个人PC安全解决方案样本.docx

资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 一、 主要威胁来源( Baleful Source) 1、 物理接触( Physical Touch)     经过物理地接触进行非授权访问和破坏, 是一种很简单有效的攻击方式, 幸运的是能物理接触你的计算机的人大多是可信的。可是, 俗话说: ”害人之心不可有, 防人之心不可无”, 为了你的计算机及数据的安全, 还是要了解一下物理攻击的途径, 主要方式如下: ( 1) 软盘启动( Floppy Booting) : 经过使用软盘启动你的计算机能够轻松地非法访问你的数据, 根据专家研究表明, 此方法当前对所有的Windows和Unix都十分有效。 ( 2) 硬盘失窃( Hard Disk Stolen) : 计算机放置的环境不安全的话, 很可能会发生直接把你的硬盘甚至电脑偷走的情况。 ( 3) 密码偷看( Password Record) : 在键盘上输入密码的时候很容易被不怀好意的人看到并记下, 不论你信与否, 的确有人能在几米外记下你快速敲过的字符, 甚至包括字母的大小写和特殊字符。 2、 病毒感染( Virus Infection)     在几年前, 大家对病毒的概念还主要是引导型和文件型病毒, 但网络发展是如此之快, 稍加注意就会发现近年 来危害更大的是在网络上漫游的蠕虫类程序, 它们在整个网络中漫游着, 转播速度非常迅速, 不但造成了无休止的网络阻塞, 而且伤及了众多的无辜者, 对编制此类 程序者的诅咒的同时, 还是来了解一下它们的入侵方式吧, 主要的途径见下: ( 1) 软盘( Floppy Disk) : 毫无防护的使用软盘有可能会给你带来引导区或可执行文件类的电脑病毒。尽管引导区病毒已经几乎没有了生 存的环境, 但假如你不小心使用早年前已被感染引导区病毒的软盘的话, 尽管它不能成功地隐蔽驻留在你的计算机上, 但有可能它的尝试感染会破坏你的硬盘分区, 导致数据尽失, 欲苦无泪。 ( 2) 光盘( CDROM) : 轻率地使用光盘与软盘一样有害, 甚至超过软盘, 因为光盘是只读的, 即便发现有病毒等有害程序也无法杀除, 很容易误使用, 更令人堪忧的是, 盗版光碟在迅速传播, 而大多都已经被病毒感染。 ( 3) 电子邮件( Email) : 随着Internet网络的发展, 电子邮件被频繁的使用, 给蠕虫类病毒提供了良好的生存空间, 大量事实证明, 仅仅收到一封邮件, 就算你不打开正文或附件, 仅仅选中邮件的标题头, 就有可能带来灭顶之灾。 ( 4) 有害网页( Malicious Homepage) : 浏览网站是绝大多数上网人员所要做的事情, 遗憾的是, 过去一直被认为浏览网站是安全 的概念接连不断的被打破了, 大量的攻击事件表明, 仅仅经过使用浏览器观看某些恶意网站的网页, 完全可能在你的机器上执行二进制代码, 意思就是说能够在你机 器上运行任何程序, 包括木马和格式化硬盘的程序等。 ( 5) 网络共享( Network Share) : 网络当初的设计目的就是为了资源共享, 因此大多数的操作系统都可设置共享文件夹, 以便和其它网络用户共享信息, 不幸的是, 病毒会感染共享文件, 然后继而感染所有使用此共享文件的系统。 3、 网络攻击( Network Attack)     随着网络科技的发展, 良莠不齐的东西都来了, 特别是网络攻击事件的频繁发生, 无不都和”黑客 ( Hacker) ”有关联, 这个曾经代表具有顶尖系统网络技术的美誉, 而今几乎堕落到了良心的深渊, 公众对之敬而远之, 受害的企业仍心有余悸, 而它那能在 网络纵横的魅力却有吸引着一批批的脚本小子( Script Kids) , 致力于要成就所谓真正的黑客, 带来的后果却是众多企业单位的网站首页无 辜被涂鸦, 网络系统莫名奇妙的崩溃, 个人隐私被在网络上披露, 在她们体验掌控网络快感而欢呼的时候, 却不知道已经给企业和个人带来了难以估量的损失, 而且 已经触犯了国家法律。分析其网络攻击的手法将有助于做好安全防范, 不外乎主要有以下几种方式: ( 1) 拒绝服务( Denial of Service) : 简称D.O.S, 就是经过发送特殊畸形的数据包导致系统崩溃死机或者是提交 大量正常数据包进行洪水式( Flood) 的淹没攻击, 均可可导致系统丧失提供正常服务的能力, 即被称为拒绝攻击。当前网络上有大量的此类程序存在, 而且可 轻松下载, 常见的有: WinNuker、 Teardrop、 SYN Flooder等。 ( 2) 黑客闯入( Hacker Inbreak) : 使用扫描程序发现系统开放的端口和漏洞, 然后经过特殊的程序或进行特定的操作就能够控制整个 系统, 能做到这样的人, 一般被称为”黑客”。事实上, 大量的黑客事件证明, 当前默认安装的大多数操作系统都几乎无安全性可言, 这就意味着假如没有施以安全 措施的话, 就等于是处于开放状态。 ( 3) 木马程序( Trojan) : 这个希腊神话里面的名词, 经过多个世纪后终于在现在的网络中复活了, 你的系统一旦被安装了木马程序就意味着你的计算机可 以被别人象你一样自由的使用, 你的一举一动都在她人的掌控之中, 甚至能够强迫你去做你不愿意做的事情, 而这个人很可能是在地球的另一面。 ( 4) 网络嗅探器( Network Sniffer) : 最初设计网络的时候主要是为了教育和科研使用, 因此没有考虑太多安全性, 数据在网络上的 传输都是明文的, 于是嗅探类程序就应运而生, 它们潜伏在网络中, 悄悄地捕获着网络上所有的数据包, 包括ftp、 telnet等账号密码信息及邮件内容等, 如此, 网络已无安全性可言。 二、 安全解决方案( Security Solution)     一个好的解决方案不但要内容全面完整, 而且要主次分明、 重点突出, 从而把技术、 产品和服务有机的组织起 来, 形成一个比较完善的结合体, 才能真正发挥其作用。从安全的角度来讲, 那么要从环境、 自身、 产品和意识等方面出发, 进行综合分析, 逐个解决存在的问题, 把可能的危险排除在发生之前, 那么也就达到了安全防护的目的。个人安全解决方案 框架图见下: 1、 确保物理安全( Physical Security)     物理安全是非常之重要, 是一切安全的基础, 能够试想, 你的住家若安置在洪水经常泛滥的地方, 就算你有再 好的安全报警装置, 身体多么的健康强壮, 也很难保你的人身安全不受威胁。当然, 若仅仅把家安置在不受自然灾害的地方是远远不够的, 你还要有足够的安全措 施, 比如: 防盗门窗、 监控电视等, 你也不能忘记购买窗帘, 以免泄漏自己的隐私, 但你不能忘记必要的时候要把窗帘拉上, 否则也无济于事。如此, 你应该能很好 地理解物理安全的重要性了, 对于个人计算机系统也是一样的, 重点需要注意的几点如下: ( 1) 环境安全( Environment) : 无论如何你要首先确保你的计算机所在的环境是安全的, 要尽量避免或减轻来自诸如洪水、 雷电、 地震等自然灾害的 安全威胁, 当然, 门窗也必须有必要的防范措施, 否则偷窃者可能会如入无人之境, 尽管她可能对你的数据并不感兴趣, 但很有可能你会连数据和计算机尽失, 如此 以来就几乎无安全可言了。 ( 2) 设备安全( Device) : 不要给别人创造能轻易接触你的计算机的机会, 刻意接触并操作你计算机的人大多是觊觎你的数据, 不能以为不开 机器就是安全的, 否则你无法防备有人会把硬盘拿走复制数据后再拿回来, 而你却一无所知, 计算机的数据复制技术是如此的完美, 以致于能够做出完全一样的拷贝 却不留下任何痕迹。若可能的话, 最好能把你的机箱锁住, 把不用的设备在系统中禁止掉, 以防止别人从你的软驱或USB等接口窃取数据。 ( 3) 密码安全( Password) : 有安全观念的人都会在自己的计算机上设置开机密码, 而且设置进入CMOS的密码, 因为她知道寄希望于操作系统的密码 来阻止非授权访问是很困难的, 她知道她的密码不能太简单, 否则很容易被人猜中, 当然她不会把密码写在纸条上然后贴在显示器上, 因为她清楚这样的话就不用要 密码了。 ( 4) 启动安全( Boot) : 大多数的机器出厂的时候在CMOS里面默认系统优先从软盘启动的, 本意是好让用户用软盘启动机器后用光盘等安装操作系统或其 她软件, 不幸的是大多数用户在安装完软件后忘记设置优先从硬盘启动了, 如此, 就给能物理接触计算机的人大开方便之门, 只要用一张软盘就能启动你的机器, 然 后自由地访问你的数据, 从而绕开了操作系统的密码验证功能, 因此, 若不需要软盘启动的时候, 一定要在CMOS里面设置系统优先从硬盘启动。 2、 加固操作系统( Secure Operating System)     至今为止还没有发现任何操作系统是绝对安全的, 而且随着技术的发展, 操作系统越来越复杂, 代码量越来越大, 参与开发的程序员越来越多, 从而导致了操作系统自身的臭虫( Bugs) 也越来越多, 因此很多操作系统厂商在推出产品以后不断地发布服务程序包( Service Pack) 或更新程序( Update) 等, 不论它们用什么名字来掩饰, 总之就是一个目的, 把以前发布的操作系统的臭虫堵住或不完善之处更正, 当然同时也会添加一些优 化代码或其它功能。前面提到过, 当前默认安装的大多数操作系统都几乎无安全性可言, Windows和Unix等操作系统出现的众多安全漏洞都说明了这点, 事实上即便安装了这些补丁程序也不能够彻底解决问题, 诸如开放没有使用的功能和系统设置不当, 都会留下安全隐患。因此, 加固操作系统势在必行, 主要从以下 几个方面做起: ( 1) 安装系统补丁( Install patches) : 一般来说, 大多数操作系统的厂商都会在它们的网站上公布有关系统更新的信息, 只要稍加 注意就能够找到, 需要注意的是, 下载补丁程序前一定要仔细阅读附带的安装说明书, 以便做好数据备份等预防工作, 因为不恰当的安装补丁程序可能会导致系统无 法启动或数据破坏等情况。 ( 2) 最小化系统( Minimize System) : 在系统集成的时候, 往往会采用系统的最大化安装, 为的是方便调试连通, 而事实上不少功能 模块是你说不需要的, 安全之相反, 遵循最小化原则, 也就是说能不装的一定不装, 一定要装的要尽量少装, 因为每多一项不必要的模块, 无疑就多了一份不安全的 因素, 因此, 对系统要严格检查, 去掉各种不必要的模块, 以提高系统的安全性。 ( 3) 进行安全设置( Security Configure) : 在计算机系统中有诸多的因素需要设置才有较好的安全性, 如: 用户权限的分配、 共 享目录的开放与否、 磁盘空间的限制、 注册表的安全配置、 浏览器的安全等级等等, 系统默认的配置适合大多数人使用, 但其安全性往往是较差的, 因此要对系统中 和安全有关的项目进行仔细的设置, 以使得系统达到较高的安全性。 3、 使用个人防火墙( Personal Firewall)     个人防火墙是抵御来自网络攻击最有效的手段之一, 即便你的系统存在诸多你无法解决的安全问题, 防火墙的 使用将把你受攻击的可能性降到最低, 它能够在很大程度上保护你的系统信息不向外泄漏, 而且能够监控和你通信的网络数据包, 把有害的连接拒绝于门外。因此, 对于连接在网络上的计算机而言, 使用防火墙来保护自己的系统是非常必要的选择, 至少它能够在以下几个方面有效地帮你抵挡来自网络的攻击: ( 1) 抵御拒绝服务( Defend D.O.S) : 诸如WinNuker、 Teardrop、 IGMP Nuker等各种经过发送畸形数据包而达到拒绝服务目的的炸弹程序, 个人防火墙均能够识别出来并处理报警。 ( 2) 关闭不必要的端口: 连接在网络上的计算机是不安全的, 一个很重要的因素就是因为开放的端口太多, 对于个人计算机而言, 对外开放很多端口往往不是必须 的, 个人防火墙的端口阻塞功能, 能够替你关闭不必要的端口, 有效地保护系统信息不向外泄漏, 而且降低了黑客利用开放的端口入侵的可能性, 从而大大提高了系 统的安全性。 ( 3) 监控不明程序进程: 因为木马类程序往往隐藏在正常的程序中, 一不小心就会被释放出来, 而木马类程序往往是隐蔽的运行然后经过网络和外界进行联系, 没 有专业技能和手段的话是很难发现的, 而个人防火墙的监控网络连接进程功能, 能够有效地阻挡含有木马的不明程序在你系统上的执行, 从而达到安全防护的目的。 4、 使用反病毒软件个人版( Personal Anti-Virus)     在具有安全观念的人士之中, 即便她的计算机并不和网络连接, 即便她是专业反病毒专家, 也很难见到她的计 算机系统中会不安装反病毒软件, 数量如此巨大的计算机病毒, 达几万种之多, 传播途径如此之广, 有软盘、 光盘、 Email等等, 再加上病毒的加密变形等隐藏 技术, 头脑再复杂的你也很难胜任手工去识别计算机病毒的工作, 而这一切反病毒软件轻松帮你解决, 你所做的就是经常轻松点一个鼠标或设定一个计划任务来升级 你的病毒码特征库即可。具体来说, 反病毒软件能够为我们做以下一些事情: ( 1) 发现并杀死( Scan and Kill) : 反病毒软件的扫描功能能够为你确定不明软盘、 硬盘、 光盘等介质里面的文件是否含有 病毒程序, 值得注意的是由于光盘是只读的, 即便发现病毒也无法杀死, 能够经过先把有毒文件复制到硬盘, 然后再进行查杀来处理, 一般来说, 若系统中没有病毒 的话, 仅仅复制有毒的文件是不会激活病毒的。 ( 2) 监控并杀死( Watch and Kill) : 木马程序、 炸弹网页、 邮件蠕虫等这些基于网络的有害程序几乎把系统搞的一团糟, 可喜的是, 反病毒软件现在都具备了实时检测功能, 能够有效地把这些有害程序拒之门外。 ( 3) 识别并隔离( Recognize and Insulate) : 病毒和反病毒永远是一对矛盾, 当前大多反病毒软件的检测原理都 是基于特征码的识别, 也就是说反病毒程序总是要比病毒迟后一步, 那么是不是新的病毒就无法防范了呢? 不是的, 病毒的感染和传播, 尽管是千变万化的, 但总是 有规律可循的, 正是经过对病毒规律性的研究, 现在的反病毒软件引擎能够有效的识别出新的品种或变种的病毒来, 尽管无法杀除, 但却可把它和你的系统完全隔离 开来, 经过对隔离区文件上报分析后升级你的反病毒软件就能够达到查杀该病毒的目的。 5、 使用加密软件( Encrypt Software)     在对系统施加了防火墙和反病毒等安全防护措施后, 并不等于你就处于安全的状态了, 比如: 你的数据依然可 能被人查看, 因为它是明文的; 你的Email内容也有可能会被截获, 也因为它是明文的。在这些时候, 加密类软件就大显神通了, 它能够把你的数据变换成看似 杂乱无章的东西, 当你需要的时候只需要输入口令字就能恢复原状, 而此口令字只有你本人才知道, 如此即便别人拿到了你的数据, 没有口令字的话她只有失望了。 这就是加密软件的神奇之处, 它能为我们在以下几个方面提供数据的安全保密: ( 1) 数据加密( Data Encrypt) : 此功能能够对磁盘、 目录、 文件、 Email等进行加密处理, 只有拥有口令字或特定的解锁文件才能恢复到原状, 否则你看到的将永远是无法识别的乱码。 ( 2) 数字签名( Digital Sign) : 在这数字化的网络时代, 人们在惊叹数据复制的精确度是如此之高的同时, 却又陷入了经常被假冒的困惑, 数字签名的出现有效地解决了此问题, 经过对文件或Email等进行数字签名后, 接受人能够轻松地判断出其真实性。 6、 提高安全意识( Security Consciousness)     在前面所述中主要体现的是技术防护层次, 事实上, 网络安全本身是一个比较大的概念, 涉及法律、 道德、 知 识、 管理、 技术、 策略等多个方面, 是一个有机的结合体, 而不是功能的简单叠加。就当前来看, 整个社会对网络安全的意识淡薄, 这是很可怕的事情, 从大量的安 全事件来看, 缺乏安全意识是导致事件发生的重要因素之一, 因此要向真正地起到安全防护的效果, 在做好技术防护的同时, 还需要把安全意识的提高放到日程上 来, 具体来说有以下一些方面需要多加注意和关注: ( 1) 在需要密码的地方要尽可能设置复杂些而且不同, 而且还要定期更换。 ( 2) 一定要经常更新你的防火墙和反病毒等需要频繁更新的安全防护类软件。 ( 3) 不要轻易运行来历不明的程序, 实在必须也要先用反病毒软件检查后才用。 ( 4) 浏览网页、 下载文件和接收Email的时候要确保打开了反病毒软件的实时监控功能。 ( 5) 不要在公众场所特别是网吧的机器上使用你的个人信息。 ( 6) 任何未经确认的索要你账号等重要信息的请求都要拒绝。 ( 7) 要会清理机器上留下的重要信息, 比如Cookie、 历史记录等。 ( 8) 在自己机器上运行黑客类程序等于玩火, 因为你的资料可能会被偷偷发走。 ( 9) 遇到蓝屏死机、 程序运行缓慢、 系统自动重启等不正常情况的时候要尽快检查, 必要时向专家求助。 ( 10) 关注网络安全公司发布的安全公告信息, 确定自己的系统是否存在相关问题, 及时解决。 三、 实用方案推荐     在本文中讲了很多的安全方面的知识, 仿佛个人做好安全防护是一件很复杂的事情, 其实不然, 虽然说不上简 单, 但难度绝对不大, 下面就介绍几种实用的个人安全解决方案, 其中有些可能需要有些花费, 但也有免费的能够使用, 最终会达到一个目的, 那就是能够在很大程 度上确保你的系统安全, 虽然不能够解决全部安全问题, 但一定能解决绝大部分问题, 完全能够满足大多数人的安全需求。 1、 普通用户型 操作系统: Windows 98或Windows Me 应用软件: Office系列、 Outlook Express或Foxmail、 Game、 QQ等 主要用户: 办公、 浏览网站、 收发Email、 下载软件、 游戏、 聊天等 解决方案: ( 1) 加固操作系统 ( 2) 天网防火墙 ( 3) 金山毒霸 ( 4) PGP加密 2、 专业用户型 操作系统: Windows   Professional或Windows XP Professional 应用软件: Office系列、 Outlook Express或Foxmail、 Visual Studio、 Delphi等 主要用户: 办公、 开发调试、 浏览网站、 收发Email、 下载软件等 解决方案: ( 1) 加固操作系统 ( 2) BlackICE个人防火墙 ( 3) 诺顿NAV ( 4) PGP加密