25、互联网交易安全全解析

互联网交易安全全解析

1. 互联网交易安全威胁概述

随着电子商务和网上银行的日益流行，互联网交易安全变得至关重要。然而，网络中存在着各种威胁，可能导致用户数据被盗取。以下是一些常见的网络安全威胁：
- 恶意短信攻击 ：某些短信可能包含漏洞利用信息，为了阻止这类短信，诺基亚推出了名为 “SMS Cleaner” 的免费工具。
- 浏览器安全风险 ：虽然大多数互联网浏览器（如 Firefox、Internet Explorer、Opera）具备阻止恶意程序和警告用户访问受感染网站的机制，但这并不能确保完全的保护。
- SSLStrip 攻击 ：黑客通过 SSLStrip 程序，将用户输入的 HTTPS 调用转换为 HTTP 调用，从而窃取用户登录 Yahoo!、Google、PayPal 等服务的数据。这种攻击常见于公共 Wi - Fi 网络，能将原本受 SSL 协议保护的网站转换为未加密版本，且不易被用户察觉。
- 网络监听和端口扫描 ：攻击者通过监听网络流量和扫描端口，获取软件、配置和激活服务的信息，进而识别系统弱点，实施有效攻击。无线局域网由于其开放性，更容易被渗透且难以检测。

2. 常见攻击方式详细解析

2.1 SSLStrip 攻击

SSLStrip 攻击是一种中间人代理类型的攻击。在 2009 年 2 月华盛顿的一次 IT 安全会议上，黑客展示了该攻击程序。以下是其攻击流程：

graph LR
    A[用户输入 HTTPS 网站地址] --> B[SSLStrip 程序将 HTTPS 转换为 HTTP]
    B --> C[用户与服务器建立 HTTP 连接]
    C --> D[攻击者窃取用户登录数据]

这种攻击利用了用户通常不关注网站地址是 HTTP 还是 HTTPS 的特点，在实验中，攻击者在 20 小时内成功拦截了 200 个 SSL 连接请求、114 个 Yahoo! 密码、50 个 Gmail 密码以及 16 张信用卡的数据。所有采用 OMA 标准设置的现代手机都容易受到此类攻击。

2.2 网络监听和端口扫描

网络监听分为被动监听和主动监听：
| 监听类型 | 特点 | 适用情况 |
| ---- | ---- | ---- |
| 被动监听 | 读取数据包内容 | 入侵者可直接访问传输数据时 |
| 主动监听 | 需要重定向网络流量 | 入侵者无法直接访问所需数据包时 |

攻击者通过扫描端口来识别激活的服务，因为许多服务默认与特定端口号关联。他们还可以通过拦截横幅信息（如使用 netcat 或 amap 程序打开会话的消息）获取易受攻击的服务信息。

3. 互联网用户隐私与安全意识

3.1 互联网用户现状

研究表明，在波兰，2009 年 1 月有 1670 万 15 - 75 岁的互联网用户。近 50% 的受访者可以在家上网，70% 使用互联网查找工作所需信息，70% 使用即时通讯工具（主要是 Gadu - Gadu 和 Skype），39% 使用电子邮件，20% 在社交网络服务中有至少一个账户。

3.2 隐私保护的重要性

在线隐私是指用户有权决定向谁、何时以及披露哪些数据，并能够查看、编辑和删除这些数据。然而，目前约 75% 的国家没有保护隐私的法律规定，美国的规定因州或行业而异，欧洲许多国家的法律在互联网兴起之前制定，已过时。

互联网用户在访问网站时，往往会提供大量关于自己和计算机的信息。许多网站为了获取用户个人数据，提供各种免费服务。用户在提供个人数据前，应检查公司的隐私政策，并确保该公司受到可信机构的监督。为保护隐私，用户可以使用清除系统中互联网活动记录的程序。

3.3 社交网络和博客的风险

社交网络服务和博客的流行带来了新的安全风险。它们允许收集用户的居住地、财产、生活方式等各种信息。例如，实时更新的博客（如 Twitter）和地理标记的照片可能会暴露用户的行踪和家庭情况。此外，一些边缘法律公司为用户提供线路和服务器，用于发布非法内容，这也是互联网用户面临的新威胁。

4. 网上银行账户安全

4.1 网上银行的发展与优势

在波兰，网上银行的兴起与高账户和存款利息以及缺乏贷款等其他服务相关。尽管存在高风险，波兰人仍将储蓄存入银行。目前，几乎所有银行（包括传统银行和互联网银行）都提供网络支持的银行账户，这种账户具有诸多优势：
- 便捷性 ：用户可以方便、快速地访问账户余额和交易历史。
- 财务跟踪 ：能够系统地跟踪所有金融操作，包括费用和利息。
- 多功能性 ：可以连接信用卡，控制余额和债务，还能进行汽车或房屋保险、加入养老基金、开设存款账户等操作。

4.2 网上银行的风险与防范措施

网上银行也存在一定风险，如身份盗窃、缺乏在线交易的物理证据以及银行对用户泄露 ID 或密码后果不负责等。为确保在线交易安全，用户必须采取以下措施：
- 安装合法的操作系统、工具软件和保护软件。
- 避免在公共计算机（如工作场所、大学、网吧或热点）上使用私人账户。
- 遵循账户使用的建议和程序。
- 对意外收到的邮件保持有限信任。
- 开设一个资金有限的单独银行账户。
- 保留与网上购物相关的通信记录。
- 手动输入网上银行和商店的地址，而不是使用邮件中的链接，以防链接指向虚假网站。

5. 互联网交易安全调查结果

5.1 调查概况

2008 年对弗罗茨瓦夫科技大学 IT 学生进行了一项关于互联网交易安全的调查，旨在评估学生在该领域采取的预防措施。

5.2 调查结果分析

• 数据丢失情况 ：77% 的受访学生因计算机或软件故障丢失数据，41% 因恶意软件出现问题。
• 保护软件安装情况 ：并非所有受访者都安装了必要的保护软件（如杀毒软件、反垃圾邮件软件、反间谍软件和防火墙），尽管互联网上有许多免费的计算机保护程序。
• 密码使用情况 ：
  • 83% 的受访者通过互联网进行金融交易。
  • 77% 的受访者为不同账户使用不同密码，但 41% 从不更改密码。
  • 从密码强度来看，103 名受访者中，37 人使用强密码，57 人同时使用强密码和弱密码，仅 9 人使用弱密码。
• 交易金额与账户设置 ：交易通常涉及小额资金，但只有 29% 的受访者为此开设了单独的银行账户，这意味着他们在账户被黑客攻击时可能会损失储蓄。

6. 总结与建议

6.1 调查结论

调查结果显示，即使是熟悉安全知识的 IT 学生，也没有完全遵守计算机安全的基本规则。这表明在金融交易中，用户是最薄弱的环节，缺乏适当培训或粗心大意的用户容易导致数据丢失和交易风险。

6.2 提升安全的建议

为了有效应对现代网络威胁，互联网用户必须不断拓宽安全知识，使用全面、集成的防病毒解决方案，实现有效的多层保护。同时，企业和 IT 人员应加强对员工和终端用户的安全知识普及，提高整体网络安全意识。以下是一些具体建议：
- 个人层面 ：
- 定期更新保护软件和操作系统补丁。
- 不随意在不可信的网站提供个人信息。
- 定期更换重要账户的密码，并使用强密码。
- 谨慎连接公共 Wi - Fi 网络，避免在公共网络进行敏感交易。
- 企业层面 ：
- 加强员工安全培训，提高安全意识。
- 采用先进的网络安全技术，如入侵检测系统、防火墙等。
- 定期进行安全审计和漏洞扫描，及时发现和修复安全隐患。

互联网交易安全全解析

7. 互联网交易安全威胁的应对策略

7.1 针对恶意短信攻击的应对

恶意短信攻击可能携带漏洞利用信息，为了应对此类攻击，用户可以采取以下步骤：
1. 安装防护工具 ：如诺基亚推出的 “SMS Cleaner” 免费工具，它能够帮助用户拦截包含漏洞利用的短信。
2. 提高警惕 ：不随意点击短信中的链接或下载附件，尤其是来自陌生号码的短信。

7.2 应对 SSLStrip 攻击的措施

SSLStrip 攻击在公共 Wi - Fi 网络中较为常见，以下是应对该攻击的策略：
1. 网络运营商层面 ：
- 过滤所有非来自运营商的包含设置数据的文本。
- 阻止对其 IP 地址之外的 DNS 的访问。
2. 用户层面 ：
- 尽量避免在公共 Wi - Fi 网络进行敏感信息的传输，如登录银行账户、进行在线支付等。
- 注意网站地址是否以 “https” 开头，确保使用安全的加密连接。

7.3 防范网络监听和端口扫描的方法

为了防范网络监听和端口扫描，用户和企业可以采取以下措施：
1. 用户层面 ：
- 安装防火墙，阻止未经授权的网络访问。
- 定期更新操作系统和软件，修复已知的安全漏洞。
2. 企业层面 ：
- 采用入侵检测系统（IDS）和入侵防御系统（IPS），实时监测和阻止网络攻击。
- 对网络设备进行定期的安全审计和漏洞扫描。

以下是一个简单的应对网络安全威胁的流程图：

graph LR
    A[发现网络安全威胁] --> B{威胁类型}
    B -->|恶意短信攻击| C[安装防护工具，提高警惕]
    B -->|SSLStrip 攻击| D[网络运营商过滤数据，用户注意连接安全]
    B -->|网络监听和端口扫描| E[用户安装防火墙，企业采用 IDS/IPS]

8. 互联网交易安全的最佳实践

8.1 个人用户的最佳实践

个人用户在进行互联网交易时，应遵循以下最佳实践：
| 实践内容 | 具体操作 |
| ---- | ---- |
| 软件安装 | 安装合法的操作系统、工具软件和保护软件，并及时更新。 |
| 账户使用 | 避免在公共计算机上使用私人账户，遵循账户使用的建议和程序。 |
| 邮件处理 | 对意外收到的邮件保持有限信任，不随意点击邮件中的链接。 |
| 密码管理 | 使用不同的密码为不同账户，并定期更换密码，使用强密码。 |
| 交易账户 | 开设一个资金有限的单独银行账户用于在线交易。 |

8.2 企业的最佳实践

企业在保障互联网交易安全方面，应采取以下措施：
1. 安全培训 ：对员工进行定期的安全培训，提高员工的安全意识和应急处理能力。
2. 技术防护 ：采用先进的网络安全技术，如防火墙、入侵检测系统、加密技术等。
3. 数据备份 ：定期对重要数据进行备份，以防止数据丢失。
4. 合规管理 ：遵守相关的法律法规和行业标准，确保企业的互联网交易活动合法合规。

9. 未来互联网交易安全的发展趋势

9.1 技术发展趋势

随着技术的不断发展，互联网交易安全将面临新的挑战和机遇。以下是一些可能的技术发展趋势：
1. 人工智能和机器学习 ：利用人工智能和机器学习技术，能够更准确地识别和防范网络攻击。
2. 区块链技术 ：区块链技术的去中心化和不可篡改特性，将为互联网交易安全提供更可靠的保障。
3. 生物识别技术 ：生物识别技术（如指纹识别、面部识别等）将越来越多地应用于身份验证，提高交易的安全性。

9.2 安全意识的提升

未来，互联网用户和企业的安全意识将不断提升。用户将更加注重个人隐私保护，企业将加强对网络安全的投入和管理。同时，政府和行业组织也将加强对互联网交易安全的监管和规范。

以下是一个未来互联网交易安全发展趋势的简单表格：
| 发展趋势 | 描述 |
| ---- | ---- |
| 技术发展 | 人工智能、机器学习、区块链、生物识别等技术的应用 |
| 安全意识提升 | 用户和企业更加注重安全，政府和行业组织加强监管 |

10. 总结

互联网交易安全是一个复杂而重要的问题，涉及到个人用户、企业和整个社会的利益。通过对互联网交易安全威胁的分析和应对策略的探讨，我们可以看到，保障互联网交易安全需要个人、企业和社会的共同努力。

个人用户应提高安全意识，遵循最佳实践，保护好个人隐私和财产安全。企业应加强安全管理，采用先进的技术手段，确保业务的正常运行。政府和行业组织应加强监管和规范，营造一个安全、可靠的互联网交易环境。

在未来，随着技术的不断发展和安全意识的提升，互联网交易安全将得到更好的保障。但我们也应时刻保持警惕，应对不断出现的新威胁和挑战。