使用 NAT 的缺点：NAT 的缺点和包过滤防火墙的缺点是一样的。 虽然可以保障内部网络的安全， 但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程序可以 通过 NAT 做外部连接，就像它可以穿过包过滤防火墙一样的容易。注意：现在有很多厂商开发的防火墙，特别是状态 /动态检测防火墙，除了它 们应该具有的功能之外也提供了 NAT 的功能。（5）个人防火墙 个人防火墙的优点有： 增加了保护级别，不需要额外的硬件资源个人防火墙除了可以抵挡外来攻击的同时， 还可以抵挡内部的攻击个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用