應用安全
一、瀏覽器安全
常用瀏覽器的安全措施。
(1)刪除和管理Cookie
(2)刪除瀏覽歷史記錄
(3)禁用ActiveX控件
瀏覽器Web應用的客戶端;展示網頁提供用廣查看和支持用戶操作。
網頁的位置以URL(統一資源定位符)指示,此乃網頁的地址;以http:開頭的便是通過HTTP協議登陸。
常見瀏覽器有:Internet Explorer 、 Firefox、Google Chrome等。
Cookie是由服務器端生成,發送給User-Agent(一般是瀏覽器)的小量信息;
瀏覽器會將Cookie的key/value保存到某個目錄下的文本文件內,下次請求同一網站時就發送該Cookie給服務器,這樣服務器可以知道該用戶是否合法用戶以及是否需要重新登錄等,服務器可以設置或讀取Cookies中包含信息,借此維護用戶跟服務器會話中的狀態
Cookies最典型的應用是判定注冊用戶是否已經登錄網站,用戶可能會得到提示,是否在下一次進入此網站時保留用戶信息以便簡化登錄手續;
另一個重要應用場合是“購物車”之類處理。用戶可能會在一段時間內在同一家網站的不同頁面中選擇不同的商品,這些信息都會寫入Cookies,以便在最后付款時提取信息。
二、網上金融交易安全
常用的安全措施如下:
(1)U盾(USB-Key)
(2)手機短信驗證
(3)口令卡
(4)采用安全超文本傳輸協議
網上銀行又稱網絡銀行、在線銀行,是指銀行利用Internet技術,通過Internet向客戶提供開戶、查詢、對帳、行內轉帳、跨行轉賬、信貸、網上證券、投資理財等傳統服務項目,使客戶可以足不出戶就能夠安全便捷地管理活期和定期存款、支票、信用卡及個人投資等。
網上銀行又被稱為“3A銀行”,因為它不受時間、空間限制,能夠在任何時間(Anytime)、任何地點(Anywhere)、以任何方式(Anyway)為客戶提供金融服務。
1、核對網址。真正中國銀行個人網上銀行登錄頁面和在線支付頁面的網址均以https:/lebs.boc.cn/開頭。
2、查看IE瀏覽器安全鎖和地址欄顏色。個人網上銀行登錄頁面和網上支付頁面都經過128位SSL加密處理,在打開上述頁面時,在lE瀏覽器狀態欄上會顯示一個“掛鎖"圖形的安全證書標識。如客戶瀏覽器為IE7,在客戶進入中國銀行個人網上銀行登錄頁面和網上支付頁面時,IE瀏覽器地址欄顏色還會為綠色。
3、核對預留驗證信息。“預留驗證信息”可以幫助您有效識別銀行網站、防范不法分子利用假網站進行網上詐騙。您可以在銀行預先記錄一段文字(即“預留驗證信息”),當您進入我行B2C在線支付頁面並輸入用戶名和密碼后,網頁上會自動顯示客戶的預留信息,以便客戶驗證該網站是否為真實的中國銀行網站。如果網頁上沒有顯示預留信息或顯示的信息與客戶的預留信息不符,便可以確認該網站是假網站。
中國銀行一Bank of China
http://www.bank-of-china.com
中國農業銀行一Agriculture Bank of China
中國工商銀行一Industry and Commercial Bank of China
中國建設銀行一China Construction Bank
招商銀行一China Merchants Bank
http:/lwww.cmbchina.com
1.請注意看管好您的iPad或AndroidPad,不要輕易把已安裝“中行網銀”客戶端的設備借給他人使用,或在公共場所使用,以防止他人冒用或窺視您的個人信息。
⒉.在任何情況下,中國銀行及公安、司法、稅務、海關、人民銀行、銀監會等單位都不會向您索要“中行網銀”客戶端登錄用戶名、密碼、動態口令或手機交易碼。請不要輕信以任何名義要求您開通“中行網銀”客戶端或通過客戶端划轉資金的來電或短信,在任何情況下都不要將您的用戶名、密碼、動態口令、手機交易碼告訴他人。
3.請避免使用電話號碼、車牌號、身份證號、出生日期等容易被別人猜到和竊取的信息作為密碼,並盡量避免規律組合。為避免因某項密碼的丟失而造成中行網銀(含客戶端)密碼的泄漏,請定期更改您的中行網銀(含客戶端)登錄密碼。
三、電子郵件安全
1、電子郵件安全威脅
電子郵件的主要威脅
◆電子郵件欺騙
◆垃圾郵件
◆郵件病毒
◆郵件炸彈
常用電子郵件欺騙手段
使用類似郵件地址,使收件人誤以為是被冒充地址。如"liuxiang@163.com”和“1iuxiang@163.com”等。
修改郵件帳號設置。通過更改發件人姓名、回復地址等方式,使得收件人誤以為是被冒充者發送,如果回復該郵件,也將發送到欺騙者設置的郵箱。
遠程登錄smtp服務器,通過修改郵件文件頭的方式達到欺騙目的。
通過搭設本地smtp服務器,繞過需要身份驗證的smtp服務器,直接將郵件信息發送至目標郵件的服務器。
垃圾郵件
基本原理:由於每個人的郵件信箱都是有限的,當龐大的郵件垃圾到達信箱的時候,就會把信箱擠爆,把正常的郵件給沖掉同時,由於它占用了大量的網絡資源,常常導致網絡塞車,使大量的用戶不能正常地工作。凡是未經用戶許可就強行發送到用戶的郵箱中的任何電子郵件。
據有關統計表明,中國用戶每年收到的電子郵件達500億封,其中60%以上為垃圾郵件。這是一個非常驚人的數據,垃圾郵件數量大大超過了正常的郵件,影響了用戶正常使用郵件,同時大量的垃圾郵件阻塞網絡,降低了網絡傳輸的性能。
垃圾郵件中有大量的“網絡釣魚”郵件,最典型的網絡釣魚攻擊將收信人引誘到一個通過精心設計與自標組織的網站非常相似的釣魚網站上,並獲取收信人在此網站上輸入的個人敏感信息,通常這個攻擊過程不會讓受害者警覺。
郵件病毒
定義:郵件病毒和普通病毒在功能上是一樣,由於它們主要是通過電子郵件進行傳播,因此被稱為郵件病毒。
一般通過郵件附件發送病毒,接收者打開郵件,運行附件會使計算機中病毒。
郵件炸彈
概念:郵件發送者,利用特殊的電子郵件軟件,在很短的時間內連續不斷地將郵件郵寄給同一個收信人,在這些數以千萬計的大容量信件面前收件箱肯定不堪重負,而最終“爆炸身亡”。
基本原理:由於每個人的郵件信箱都是有限的,當龐大的郵件垃圾到達信箱的時候,就會把信箱擠爆,把正常的郵件給沖掉同時,由於它占用了大量的網絡資源,常常導致網絡塞車,使大量的用戶不能正常地工作。
目的:
對郵件接收者的計算機或終端進行惡意破壞。
在UNIX系統中,郵件炸彈還可以使其部分內容在郵件接收端被編譯成shell命令。這種攻擊包括的范圍小到開開玩笑,大到服務拒絕。
2、電子郵件安全防護技術
1.垃圾郵件過濾技術
基於IP地址的過濾是目前ISP和反垃圾郵件組織普遍采用的方法,用於控制那些長期發送或轉發垃圾郵件的服務器。國際上的反垃圾郵件組織(如MAPS、ORBS等)都提供IP地址數據庫(或黑名單),其中以RBL (Realtime Blackhole List)形式最為常見。
垃圾郵件地址黑名單以DNS記錄的形式存儲在DNS服務器中,可以配置郵件服務器訂閱RBL的黑名單,郵件服務器在收到SMTP的請求后用源發的IP地址實時檢索RBL,如果該Р地址在RBL黑名單中則拒絕接收。
增強防范意識
謹慎打開附件和鏈接
一些陌生郵件中附帶的附件和鏈接可能包含病毒、廣告等垃圾內容,損害用戶利益和財產安全。
謹慎公開郵箱地址
不要在公共場合公開自己的郵箱地址,若一定需要公開,可以專門注冊一個垃圾郵箱,作為垃圾郵件的“倉庫”。
舉報垃圾郵件
很多郵箱服務商都提供了垃圾郵件處理機制,服務商會將該郵件移到垃圾郵件箱,並將發件人地址加入黑名單。
郵件權限設置
郵件安全問題:
郵件被轉發、復制、打印、截屏.....
附件被編輯、下載.....
解決辦法:
IRM、RMS
郵件管理憑據
2.郵件加密和簽名
未經加密的郵件很容易被不懷好意的偷窺者看到,如果對帶有敏感信息的郵件進行加密和簽名,就可以天大提高安全性.
用於電子郵件加密和簽名的軟件有許多,GnuPG( GNU Privacy Guard)是其中常見的一種開源軟件。
GnuPG是一個基於RSA公鑰密碼體制的郵件加密軟件,可加密郵件以防止非授權者閱讀,同時還可對郵件加上數字簽名,使收信人可以確認郵件發送者,並確認郵件沒有被篡改。
郵件篡改、偽冒與抵賴
電子郵件在lnternet上傳輸,從一個機器傳輸到另一個機器。這種方式下,在電子郵件所經歷過網路上的任一系統管理員或黑客都有可能截獲和更改該郵件,甚至偽造某人的電子郵件。
針對劫持的防范措施有:
通信和會話加密 使用安全協議,例如使用SSL代替http。
限制連接 減少攻擊者進行會話劫持的機會。
完善認證措施 在建立會話后繼續進行認證。正是由於偽冒的可能性存在,所以一個合法的用戶可以抵賴,否認發送郵件。
四、數據安全
1.數據備份
數據備份就是保留一套后備系統,做到有備無患。數據備份就是保存數據的副本。數據備份的目的是為了預防事故(如自然災害、病毒破壞和人為損壞等)造成的數據損失。
數據備份的重要性
對數據的威脅通常比較難於防范,這些威脅—旦變為現實,不僅會毀壞數據,也會毀壞訪問數據的系統。
計算機里面重要的數據、檔案或歷史紀錄,不論是對企業用戶還是對個人用戶,都是至關重要的,一時不慎丟失,都會造成不可估量的損失,輕則辛苦積累起來的心血付之東流,嚴重的會影響企業的正常運作,給科研、生產造成巨大的損失。
為了保障生產、銷售、開發的正常運行,企業用戶應當采取先進、有效的措施,對數據進行備份、防范於未然。
數據安全面臨的其他威脅
存儲設備中的數據面臨的信息安全威脅:
◆存儲設備丟失;
◆存儲設備物理損壞、數據丟失或被破壞;
◆數據被竊取、惡意恢復;
數據丟失
設備保存、使用不當,設備損壞導致數據丟失、不可用;
數據被誤刪導致數據丟失、被破壞、不可用;
應對措施:使用數據恢復軟件搶救數據;請專業機構處理;
數據被竊取、惡意恢復
數據在移動設備使用過程中被直接竊取;
◆病毒
◆木馬
設備在維修、借用給他人之后,數據被竊取、惡意恢復;
應對措施:個人終端使用安全文件加密、文件粉碎。
數據安全防護注意事項
1.U盤分類分級;
2.U盤交換完數據后進行刪除、重要數據粉碎操作;
3.損壞設備維修要小心;
4.敏感數據存儲解決消磁處理;
文件粉碎
徹底粉碎被刪除數據
使用“安全刪除軟件”(如文件粉碎機)擦除或粉碎數據;
使用數據反復覆蓋
反復往U盤、移動硬盤中寫入非隱私文件;數碼相機在刪除隱私照片之后繼續多拍幾張照片來覆蓋數據;
文件刪除與文件粉碎
文件刪除,只是將文件名更改,加上一特殊符號表示該文件已刪除,這樣系統就不再訪問它。
文件粉碎,就是用O和1等數將源文件所在區域重寫一遍。這樣就使得源文件徹底被刪除。
文件粉碎軟件:360文件粉碎機 超級文件粉碎機 金山文件粉碎機
數據備份與數據復制
數據復制是指將重要的數據復制到其他存儲介質,並保存在其他地方,當數據遭到意外損壞或者丟失時,再將保存的數據副本恢復到系統。
完善的備份必須在數據復制的基礎上,提供對數據復制的管理,徹底解決數據的備份與恢復問題。單純的數據復制無法提供文件的歷史記錄,也無法備份系統狀態等信息,不便於系統的完全恢復。
完全備份、增量備份和差異備份
完全備份:對服務器上的所有數據進行完全備份,包括系統文件和數據文件。並不依賴文件的存檔屬性來確定備份那些文件。(在備份過程中,任何現有的標記都被清除,每個文件都被標記為已備份,換言之,清除存檔屬性)。
完全備份所需時間最長,但恢復時間最短,操作最方便。當系統中的數據量不大時,采用完全備份最可靠。
數據備份與數據存儲硬件容錯
硬件容錯是指用冗余的硬件來保證系統的連續運行。硬件容錯的目的為了保證系統數據的可用性和不間斷運行,即保護系統的在線狀態,保證數據可信且可用。
數據備份則是將整個系統的數據或狀態保存下來,以便將來挽回因事故帶來的數據損失,保存的數據副本處於離線狀態。備份數據的恢復需要一定的時間,在此期間,系統往往是不可用的。
完全備份、增量備份和差異備份
對上一次完全備份(而不是上次備份)之后新增加的和修改過的數據進行備份。差異備份過程中,只備份有標記的那些選中的文件和文件夾。它不清除標記,即:備份后不標記為已備份文件,換言之,不清除存檔屬性)。
降低增量備份存儲空間不足的可能性;在恢復數據時,需兩份數據,一份是上一次完全備份,另一份是最新的差異備份。
增量備份:只對上一次備份后增加的和修改過的數據進行備份。增量備份過程中,只備份有標記的選中的文件和文件夾,備份后,它清除標記,即:備份后清除存檔屬性。
其優點很明顯,由於沒有重復的備份數據,既節省磁盤空間,又縮短了備份時間。但是一旦發生災難,恢復數據則比較麻煩,因而實際應用中一般不采用這種方式
數據備份與災難恢復
網絡運行和維護過程中,經常會有一些難以預料的因素導致數據的丟失,如天災人禍、硬件毀損、操作失誤等,而且所丟失的數據通常又對企業業務有着舉足輕重的作用。所以必須聯系數據的特性對數據及時備份,以便於在災難發生后能迅速恢復數據。
2.數據恢復
數據恢復就是將數據恢復到事故之前的狀態。數據恢復總是與備份相對應,實際上可以看成備份操作的逆過程。備份是恢復的前提,恢復是備份的目的,無法恢復的備份是沒有意義的。
數據恢復工具
EasyRecovery是一款操作安全、價格便宜、用戶自主操作的數據恢復方案,它支持從各種各樣的存儲介質恢復刪除或者丟失的文件,其支持的媒體介質包括:硬盤驅動器、光驅、閃存、硬盤、光盤、U盤l移動硬盤、數碼相機、手機以及其它多媒體移動設備。能恢復包括文檔、表格、圖片、音視頻等各種數據文件,同時發布了適用於Windows及Mac平台的軟件版本,自動化的向導步驟,快速恢復文件。
五、賬戶口令安全
1.賬戶口令設置基本原則
暴力破解
比較原始的竊密技術是暴力破解,也叫密碼窮舉;
如果黑客事先知道了賬戶號碼,如網上銀行賬號,而恰巧你的密碼又十分簡單,比如用簡單的數字組合,黑客使用暴力破解工具很快就可以破釋出密碼來;
用戶把密碼設置的盡可能復雜一些可以預防暴力破解。
字典式口令破解
◆姓+名
◆生日猜測英文單詞
◆弱口令:如123456用戶名與密碼重復
特點
◆字典相對容量小,所以速度快
◆破解可能性小
枚舉式口令破解
根據排列組合的算法而來;
將字母、數字等字符的所有可能的組合,通過循環程序實現出來;
例: Windows NT口令攻擊工具10Phtcrach2.0采用枚舉式破解時,使用二個特別的的字符集,其排列組合的字符序列由A~Z (a~z)再加上0~9構成。若計算由這些字符序列產生的所有可能的口令,其長度可以從1~62。
特點
攻擊力非常之強大;
耗時很長,從理論上講,只要有足夠的時間,就可達到目的。
鍵盤記錄木馬
黑客在木馬程序里設計鈎子程序,一旦用戶的電腦感染了這種特制的病毒,系統就被種下了“鈎子”,黑客通過“鈎子”程序監聽和記錄用戶的擊鍵動作,然后通過自身的郵件發送模塊把記錄下的密碼發送到黑客的指定郵箱;
軟鍵盤輸入可以預防使用擊鍵記錄技術的木馬。
屏幕快照
病毒作者考慮到軟鍵盤輸入這種密碼保護技術,病毒在運行后,會通過屏幕快照將用戶的登陸界面連續保存為兩張黑白圖片,然后通過自帶的發信模塊發向指定的郵件接受者。黑客通過對照圖片中鼠標的點擊位置,就很有可能破譯出用戶的登陸賬號和密碼,從而突破軟鍵盤密碼保護技術,嚴重威脅網上交易安全。
2.賬戶口令設置基本原則
口令字典的組成
電話號碼
包括家庭電話辦公電話和移動電話或尋呼機,根據所在地情況選擇號碼寬度或者加上區號。
出生日期
分月日、年月、年月日三種,並可選擇二位或四位年份。現在上網用戶的出生年份比較集中。這樣字典就會更小,縮短破解時間。
姓名字母
分為姓名輔音的組合(2-3位)、中文姓或英文名、中文姓+名、中文姓+名字輔音、中文姓+英文名,根據使用頻率來進行組合。
英文、數字
包含一個內含5萬多詞匯的英文詞典文件,另外還有常用數字,也可以設定數字范圍后生成新的數字詞典。在生成詞典文件中,設定了詞條的天小寫格式和詞典寬度范圍,常用用戶名是3-6個字符,常用口令是3-8個字符。可見常用的不合適的口令兒乎都包含在了這個詞典中。
賬戶口令設置的基本原則
1.密碼中的字符應該來自下面“字符類別”中五組中的至少三組。
◆(1)、小寫字母: a、b、c...
◆(2)、大寫字母:A、B、C...
◆(3)、數字:0、1、2、3、4、5、6、7、8、9
◆(4)、非字母數字字符(符號): ~`! @ # $ %^&* ( )<>?l_-l
◆(5)、Unicode字符:??、Γ、?和λ
2.盡量設置長密碼
設法設置便於記憶的長密碼,密碼越長被破解的可能性就越小;
可以使用完整的短語,而非單個的單詞或數字作為密碼。
3.盡量在單詞中插入符號
在單詞中插入符號或者變為諧音符號。如: "just foryou”可以改善為“just4y_o_u”。
4.不要在您的密碼中出現帳號
5.不要使用個人信息作為密碼的內容
如生日、身份證號碼、親人或者伴侶的姓名、宿舍號等。
6.口令不重復
網銀、郵箱、聊天工具、論壇等等不要混用;
7.口令定期換
使用頻繁,更換周期短;
信息重要,更換周期短;
發現泄漏馬上報告並更新;
新密碼不應包括舊密碼的內容,並且不應與舊密碼相似。
不安全密碼
使用用戶名本身,如:用戶名是Lizhigang,口令還是lizhigang;
用戶姓名的各種組合變化,比如用戶名是Li zhi gang,他的組合是Li_zhgang、Lzhg、lzg等,或者還會附加上常用數字和出生日期,如lzg80、lzg1980、lzg888等等;
常用數字,一般是:0、1、123、12345、888、168等;
常用英文單詞,特別是計算機常用詞或其簡單變化,(例如"qwerty”或“abcdef)等等可以在詞典中查到的單詞;
指明個人信息的口令(例如生日、姓名、配偶姓名、孩子姓名、電話號碼、身份證號碼、工作證號碼、汽車牌號、汽車執照號、居住的街道名稱等);
賬戶口令安全注意事項
1.輸入密碼的一些有用技巧
2.使用技術防范
3.養成良好習慣
輸入密碼的一些有用技巧
輸入密碼時建議用復制+粘貼的方式
這樣可以防止被記鍵木馬程序跟蹤;
通過軟鍵盤輸入密碼
軟鍵盤也叫虛擬鍵盤,用戶在輸入密碼時,先打開軟鍵盤,然后用鼠標選擇相應的字母輸入
這樣就可以避免木馬記錄擊鍵。
混亂輸入密碼
例如你的密碼是:gsgas56,你先敲gfgs56,然后鼠標移到第3位輸入s成為gfsgs56,然后倒數第4位輸入a,成為gfsgas56,再把第2位.的f取消掉。那樣你鍵盤輸入的就是gfgs56sa,能有效防止中招。
使用技術防范
1、及時升級瀏覽器和操作系統,及時下載安裝相應補丁程序;
2、安裝正版的殺毒軟件、防火牆;尤其重要的是安裝“防木馬軟件”;
3、及時更新殺毒軟件、防火牆、防木馬軟件,並定期查殺;
4、不瀏覽不明網頁,不使用不明軟件,不在聊天時透露個人、單位和帳戶信息。