Category: 安全服务文档

计算机及其处理的信息对于许多公司完成其使命和业务功能是至关重要的。因此高级管理人员通常将计算机安全视为管理问题，他们像保护其它任何有价资产那样寻求对机构计算机资源的保护。为了有效地进行保护就需要制定广泛全面的管理措施。

这里介绍整个机构范围的计算机安全措施并讨论其重要的管理功能。由于机构的规模、复杂程度、管理风格和文化各不相同，不可能描述出一种理想的计算机安全项目。但是这里还是描述了一些对于许多机构都通用的特性和问题。其中包括：

计算机安全项目的架构
核心级计算机安全项目
有效的核心级计算机安全项目的要素
系统级计算机安全项目
有效的系统级项目的要素
核心级和系统级项目的相互作用

1. 计算机安全项目的架构

许多计算机安全项目被分配给整个机构中执行不同职能的不同部门来完成。这种方法有其优点，但是许多机构中计算机安全职能的分配是随意的，通常是基于历史原因（如机构在有工作需要时正好可以使用的人）。理想的情况是，计算机安全职能的分配应该有计划地按照整体的管理思路进行。

在多个层次进行计算机安全管理能够带来很多好处。每一个层次都能够为整体计算机安全项目提供不同的专门技术、权力和资源。通常，级别越高的官员对机构整体的了解越全面其权力也越大。另一方面，官员的级别越低（在计算机设施和应用级的官员）对具体需求就越熟悉，其中包括技术的和规程的需求，也包括系统和用户的问题。计算机安全项目管理的各级别应该互为补充，互相帮助会提高效率。

因为许多机构至少有两个计算机安全管理级别，所以本章将计算机安全管理分为两级：核心级和系统级（当然，每个机构可以有自己独特的架构）。核心级计算机安全项目可以被用于处理机构整体的或机构主要部分的计算机安全管理。系统级计算机安全项目处理特定系统的计算机安全管理。

2. 核心级计算机安全项目

核心级计算机安全项目的目的是处理机构内整体的计算机安全管理。

与所有的资源管理一样，可以使用多种手段和具有成本效益的方式来进行核心级计算机安全管理。良好管理的重要性是怎么强调也不过分的。对计算机安全项目的核心级管理也具有向下的趋势。特别应该引起注意的是，这造成了决策失误在整个机构中广泛传递的巨大风险。管理者在努力达成其目标时，需要考虑建立计算机安全项目的所有可能选择的全面影响。

核心计算机安全项目的益处核心安全项目应该提供两种不同类型的益处：

提高整个机构中的安全效率和经济性
提供集中式的执行和监督能力。
核心计算机安全项目帮助对整个机构中安全相关资源的有效使用进行协调和管理。这些资源中最重要的通常是信息和金融资源。

管理者需要良好和及时的信息以便有效完成其任务。但是，多数机构难以做到在金字塔式的资源架构中收集和有效处理信息并在机构中对信息进行分发。

计算机安全相关的信息可以从私营或公共机构得到。这些机构经常做为公共服务机构提供信息，当然也有一些私人组织提供付费信息。但是，既使是免费或便宜的信息，其信息收集人员的相关费用也可能很高。

内部的安全相关信息，如哪些规程是有效的、病毒的感染、安全问题和解决方案需要在机构中分享。通常，这些信息是针对机构的运行环境和企业文化的。

在机构级别进行管理的计算机安全项目为在整个机构范围内收集内部安全相关信息和根据需要对其进行分配提供了一种途径。有时机构也可以与外部组织分享这些信息。

有效导入信息的另一种方法是增强核心计算机安全项目影响外部和内部决策的能力。如果核心计算机安全项目人员能够体现整个机构的利益，那么其建议就更能够引起上层管理人员和外部机构的关注。但是，要有效地做到这一点，系统级计算机安全项目和机构级计算机安全项目之间就应该有很好的沟通。例如，如果一个机构考虑将其大型机整合到一个站点（或考虑将现在一个站点中的处理分布出去），核心项目的人员就可以对其所牵涉到的安全问题提出初步意见。但是，要想使其意见更具权威性，核心项目人员就要实际了解将要进行的系统级计算机安全项目预计进行的信息更改将会带来的安全影响。

除了能够帮助机构更经济有效地使用信息，计算机安全项目还能够帮助机构更好地使用本来就不多的安全经费。机构可以开发专门技术然后进行分享以减少重复为同一服务签订合同的需要。核心计算机安全项目可以协助进行信息分享。

位于核心计算机安全项目层次上的人员也可以开发他们自己领域的专门技术。例如，他们可以加强自己在应急计划和风险分析方面的技巧以协助整个机构完成其重要的安全任务。

除了允许机构分享专门技术以节约金钱以外，核心计算机安全项目可以利用其所处的地位整合需求以便机构可以基于对安全硬件和软件的批量采购来协商优惠折扣率。它还可以协助诸如战略计划、整个机构范围的事件处理和安全趋势分析等活动。

除了协助机构提高计算机安全项目的经济效益和其效率，核心项目还可以包含独立的评估或执行职能以确保机构的分支单位更经济有效地保护资源和遵循既定策略。有多种理由需要在常规的管理管道中设立监督职能。首先，计算机安全是机构资源管理的重要部分。这是一项无法转嫁或放弃的责任。其次，进行有效的监督可以使机构在避免导致尴尬处境的前提下发现和解决问题。第三，机构可能发现外部机构无法发现的问题。机构比外部机构更了解其资产、威胁、系统和规程；人们与内部人员合作时更坦白。

3. 有效的核心级计算机安全项目的要素

为了使核心计算机安全项目发挥效用，应该将其做为机构管理的一部分。如果系统管理者和应用拥有者不需要与安全项目始终如一地相结合，那么它就会变成上层管理者“许诺安全”的华而不实的装饰。

稳定的项目管理职能 制定良好的项目都有一个做为核心级计算机安全项目经理的整个机构公认的项目管理人。项目应该拥有称职的人员，并且应该在项目管理职能与机构其它部门的计算机安全人员之间建立联系。计算机安全项目是一项复杂的职能，需要一个稳定的基础以便指挥对信息和经费等安全资源的管理。如果计算机安全项目在机构中没有给与适当的专家和授权支持，监督职能的优势就不能有效地发挥。

稳定的资源基础 制定良好的项目都有稳定的人员、经费和其它支持的资源基础。没有稳定的资源基础，就没有可能有效的制定和执行计划和项目。

策略的存在 策略为核心级计算机安全项目提供了基础，是记录和发布重要的计算机安全决策的手段。核心级计算机安全项目还应该公布协助策略执行和扩展策略的标准、规章和指导方针。

所发布的使命和职能描述 所公布的使命描述为核心计算机安全项目融入机构具体的运行环境提供了基础。这些描述明确地确定了计算机安全项目的职能并且定义了计算机安全项目以及其它相关项目和实体的责任。没有这些描述，就无法制定评估项目有效性的标准。

长期的计算机安全战略 建立适当的项目以便对长期战略进行探索和研究有助于将计算机安全综合到下一代信息技术中去。由于计算机和电信领域发展迅猛，所以对未来的运行环境作出规划是非常重要的。

遵守法规的计划 核心级计算机安全项目需要涉及到对国家政策和需求以及机构特定的需求的遵循。

机构内部的联系 机构中的许多人员能够影响到计算机安全。信息资源管理机构和物理安全人员是两个明显的例子。但是，计算机安全的职能经常与这些人员重叠，如人员安全、可靠性和质量保证、内部控制。有效的项目应该与这些团体建立关系以便将计算机安全整合到机构的管理中。这些关系不仅包括分享信息，而且包括人员之间的相互影响。

与外部团体的联系 所建立的项目应该对外部信息源有所了解并且善加利用。它还可以是信息的提供者。

4. 系统级计算机安全项目

核心级项目涉及到整个机构范围内的计算机安全，而系统级项目是确保每个系统具有适当和具有成本效益的安全性。这包括对实施何种控制、采购和安装技术性控制、日常计算机安全管理、评估系统缺陷和对安全问题的响应等具有影响力的决策。

系统级计算机安全项目人员是计算机安全的本地拥护者。系统安全经理／官员与管辖相关系统的管理人一起提出安全问题并协助制定安全问题的解决方案。例如，应用拥有者是否明确定义了系统的安全需求？新的功能的使用是否会影响安全，如果会，那么是怎样影响的？系统是否容易受到黑客和病毒的攻击？应急计划是否通过了测试？提出这些问题将迫使系统管理人和应用拥有者确定和解决其安全需求。

5. 有效的系统级项目的要素

正如核心级计算机安全项目一样，许多因素也影响着系统级计算机安全项目的成功与否。这些因素大多与核心项目的类似。这里涉及到一些额外的考虑。

安全计划 一些法律法规要求相关机构制定敏感系统的计算机安全和隐私计划。这些计划确保相关系统具有适当的和有成本效益的安全性。系统级安全人员应该能够制定和实施安全计划。

系统特定的安全策略 许多计算机安全策略需要涉及到特定系统的问题。不同的系统有不同的问题，但是访问控制和指定负责安全的人员大概对于每一个系统都是需要的。可以使用由安全目标导出安全规则的过程来制定始终如一和广泛全面的安全策略。

生存周期管理 在系统的整个生命周期中都必须进行安全管理。这特别包括在对系统的更改时确保其对安全的影响得到了关注并且完成了适当的审批手续。

集成到系统运行中 系统级计算机安全项目应该包括了解系统、系统的使命、技术和运行环境的人。有效的安全管理通常需要集成到系统管理中去。有效的集成将确保系统管理人和应用拥有者在计划和运行系统时将安全问题考虑进去。系统安全管理人／官员应该能够参与到选择和实施适当的技术性控制和安全规程的过程中并且了解系统的弱点。系统级计算机安全项目还应该具有对安全问题进行及时响应的能力。

对于大型系统，如大型机数据中心，安全项目经常包括如访问控制、用户管理和应急与灾难计划的管理人和职员。对于小系统，如办公室范围的局域网（LAN），这个LAN的管理员可能会兼有安全责任。

与运行相分离 计算机安全和运行部门之间经常存在固有的紧张关系。在许多场合中，运行部门要变得越来越大也就越来越有影响力，就通过将计算机安全项目并入计算机运行部门来寻求解决这种紧张关系。这种机构战略的典型结果就是计算机安全项目缺乏独立性、缺乏权威、很少引起管理层的注意并且缺少资源。

这种做为系统管理一部分的需求与独立性的需求之间的冲突可以有多种解决方案。许多解决方案的基础是在计算机安全项目和上层管理之间的联系，这种联系经常是通过核心级计算机安全项目建立起来的。建立这种联系的关键是要确立一个不包含系统管理的汇报体系。另一种可能是计算机安全项目完全独立于系统管理并直接向高层管理汇报。还有很多混合以及不同的方式，如计算机安全和系统管理人员在一起工作但是将其汇报（和监管）体系分开。

6. 核心级和系统级项目的相互作用

系统级项目要是不集成到机构级项目中就难以对机构重要领域的安全性产生影响。系统级计算机安全项目执行核心级计算机安全项目的策略、指导方针和规定。系统级的人员也通过核心项目发布的信息进行学习并利用整个机构的经验和专用资源。如果需要，系统级计算机安全项目进一步向系统管理提供信息。

但是，交流不能是单向的。系统级计算机安全项目将其需求、问题、事件和方案通知核心人员。对这些信息的分析可以使核心级计算机安全项目体现机构管理和外部机构的各种系统并且使项目和策略更有利于所有系统的安全

INFORMATION SECURITY POLICY
Summary:
This document outlines the Information Security Policy and major guidelines that will protect the ATHOC information assets and assure business continuity and minimization of damages.

Originator: M. Zervos Section Manager, Quality & Information Security
Approved by: S. Kougioumtzoglou Manager, Information …

当公司的机密数据通过公司的网络泄露出去，落到那些不怀好意的人手中，是最令IT主管们头痛的事情。不论你采用的技术是如何的完善，又或者你采用的防御系统对数据泄露有多么的敏感，那些受限制的数据不知何故还是通过最小的防护死角和公司的缝隙泄露出去。

专家称那些通常的，或者说大多数的数据泄露都是来自草率的数据库特权设置和规划，直白的电子邮件收发管理以及漫不经心的安全策略。以下是一些建议采用的安全策略和手段。

禁止随意的分配数据库权限

负责为BMC Software, Inc公司提供管理方案的资深管理工程师Chris Johnson说，往往导致公司数据泄露的是那些拥有公司数据库环境的权限，但对工作又不兢兢业业的员工。

Johnson提供了三种情况，和与之相对应的保护数据安全的策略。

情节1：一个最终用户，他所拥有的数据库权限大大超过了他所需要的权限。这种情况的出现，是因为要明确分配给每个人他们真正所需要的、被允许的数据库权限，需要一定时间的，同时也比较困难。所以这种把确实的权限分配给那些普通用户是有难度的，但是对于那些非管理员的“超级用户”来说是比较容易做到的。资深的员工可能会需要这种形式的权限。

建议1：“对那些最终用户来说，确实没有借口利用这些随意分配的权限。如果现在我已经是一个IT主管，我将坚持时常的反思谁拥有什么权限，为什么。公司需要决定在制定安全策略和灵活的工作机制间选择为谁投入更多的精力….相信制定安全策略将赢得比赛，这点在十家企业里能够得到九家的支持。

情节2：数据库管理员和网络管理员，谁需要更有力的权限去完成他们的工作。虽然你可能会把权限划分给一小部分人，但总是会有一个数据库管理员可能看到你所有的数据信息，还有就是一个存储管理员会有你的数据库信息备份等等。如果公司存在不可信赖的因素，那么潜在的数据泄露是无法界定的。

建议2：“对数据库管理员和系统管理员这样的特权用户，你真的能够会象上面提到的那样，分配给他们权限吗？但这不是赋予数据库管理员能够访问企业每个数据库的理由，当我是一名IT主管时，我的方针是为每个系统指派一个“主”管理员，并且负责记录用户的私有ID和密码，但需把备份记录提供给我，并且在数据中心主管那里保留一份记录，以防万一“主”数据库管理员出现特殊情况，给公司带来混乱。这是一种技术含量不高的方法，但可以有效预防分配给用户的ID和密码，拥有额外的太多权限。

情节3：对用户来说，他们本身并不需要太多特殊的权限，但是他们的工作性质可能会出现不可预见的利用某种特权的现象。如一个拥有普通权限的数据中心操作员可以管理整个生产调度环境，就是一个比较典型的事例。通常象管理整个生产调度这样的项目，将需要数据库管理员和系统管理员的ID和密码。这时由于普通操作员工作经验的不足，工作质量的可信度较低，但拥有了太多的特权，就会对项目的实施，造成潜在的威胁。

建议3：“对最终用户和特权用户二者来说，在适当的位置放置某种设备来建立一种诚实可靠的工作制度。如果你利用监视产品监控员工在做什么并且确认每个人都知道监控设备的存在，那么就可以有效防止数据泄露。”
Johnson还提到了身份认证和访问管理产品，如BMC\’s CONTROL-SA使管理和操纵用户访问公司数据，变的简单易行。BMC的数据库安全管理产品是利用IP LOCKS来帮助公司保持一份谁拥有什么权限和谁改变了或查询了有关数据的详细记录。“同时他们也是调查数据被偷窃和数据完整性问题的主要根据。如果你让员工们知道这个装置的位置，那么将会有效的杜绝员工的不正当行为。

禁止群发机密信息的邮件

Proofpoint, Inc.公司的首席执行官Gary Steele提到，“有价值的，机密的信息被泄露的首要渠道是怀有恶意的或疏忽的发送了普通的电子邮件所引起的。

一份最近的调查表明据Forrester Consulting公司的研究发现：IT主管和管理人员更关注的是那些从公司发送出去的电子邮件的威胁，尤其是关于公司机密文件的泄露，如有价值的知识产权和商贸机密。

Steele提到数据泄露并不总是怀有恶意的。“最近在加州，Contra Costa County的员工们在不知情的情况下给位于瑞典的一个电子邮件地址发送了各种机密信息，还有在Kobe Bryant性侵犯诉讼案（Kobe Bryant rape case）中，一位负责庭审转录的法院书记官意外地把机密的庭审抄本发送到了错误的电子邮件名单中，而造成了数据泄露。”

Steele还提到了的确也同样存在恶意的泄露数据的事件。“如internalmemos.com这个快速扫描的站点，就是收集许多敏感的内部信息并把他们展示在站点上，而这些信息来自于财富500强公司中的内部人员。还有如近日的AOL服务公司内部人员偷窃screen names电子邮件地址的事件。”

对于许多公司正在寻找技术方案来解决此类问题，Steele建议使用Proofpoint, Inc.公司的Proofpoint Protection Server软件和Proofpoint P-Series Appliance，他们提供一个完全的信息保护平台预防入境的电子邮件威胁（如垃圾邮件和病毒），并且帮助确认出境的信息是否符合公司的方针和对外规章制度。

禁止粗心的安全措施

TELXAR公司的奠基人CEO Jeff Bowling强调，堵住数据泄露的最好方法是执行一个好的安全策略，它不仅仅要服务于公司的内部网络，还要是一个适合于网络管理员的操作指南。这个策略应该包括以下几个基本而又容易忽略的要点：

• 指示访问时间
• …

以下列出的是数据分类的目的:

　　有效性，完整性，机密性是最基本的目标

　　投资建立必要的设备

　　按照组织需要对数据划分保护层级

　　减少非法进入的威胁

　　遵守限定的法律和法条要求

　　建立信息分类系统的步骤:

　　建立信息资产的存储系统

　　制定信息资产的安全保护水平

　　制定分类标准

　　制定信息分类制度

　　制定信息处理程序步骤

　　为信息的所有者分配责任义务

　　为所有的信息资产进行安全评级

　　按照信息的敏感程度以及保护措施对信息资产进行分类

　　把分类系统延伸使用到文档，记录，数据文件以及磁盘上

　　建立每个层级的信息使用流程

　　建立每个层级的信息修改流程

　　与建立安全意识的培训计划结合

　　您还要有一套包含以下部分的数据分类政策:

　　信息是每个商业主体独有的

　　商业主体的经理人是信息的所有者

　　IT主管是数据的管理者

　　分类安排

　　对每一个类层下定义

　　每种分类的标准

　　分类的目的，功能

　　您起草的操作程序和规则需要包括以下几点

　　如何进行信息分类

　　如何在必需的情况下进行类层的修改

　　如何与IT主管进行分类方面的沟通

　　定期性的监测

　　目前的分类层级以及对应的商业功能

　　当前的进入权限

　　目前控制使用的保护方法

　　另外NIST 800-60的文件可能超出了您的要求，不过这是数据分类建构系统方面很好的操作指南。

　　Sun也提供了相对来说更加简单易懂的操作方法，您可以在http://www.sun.com/blueprints/tools/samp_sec_pol.pdf上看到。

　　最后，下面的连接也提供了关于如何处理不同数据危机的操作指南。

　　http://searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/0,289625,sid14_gci1118124_tax301709,00.htmltml

【

口令管理是访问控制管理的重要内容。口令管理涉及到以下内容：

影响口令的因素
口令的种类
口令的常见问题
提高口令安全性的方法
常用口令策略

1. 影响口令的因素
在设计、部署和使用用于身份识别和数据访问控制的口令系统时，应该考虑的因素有成份、长度范围、使用期限、来源、拥有人、分配、存储、输入、传输和认可周期。

成份（composition）是用于组成口令的一系列合法字符。这些字符可以包括字母、数字和特殊符号。口令系统只能验证预设的合法字符集中的字符。

长度范围（length range）是可以被接受的各种口令长度值，用最小和最大长度值表示（如4－8）。所选口令的长度应该与口令所保护的资源、数据的价值或敏感度成正比。口令系统只能验证可接受的合法长度的口令

使用期限（lifetime）是一个口令被允许使用的最长时间段。口令的使用期限越短它的保护级别越高，但是口令更换的成本要和所保护资源的价值相适应。当认定或怀疑口令不安全时应立即更改口令。当用户的访问权被取消时应立即删除或禁用口令。当用户忘记口令时应更换口令而不是告知其原来的口令。口令系统应允许信息安全人员删除或更改口令，但口令的产生和修改都应该进行记录。

来源（source）是产生或选择口令的合法实体。口令的来源应由信息安全人员和系统管理员选择决定，可以是用户、信息安全人员或自动口令生成器。

拥有人（ownership）是指被授权使用该口令的人。用于身份识别的个人口令只能由拥有该身分的人所有。用于保护私人数据的访问口令只能由创建该数据的人拥有。同样，用于保护共享数据的访问口令只能由有权访问该共享数据的那些人拥有。有权访问共享数据者的个人口令应该不同于其访问共享数据的口令。每个人应该保护好自己的口令，并对口令的丢失和泄漏负责。

分配（distribution）是将新口令发送给拥有者以及口令系统的适当的方式。个人口令应该在分配过程中只由其拥有者看到和获得。口令的分配应该有记录，信息安全人员需要时可以查看记录。在口令分配中应及时删除临时存储的口令，确认只有拥有者和受到保护的口令系统能够长期保存口令。自动化的口令系统产生和分配口令时应自动保存包括口令产生时间和被分配人等内容（不包括口令本身）的日志记录。

存储（storage）是指在口令使用期限内存放口令的适当方式。存储的口令必须受到保护，只有合法的口令系统能够获得口令。加密存储的口令必须受到保护以防被替换。

输入（entry）是指系统用户为了身份验证目的输入口令的适当方式。在口令输入过程中，口令拥有者要防止被别人看到以致泄漏口令。信息安全人员应该限制口令重新输入（输错以后再输）的次数，超过次数时应该采取适当的措施。

传输（transmission）是指口令由输入处传送到验证处的适当方式。传输方式应该由信息安全人员确定并且不低于密码所保护的计算机系统的安全级别。如果口令所保护的数据在输入时采取了加密措施，口令在输入时也应该采取加密措施。作为密钥的口令应该在所有可能的密钥中随机选择。在计算机系统之间进行非加密口令传输应该使用ASCII字符。传输加密口令或虚拟口令时可以使用64位二进制字段或表示十六进制的ASCII字符。

认可周期（authentication period）是指在一次数据访问过程中，从通过认证到需要下一次重新认证之间的最大时间。重新认证时系统用户需要重新输入口令。

2. 口令的种类
对用户的鉴别和认证在每一个计算机系统中都是关键的，最常用的认证方法是口令。口令也可以用于数据文件级。鉴别和认证系统用户应该包含两个步骤。第一步，先用众所周知的信息如用户名来确认用户。接着（第二步）使用更保密的私人信息如口令。第二级确认依赖于受保护的系统的重要程度。

静态口令是具有或没有有效期限制可以重用的一般口令。无论是用户自行创建还是系统自动创建，传统（静态）口令都难以记忆。

动态口令可以由口令产生设备随时或者根据用户要求更改。一次性（动态）口令只能使用一次。

认知口令使用基于事实或基于选项的认知数据做为用户认证的基础。它使用交互式软件程序来处理用户的初始注册和以后通过提示－应答的交换实现系统访问。认知口令方法不象传统口令那样依赖于人的记忆力，而是依赖于个人的知识和经验。实现认知口令认证用户可能会花费更多的时间和金钱。只有用户知晓的认知问答的例子包括：

你最喜欢的男／女演员是谁？
你最喜欢的蔬菜是什么？
你最近所上学校的名称？
因此，认知口令容易记忆而且难以猜测。

3. 口令的常见问题
许多人认为口令是比较弱的安全机制。用户倾向于使用容易猜测的口令（如配偶的名字、生日、球队）。随机产生的口令难以记忆所以用户就会把它们写在纸上，这样就有丢失和泄漏的可能。其它弱点还包括通过偷窃口令、偷看键盘敲击以及利用共享口令冒充用户。黑客或内部员工非法使用口令的现象最值得关注。应该探索使用诸如智能卡、记忆令牌、生物识别（语音认证）以及数字签名验证这样的高级认证手段。

很长时间以来，口令系统一直用于提供计算机系统的安全保护。口令系统集成在很多操作系统当中，用户和系统管理员对它们都很熟悉。当它们被适当地部署在受到控制的环境中时，它们能够提供有效的安全保护。

口令系统的安全性取决于保持口令的秘密性。不幸的是，有很多种情况能够泄漏这些秘密。这些途径包括猜测和发现口令、将口令告诉别人、电子监控和访问口令文件。

猜测和发现口令
如果由用户自己选择口令，他们倾向于选择容易记忆的口令，这些口令通常也易于猜测。孩子、宠物或自己喜爱的球队的名字经常被使用。另一方面，设定的口令难于记忆，所以用户总是会把它们写下来。许多计算机系统交货时都有预设的管理帐户。因为这些口令是标准的所以如果安全管理员不修改默认口令它们就容易被“猜到”。另一种获知口令的方法是观察别人输入口令或个人身份号。这样的偷看者可能是同屋的人也可能是在远处使用望远镜的人。

将口令告诉别人
用户可能会共享口令。他们可能将口令给同事以便共享文件。另外，人们也可能被诱骗泄漏口令。这种方式被称为“人际工程”。

电子监控
当口令被传送到计算机系统时会被电子监控。这可以发生在传送口令的网络中也可以发生在计算机系统本身。简单的对口令进行加密不能解决这个问题，因为对同样的口令加密会得到同样的密文，密文本身就变成了口令所以是可重复的。

访问口令文件
如果口令文件没有强有力的访问控制保护，文件就会被下载。口令文件通常会有单向加密保护来防止系统管理员或黑客（在成功访问到口令文件的情况下）得到口令。即使口令文件得到加密保护，但是如果文件被下载仍然能够通过蛮力攻击（比如通过加密英语单词并将结果和文件进行比较）获得口令。单向加密算法仅仅提供对数据的加密。得到的密文不能被解密。当口令被输入进系统后，口令被单向加密并将结果和储存的密文相比较。

4. 提高口令安全性的方法
口令生成器
如果不允许用户自己生成口令，他们就不可能选择易于猜测的口令。有些生成器可以产生易于阅读易于用户记忆的非单词口令。但是，用户倾向于将难记的口令写下来。

限制登录尝试次数
很多操作系统可以设置为在一定数量失败的登录尝试后锁定用户帐号。这可以协助防止口令猜测。

口令属性
可以要求也可以由系统强制用户在选择口令时（1）超过特定长度，（2）选择特殊字符，（3）和用户名无关，（4）选择联机字典中查不到的口令。这样会使口令难于猜测（但有可能被写下来）。

更改口令
定期更改口令可以减少由于口令失窃造成的损失也可以使试图突破系统的蛮力攻击更加困难。但是，过于频繁的更改可能使用户感到烦躁。

口令再用
已经使用过的口令不应该被再用。如果确实需要应该间隔一段时间以后再用

口令文件的技术性保护
访问控制和单向加密可以用于口令文件本身的保护。

5. 常用口令策略
大多数机构都有自己的口令管理策略。下面是部分常用的口令管理策略，大家可以根据自己的安全级别和实际情况选择使用。

所有活动账号都必须有口令保护。
在生成账号时，系统管理员应该分配给合法用户一个唯一的口令，用户在第一次登录时应更改口令。
在UNIX系统中，口令不应存放在/etc/passwd文件中，而只应存放在只有root用户和系统自身有权访问的shadow文件中。
口令输入时不应将口令的明文显示出来，应该采取掩盖措施。
口令必须至少要含有8个字符。
口令必须同时含有字母和非字母字符。
口令必须是保密的，如不能共享、含在程序中或写在纸上。
必须定期用监控工具检查口令的强度和长度是否合格。
口令不能在工作组*享以保证可以通过用户名追查到具体责任人。
口令不能和用户名或登录名相同。
口令必须至少60天更改一次。
口令的使用期限和过期失效必须由系统强制执行。
过期的口令在没有更改的情况下最多只能使用3次，之后应该禁用，只有管理员或维护人员才能恢复。
禁止重用口令。
为了防止重用口令必须保存至少12个历史口令。
所有系统用户的口令必须是难以猜测的。
口令不能是字典中能够找到的词。
口令不能通过明文电子邮件传输。
口令不能以明文形式保存在任何电子介质中。
可以在PGP或强度相当的加密措施的保护下将口令存放在电子文件中。 …

1，Preparation
2，Initial OS installation
3，Stripping/configuring OS: 1st pass
4，Connect to test network
5，Installing tools & sysadmin software
6，Stripping/configuring OS: 2nd pass
7，Create Tripwire image, backup, test
8，Install, test, harden applications.
9，Install on live network, test

1. Preparation
最小限度保证安全的方法是只在主机上运行一个或两个服务。使用一个机器比只使用一个拥有所有权利的机器安全的多，因为这样可以隔离，方便查找问题所在。总之：在你的机器上运行你一些最必要的服务。考虑拆除键盘，屏幕，这样可以避免使用X11和知道命令行所示，在一个隔离的信任的网络段中进行测试。明确你的系统和硬件配置能产生什么样的结果，如在安装SUN的Disksuite时要考虑
你是否需要RPC服务，因为DISKSUITE必须使用RPC服务。明确各种应用程序是怎样工作的如：使用什么端口和文件.
2，初始化安装操作系统。
连接串口控制台，开机，当出现OK提示时发送Stop-A信息(~#,~%b,或者F5，主要取决于你使用tip,cu或者vt100终端)，然后开始安装过程-\”boot cdrom - install\”
使用最小安装 …

当前，最让网络用户头痛的问题就是蠕虫。与其他病毒相比，

　　蠕虫往往对网络具有更大的破坏性。在整个防治蠕虫的过程中，有哪些网络设备层的方案？具体怎样部署？

　　当蠕虫病毒来临，通常的表现形式是，由于蠕虫发送了大量的数据包，造成网络拥塞，影响网络通信速度。一个蠕虫病毒通常由三个部分组成：传播模块、隐藏模块以及目的功能模块。其中，传播模块主要负责蠕虫的传播；隐藏模块的功能是当蠕虫侵入主机后，隐藏相关程序，防止被用户发现；而目的功能模块是为了实现对计算机的控制、监视或破坏等功能。

　　蠕虫的入侵过程一般分为以下几个方面：用各种方法收集目标主机的信息，找到可利用的漏洞或弱点；针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限；利用获得的权限在主机上安装后门、跳板、控制端、监视器甚至清除日志。

　　接入控制是核心

　　思科高新技术事业部高级安全顾问喻超认为，针对蠕虫病毒的特点，要达到从根本防治的效果，必须实现网络设备和安全系统的联动。 具体来讲，思科NAC(Network Admission Control，准入控制系统)将主机的安全与网络基础合二为一，提供了一个网络允许接入的设施。例如，企业可以通过思科的网络体系――路由器、交换机、无线和安全装备，来加强他们的防病毒软件的使用。使用NAC，系统可以为诸如PC、 PDA等终端设备提供网络接口， 同时使服务器完全按照已经确立的政策执行。 思科NAC可以使不符合要求的设备拒绝进入，放置于一个隔离的区域内，或者限制该终端进入一些计算机资源。

　　锐捷网络安全产品经理杨红飞认为，网络厂商防治蠕虫病毒的关键就是接入控制，从接入这个层面来看，至少应该有三个作用：用户身份识别、常规安全的自动防护以及联动。因此，网络接入控制层方案一般都是由客户端安全部署、网络设备认证和隔离措施三个部分组成。

　　安全策略是关键

　　喻超说，在网络设备防治蠕虫的过程中，安全策略至关重要。用户也可以通过考察为网络厂商提供安全策略的安全厂商的实力，粗略评价整个网络系统防治蠕虫的能力。通常，安全策略被安装在安全策略服务器当中。但是，要完成安全策略和网络设备的通信，就必须依赖网络厂商和安全厂商的合作。在这个方面，思科NAC采取了开放合作的态度。在NAC当中，无论是PC、移动终端还是PDA，只要进入网络都要先做检查，其中包括该机器是否采取了安全措施，有没有感染病毒等项目，之后就要依据安全策略对欲进入网络的设备进行裁决。

　　安全策略服务器可以评估防毒墙网络版客户机上防毒组件的状态。通过安全策略服务器配置选项可以配置设置，在风险客户机上执行操作，从而使之符合预先设定的防毒策略。这些操作包括指引客户机更新其防毒墙网络版客户机组件、启用实时扫描，以及执行“立即扫描”和“立即清除”。其中还包括在客户机上显示通知消息以通知用户防毒策略违规的功能。为了帮助分析防病毒策略的性能，用户还可以选择选项以查看策略服务器日志，日志中记录有诸如策略服务器评估客户机的时间以及评估结果之类的信息。

　　安全策略服务器会定期轮询防毒墙网络版服务器，以请求病毒码文件和扫描引擎信息使其数据保持最新。随后它使用用户所配置的策略，将这些信息与客户机安全状态数据进行比较。在此之后，策略服务器会创建状态令牌，并将其传递回防毒墙网络版客户机。最后，客户机执行状态令牌中配置的操作。

　　杨红飞说，锐捷网络GSN能自动进行安全策略的学习，当有一个安全策略被执行以后，在后续的安全事件中，GSN将自动针对同类的安全事件自动进行安全策略的匹配执行。当然，在大量客户机同时试图访问网络时，用户可以通过在网络上安装其他安全策略服务器从而提高性能，如果一个安全策略服务器不能承担负荷时可以用作备份。如果网络上装有多个防毒墙网络版服务器，安全策略服务器将处理注册到其上的所有防毒墙网络版服务器的请求。

　　应用与部署

　　据喻超介绍，思科NAC可以操作所有的网络接入主机方式，包括校园交换、无线和有线的路由、WAN和LAN的连接、IPSec连接、远程连接和拨号接入等。例如在分支部门的应用：思科系统NAC可以帮助确定，试图接入中心计算机数据的远程或者家居办公室的连接是否符合安全主机的要求。这可通过思科系统分支或者主要办公室的路由器强迫性检查来完成。远程接入安全，NAC在允许远程接入公司资源之前，帮助确信那些远程接入和移动设备是否具有最新的防病毒升级和操作系统补丁的升级。

　　杨红飞说，到目前为止，锐捷网络GSN已经可以从接入层开始部署，同时，对于原来的网络用户，也可以通过软件升级的办法实施。平滑动态的防范围堵政策，从而降低病毒、蠕虫的威胁。

　　思科NAC由下列部分组成：

　　思科可信代理(Cisco Trust Agent，CTA)软件，它存在于终端系统中，负责收集不同客户的安全软件的安全状态信息。在这部分中，整合了防病毒软件产品。CTA被整合在思科系统安全代理中，使用它可以评估操作系统的版本、补丁程度和Hot Fix 信息，并且把这些信息传递到CTA。届时，没有进行适当升级的主机将被限制或者拒绝接入整个网络。

　　网络访问设备，它可以强迫性地控制那些请求接入的设备执行安全性的措施，包括路由器、交换机、无线接入终端和安全性设备。这些接入装置需要主机安全要求的“Credentials”，并且根据这些信息制定具体的服务器接入政策。

　　策略服务器，用来评估来自终端的安全性执行信息，以便决定对于来自他们那里的接入请求采取适当的措施。具体产品就是思科系统安全接入控制服务器(ACS)。它是一种鉴定、授权和记录的RADIUS服务器，组成了政策服务器系统。

　　管理系统，具体产品即思科系统VPN/安全管理解决方案。同时，思科系统工作安全信息管理解决方案可提供显示和报告工具。NAC同时为终端安全软件提供协同管理解决方案。

　　专业安全合作厂商：国际包括IBM、CA、趋势科技、McAfee、赛门铁克等在内的15家安全领域的主要厂商，国内包括瑞星、金山。

　　支持NAC的网络设备：目前只是思科网络NAC的网络设备，还仅局限于网络汇聚层，具体包括接入路由器和中档路由器。预计到2005第三季度，支持NAC的网络设备将扩展到包括交换机(catalyst 29系列、35系列、37系列、45系列)、无线接入设备和安全设备。

　　锐捷的GSN能有效防止用户对网络的扫描，通过网络设备本身的嵌入式安全控制机制中的防扫描功能。当蠕虫病毒对网络进行扫描的时候，扫描行为将被GSN发现并阻止，同时针对网络的扫描源将被发到GSN的安全管理平台。安全管理平台将针对扫描源用户进行安全策略的检查，并下发新的安全策略控制，同时提醒管理员发生的安全事件。

　　蠕虫病毒的攻击大都是针对于系统的漏洞进行攻击，在这个过程中，能否及时有效地发现漏洞并打上补丁成为能否有效防范蠕虫攻击的一个重要环节。在锐捷的GSN中，通过锐捷安全客户端，能有效检测用户系统的安全程度，是否有效安装了相应系统的补丁程度，是否有一些易受攻击的端口打开。同时通过锐捷安全客户端和安全管理平台的配合，能针对用户没有及时修正的系统补丁和危险端口进行自动关闭，从而避免用户系统遭受蠕虫的攻击。

　　蠕虫病毒针对网络的访问一般都是采用特定的应用程序对网络进行访问。在锐捷GSN中，安全管理平台能有效控制用户程序对网络的访问。当用户系统中有一个新的应用程序需要对网络进行访问时，该网络访问行为将被自动通知安全管理平台，通过安全管理平台的策略控制，来判断用户的该网络访问行为是否有效，从而能有效控制蠕虫病毒在网络初期的传播。

　　目前支持GSN的网络设备：包括锐捷网络S21系列接入交换机在内的接入层以及汇聚层网络设备。

文章来自于stardust@xfocus.org.转载请写明出处及作者。谢谢！

现在很多企业都力图通过增加设备投入来加强自身网络的安全性，继防火墙之后入侵检测类产品已经越来越多地被列入了采购的清单。由于看好这块市场，很多并不具备足够研发实力的纷纷推出了所谓有自主知识产权的入侵检测产品，与其他当前比较热门的安全产品一样，入侵检测产品市场也呈现了鱼龙混杂的局面。

如何为自己挑选到一款相对较好的NIDS产品呢？用户当然可以参考一些第三方评测机构的报告，比如国外比较出名的NSS、OSEC的评测。这些评测从技术上来看还是比较完善的，结果也是相对公平的，但仔细看这些评测报告，会发现存在着一些问题：1. 基本上没有国内产品参与过此类评测，所以无法从报告中了解很多国内产品的情况，而我们的采购则基本上以国内的产品为主。2. 比较侧重性能的测试，在检测能力的评测上比较弱，用于测试的攻击都相对很老，于是出现结果你好我好大家都好的局面，因此无法了解产品对于攻击的检测能力。

了解一个产品好坏最好的办法当然是一段时间在实际环境中的试用，这样可以了解产品使用起来是不是顺手，漏报误报如何，还会很快暴露出评测过程中不会出现的问题。但大多数的情况是在采购过程中除了简单的测试外，也没有评测报告可以参考，那么我们能不能从侧面粗略评价一下NIDS的检测能力呢？

当前主流的NIDS从技术上还是采用以误用检测为主的方式，也就是说NIDS对于新攻击的检测与病毒检测类似，发现新的漏洞或攻击方式以后，厂商在产品的规则集中添加相应的特征，用户获取更新后的规则集后具备对新攻击的检测能力。

现在各大厂商都号称自己的产品能够检测数以几千计的攻击，在做宣传的时候能检测的攻击数吹得就如同文革时候放高产卫星一样，你说一千那我就说两千，你说两千我就说三千，做演示的时候厂商往往会打开产品的帮助文件让你看看里面所列的各种攻击名称和相关说明，以使你确信他们的产品真的具备检测很多种攻击的能力。事实情况是不是真的如厂商说的那样吗？很不尽然。

国际上比较权威的漏洞数据库及索引有SECURITYFOCUS、CVE、OSVDB，国内最权威和完整的中文漏洞数据库则当数绿盟科技。SECURITYFOCUS公司的漏洞数据库来源于BUGTRAQ，目前收录的条目超过10000条；CVE本身并不是漏洞数据库，它是一个对同一漏洞统一编号系统，目前收录的条目超过7000条；OSVDB是近期公布的一个开放源码的漏洞数据库，目前收录的条目超过8000条；国内绿盟科技的数据库目前收录条目超过6000条。在这些漏洞中，其中大部分是本地漏洞，不在NIDS检测的侯选之列，在远程可利用的侯选漏洞列表中，有的利用难度太高而不具真正的可用性，有的影响的软件使用量太少，有的漏洞太老当前已经基本上不存在了，有的利用方式现有NIDS技术无法实现检测，经过层层筛选真正值得NIDS去检测的漏洞攻击也就是1000左右的数量级。当然，厂商根据自己NIDS产品的定位可能会加入不少并不是攻击检测的网络监控类规则，比如各种服务的用户登录、用户执行某些操作等等，但这些不会是规则的主要构成部分。那么有的厂商为什么会号称有几千条的规则呢？事实上规则看起来数量多很多时候并不意味着NIDS的检测能力强，由于NIDS产品技术的复杂性，情况有可能正好相反，可能的原因有几方面：

1. NIDS产品检测引擎实现简单，缺乏必要的关联能力，只能检测并报出同一种攻击的多个具体操作，而这些却被厂商吹成是检测到多个攻击。以Snort为例，用于检测同一个版本的DeepThroat后门规则有好几条，无法关联多个事件的Snort引擎只能检测到后门执行的某些操作，而无法给出一个抽象层次更高的告警。

alert udp $EXTERNAL_NET any -> $HOME_NET 2140 (msg:\”BACKDOOR DeepThroat 3.1 Connection attempt\”; content:\”00\”; depth:2; classtype:misc-activity; sid:1980; rev:1;)
alert udp $HOME_NET 2140 -> $EXTERNAL_NET any (msg:\”BACKDOOR DeepThroat 3.1 Server Response\”; content:\”Ahhhh My Mouth Is Open\”; reference:arachnids,106; sid:195; classtype:misc-activity; …

参考资料：The Solaris Security FAQ by Peter Baer Galvin

1) (概述–略)

2) 怎样将Solaris配置得更加强壮?

2.1) 哪些文件的许可权限需要改变?

有个叫fix-modes的软件(ftp://ftp.fwi.uva.nl/pub/solaris/fix-modes.tar.gz)可以在
Solaris 2.4和2.5上运行并改变系统文件及目录的存取权限，这样会使非ROOT的用户更难
于更改系统文件或者取得ROOT权限。

2.2) 如何对ROOT的环境加以配置?

将umask设为077或者027.

查看你的环境中路径设置情况，不要有./

2.3) 我该更改哪些启动文件?

通常情况下，你要检查所有在/etc/rc2.d和/etc/rc3.d以S开头的文件,所有并非必要的设备
或者服务都可以重命名(不要再以S开头)，然后你可以重新启动，从/var/adm/messages中来
观察自启动的情况，并且从ps -elf的输出中加以检查。

2.4) 如何将ROOT的远程登陆取消?

在/etc/default/login里加上 \”CONSOLE\”行，在/etc/ftpusers里加上root。

2.5) 如何取消rlogin/rsh服务?

移去/etc/hosts.equiv和/.rhosts以及各home目录下的.rhosts，并且在/etc/inetd.conf中
把r系列服务都杀掉，然后找出inetd的进程号，重启它。

2.6) 哪些帐号是不必须的?

移去或者锁定那些不是必须的帐号，比如sys\\uucp\\nuucp\\listen等等，简单的办法是在
/etc/shadow的password域中放上NP字符。

2.7) 怎样保护我的设备?

在文件/etc/logindevperm中包含了对系统设备的许可权限配置信息，应该检视里面的各项
设定并且手动赋予你所想要的许可权限。

对于抽取式的BSM设备需要设定只有single user允许进入。

2.8) 我应该将/etc的存取权限改为什么才安全?

用chmod -R g-w /etc命令来移去组用户对/etc的写权限。

2.9) Solaris机器充当路由器?

默认情况下，如果Solaris机器有超过一块的网卡的话，它将会在不同网卡间转发数据包，这一行为可
以在/etc/init.d/inetinit中得到控制。要在Solaris 2.4或者更低版本机器下关闭它，可以将
ndd -set …

网络信息技术的发展和电子商务的普及，对企业传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。“网上银行”在为金融企业的发展带来前所未有的商机的同时，也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道，客户可以不必亲身去银行办理业务，只要能够上网，无论在家里、办公室，还是在旅途中，都能够每天24小时安全便捷地管理自己的资产，或者办理查询、转账、缴费等银行业务。“网上银行”的优越性的确很明显。但是面对这一新兴的事物，人们却有一个最大的疑惑：“网上银行”安全吗？
　　人们有这种顾虑不无道理。银行业务网络与互联网的连接，使得网上银行容易成为非法入侵和恶意攻击的对象，加上目前网络秩序较混乱，黑客攻击事件层出不穷，也给人们的心理造成了一定影响。
　　一般来说，人们担心的网上银行安全问题主要是：
　　1. 银行交易系统被非法入侵。
　　2. 信息通过网络传输时被窃取或篡改。
　　3. 交易双方的身份识别；账户被他人盗用。
　　从银行的角度来看，开展网上银行业务将承担比客户更多的风险。因此，我国已开通“网上银行”业务的招商银行、建设银行、中国银行等，都建立了一套严密的安全体系，包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等，以保证“网上银行”的安全运行。
　　银行交易系统的安全性�
　　“网上银行”系统是银行业务服务的延伸，客户可以通过互联网方便地使用商业银行核心业务服务，完成各种非现金交易。但另一方面，互联网是一个开放的网络，银行交易服务器是网上的公开站点，网上银行系统也使银行内部网向互联网敞开了大门。因此，如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，这是网上银行建设中最至关重要的问题，也是银行保证客户资金安全的最根本的考虑。
　　为防止交易服务器受到攻击，银行主要采取以下三方面的技术措施：
　　1. 设立防火墙，隔离相关网络。
　　一般采用多重防火墙方案。其作用为：
　　（1） 分隔互联网与交易服务器，防止互联网用户的非法入侵。
　　（2） 用于交易服务器与银行内部网的分隔，有效保护银行内部网，同时防止内部网对交易服务器的入侵。
　　2. 高安全级的Web应用服务器
　　服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
　　3. 24小时实时安全监控
　　例如采用ISS网络动态监控产品，进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时，使用ISS安全产品的网站均幸免于难。 �
　　身份识别和CA认证�
　　网上交易不是面对面的，客户可以在任何时间、任何地点发出请求，传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是，用户的密码在登录时以明文的方式在网络上传输，很容易被攻击者截获，进而可以假冒用户的身份，身份认证机制就会被攻破。
　　在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输，确保了身份认证的安全可靠性。数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。
　　由于数字证书的惟一性和重要性，各家银行为开展网上业务都成立了CA认证机构，专门负责签发和管理数字证书，并进行网上身份审核。2000年6月，由中国人民银行牵头，12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构，为今后实现跨行交易提供了身份认证基础。
　　网络通讯的安全性�
　　由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。
　　SSL协议是由Netscape首先研制开发出来的，其首要目的是在两个通信间提供秘密而可靠的连接，目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，可在IE浏览器的“帮助”“关于”中查到。目前，建设银行等已经采用有效密钥长度128位的高强度加密。
　　客户的安全意识�
　　银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前，我国银行卡持有人安全意识普遍较弱：不注意密码保密，或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出，用户账号就可能在网上被盗用，例如进行购物消费等，从而造成损失，而银行技术手段对此却无能为力。因此一些银行规定：客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付，以此保障客户的资金安全。
　　另一种情况是，客户在公用的计算机上使用网上银行，可能会使数字证书等机密资料落入他人之手，从而直接使网上身份识别系统被攻破，网上账户被盗用。
　　安全性作为网络银行赖以生存和得以发展的核心及基础，从一开始就受到各家银行的极大重视，都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的，越安全就意味着申请手续越烦琐，使用操作越复杂，影响了方便性，使客户使用起来感到困难。因此，必须在安全性和方便性上进行权衡。到目前为止，国内网上银行交易额已达数千亿元，银行方还未出现过安全问题，只有个别客户由于保密意识不强而造成资金损失。
　　总 结� …