【文章內容簡介】 復雜性 ，使網上交易風險大大高于前者 。 內容 交易安全標準 交易安全基礎體系 交易安全的實現(xiàn) ? 數據安全 ： 數據安全牽涉到 數據庫 的安全和 數據本身 安全 ， 針對兩者應有相應的安全措施 。 數據庫安全 企業(yè)的數據庫一般采用具有一定安全級別的 SYBASE或 ORACLE大型分布式數據庫 。 鑒于數據庫的重要性 ， 還應在此基礎上開發(fā)一些安全措施 ， 增加相應控件 ， 對數據庫分級管理并提供可靠的故障恢復機制 ， 實現(xiàn)數據庫的訪問 、存取 、 加密控制 。 實現(xiàn)方法 ： 安全數據庫系統(tǒng) 數據庫保密系統(tǒng) 數據庫掃描系統(tǒng) 數據安全 指存儲在數據庫數據本身的安全 ，相應的保護措施有安裝反病毒軟件 ，建立可靠的數據備份與恢復系統(tǒng) ， 對股民的個人信息和交易數據按安全等級劃分存儲 ， 某些重要數據甚至可以采取加密保護 。 安全管理 面對網絡安全的脆弱性 ， 除了運用先進的網絡安全技術和安全系統(tǒng)外 ， 完善的網絡安全管理將是信息系統(tǒng)建設重要組成部分 ， 許多不安全的因素恰恰反映在組織資源管理上 ， 安全管理應該貫穿在安全的各個層次上 。 原則： 多人負責原則 任期有限原則 職責分離原則 安全管理的實現(xiàn)： 安全制度管理 安全目標管理 技術管理目標 資源管理目標 客戶管理目標 安全服務： 建立網絡安全保障體系不能僅僅依靠現(xiàn)有的安全機制和設備 ，更重要的是提供全方位的安全服務 。 完善的安全服務應包括全方位的安全咨詢，整體系統(tǒng)安全的策劃、設計，優(yōu)質的工程實施、細致及時的售后服務和技術培訓。 此外，定期的網絡安全風險評估，幫助客戶制定特別事件應急響應方案擴充了安全服務的內涵。 安全目標： 靜態(tài)安全目標 —— 包括整個企業(yè)信息系統(tǒng)的物理環(huán)境 、 系統(tǒng)硬 、軟件結構和可用的信息資源 ， 保證企業(yè)交易系統(tǒng)實體平臺安全 。 動態(tài)安全目標 —— 提升企業(yè)信息系統(tǒng)的安全軟環(huán)境，包括安全管理、安全服務、安全思想意識和人員的安全專業(yè)素質。 企業(yè)信息安全 典型應用案例 下圖是某證券公司信息安全解決方案的應用實例 ， 是典型的總部模式 ，具體如下： 防火墻作為基礎安全設備設立在公司總部及營業(yè)部入口 ， 通過訪問控制可防止非法入侵并能做內部的安全代理 。 通過 IP層加密構建企業(yè)虛擬專用網（ VPN） ， 保證證券公司總部與各營業(yè)部之間信息傳輸的機密性 。 安全控制中心主要用作證券公司網絡監(jiān)控預警系統(tǒng) ， 具有主動 、 實時的特性 。 它是由入侵檢測系統(tǒng) 、 網絡掃描系統(tǒng) 、 系統(tǒng)掃描系統(tǒng) 、 網絡防病毒系統(tǒng) 、 信息審計系統(tǒng)等構成的綜合安全體系 。 證券公司的 Web服務器、郵件服務器等應用系統(tǒng)的保護由頁面保護系統(tǒng)、安全郵件系統(tǒng)完成。 基于 SSL協(xié)議的應用加密系統(tǒng)保證股民交易安全。 建立公司的數字證書中心（ CA），向股民發(fā)放相應的數字證書。 交易、行情服務器采用負載均衡和容錯備份系統(tǒng)。 數據庫采用相應安全控件組成安全數據庫，定期進行數據庫漏洞掃描和數據備份。 衛(wèi)星加密系統(tǒng)用于證券公司與深、滬兩市數據安全交換。 文電辦公加密系統(tǒng)用于辦公文件（郵件）加密傳輸、存儲。 企業(yè)防黑策略 黑客常用手段 目的 獲取目標系統(tǒng)的非法訪問 ， 獲得不該獲得的訪問權限 。 獲取所需信息 ， 包括科技情報 、 個人信息 、 金融賬戶 、 技術成果 、 系統(tǒng)信息等等 。 篡改有關數據 ， 篡改信息 ， 達到非法目的 。 利用有關資源 ， 包括利用這臺機器的資源對其他目標進行攻擊 ， 發(fā)布虛假信息 ， 占用存儲空間 。 攻擊方式 ： 遠程攻擊 —— 指外部黑客通過各種手段 ， 從該子網以外的地方向該子網或者該子網內的系統(tǒng)發(fā)動攻擊 。 遠程攻擊的時間一般發(fā)生在目標系統(tǒng)當地時間的晚上或者凌晨時分，遠程攻擊發(fā)起者一般不會用自己的機器直接發(fā)動攻擊，而是通過跳板的方式，對目標進行迂回攻擊，以迷惑系統(tǒng)管理員，防止暴露真實身份。 本地攻擊 —— 指本單位的內部人員 ，通過所在的局域網 ， 向本單位的其他系統(tǒng)發(fā)動攻擊 ， 在本機上進行非法越權訪問也是本地攻擊 。 本地攻擊不排除使用跳板的可能 。 偽遠程攻擊 —— 指內部人員為了掩蓋攻擊者的身份，從本地獲取目標的一些必要信息后，攻擊過程從外部遠程發(fā)起，造成外部入侵的現(xiàn)象，從而使追查者誤以為攻擊者是來自外單位。 途徑 ： 管理漏洞 —— 如兩臺服務器用同一個用戶和密碼 ， 則入侵了 A服務器后 ，B服務器也不能幸免 。 軟件漏洞 —— 如 Sun系統(tǒng)上常用的Netscape Enterprise Server服務 ， 只需輸入一個路徑 ， 就可以看到 Web目錄下的所有文件清單；又如很多程序只要接收到一些異?；蛘叱L的數據和參數 ，就會導致緩沖區(qū)溢出 。 結構漏洞 —— 比如在某個重要網段由于交換機 、 集線器設置不合理 ， 造成黑客可以監(jiān)聽網絡通信流的數據；又如防火墻等安全產品配置不合理 ， 有關安全機制不能發(fā)揮作用 ， 麻痹技術管理人員而釀成黑客入侵事故 。 信任漏洞 —— 比如本系統(tǒng)過分信任某個外來合作伙伴的機器 ， 一旦這臺合作伙伴的機器被黑客入侵 ，則本系統(tǒng)的安全受嚴重威脅 。 綜上所述 ： 一個黑客要成功入侵系統(tǒng) ，必須分析各種與該目標系統(tǒng)相關的 技術因素 、 管理因素 和 人員因素 。 黑客網絡攻擊的四個層次 單元分析：單一目標的系統(tǒng)技術分析 。 網絡分析：與目標有關的網絡系統(tǒng)的 技術分析 。 組織分析：與目標有關的組織分析 。 人物分析：與目標有關的人物分析 。 如下圖所示 ， 對于外部的黑客而言 ， 在所用到的四個攻擊層次中單元系統(tǒng)分析所占的比例最大 ， 它是黑客攻擊的最主要途徑 。 其他三個層次的分析 ， 都是走迂回路線 。 如下圖所示，對于內部黑客而言，在組織分析和人物分析，甚至是網絡分析方面，都有著得天獨厚的優(yōu)勢。對于內部黑客而言，反而是單元系統(tǒng)分析的難度較大。 三種常見的黑客攻擊方法 了解企業(yè)面臨的主要安全威脅并防患于未然是企業(yè)保持競爭力的基礎條件之一 。 在所有的安全威脅中 ， 以下三種是最為嚴重的 。 ? 訪問攻擊