个人PC安全解决方案.docx

一、重要威胁来源（Baleful Source） 1、物理接触（Physical Touch）     通过物理地接触进行非授权访问和破坏，是一种很简朴有效的袭击方式，幸运的是能物理接触你的计算机的人大多是可信的。但是，俗话说：“害人之心不可有，防人之心不可无”，为了你的计算机及数据的安全，还是要了解一下物理袭击的途径，重要方式如下： （1）软盘启动（Floppy Booting）：通过使用软盘启动你的计算机可以轻松地非法访问你的数据，根据专家研究表白，此方法目前对所有的Windows和Unix都十分有效。 （2）硬盘失窃（Hard Disk Stolen）：计算机放置的环境不安全的话，很也许会发生直接把你的硬盘甚至电脑偷走的情况。 （3）密码偷看（Password Record）：在键盘上输入密码的时候很容易被不怀好意的人看到并记下，不管你信与否，的确有人能在几米外记下你快速敲过的字符，甚至涉及字母的大小写和特殊字符。 2、病毒感染（Virus Infection）     在几年前，大家对病毒的概念还重要是引导型和文献型病毒，但网络发展是如此之快，稍加注意就会发现近年 来危害更大的是在网络上漫游的蠕虫类程序，它们在整个网络中漫游着，转播速度非常迅速，不仅导致了无休止的网络阻塞，并且伤及了众多的无辜者，对编制此类 程序者的诅咒的同时，还是来了解一下它们的入侵方式吧，重要的途径见下： （1）软盘（Floppy Disk）：毫无防护的使用软盘有也许会给你带来引导区或可执行文献类的电脑病毒。尽管引导区病毒已经几乎没有了生 存的环境，但假如你不小心使用早年前已被感染引导区病毒的软盘的话，尽管它不能成功地隐蔽驻留在你的计算机上，但有也许它的尝试感染会破坏你的硬盘分区， 导致数据尽失，欲苦无泪。 （2）光盘（CDROM）：轻率地使用光盘与软盘同样有害，甚至超过软盘，由于光盘是只读的，即便发现有病毒等有害程序也无法杀除，很容易误使用，更令人堪忧的是，盗版光碟在迅速传播，而大多都已经被病毒感染。 （3）电子邮件（Email）：随着Internet网络的发展，电子邮件被频繁的使用，给蠕虫类病毒提供了良好的生存空间，大量事实证明，仅仅收到一封邮件，就算你不打开正文或附件，仅仅选中邮件的标题头，就有也许带来灭顶之灾。 （4）有害网页（Malicious Homepage）：浏览网站是绝大多数上网人员所要做的事情，遗憾的是，过去一直被认为浏览网站是安全 的概念接连不断的被打破了，大量的袭击事件表白，仅仅通过使用浏览器观看某些恶意网站的网页，完全也许在你的机器上执行二进制代码，意思就是说可以在你机 器上运营任何程序，涉及木马和格式化硬盘的程序等。 （5）网络共享（Network Share）：网络当初的设计目的就是为了资源共享，所以大多数的操作系统都可设立共享文献夹，以便和其它网络用户共享信息，不幸的是，病毒会感染共享文献，然后继而感染所有使用此共享文献的系统。 3、网络袭击（Network Attack）     随着网络科技的发展，良莠不齐的东西都来了，特别是网络袭击事件的频繁发生，无不都和“黑客 （Hacker）”有关联，这个曾经代表具有顶尖系统网络技术的美誉，而今几乎堕落到了良心的深渊，公众对之敬而远之，受害的公司仍心有余悸，而它那能在 网络纵横的魅力却有吸引着一批批的脚本小子（Script Kids），致力于要成就所谓真正的黑客，带来的后果却是众多公司单位的网站首页无 辜被涂鸦，网络系统莫名奇妙的崩溃，个人隐私被在网络上披露，在他们体验掌控网络快感而欢呼的时候，却不知道已经给公司和个人带来了难以估量的损失，并且 已经触犯了国家法律。分析其网络袭击的手法将有助于做好安全防范，不外乎重要有以下几种方式： （1）拒绝服务（Denial of Service）：简称D.O.S，就是通过发送特殊畸形的数据包导致系统崩溃死机或者是提交 大量正常数据包进行洪水式（Flood）的淹没袭击，均可可导致系统丧失提供正常服务的能力，即被称为拒绝袭击。目前网络上有大量的此类程序存在，并且可 轻松下载，常见的有：WinNuker、Teardrop、SYN Flooder等。 （2）黑客闯入（Hacker Inbreak）：使用扫描程序发现系统开放的端口和漏洞，然后通过特殊的程序或进行特定的操作就可以控制整个 系统，能做到这样的人，一般被称为“黑客”。事实上，大量的黑客事件证明，目前默认安装的大多数操作系统都几乎无安全性可言，这就意味着假如没有施以安全 措施的话，就等于是处在开放状态。 （3）木马程序（Trojan）：这个希腊神话里面的名词，通过多个世纪后终于在现在的网络中复活了，你的系统一旦被安装了木马程序就意味着你的计算机可 以被别人象你同样自由的使用，你的一举一动都在别人的掌控之中，甚至可以逼迫你去做你不乐意做的事情，而这个人很也许是在地球的另一面。 （4）网络嗅探器（Network Sniffer）：最初设计网络的时候重要是为了教育和科研使用，所以没有考虑太多安全性，数据在网络上的 传输都是明文的，于是嗅探类程序就应运而生，它们潜伏在网络中，悄悄地捕获着网络上所有的数据包，涉及ftp、telnet等账号密码信息及邮件内容等， 如此，网络已无安全性可言。 二、安全解决方案（Security Solution）     一个好的解决方案不仅要内容全面完整，并且要主次分明、重点突出，从而把技术、产品和服务有机的组织起 来，形成一个比较完善的结合体，才干真正发挥其作用。从安全的角度来讲，那么要从环境、自身、产品和意识等方面出发，进行综合分析，逐个解决存在的问题， 把也许的危险排除在发生之前，那么也就达成了安全防护的目的。个人安全解决方案 框架图见下： 1、保证物理安全（Physical Security）     物理安全是非常之重要，是一切安全的基础，可以试想，你的住家若安顿在洪水经常泛滥的地方，就算你有再 好的安全报警装置，身体多么的健康强壮，也很难保你的人身安全不受威胁。当然，若仅仅把家安顿在不受自然灾害的地方是远远不够的，你还要有足够的安全措 施，比如：防盗门窗、监控电视等，你也不能忘掉购买窗帘，以免泄漏自己的隐私，但你不能忘掉必要的时候要把窗帘拉上，否则也无济于事。如此，你应当能很好 地理解物理安全的重要性了，对于个人计算机系统也是同样的，重点需要注意的几点如下： （1）环境安全（Environment）：无论如何你要一方面保证你的计算机所在的环境是安全的，要尽量避免或减轻来自诸如洪水、雷电、地震等自然灾害的 安全威胁，当然，门窗也必须有必要的防范措施，否则偷窃者也许会如入无人之境，尽管他也许对你的数据并不感爱好，但很有也许你会连数据和计算机尽失，如此 以来就几乎无安全可言了。 （2) 设备安全（Device）：不要给别人发明能容易接触你的计算机的机会，刻意接触并操作你计算机的人大多是觊觎你的数据，不能认为不开 机器就是安全的，否则你无法防备有人会把硬盘拿走复制数据后再拿回来，而你却一无所知，计算机的数据复制技术是如此的完美，以致于可以做出完全同样的拷贝 却不留下任何痕迹。若也许的话，最佳能把你的机箱锁住，把不用的设备在系统中严禁掉，以防止别人从你的软驱或USB等接口窃取数据。 （3）密码安全（Password）：有安全观念的人都会在自己的计算机上设立开机密码，并且设立进入CMOS的密码，由于他知道寄希望于操作系统的密码 来阻止非授权访问是很困难的，他知道他的密码不能太简朴，否则很容易被人猜中，当然他不会把密码写在纸条上然后贴在显示器上，由于他清楚这样的话就不用要 密码了。 （4）启动安全（Boot）：大多数的机器出厂的时候在CMOS里面默认系统优先从软盘启动的，本意是好让用户用软盘启动机器后用光盘等安装操作系统或其 他软件，不幸的是大多数用户在安装完软件后忘掉设立优先从硬盘启动了，如此，就给能物理接触计算机的人大开方便之门，只要用一张软盘就能启动你的机器，然 后自由地访问你的数据，从而绕开了操作系统的密码验证功能，所以，若不需要软盘启动的时候，一定要在CMOS里面设立系统优先从硬盘启动。 2、加固操作系统（Secure Operating System）     至今为止还没有发现任何操作系统是绝对安全的，并且随着技术的发展，操作系统越来越复杂，代码量越来越大，参与开发的程序员越来越多，从而导致了操作系统自身的臭虫（Bugs）也越来越多，所以很多操作系统厂商在推出产品以后不断地发布服务程序包（Service Pack） 或更新程序（Update）等，不管它们用什么名字来掩饰，总之就是一个目的，把以前发布的操作系统的臭虫堵住或不完善之处更正，当然同时也会添加一些优 化代码或其他功能。前面提到过，目前默认安装的大多数操作系统都几乎无安全性可言，Windows和Unix等操作系统出现的众多安全漏洞都说明了这点， 事实上即便安装了这些补丁程序也不可以彻底解决问题，诸如开放没有使用的功能和系统设立不妥，都会留下安全隐患。所以，加固操作系统势在必行，重要从以下 几个方面做起： （1）安装系统补丁（Install patches）：一般来说，大多数操作系统的厂商都会在它们的网站上公布有关系统更新的信息，只要稍加 注意就可以找到，需要注意的是，下载补丁程序前一定要仔细阅读附带的安装说明书，以便做好数据备份等防止工作，由于不恰当的安装补丁程序也许会导致系统无 法启动或数据破坏等情况。 （2）最小化系统（Minimize System）：在系统集成的时候，往往会采用系统的最大化安装，为的是方便调试连通，而事实上不少功能 模块是你说不需要的，安全之相反，遵循最小化原则，也就是说能不装的一定不装，一定要装的要尽量少装，由于每多一项不必要的模块，无疑就多了一份不安全的 因素，所以，对系统要严格检查，去掉各种不必要的模块，以提高系统的安全性。 （3）进行安全设立（Security Configure）：在计算机系统中有诸多的因素需要设立才有较好的安全性，如：用户权限的分派、共 享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等等，系统默认的配置适合大多数人使用，但其安全性往往是较差的，所以要对系统中 和安全有关的项目进行仔细的设立，以使得系统达成较高的安全性。 3、使用个人防火墙（Personal Firewall）     个人防火墙是抵御来自网络袭击最有效的手段之一，即便你的系统存在诸多你无法解决的安全问题，防火墙的 使用将把你受袭击的也许性降到最低，它可以在很大限度上保护你的系统信息不向外泄漏，并且可以监控和你通信的网络数据包，把有害的连接拒绝于门外。所以， 对于连接在网络上的计算机而言，使用防火墙来保护自己的系统是非常必要的选择，至少它可以在以下几个方面有效地帮你抵挡来自网络的袭击： （1）抵御拒绝服务（Defend D.O.S）：诸如WinNuker、Teardrop、IGMP Nuker等各种通过发送畸形数据包而达成拒绝服务目的的炸弹程序，个人防火墙均可以辨认出来并解决报警。 （2）关闭不必要的端口：连接在网络上的计算机是不安全的，一个很重要的因素就是由于开放的端口太多，对于个人计算机而言，对外开放很多端口往往不是必需 的，个人防火墙的端口阻塞功能，可以替你关闭不必要的端口，有效地保护系统信息不向外泄漏，并且减少了黑客运用开放的端口入侵的也许性，从而大大提高了系 统的安全性。 （3）监控不明程序进程：由于木马类程序往往隐藏在正常的程序中，一不小心就会被释放出来，而木马类程序往往是隐蔽的运营然后通过网络和外界进行联系，没 有专业技能和手段的话是很难发现的，而个人防火墙的监控网络连接进程功能，可以有效地阻挡具有木马的不明程序在你系统上的执行，从而达成安全防护的目的。 4、使用反病毒软件个人版（Personal Anti-Virus）     在具有安全观念的人士之中，即便他的计算机并不和网络连接，即便他是专业反病毒专家，也很难见到他的计 算机系统中会不安装反病毒软件，数量如此巨大的计算机病毒，达几万种之多，传播途径如此之广，有软盘、光盘、Email等等，再加上病毒的加密变形等隐藏 技术，头脑再复杂的你也很难胜任手工去辨认计算机病毒的工作，而这一切反病毒软件轻松帮你解决，你所做的就是经常轻松点一个鼠标或设定一个计划任务来升级 你的病毒码特性库即可。具体来说，反病毒软件可认为我们做以下一些事情： （1）发现并杀死（Scan and Kill）：反病毒软件的扫描功能可认为你拟定不明软盘、硬盘、光盘等介质里面的文献是否具有 病毒程序，值得注意的是由于光盘是只读的，即便发现病毒也无法杀死，可以通过先把有毒文献复制到硬盘，然后再进行查杀来解决，一般来说，若系统中没有病毒 的话，仅仅复制有毒的文献是不会激活病毒的。 （2）监控并杀死（Watch and Kill）：木马程序、炸弹网页、邮件蠕虫等这些基于网络的有害程序几乎把系统搞的一团糟，可喜的是，反病毒软件现在都具有了实时检测功能，可以有效地把这些有害程序拒之门外。 （3）辨认并隔离（Recognize and Insulate）：病毒和反病毒永远是一对矛盾，目前大多反病毒软件的检测原理都 是基于特性码的辨认，也就是说反病毒程序总是要比病毒迟后一步，那么是不是新的病毒就无法防范了呢？不是的，病毒的感染和传播，尽管是千变万化的，但总是 有规律可循的，正是通过对病毒规律性的研究，现在的反病毒软件引擎可以有效的辨认出新的品种或变种的病毒来，尽管无法杀除，但却可把它和你的系统完全隔离 开来，通过对隔离区文献上报分析后升级你的反病毒软件就可以达成查杀该病毒的目的。 5、使用加密软件（Encrypt Software）     在对系统施加了防火墙和反病毒等安全防护措施后，并不等于你就处在安全的状态了，比如：你的数据仍然可 能被人查看，由于它是明文的；你的Email内容也有也许会被截获，也由于它是明文的。在这些时候，加密类软件就大显神通了，它可以把你的数据变换成看似 杂乱无章的东西，当你需要的时候只需要输入口令字就能恢复原状，而此口令字只有你本人才知道，如此即便别人拿到了你的数据，没有口令字的话他只有失望了。 这就是加密软件的神奇之处，它能为我们在以下几个方面提供数据的安全保密： （1）数据加密（Data Encrypt）：此功能可以对磁盘、目录、文献、Email等进行加密解决，只有拥有口令字或特定的解锁文献才干恢复到原状，否则你看到的将永远是无法辨认的乱码。 （2）数字署名（Digital Sign）：在这数字化的网络时代，人们在惊叹数据复制的精确度是如此之高的同时，却又陷入了经常被假冒的困惑，数字署名的出现有效地解决了此问题，通过对文献或Email等进行数字署名后，接受人可以轻松地判断出其真实性。 6、提高安全意识（Security Consciousness）     在前面所述中重要体现的是技术防护层次，事实上，网络安全自身是一个比较大的概念，涉及法律、道德、知 识、管理、技术、策略等多个方面，是一个有机的结合体，而不是功能的简朴叠加。就目前来看，整个社会对网络安全的意识淡薄，这是很可怕的事情，从大量的安 全事件来看，缺少安全意识是导致事件发生的重要因素之一，所以要向真正地起到安全防护的效果，在做好技术防护的同时，还需要把安全意识的提高放到日程上 来，具体来说有以下一些方面需要多加注意和关注： （1）在需要密码的地方要尽也许设立复杂些并且不同，并且还要定期更换。 （2）一定要经常更新你的防火墙和反病毒等需要频繁更新的安全防护类软件。 （3）不要容易运营来历不明的程序，实在必需也要先用反病毒软件检查后才用。 （4）浏览网页、下载文献和接受Email的时候要保证打开了反病毒软件的实时监控功能。 （5）不要在公众场合特别是网吧的机器上使用你的个人信息。 （6）任何未经确认的索要你账号等重要信息的请求都要拒绝。 （7）要会清理机器上留下的重要信息，比如Cookie、历史记录等。 （8）在自己机器上运营黑客类程序等于玩火，由于你的资料也许会被偷偷发走。 （9）碰到蓝屏死机、程序运营缓慢、系统自动重启等不正常情况的时候要尽快检查，必要时向专家求助。 （10）关注网络安全公司发布的安全公告信息，拟定自己的系统是否存在相关问题，及时解决。 三、实用方案推荐     在本文中讲了很多的安全面的知识，仿佛个人做好安全防护是一件很复杂的事情，其实不然，虽然说不上简 单，但难度绝对不大，下面就介绍几种实用的个人安全解决方案，其中有些也许需要有些花费，但也有免费的可以使用，最终会达成一个目的，那就是可以在很大程 度上保证你的系统安全，虽然不可以解决所有安全问题，但一定能解决绝大部分问题，完全可以满足大多数人的安全需求。 1、普通用户型 操作系统：Windows 98或Windows Me 应用软件：Office系列、Outlook Express或Foxmail、Game、QQ等 重要用户：办公、浏览网站、收发Email、下载软件、游戏、聊天等 解决方案： （1）加固操作系统 （2）天网防火墙 （3）金山毒霸 （4）PGP加密 2、专业用户型 操作系统：Windows 2023 Professional或Windows XP Professional 应用软件：Office系列、Outlook Express或Foxmail、Visual Studio、Delphi等 重要用户：办公、开发调试、浏览网站、收发Email、下载软件等 解决方案： （1）加固操作系统 （2）BlackICE个人防火墙 （3）诺顿NAV （4）PGP加密