個人安全解決方案
個人安全解決方案
作者:孤獨劍客
網站:http://www.janker.org
關鍵字:病毒(Virus) 黑客(Hacker) 安全(Security)
內容提要:
本文在遵循「簡單易懂、安全穩定、經濟實用」的原則下,旨在幫助個人網路用戶通過對安全威脅的瞭解和安全知識的學習,從而能夠採取有效的安全防範措施來達到保護自己的資料和尊嚴不受侵犯的目的。本文主要由三大部分構成,首先對安全威脅的主要來源進行了分析,然後針對安全威脅提出了相應的安全解決方案,最後還給出了經濟實用的推薦方案。本文內容不僅適用於家庭網路用戶,若單從對用戶系統的安全防範角度考慮的話,同樣適用於企業服務機構中的網路客戶。當然,若你認為你的個人電腦系統不值得保護或者願意忍受一遍又一遍重裝系統的話,本文並不適合你。
一、主要威脅來源(Baleful Source)
1、物理接觸(Physical Touch)
通過物理地接觸進行非授權訪問和破壞,是一種很簡單有效的攻擊方式,幸運的是能物理接觸你的電腦的人大多是可信的。但是,俗話說:「害人之心不可有,防人之心不可無」,為了你的電腦及資料的安全,還是要瞭解一下物理攻擊的途徑,主要方式如下:
(1)軟碟啟動(Floppy Booting):通過使用軟碟啟動你的電腦可以輕鬆地非法訪問你的資料,根據專家研究表明,此方法目前對所有的Windows和Unix都十分有效。
(2)硬碟失竊(Hard Disk Stolen):電腦放置的環境不安全的話,很可能會發生直接把你的硬碟甚至電腦偷走的情況。
(3)密碼偷看(Password Record):在鍵碟上輸入密碼的時候很容易被不懷好意的人看到並記下,不管你信與否,的確有人能在幾米外記下你快速敲過的字串,甚至包括字母的大小寫和特殊字串。
2、病毒感染(Virus Infection)
在幾年前,大家對病毒的概念還主要是引導型和文件型病毒,但網路發展是如此之快,稍加注意就會發現近年來危害更大的是在網路上漫遊的蠕蟲類程序,它們在整個網路中漫遊著,轉播速度非常迅速,不僅造成了無休止的網路阻塞,而且傷及了眾多的無辜者,對編製此類程序者的詛咒的同時,還是來瞭解一下它們的入侵方式吧,主要的途徑見下:
(1)軟碟(Floppy Disk):毫無防護的使用軟碟有可能會給你帶來引導區或可執行文件類的電腦病毒。儘管引導區病毒已經幾乎沒有了生存的環境,但假如你不小心使用早年前已被感染引導區病毒的軟碟的話,儘管它不能成功地隱蔽駐留在你的電腦上,但有可能它的嘗試感染會破壞你的硬碟分區,導致資料盡失,欲苦無淚。
(2)光碟(CDROM):輕率地使用光碟與軟碟一樣有害,甚至超過軟碟,因為光碟是只讀的,即便發現有病毒等有害程序也無法殺除,很容易誤使用,更令人堪憂的是,盜版光碟在迅速傳播,而大多都已經被病毒感染。
(3)電子郵件(Email):隨著Internet網路的發展,電子郵件被頻繁的使用,給蠕蟲類病毒提供了良好的生存空間,大量事實證明,僅僅收到一封郵件,就算你不開啟正文或附件,僅僅選郵件的標題頭,就有可能帶來滅頂之災。
(4)有害網頁(Malicious Homepage):瀏覽網站是絕大多數上網人員所要做的事情,遺憾的是,過去一直被認為瀏覽網站是安全的概念接連不斷的被打破了,大量的攻擊事件表明,僅僅通過使用瀏覽器觀看某些惡意網站的網頁,完全可能在你的電腦上執行二進制程式碼,意思就是說可以在你電腦上執行任何程序,包括木馬和格式化硬碟的程序等。
(5)網路共享(Network Share):網路當初的設計目的就是為了資源共享,所以大多數的操作系統都可設置共享資料夾,以便和其它網路用戶共享信息,不幸的是,病毒會感染共享文件,然後繼而感染所有使用此共享文件的系統。
3、網路攻擊(Network Attack)
隨著網路科技的發展,良莠不齊的東西都來了,尤其是網路攻擊事件的頻繁發生,無不都和「黑客(Hacker)」有關聯,這個曾經代表具有頂尖系統網路技術的美譽,而今幾乎墮落到了良心的深淵,公眾對之敬而遠之,受害的企業仍心有餘悸,而它那能在網路縱橫的魅力卻有吸引著一批批的指令碼小子(Script Kids),致力於要成就所謂真正的黑客,帶來的後果卻是眾多企業服務機構的網站首頁無辜被塗鴉,網路系統莫名奇妙的崩潰,個人隱私被在網路上披露,在他們體驗掌控網路快感而歡呼的時候,卻不知道已經給企業和個人帶來了難以估量的損失,並且已經觸犯了國家法律。分析其網路攻擊的手法將有助於做好安全防範,不外乎主要有以下幾種方式:
(1)拒絕服務(Denial of Service):簡稱D.O.S,就是通過發送特殊畸形的資料包導致系統崩潰當機或者是提交大量正常資料包進行洪水式(Flood)的淹沒攻擊,均可可導致系統喪失提供正常服務的能力,即被稱為拒絕攻擊。目前網路上有大量的此類程序存在,並且可輕鬆下載,常見的有:WinNuker、Teardrop、SYN Flooder等。
(2)黑客闖入(Hacker Inbreak):使用掃瞄程序發現系統開放的連接阜和漏洞,然後通過特殊的程序或進行特定的操作就能夠控制整個系統,能做到這樣的人,一般被稱為「黑客」。事實上,大量的黑客事件證明,目前預設安裝的大多數操作系統都幾乎無安全性可言,這就意味著假如沒有施以安全措施的話,就等於是處於開放狀態。
(3)木馬程序(Trojan):這個希臘神話裡面的名詞,經過多個世紀後終於在現在的網路中復活了,你的系統一旦被安裝了木馬程序就意味著你的電腦可以被別人像你一樣自由的使用,你的一舉一動都在他人的掌控之中,甚至可以強迫你去做你不願意做的事情,而這個人很可能是在地球的另一面。
(4)網路嗅探器(Network Sniffer):最初設計網路的時候主要是為了教育和科研使用,所以沒有考慮太多安全性,資料在網路上的傳輸都是明文的,於是嗅探類程序就應運而生,它們潛伏在網路中,悄悄地捕獲著網路上所有的資料包,包括ftp、telnet等帳號密碼信息及郵件內容等,如此,網路已無安全性可言。
二、安全解決方案(Security Solution)
一個好的解決方案不僅要內容全面完整,而且要主次分明、重點突出,從而把技術、產品和服務有機的組織起來,形成一個比較完善的結合體,才能真正發揮其作用。從安全的角度來講,那麼要從環境、自身、產品和意識等方面出發,進行綜合分析,逐個解決存在的問題,把可能的危險排除在發生之前,那麼也就達到了安全防護的目的。個人安全解決方案框架圖見下:
1、確保物理安全(Physical Security)
物理安全是非常之重要,是一切安全的基礎,可以試想,你的住家若安置在洪水經常氾濫的地方,就算你有再好的安全報警裝置,身體多麼的健康強壯,也很難保你的人身安全不受威脅。當然,若僅僅把家安置在不受自然災害的地方是遠遠不夠的,你還要有足夠的安全措施,比如:防盜門窗、監控電視等,你也不能忘記購買窗簾,以免洩漏自己的隱私,但你不能忘記必要的時候要把窗簾拉上,否則也無濟於事。如此,你應該能很好地理解物理安全的重要性了,對於個人電腦系統也是一樣的,重點需要注意的幾點如下:
(1)環境安全(Environment):無論如何你要首先確保你的電腦所在的環境是安全的,要盡量避免或減輕來自諸如洪水、雷電、地震等自然災害的安全威脅,當然,門窗也必須有必要的防範措施,否則偷竊者可能會如入無人之境,儘管他可能對你的資料並不感興趣,但很有可能你會連資料和電腦盡失,如此以來就幾乎無安全可言了。
(2) 設備安全(Device):不要給別人創造能輕易接觸你的電腦的機會,刻意接觸並操作你電腦的人大多是覬覦你的資料,不能以為不開機器就是安全的,否則你無法防備有人會把硬碟拿走複製資料後再拿回來,而你卻一無所知,電腦的資料複製技術是如此的完美,以致於可以做出完全一樣的拷貝卻不留下任何痕跡。若可能的話,最好能把你的機箱鎖住,把不用的設備在系統中禁止掉,以防止別人從你的軟驅或USB等接頭竊取資料。
(3)密碼安全(Password):有安全觀念的人都會在自己的電腦上設置開機密碼,並且設置進入CMOS的密碼,因為他知道寄希望於操作系統的密碼來阻止非授權訪問是很困難的,他知道他的密碼不能太簡單,否則很容易被人猜中,當然他不會把密碼寫在紙條上然後貼在顯示器上,因為他清楚這樣的話就不用要密碼了。
(4)啟動安全(Boot):大多數的機器出廠的時候在CMOS裡面預設系統優先從軟碟啟動的,本意是好讓用戶用軟碟啟動機器後用光碟等安裝操作系統或其他軟體,不幸的是大多數用戶在安裝完軟體後忘記設置優先從硬碟啟動了,如此,就給能物理接觸電腦的人大開方便之門,只要用一張軟碟就能啟動你的機器,然後自由地訪問你的資料,從而繞開了操作系統的密碼驗證功能,所以,若不需要軟碟啟動的時候,一定要在CMOS裡面設置系統優先從硬碟啟動。
2、加固操作系統(Secure Operating System)
至今為止還沒有發現任何操作系統是絕對安全的,並且隨著技術的發展,操作系統越來越複雜,程式碼量越來越大,參與開發的程序員越來越多,從而導致了操作系統自身的臭蟲(Bugs)也越來越多,所以很多操作系統廠商在推出產品以後不斷地發佈服務程序包(Service Pack)或更新程序(Update)等,不管它們用什麼名字來掩飾,總之就是一個目的,把以前發佈的操作系統的臭蟲堵住或不完善之處更正,當然同時也會增加一些優化程式碼或其他功能。前面提到過,目前預設安裝的大多數操作系統都幾乎無安全性可言,Windows和Unix等操作系統出現的眾多安全漏洞都說明了這點,事實上即便安裝了這些修正檔程序也不能夠徹底解決問題,諸如開放沒有使用的功能和系統設置不當,都會留下安全隱患。所以,加固操作系統勢在必行,主要從以下幾個方面做起:
(1)安裝系統修正檔(Install patches):一般來說,大多數操作系統的廠商都會在它們的網站上公佈有關係統更新的信息,只要稍加注意就能夠找到,需要注意的是,下載修正檔程序前一定要仔細閱讀附帶的安裝說明書,以便做好資料制作備份等預防工作,因為不恰當的安裝修正檔程序可能會導致系統無法啟動或資料破壞等情況。
(2)最小化系統(Minimize System):在系統集成的時候,往往會採用系統的最大化安裝,為的是方便偵錯連通,而事實上不少功能模組是你說不需要的,安全之相反,遵循最小化原則,也就是說能不裝的一定不裝,一定要裝的要盡量少裝,因為每多一項不必要的模組,無疑就多了一份不安全的因素,所以,對系統要嚴格檢查,去掉各種不必要的模組,以提高系統的安全性。
(3)進行安全設置(Security Configure):在電腦系統中有諸多的因素需要設置才有較好的安全性,如:用戶權限的分配、共享目錄的開放與否、磁牒空間的限制、註冊表的安全配置、瀏覽器的安全等級等等,系統預設的配置適合大多數人使用,但其安全性往往是較差的,所以要對系統中和安全有關的項目進行仔細的設置,以使得系統達到較高的安全性。
3、使用個人防火牆(Personal Firewall)
個人防火牆是抵禦來自網路攻擊最有效的手段之一,即便你的系統存在諸多你無法解決的安全問題,防火牆的使用將把你受攻擊的可能性降到最低,它能夠在很大程度上保護你的系統資訊不向外洩漏,並且能夠監控和你通信的網路資料包,把有害的連接拒絕於門外。所以,對於連接在網路上的電腦而言,使用防火牆來保護自己的系統是非常必要的選項,至少它可以在以下幾個方面有效地幫你抵擋來自網路的攻擊:
(1)抵禦拒絕服務(Defend D.O.S):諸如WinNuker、Teardrop、IGMP Nuker等各種通過發送畸形資料包而達到拒絕服務目的的炸彈程序,個人防火牆均可以識別出來並處理報警。
(2)關閉不必要的連接阜:連接在網路上的電腦是不安全的,一個很重要的因素就是因為開放的連接阜太多,對於個人電腦而言,對外開放很多連接阜往往不是必需的,個人防火牆的連接阜阻塞功能,可以替你關閉不必要的連接阜,有效地保護系統資訊不向外洩漏,並且降低了黑客利用開放的連接阜入侵的可能性,從而大大提高了系統的安全性。
(3)監控不明程序工作:因為木馬類程序往往隱藏在正常的程序中,一不小心就會被釋放出來,而木馬類程序往往是隱蔽的執行然後通過網路和外界進行聯繫,沒有專業技能和手段的話是很難發現的,而個人防火牆的監控網路連接工作功能,可以有效地阻擋含有木馬的不明程序在你系統上的執行,從而達到安全防護的目的。
4、使用反病毒軟體個人版(Personal Anti-Virus)
在具有安全觀念的人士之中,即便他的電腦並不和網路連接,即便他是專業反病毒專家,也很難見到他的電腦系統中會不安裝反病毒軟體,數量如此巨大的電腦病毒,達幾萬種之多,傳播途徑如此之廣,有軟碟、光碟、Email等等,再加上病毒的加密變形等隱藏技術,頭腦再複雜的你也很難勝任手工去識別電腦病毒的工作,而這一切反病毒軟體輕鬆幫你解決,你所做的就是經常輕鬆點一個滑鼠或設定一個計劃任務來昇級你的病毒碼特徵庫即可。具體來說,反病毒軟體可以為我們做以下一些事情:
(1)發現並殺死(Scan and Kill):反病毒軟體的掃瞄功能能夠為你確定不明軟碟、硬碟、光碟等介質裡面的文件是否含有病毒程序,值得注意的是由於光碟是只讀的,即便發現病毒也無法殺死,可以通過先把有毒文件複製到硬碟,然後再進去行查殺來處理,一般來說,若系統中沒有病毒的話,僅僅複製有毒的文件是不會啟動病毒的。
(2)監控並殺死(Watch and Kill):木馬程序、炸彈網頁、郵件蠕蟲等這些基於網路的有害程序幾乎把系統搞的一團糟,可喜的是,反病毒軟體現在都具備了實時檢測功能,能夠有效地把這些有害程序拒之門外。
(3)識別並隔離(Recognize and Insulate):病毒和反病毒永遠是一對矛盾,目前大多反病毒軟體的檢測原理都是基於特徵碼的識別,也就是說反病毒程序總是要比病毒遲後一步,那麼是不是新的病毒就無法防範了呢?不是的,病毒的感染和傳播,儘管是千變萬化的,但總是有規律可循的,正是通過對病毒規律性的研究,現在的反病毒軟體引擎能夠有效的識別出新的品種或變種的病毒來,儘管無法殺除,但卻可把它和你的系統完全隔離開來,通過對隔離區文件上報分析後昇級你的反病毒軟體就能夠達到查殺該病毒的目的。
5、使用加密檔案(Encrypt Software)
在對系統施加了防火牆和反病毒等安全防護措施後,並不等於你就處於安全的狀態了,比如:你的資料仍然可能被人檢視,因為它是明文的;你的Email內容也有可能會被截獲,也因為它是明文的。在這些時候,加密類軟體就大顯神通了,它可以把你的資料變換成看似雜亂無章的東西,當你需要的時候只需要輸入密碼字就能恢復原狀,而此密碼字只有你本人才知道,如此即便別人拿到了你的資料,沒有密碼字的話他只有失望了。這就是加密檔案的神奇之處,它能為我們在以下幾個方面提供資料的安全保密:
(1)資料加密(Data Encrypt):此功能可以對磁牒、目錄、文件、Email等進行加密處理,只有擁有密碼字或特定的解鎖文件才能恢復到原狀,否則你看到的將永遠是無法識別的亂碼。
(2)數字簽名(Digital Sign):在這數字化的網路時代,人們在驚歎資料複製的精確度是如此之高的同時,卻又陷入了經常被假冒的困惑,數字簽名的出現有效地解決了此問題,通過對文件或Email等進行數字簽名後,接受人可以輕鬆地判斷出其真實性。
6、提高安全意識(Security Consciousness)
在前面所述中主要體現的是技術防護層次,事實上,網路安全本身是一個比較大的概念,涉及法律、道德、知識、管理、技術、策略等多個方面,是一個有機的結合體,而不是功能的簡單疊加。就目前來看,整個社會對網路安全的意識淡薄,這是很可怕的事情,從大量的安全事件來看,缺乏安全意識是導致事件發生的重要因素之一,所以要向真正地起到安全防護的效果,在做好技術防護的同時,還需要把安全意識的提高放到日程上來,具體來說有以下一些方面需要多加注意和關註:
(1)在需要密碼的地方要盡可能設置複雜些並且不同,而且還要定期更換。
(2)一定要經常更新你的防火牆和反病毒等需要頻繁更新的安全防護類軟體。
(3)不要輕易執行來歷不明的程序,實在必需也要先用反病毒軟體檢查後才用。
(4)瀏覽網頁、下載文件和接收Email的時候要確保開啟了反病毒軟體的實時監控功能。
(5)不要在公眾場所尤其是網咖的電腦上使用你的個人信息。
(6)任何未經驗證的索要你帳號等重要信息的請求都要拒絕。
(7)要會清理電腦上留下的重要信息,比如Cookie、歷史記錄等。
(8)在自己電腦上執行黑客類程序等於玩火,因為你的資料可能會被偷偷發走。
(9)遇到藍屏當機、程序執行緩慢、系統自動重啟等不正常情況的時候要儘快檢查,必要時向專家求助。
(10)關注網路安全公司發佈的安全公告信息,確定自己的系統是否存在相關問題,及時解決。
三、實用方案推薦
在本文中講了很多的安全方面的知識,好像個人做好安全防護是一件很複雜的事情,其實不然,雖然說不上簡單,但難度絕對不大,下面就介紹幾種實用的個人安全解決方案,其中有些可能需要有些花費,但也有免費的可以使用,最終會達到一個目的,那就是能夠在很大程度上確保你的系統安全,雖然不能夠解決全部安全問題,但一定能解決絕大部分問題,完全可以滿足大多數人的安全需求。
1、普通用戶型
操作系統:Windows 98或Windows Me
應用軟體:Office系列、Outlook Express或Foxmail、Game、QQ等
主要用戶:辦公、瀏覽網站、收發Email、下載軟體、遊戲、聊天等
解決方案:
(1)加固操作系統
(2)天網防火牆
(3)金山毒霸
(4)PGP加密
2、專業用戶型
操作系統:Windows 2000 Professional或Windows XP Professional
應用軟體:Office系列、Outlook Express或Foxmail、Visual Studio、Delphi等
主要用戶:辦公、開發偵錯、瀏覽網站、收發Email、下載軟體等
解決方案:
(1)加固操作系統
(2)BlackICE個人防火牆
(3)諾頓NAV
(4)PGP加密
|