层层设防滴水不漏--思科一体化安全解决方案为金融网络保驾护航

FCC网络安全威胁与日俱增信息化进程的快速推进以及网络的逐步完善,使得网络所面临的病毒、黑客威胁也与日俱增,完善的网络安全解决方案就成了保障各行各业网络尤其是金融网络健康发展的迫切需要。据调查,目前大部分网络都遭受过来自内部和外部的双重攻击,包括对网络中数据信息的危害和对网络设备的危害。具体来说,网络安全面临的主要威胁有:非授权访问,即对网络设备及信息资源进行非正常使用或越权使用等;冒充合法用户,即利用各种假冒或欺骗手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的;破坏数据的完整性,即使用非法手…     

入侵检测系统的技术分析与应用

一、概述 随着互联网技术的发展,信息系统受到的安全威胁越来越严重.近几年来,网络非法入侵和计算机犯罪案件屡有发生,信息系统安全建设因此受到越来越多的关注.国内券商的信息系统在建设初期都没有重视安全建设,系统在安全方面存在的漏洞和隐患较多,主要表现为:缺乏系统、规范的企业级安全策略指导;采用的安全防护技术比较单一,许多券商只安装了防火墙或仅在应用层采用了简单的加密技术;缺乏对整个信息系统安全状况的审计分析和综合评估.     

如何利用路由器IOS的网络安全特性

当路由器的IOS(互联网操作系统)安全特性被充分利用时，路由器会变成一个有效的、稳定的、安全的防火墙。IOS安全特性能防止非授权的外来用户访问企业的内部网，阻挡黑客的攻击，同时允许已授权的用户访问内部网的授权资源并获得相应的资源。利用IOS安全特性配置，路由器能成为企业接入互联网的防火墙（或者部分防火墙）、企业内部网各部门之间的防火墙、内部网与合作伙伴网络之间的防火墙。在路由器的IOS安全特性集中，网络传输数据的过滤是其中的一个内容。网络传输数据过滤中使用的一个IOS安全特性是Lock－and－Key特性，本文的中…     

对网络时代财务会计的几点思考

在互联网走进现代经济生活、充斥于财务管理的各个方面的同时,网络安全、会计假设、成本报表等都将面临新的挑战。一、凭证变数字、资产变无形、网络安全堪人忧1.非法侵扰难避免。网络是一个开放的环境,一切信息在理论上都是可以被访问到的。因此,网络下的会计信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。一旦发生将造成巨大的损失。2.电子商务难自保。随着电子商务的迅猛发展,网上交易愈加普遍,这样企业的原始凭证将成为数字格式,如何保证凭证在制作和传递过程真实、及时、不被恶意篡改,这就加强了企业对网上公证机构的依赖。但直…     

Unix网络系统的安全缺陷及防范措施

Unix网络系统由于其功能强大、性能稳定、安全可靠而在银行系统中广泛的应用。它与Windows95／98等系统相比,具有较高的安全性。但由于其动态体系结构特点、源代码公开、系统配置复杂等原因,Unix网络系统也存在很多安全缺陷,如果不采取相应的防范措施,这些缺陷可能被非法入侵者利用,而影响银行的资金安全。 一、安全缺陷 1.利用网络监听工具截取重要数据 我们通常所用的以太网是一种广播型网络,在这种网络上,发送给每个特定机器的数据都可以被网络上任何机器监听到。常用的监听软件有tcpdump、snoop、etherfind等。这些软件的功能十分强大,既可以监听在网络上传输的所有数据,又可以监听指定源地址、指定目标地址、指定端口和协议的数据,还可以将它们保存下来以便仔细分析。如果网络上有其他用户在使用telnet、ftp、rlogin等服务、就可以监听到这些用户明文形式的帐户名和口令,进而就可以侵入其系统。 2．利用具有suid权限的系统软件的安全漏洞 具有suid权限的程序在运行时,其进程的实际uid为程序执行者的uid,而有效uid为程序owner的uid。由于系统软件的owner通常为root,非法入侵者可能利用这些软件的漏洞来窃取root权限。 (1)利用IFS等环境变量 如果通过阅读系统软件的源程序,知程序中有system()系统调用,如：swstem(“／bin／cpfilelfile2”),那么我们可以重新设置IFS(输入字段分隔符)变量： $IFS=／:exportIFS 此时．该system调用中的命令被解释为：bincpfilefile2,再编一个恶意程序命令为bin并放在用户的path变量内,便可以通过这个bin程序窃取root权限了。 (2)利用缓冲区溢出 有些系统在调用时不检查参数的长度,如调用gets(),scanf()等,这使得程序可以在用户的控制下形成缓冲区溢出。在正常情况下,程序在遇到缓冲区溢出时会停止。但如果用户对Unix很熟悉,就可以使程序在遇到缓冲区溢出时转而运行另一个程序。如果一个有suid权限的程序在缓冲区溢出后转而执行一个shell,那么这时的普通用户就变成了root用户。 (3)利用core文件 程序在运行中发生缓冲溢出、数组边界越界或接收到SIGILL、SIGTRAP等信号时都可能会产生core文件。如果将umask设为000,那么产生的core文件就具有777权限。非法入侵者可以利用dbx或adb等工具来读这个core文件,从而可能获取系统上的重要信息。 3．利用ping、telnet、ftp等命令的缺陷 根据TCP／IP协议规定,数据包的最大长度为65536字节。有的Unix系统在收到过长的IP数据包时,会产生系统崩溃、重新启动、死机等异常反应。我们知道,用ping命令向其他主机发送ICMP数据报文时,其报文大小可以任意指定。因此恶意用户可能通过用ping命令向其他主机发送过长的数据报文来对其进行攻击。微机上常用的SCOUnixSystemV／3863．2．4．2、SCOOpenServer5．0．0和5．O.2均存在该问题。 此外,很多版本的telnet、ftp等命令也存在一定的安全缺陷。 4．利用IP欺骗技术 为了获取访问权限,入侵者可以利用一些基于IP地址的认证程序的特点,在发送IP数据包时,修改其源IP地址字段,将其置为另一台机器的IP地址,该IP地址可能在目标机的／etc／hosts．Equiv或．Rhosts中有记录,这样就可能获取非授权的访问权限,甚至是目标机的root访问权限。 5．利用．Exrc文件 ．Exrc是编辑程序vi的初始化文件。Vi启动时,首先查找并执行$HOME／．Exit和当前目录下的．Exrc文件。非法入侵者可以将一个自己编写的．Exic放在／tmp等公共目录下,当root用户在该目录下运行vi时,该．Exrc文件就会自动运行。非法入侵者可以利用该．Exrc修改重要的系统配置文件,从而获得对系统的长期控制权。 目前的银行系统很多Unix机器在配置上存在着明显的安全缺陷。例如,很多业务机上都有一个关机用户,该用户是root权限,通过将initO或shutdown命令加入其．Pmfile文件,使操作人员能利用该关机用户进行系统关机。但这种关机用户往往未加口令(即使有口令也常为很多人知晓),因而恶意用户可以利用ftp命令,通过关机用户进行登录,进而修改系统文件而获得长期控制权。更有甚者．许多银行网点都是X．25专线连接到机房,而在配置X．25时,往往未将x29、x25ftp等服务屏蔽掉,这样X．25网上的任何用户都可以利用这些X．25服务．通过关机用户而自由进入该台银行业务机。 二、查看是否已被入侵的方法 1．检查日志文件 在文件／etc／syslog．Conf中控制了日志文件的位置以及哪些日志文件记录哪些活动。通过检查这些日志文件,可以获得本系统是如何被攻破的、入侵的过程怎样、哪些远程主机访问了本机器等信息。 2．检查具有suid权限的文件 入侵者常留下具有suid权限且owner为root的可执行文件,以便以后能继续以root身份访问系统。 3．检查文件／etc／passwd是否被修改 应检查非法新增用户、没有口令的用户和UID的改变(尤其是UID为O的用户)。 4．检查系统网络配置中是否有非法的项 应检查／etc／hosts．Equiv以及所有的．Rhosts文件中是否有“+”项和非法的地址项。 5．检查系统上非正常的隐藏文件 Unix上常用的方法是在文件或目录名前加上“…”、“．．”(两点加一个空格)或“．．^G”,这样就实现了文件或目录的隐藏效果,可以用find命令查找这些文件。 6．检查／etc／inetd．Conf和／etc／rc2．D／*文件 检查这些文件是否被植入了人侵者留下的“后门”程序。 三、提高安全性的措施 1.及时安装Unix补丁程序 旧版本的Unix系统往往含有安全漏洞,因此为了系统的安全,应该使用最新版本的Unix系统。同时,新版系统在运行过程中,可能会逐渐暴露出一些安全缺陷,因此要及时安装系统的补丁程序。这些补丁程序可以从各个Unix供应商的Internet网站上下载得到。 2．对网络监听的防范措施 首先应在支持监听模式网络接口的机器上检查是否有网络监听工具软什在运行,包括检查在系统上运行的可疑进程、对／dev／nit的未经授权使用等。如果发现了有网络监听软件正在运行,就应检查网络系统是否已被攻击,并设法恢复系统。此外．对于以太网等广播型网络,应当尽量不要在网络上传输纯文本形式的口令信息,不要以root身份进行远程登录。 3．对IP欺骗技术的防范措施 解决IP欺骗技术的最好方法是安装过滤路由器,不允许包含内部网络地址的数据包通过该路由器。此外,还应该过滤掉与用户内部网络地址不同的源地址向外发出的数据包,这样可以防止源于网络的IP欺骗的攻击。 4．提高文件系统配置的安全性措施 (1)确保系统上没有用于非法目的的.Exre文件。 (2)确保各个系统文件尤其是／etc下各文件的权限被正确设置。 (3)确保／etc、／bin、／usr／bin、／usr／sbin、／tmp、／var／tmp等系统目录的owner为mot,并且／tmp、／var／tmp目录的权限最高位为“t”。 (4)橙查系统上所有具有suid或sgid权限的文件。 (5)建议任何由root运行的文件,其文件owner都应该是root,并将其文件权限的“w”位屏蔽掉。 5．提高网络系统配置的安全性措施 (1)r命令系列(rep、rlogin、rsh)常常是Unix系统的不安全因素。因此,当不真正需要使用r命令时,应当将这些服务去掉。当确实需要使用r命令时,应当谨慎地配置／etc／hosts．Equiv和$HOME／．Rhosts文件。应确保这些文件的权限正确,它们的第一个字符不是“-”,文件中不含有“+”通配符,并建议对root用户不要配置其．Rhosts。 (2)对于／etc／inetd．Conf文件,应确保该文件的owner是root,权限为600,并尽量过滤掉并不真正需要的服务,如tftp服务和r命令服务。 (3)对于ftp服务,应确保已经正确地设置了文件／etc／ftpusers,如果没有该文件则创建。该文件用于指定不许访问用户系统的ftp服务器的用户,其中至少应包含root、bin、rrcp等。 6．加强帐号和口令的安全管理 一定要定期检查／etc／passwd和／etc／shadow文件,检查除root外uid为O的帐号、没有口令的帐号或新增的帐号。任何帐号都不能没有口令保护,各帐号的口令都应当经常更换,要定期查看su日志文件和拒绝登录消息日志文件。     

如何对Lotus Notes的用户标识符进行重新验证

Lotus Notes 系统在创建用户时,会要求为每一个用户分配一个独一无二的用户标识符(ID),即确定被授权的二进制文件,每个用户必须通过该标识符进行合法注册后,才能访问Notes 服务器。其主要包括:Notes 许可证、公用和私用密钥、加密密钥、验证字和口令6个部分。出于安全考虑,Notes 管理者会为每个 ID的验证字设定一个有效日期,临近到期时,会要求用户重新进行验证。具体步骤如图1所示:     

黑客or Not?

在移动互联网时代,金融机构遭遇黑客入侵或其他与客户有关的事件时,应该借用社交媒体第一时间通传消息,向客户辟谣或报告事件进程。最近发生在美国的银行网络中断事件就凸显了及时通报的重要性。近来,当网站问题影响到美国银行的主页时,很多人的第一想法是:肯定是黑客入侵。此外,还有人提出,这起事件很可能与黑客活     

防火墙的安装配置及使用方法

互联网的发展给金融业带来了革命性的变革,同时,也给数据安全带来了新挑战——确保客户、移动用户、内部员工的安全访问以及金融企业的机密信息不受黑客和间谍的入侵。防火墙作为“网络卫士”,能提供行之有效的网络安全机制,有效地防止黑客入侵,抵御来自外部网络的攻击,保证内部系统的资料不被盗取,是网络安全策略的有机组成部分。下面以东方龙马防火墙为例,介绍一下防火墙的安装配置步骤及应注意的问题。     

安全性--电子商务的"生命"

当进行电子商务交易,特别是网络支付的时候,在公共的Internet网上需要传输消费者和商家的一些机密信息,如用户信用卡号、商家用户信息和订购信息等,而这些信息一直是网络非法入侵者或黑客的攻击目标.     

NIDS：网络监控利器

网络入侵检测系统(NIDS)，是重要的网络安全设施。IDS能对网络活动进行实时检测，扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则对入侵行为进行分析，判断出黑客的攻击手段，进行及时、准确的报警，以便科技人员及时采取措施，消除隐患，保障网络和信息系统的安全。它与反病毒系统、防火墙、     

2005年金融信息系统安全建设：修补与规划并存

金融信息化带来的是银行业务系统在网络结构、业务关系、角色关系方面的极大的复杂化。而越是复杂的系统，其安全风险就越高，在系统中每增加一种访问的方式就增加了一些入侵的机会；每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。由于大量的重要业务可以通过信息系统完成，这意味着信息系统受到入侵时其直接和间接的经济损失会更加巨大。在2005年，     

网络安全的策略和实现手段

一、网络安全防御构架思考1.风险隐患分析目前在网络安全领域中存在诸多误区,经常一种说法是“某某产品是防止外部入侵的安全产品,某某产品是保证内部网络安全的产品……”。笔者认为这种认识是不全面的,在设计安全体系、选择相关产品之前,必须从安全和风险的关系考虑企业网络系统的安全风险所在。安全风险主要来自企业网络外部和网络内部两个方面。企业外部的安全风险主要包括:黑客的攻击;病毒的传播。网络内部的安全风险主要包括:非授权访问;信息泄露和丢失;破坏数据完整性;内部攻击;缺乏安全制度和安全标准。按照网络资源重要性和对资源…     

基层央行客户端信息安全风险亟待重视

人民银行内联网中运行着大、小额支付系统以及办公自动化系统，这对系统的安全性、实时性、准确性方面的要求越来越高。为强化计算机信息系统安全管理，确保内部网络和重要系统的安全，人民银行系统采取了内联网与互联网物理隔离的做法，并且在内联网上部署了网络入侵检测系统、非法外联监控系统、网络版防病毒系统、LANDesk自动补丁系统等桌面安全产品，     

浅析网上银行遭黑客侵袭的民事责任

银行业务网络与互联网的连接,使得网络银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷。例如英国国家罪案署,破获英国首宗网上银行抢劫案,犯罪分子利用伪造身份掳走了该国最大网上银行——埃格(EGG)的1万英镑现金。多项调查表明,黑客攻击已构成网上银行安全的严重困扰。对于黑客侵     

银行网络安全立体防御系统

银行计算机网络安全问题已引起人们的普遍关注，它的重要性也正在得到广泛重视。据美国ＦＢＩ统计，每年因信息网络安全造成的损失高达７５亿美元，而全球平均每２０秒就发生一起入侵Ｉｎｔｅｒｎｅｔ计算机事件。目前普遍采取的措施，如权限控制、防火墙、防病毒、加密等，没有真正达到安全性，系统还非常脆弱。网络系统很容易遭到黑客和病毒的入侵，造成系统的崩溃；数据在网络（局域网和广域网）上传输时，可能被截取、偷换、冒名顶替；远程访问系统经常被未授权的用户入侵。本文针对目前银行网络安全存在的实际问题，提出一个全方位立…     

七招防范Email数据泄露

全球最大电邮列表服务商Epsilon遭黑客入侵电子邮件数据泄露事件已经引起多方关注,尤其在有关部门应将如何受黑客影响的事实如实反馈给客户上,众说纷纭. 目前用户最大的担心是可能会面临有针对性的钓鱼式攻击,该攻击更常见的名字是鱼叉式网络钓鱼. 作为一家网上营销联盟数据系统公司以及全球最大的授权电子邮件网络营销商,Epsilond在4月1日的一份声明中称它的客户数据库遭黑客人侵,导致电子邮件地址和客户数据失窃.Epsilon每年代表2500多个品牌向其客户发送超过400亿封电子邮件,同时负责信用卡客户的忠诚度计划.此事件意味着Epsilon许多大品牌客户的用户数据已经被泄露.     

我国网络银行的风险控制方法初探

一、加强网络银行的内控制度建设 1.保证网上支付的交易安全.网上支付是否安全是用户最为敏感和担心的问题,尽管全球互联网已有上亿的网上用户,但是许多机密信息在互联网上传送时,依然时常被黑客或第三者截获、删改或抹除.因此,网络银行中特别敏感的个人信息以及财务资料(账号、密码、信用卡卡号等)、信息库、重要信息资源等仍可能被黑客或第三者破坏、滥用或泄漏.     

系统安全建设永无止境

近几年来,各行各业特别是金融系统不断发生信息系统安全事故,这不仅仅是简单的信息系统瘫痪问题,其直接后果是导致巨大的经济损失和公众对网络社会的诚信危机。为此,各级政府部门和人总行不断强调信息安全,把安全工作的重要性放到了前所未有的高度。然而在我们采取了多种安全措施的情况下,依然频频发生病毒入侵、内联网计算机非法外联以及用户数据丢失等安全事件。     

利用物理隔离技术保障信息安全

一、概述金融行业各部门的内部网络涉及大量的敏感信息,这些敏感信息不仅要求不被非法篡改,还要求不被泄露。在保护这些敏感信息的时候,金融业采用了大量的安全技术,包括防火墙、代理服务器、入侵检测机制等。但由于这些技术从本质上来说是一种逻辑机制(或称为软机制),对于某些实体(如内部人员等)来说,它们仍然是可操纵的。同时,这些技术的有效性是有限的,而且具有相当的复杂性,并不能完全满足金融行业数据安全的需要。国家《计算机信息系统国际联网保密管理规定》第六条规定:涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或…     

网络监测系统(MonNet)

1.MonNet简介 MonNet网络监测系统是专门为提高Inter net、Intranet和企业内部网络的安全性而开发的 网络信息监测和网络入侵检测系统.MonNet网 络监测系统能够实时监测网络的信息流,提供 对多种应用的分析、重组,帮助系统安全员和 主管部门严密掌握关键信息的流向.MonNet网 络监测系统还对入侵网络的"黑客”攻击进行 监测并及时报警,保证网络的正常运行.MonNet 网络监测系统是网络管理员和安全员维护网络 安全运行的有力助手,是保证Intemet、Intranet 和企业内部网络系统安全不可缺少的安全工 具.