应用安全 笔记

Posted 6767陆七

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了应用安全 笔记相关的知识,希望对你有一定的参考价值。

目录

一、浏览器安全

二、网上金融交易安全

网上银行

概述

安全措施

常见银行网址

注意

三、电子邮件安全

电子邮件主要安全威胁

电子邮件欺骗

垃圾邮件

邮件病毒

邮件炸弹

电子邮件安全防护技术

邮件过滤

邮件加密和签名

四、数据安全

数据安全面临的其他威胁

设备丢失

数据被窃取、恶意恢复

数据安全防护注意事项

数据备份

概念

重要性

数据备份与数据复制

数据备份与数据存储硬件容错

完全备份、增量备份和差异备份

数据恢复

概念

数据备份与灾难恢复

数据恢复工具

五、账户口令安全

账户口令面临的威胁

暴力破解

键盘记录木马

屏幕快照

账户口令设置基本原则

口令字典的组成

账号口令设置

账号口令输入

其他注意事项


一、浏览器安全

常用浏览器的安全措施。

(1)删除和管理 Cookie

  1. Cookie是由服务器端生成,发送给User-Agent(一般是浏览器)的小量信息;
  2. 浏览器会将 Cookie的 key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该 Cookie给服务器,这样服务器可以知道该用户是否合法用户以及是否需要重新登录等,服务器可以设置或读取 Cookies中包含信息,借此维护用户跟服务器会话中的状态。
  3. Cookies最典型的应用是判定注册用户是否已经登录网站,用户可能会得到提示,是否在下一次进入此网站时保留用户信息以便简化登录手续;
  4. 另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品,这些信息都会写入 cookies,以便在最后付款时提取信息。

(2)删除浏览历史记录

(3)禁用 ActiveX控件

二、网上金融交易安全

常用的安全措施如下

(1)U盾(USB-Key)

(2)手机短信验证

(3)口令卡

(4)采用安全超文本传输协议

网上银行

概述

  1. 网上银行又称网络银行、在线银行,是指银行利用Internet技术,通过 Internet向客户提供开户、查询、对帐、行内转帐、跨行转账、信贷、网上证券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。
  2. 网上银行又被称为“3A银行”,因为它不受时间、空间限制,能够在任何时间( Anytime)、任何地点(Anywhere)、以任何方式( Anyway)为客户提供金融服务。

安全措施

  1. 核对网址。真正中国银行个人网上银行登录页面和在线支付页面的网址均以htps:/lebs.boc.cn/开头。
  2. 查看E浏览器安全锁和地址栏颜色。个人网上银行登录页面和网上支付页面都经过128位SSL加密处理,在打开上述页面时,在E浏览器状态栏上会显示一个“挂锁”图形的安全证书标识。如客户浏览器为IE7,在客户进入中国银行个人网上银行登录页面和网上支付页时,IE浏览器地址栏颜色还会为绿色
  3. 核对预留验证信息。“预留验证信息”可以帮助您有效识别银行网站、防范不法分子利用假网站进行网上诈骗。您可以在银行预先记录一段文字(即“预留验证信息”),当您进入我行B2C在线支付页面并输入用户名和密码后,网页上会自动显示客户的预留信息,以便客户验证该网站是否为真实的中国银行网站。如果网页上没有显示预留信息或显示的信息与客户的预留信息不符,便可以确认该网站是假网站

常见银行网址

中国银行- Bank of China

http://www.bank-of-china.com

中国农业银行- Agriculture Bank of China

http://www.abchina.com

中国工商银行- Industry and Commercial Bank of China

http://www.icbc.com.cn

中国建设银行- China Construction Bank

http://www.ccb.cn

招商银行- China Merchants Bank

http://www.cmbchina.com

注意

  1. 请注意看管好您的Pad或 androidpad,不要轻易把已安装“中行网银”客户端的设备借他人使用,或在公共场所使用,以防止他人冒用或窥视您的个人信息。
  2. 在任何情况下,中国银行及公安、司法、税务、海关、人民银行、银监会等单位都不会向您索要“中行网银”客户端登录用户名、密码、动态口令或手机交易码。请不要轻信以任何名义要求您开通“中行网银”客户端或通过客户端划转资金的来电或短信,在任何情况下不要将您的用户名、密码、动态口令、手机交易码告诉他人。
  3. 请避免使用电话号码、车牌号、身份证号、出生日期等容易被别人猜到和窃取的信息作为密码,并尽量避免规律组合。为避免因某项密码的丢失而造成中行网银(含客户端)密码泄漏,请定期更改您的中行网银(含客户端)登录密码。

三、电子邮件安全

(1)电子邮件安全威胁

(2)电子邮件安全防护技术

电子邮件主要安全威胁

  1. 电子邮件欺骗
  2. 垃圾邮件
  3. 邮件病毒
  4. 邮件炸弹

电子邮件欺骗

  1. 使用类似邮件地址,使收件人误以为是被冒充地址。如“liuxiang@163com”和“1liuxiang@163.com”等。
  2. 修改邮件帐号设置。通过更改发件人姓名、回复地址等方式,使得收件人误以为是被冒充者发送,如果回复该邮件,也将发送到欺骗者设置的邮箱。
  3. 远程登录smtp服务器,通过修改邮件文件头的方式达到欺骗目的。
  4. 通过搭设本地smtp服务器,绕过需要身份验证的smtp服务器,直接将邮件信息发送至目标邮件的服务器。

垃圾邮件

  1. 定义:凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件。
  2. 据有关统计表明,中国用户每年收到的电子邮件达500亿封,其中60%以上为垃圾邮件。这是一个非常惊人的数据,垃圾邮件数量大大超过了正常的邮件,影响了用户正常使用邮件同时大量的垃圾邮件阻塞网络,降低了网络传输的性能。
  3. 垃圾邮件中有大量的“网络钓鱼”邮件,最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会证受害者警觉。

邮件病毒

  1. 定义:邮件病毒和普通病毒在功能上是一样由于它们主要是通过电子邮件进行传播,因此被称为邮件病毒。
  2. 般通过邮件附件发送病毒,接收者打开邮件,运行附件会使计算机中病毒。

邮件炸弹

  1. 概念:邮件发送者,利用特殊的电子邮件软件,在很短的时间内连续不断地将邮件邮寄给同一个收信人,在这些数以千万计的大容量信件面前收件箱肯定不堪重负,而最终“爆炸身亡”。
  2. 基本原理:由于每个人的邮件信箱都是有限的,当庞大的邮件垃圾到达信箱的时候,就会信箱挤爆,把正常的邮件给冲掉同时,由于它占用了大量的网络资源,常常导致网络塞车,大量的用户不能正常地工作

邮件炸弹的目的

  1. 对邮件接收者的计算机或终端进行恶意破坏。
  2. 在UNIX系统中,邮件炸弹还可以使其部分内容在邮件接收端被编译成 shell 命令。这种攻击包括的范围小到开开玩笑,大到服务拒绝。

电子邮件安全防护技术

(1)垃圾邮件过滤技术

(2)邮件加密和签名

邮件过滤

  1. 基于IP地址的过滤是目前ISP和反垃圾邮件组织普遍采用的方法,用于控制那些长期发送或转发垃圾邮件的服务器。
  2. 国际上的反垃圾邮件组织(如MAPS、ORBS等)都提供IP地址数据库(或黑名单),其中以RBL( Realtime Blackhole List)形式最为常见。
  3. 垃圾邮件地址黑名单以DNS记录的形式存储在DNS服务器中,可以配置邮件服务器订阅RBL的黑名单,邮件服务器在收到SMTP的请求后用源发的IP地址实时检索RBL,如果该IP地址在RBL黑名单中则拒绝接收。

增强防范意识

  1. 谨慎打开附件和链接.一些陌生邮件中附带的附件和链接可能包含病毒、广告等垃圾内容,损害用户利益和财产安全
  2. 谨慎公开邮箱地址.不要在公共场合公开自己的邮箱地址,若一定需要公开,可以专门注册一个垃圾邮箱,作为垃圾邮件的“仓库”。
  3. 举报垃圾邮件.很多邮箱服务商都提供了垃圾邮件处理机制,服务商会将该件移到垃圾件,一并将发件人地址加入黑名单

邮件权限设置

   邮件安全问题:

  1. 邮件被转发、复制、打印、截屏
  2. 附件被编辑、下载

   解决办法:

  1. IRM(信息权限管理)、RMS(权限管理服务)
  2. 邮件管理凭据

邮件加密和签名

概述

  1. 未经加密的邮件很容易被不怀好意的偷窥者看到,如果对带敏感信息的邮件进行加密和签名,就可以大大提高安全性
  2. 用于电子邮件加密和签名的软件有许多, GNUPG(GNU Privacy Guard)是其中常见的一种开源软件。
  3. GNUPG,是一个基于RSA公钥密码体制的邮件加密软件。可加密件以防止非授权者阅读,同时还可对邮件加上数字签名,使收信人可以确认邮件发送者,并确认邮件没有被算改。

邮件篡改、伪冒与抵赖

电子邮件在 Internet上传输,从一个机器传输到另一个机器。这种方式下,在电子邮件所经历过网路上的任一系统管理员或黑客都有可能截获和更改该邮件,甚至伪造某人的电子邮件。

邮件篡改、伪冒与抵赖的防范

针对劫持的防范措施有

  1. 通信和会话加密。使用安全协议,例如使用SSL代替http.
  2. 限制连接。减少攻击者进行会话劫持的机会。
  3. 完善认证措施。在建立会话后继续进行认证。正是由于伪冒的可能性存在,所以一个合法的用户可以抵赖,否认发送邮件。

四、数据安全

(1)数据备份

(2)数据恢复

数据安全面临的其他威胁

存储设备中的数据面临的信息安全威胁:

  1. 存储设备丢失
  2. 存储设备物理损坏、数据丢失或被破坏
  3. 数据被窃取、恶意恢复

设备丢失

  1. 设备被盗或遗失
  2. 导致数据丢失不可用,同时机密数据、隐私泄露;

应对措施:做好数据备份及数据加密

  1. 设备保存、使用不当,设备损坏导致数据丢失、不可用;
  2. 数据被误删导致数据丢失、被破坏、不可用

应对措施:

  1. 使用数据恢复软件抢救数据
  2. 请专业机构处理

数据被窃取、恶意恢复

  1. 数据在移动设备使用过程中被直接窃取
  2. 病毒
  3. 木马
  4. 设备在维修、借用给他人之后,数据被窃取、恶意恢复

应对措施:个人终端使用安全文件加密、文件粉碎。

数据安全防护注意事项

1.U盘分类分级

2.U盘交换完数据后进行删除、重要数据粉碎操作

3.损坏设备维修要小心;

4.敏感数据存储解决消磁处理;

文件粉碎

  1. 彻底粉碎被删除数据
  2. 使用“安全删除软件”(如文件粉碎机)擦除或粉碎数据
  3. 使用数据反复覆盖
  4. 反复往∪盘、移动硬盘中写入非隐私文件
  5. 数码相机在删除隐私照片之后继续多拍几张照片来覆盖数据

文件删除与文件粉碎

  1. 文件删除,只是将文件名更改,加上一特殊符号表示该文件已删除,这样系统就不再访问它。
  2. 文件粉碎,就是用0和1等数将源文件所在区域重写一遍。这样就使得源文件彻底被删除。
  3. 文件粉碎软件:360文件粉碎机、超级文件粉碎机、金山文件粉碎机

数据备份

概念

数据备份就是保留套后备系统,做到有备无患。数据备份就是保存数据的副本数据备份的目的是为了预防事故(如自然灾害、病毒破坏和人为损坏等)造成的数据损失。

重要性

  1. 对数据的威胁通常比较难于防范,这些威胁旦变为现实,不仅会毁坏数据,也会毀坏访问数据的系统。
  2. 计算机里面重要的数据、档案或历史记录,不论是对企业用户还是对个人用户,都是至关重要的,一时不慎丢失,都会造成不可估量的损失,轻则辛苦积累起来的心血付之东流,严重的会影响企业的正常运作,给科研、生产造成巨大的损失。
  3. 为了保障生产、销售、开发的正常运行,企业用户应当采取先进、有效的措施,对数据进行备份、防范于未然。

数据备份与数据复制

  1. 数据复制是指将重要的数据复制到其他存储介质,并保存在其他地方,当数据遭到意外损坏或者丢失时,再将保存的数据副本恢复到系统。
  2. 完善的备份必须在数据复制的基础上,提供对数据复制的管理,彻底解决数据的备份与恢复问题。单纯的数据复制无法提供文件的历史记录,也无法备份系统状态等信息,不便于系统的完全恢复。

数据备份与数据存储硬件容错

  1. 硬件容错是指用冗余的硬件来保证系统的连续运行。硬件容错的目的为了保证系统数据的可用性和不间断运行,即保护系统的在线状态,保证数据可信且可用。
  2. 数据备份则是将整个系统的数据或状态保存下来,以便将来挽回因事故带来的数据损失,保存的数据副本处于离线状态。备份数据的恢复需要一定的时间,在此期间,系统往往是不可用的

完全备份、增量备份和差异备份

完全备份

  1. 对服务器上的所有数据进行完全备份,包括系统文件和数据文件。并不依赖文件的存档属性来确定备份那些文件。(在备份过程中,任何现有的标记都被清除,每个文件都被标记为已备份,换言之,清除存档属性)。
  2. 完全备份所需时间最长,但恢复时间最短,操作最方便。当系统中的数据量不大时,采用完全备份最可靠。

差异备份

  1. 对上一次完全备份(而不是上次备份)之后新增加的和修改过的数据进行备份。差异备份过程中,只备份有标记的那些选中的文件和文件夹。它不清除标记,即:备份后不标记为已备份文件,换言之,不清除存档属性)。
  2. 降低增量备份存储空间不足的可能性;在恢复数据时,需两份数据,一份是上一次完全备份,另一份是最新的差异备份

增量备份

  1. 只对上一次备份后增加的和修改过的数据进行备份。增量备份过程中,只备份有标记的选中的文件和文件夹,备份后,它清除标记,即:备份后清除存档属性。
  2. 其优点很明显,由于没有重复的备份数据,既节省磁盘空间,又缩短了备份时间。但是一旦发生灾难,恢复数据则比较麻烦,因而实际应用中一般不采用这种方式

数据恢复

概念

  1. 数据恢复就是将数据恢复到事故之前的状态。
  2. 数据恢复总是与备份相对应,实际上可以看成备份操作的逆过程。备份是恢复的前提,恢复是备份的目的,无法恢复的备份是没有意义的

数据备份与灾难恢复

网络运行和维护过程中,经常会有一些难以预料的因素导致数据的丢失,如天灾人祸硬件毀损、操作失误等,而且所丢失的数据通常又对企业业务有着举足轻重的作用。所以必须联系数据的特性对数据及时备份,以便于在灾难发生后能迅速恢复数据。

数据恢复工具

Easyrecovery是一款操作安全、价格便宜、用户自主操作的数据恢复方案,它支持从各种各样的存储介质恢复删除或者丢失的文件,其支持的媒体介质包括:硬盘驱动器、光驱、闪存、硬盘、光盘、U盘移动硬盘、数码相机、手机以及其它多媒体移动设备。能恢复包括文档、表格、图片、音视频等各种数据文件,同时发布了适用于 Windows及Mac平台的软件版本,有自动化的向导步骤,快速恢复文件

Easyrecovery下载

1.软件下载地址

http://www.ontrack.com

2.百度

easyrecovety

五、账户口令安全

(1)账户口令安全威胁

(2)账户口令设置基本原则

账户口令面临的威胁

当前黑客主要是通过三种途径盗取帐号和密码

  1. 暴力破解
  2. 键盘记录木马
  3. 屏幕快照

暴力破解

概述

  1. 比较原始的窃密技术是暴力破解,也叫密码穷举;
  2. 如果黑客事先知道了账户号码,如网上银行账号,而恰巧你的密码又十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破释出密码来;
  3. 用户把密码设置的尽可能复杂一些可以预防暴力破解。

字典式口令破解

  1. 姓+名
  2. 生日猜测
  3. 英文单词
  4. 弱口令:如123456
  5. 用户名与密码重复

特点

  1. 字典相对容量小,所以速度快
  2. 破解可能性小

枚举式口令破解

  1. 根据排列组合的算法而来
  2. 将字母、数字等字符的所有可能的组合,通过循环程序实现出来
  3. 例: Windows NT口令攻击工具10 Phtcrach2.0采用枚举式破解时,使用二个特别的的字符集,其排列组合的字符序列由A~Z(a-z)再加上0~9构成。若计算由这些字符序列产生的所有可能的口令,其长度可以从1~62.

特点

  1. 攻击力非常之强大
  2. 耗时很长,从理论上讲,只要有足够的时间,就可达到目的

键盘记录木马

  1. 黑客在木马程序里设计钩子程序,一旦用户的电脑感染了这种特制的病毒,系统就被种下了“钩子”,黑客通过“钩子”程序监听和记录用户的击键动作,然后通过自身的邮件发送模块把记录下的密码发送到黑客的指定邮箱;
  2. 软键盘输入可以预防使用击键记录技术的木马。

屏幕快照

概述

病毒作者考虑到软键盘输入这种密码保护技术,病毒在运行后,会通过屏幕快照将用户的登陆界面连续保存为两张黑白图片,然后通过自带的发信模块发向指定的邮件接受者。黑客通过对照图片中鼠标的点击位置就很有可能破译出用户的登陆账号和密码,从而突破软键盘密码保护技术,严重威胁网上交易安全。

账户口令设置基本原则

口令字典的组成

  1. 电话号码。包括家庭电话办公电话和移动电话或寻呼机,根据所在地情况选择号码宽度或者加上区号。
  2. 出生日期。分月日、年月、年月日三种,并可选择二位或四位年份。现在上网用户的出生年份比较集中。这样字典就会更小,缩短破解时间。
  3. 姓名字母。分为姓名辅音的组合(2-3位)、中文姓或英文名、中文姓+名、中文姓+名字辅音、中文姓+英文名,根据使用频率来进行组合
  4. 英文、数字。包含一个内含5万多词汇的英文词典文件,另外还有常用数字,也可以设定数字范固后生成新的数字词典。在生成词典文件中,设定了词条的大小写格式和词典宽度范围,常用用户名是3-6个字符,常用口令是3-8字符。可见常用的不合适的口令几乎都包含在了这个词典中。

账号口令设置

1.密码中的字符应该来自下面“字符类别”中五组中的至少三组。

  1. 小写字母:a、b、c
  2. 大写字母:A、B、C
  3. 数字:0、1、2、3、4、5、6、7、8、9
  4. 非字母数字字符(符):~ ` ! @ # $ % ^ & ( ) < > ? / _ - |
  5. Unicode字符

2.尽量设置长密码。

  1. 设法设置便于记忆的长密码,密码越长被破解的可能性就越小
  2. 可以使用完整的短语,而非单个的单词或数字作为密码

3.尽量在单词中插入符号。

在单词中插入符号或者变为谐音符号。如:" just for you"可以改善为just4y_o_u"。

4.不要在您的密码中出现帐号。

5.不要使用个人信息作为密码的内容。

如生日、身份证号码、亲人或者伴侣的姓名、宿舍号

6.口令不重复

网银、邮箱、聊天工具、论坛等等不要混用

7.口令定期换

  1. 使用频繁,更换周期短
  2. 信息重要,更换周期短
  3. 发现泄漏马上报告并更新
  4. 新密码不应包括旧密码的内容,并且不应与旧密码相似。

账号口令输入

  1. 输入密码时建议用复制+粘贴的方式
  2. 这样可以防止被记键木马程序跟踪:
  3. 通过软键盘输入密码
  4. 软键盘也叫虚拟键盘,用户在输入密码时,先打开软键盘,然后用鼠标选择相应的字母输入这样就可以避免木马记录击键。
  5. 混乱输入密码

例如你的密码是: gsgas56,你先gfgs56,然后鼠标移到第3位输入S成为 fsgs56,然后倒数第4位输入a,成为 gigas.5,再把第2位的f取消掉。那样你键盘输入的就是ggs56a,能有效防止中招。

其他注意事项

1.使用技术防范

  1. 及时升级浏览器和操作系统,及时下载安装相应补丁程序
  2. 安装正版的杀毒软件、防火墙;尤其重要的是安装“防木马软件”
  3. 及时更新杀毒软件、防火墙、防木马软件,并定期查杀
  4. 不浏览不明网页,不使用不明软件,不在聊天时透露个人、单位和帐户信息

2.养成良好习惯

以上是关于应用安全 笔记的主要内容,如果未能解决你的问题,请参考以下文章

应用安全 笔记

信息安全工程师笔记-移动应用安全需求分析与安全保护工程

互联网企业安全高级指南读书笔记之移动应用安全

密码学读书笔记系列:《商用密码应用与安全性评估》

系统安全及应用笔记

信息安全工程师笔记-网络安全风险评估技术原理与应用