個人PC安全解決方案

1、、主要威脅來源(Baleful Source)1、物理接觸(Physical Touch)通過物理地接觸進行非授權訪問和破壞，是一種很簡單有效的攻擊方式，幸運的是能物理 接觸你的計算機的人大多是可信的。但是，俗話說：“害人之心不可有，防人之心不可無”， 為了你的計算機及數(shù)據的安全，還是要了解一下物理攻擊的途徑，主要方式如下：軟盤啟動(Floppy Booting)：通過使用軟盤啟動你的計算機可以輕松地非法訪問你的 數(shù)據，根據專家研究表明，此方法目前對所有的Windows和Unix都十分有效。硬盤失竊(Hard Disk Stolen)：計算機放置的環(huán)境不安全的話，很可能會發(fā)生直接把你 的硬盤甚

2、至電腦偷走的情況。密碼偷看(Password Record)：在鍵盤上輸入密碼的時候很容易被不懷好意的人看到并 記下，不管你信與否，的確有人能在幾米外記下你快速敲過的字符，甚至包括字母的大小寫 和特殊字符。2、病毒感染(Virus Infection)在幾年前，大家對病毒的概念還主要是引導型和文件型病毒，但網絡發(fā)展是如此之快，稍 加注意就會發(fā)現(xiàn)近年來危害更大的是在網絡上漫游的蠕蟲類程序，它們在整個網絡中漫游 著，轉播速度非常迅速，不僅造成了無休止的網絡阻塞，而且傷及了眾多的無辜者，對編制 此類 程序者的詛咒的同時，還是來了解一下它們的入侵方式吧，主要的途徑見下：軟盤(Floppy Disk)：

3、毫無防護的使用軟盤有可能會給你帶來引導區(qū)或可執(zhí)行文件類的 電腦病毒。盡管引導區(qū)病毒已經幾乎沒有了生存的環(huán)境，但假如你不小心使用早年前已被 感染引導區(qū)病毒的軟盤的話，盡管它不能成功地隱蔽駐留在你的計算機上，但有可能它的嘗 試感染會破壞你的硬盤分區(qū)，導致數(shù)據盡失，欲苦無淚。光盤(CDROM)：輕率地使用光盤與軟盤一樣有害，甚至超過軟盤，因為光盤是只讀 的，即便發(fā)現(xiàn)有病毒等有害程序也無法殺除，很容易誤使用，更令人堪憂的是，盜版光碟在 迅速傳播，而大多都已經被病毒感染。電子郵件(Email)：隨著Internet網絡的發(fā)展，電子郵件被頻繁的使用，給蠕蟲類病毒 提供了良好的生存空間，大量事實證明，僅僅收

4、到一封郵件，就算你不打開正文或附件，僅 僅選中郵件的標題頭，就有可能帶來滅頂之災。有害網頁(Malicious Homepage):瀏覽網站是絕大多數(shù)上網人員所要做的事情，遺憾 的是，過去一直被認為瀏覽網站是安全的概念接連不斷的被打破了，大量的攻擊事件表明， 僅僅通過使用瀏覽器觀看某些惡意網站的網頁，完全可能在你的機器上執(zhí)行二進制代碼，意 思就是說可以在你機器上運行任何程序，包括木馬和格式化硬盤的程序等。網絡共享(Network Share)：網絡當初的設計目的就是為了資源共享，所以大多數(shù)的操 作系統(tǒng)都可設置共享文件夾，以便和其它網絡用戶共享信息，不幸的是，病毒會感染共享文 件，然后繼而感染所

5、有使用此共享文件的系統(tǒng)。3、網絡攻擊(Network Attack)隨著網絡科技的發(fā)展，良莠不齊的東西都來了，尤其是網絡攻擊事件的頻繁發(fā)生，無不都 和黑客(Hacker)”有關聯(lián)，這個曾經代表具有頂尖系統(tǒng)網絡技術的美譽，而今幾乎墮落 到了良心的深淵，公眾對之敬而遠之，受害的企業(yè)仍心有余悸，而它那能在網絡縱橫的魅 力卻有吸引著一批批的腳本小子(Script Kids)，致力于要成就所謂真正的黑客，帶來的后果 卻是眾多企業(yè)單位的網站首頁無辜被涂鴉，網絡系統(tǒng)莫名奇妙的崩潰，個人隱私被在網絡 上披露，在他們體驗掌控網絡快感而歡呼的時候，卻不知道已經給企業(yè)和個人帶來了難以估 量的損失，并且已經觸犯了國家

6、法律。分析其網絡攻擊的手法將有助于做好安全防范，不 外乎主要有以下幾種方式：(1)拒絕服務(Denial of Service)：簡稱D.O.S，就是通過發(fā)送特殊畸形的數(shù)據包導致系統(tǒng) 崩潰死機或者是提交大量正常數(shù)據包進行洪水式(Flood)的淹沒攻擊，均可可導致系統(tǒng)喪 失提供正常服務的能力，即被稱為拒絕攻擊。目前網絡上有大量的此類程序存在，并且可輕 松下載，常見的有：WinNuker、Teardrop SYN Flooder等。黑客闖入(Hacker Inbreak):使用掃描程序發(fā)現(xiàn)系統(tǒng)開放的端口和漏洞，然后通過特 殊的程序或進行特定的操作就能夠控制整個系統(tǒng)，能做到這樣的人，一般被稱為黑客”

7、。 事實上，大量的黑客事件證明，目前默認安裝的大多數(shù)操作系統(tǒng)都幾乎無安全性可言，這就 意味著假如沒有施以安全措施的話，就等于是處于開放狀態(tài)。木馬程序(Trojan)：這個希臘神話里面的名詞，經過多個世紀后終于在現(xiàn)在的網絡中 復活了，你的系統(tǒng)一旦被安裝了木馬程序就意味著你的計算機可以被別人象你一樣自由的 使用，你的一舉一動都在他人的掌控之中，甚至可以強迫你去做你不愿意做的事情，而這個 人很可能是在地球的另一面。網絡嗅探器(Network Sniffer)：最初設計網絡的時候主要是為了教育和科研使用，所 以沒有考慮太多安全性，數(shù)據在網絡上的傳輸都是明文的，于是嗅探類程序就應運而生， 它們潛伏在網絡

8、中，悄悄地捕獲著網絡上所有的數(shù)據包，包括ftp、telnet等賬號密碼信息 及郵件內容等，如此，網絡已無安全性可言。二、安全解決方案(Security Solution)一個好的解決方案不僅要內容全面完整，而且要主次分明、重點突出，從而把技術、產品 和服務有機的組織起來，形成一個比較完善的結合體，才能真正發(fā)揮其作用。從安全的角 度來講，那么要從環(huán)境、自身、產品和意識等方面出發(fā)，進行綜合分析，逐個解決存在的問 題，把可能的危險排除在發(fā)生之前，那么也就達到了安全防護的目的。個人安全解決方案 框架圖見下：(from: wiwr. j anker, org)1、確保物理安全(Physical Secu

9、rity)物理安全是非常之重要，是一切安全的基礎，可以試想，你的住家若安置在洪水經常泛濫 的地方，就算你有再好的安全報警裝置，身體多么的健康強壯，也很難保你的人身安全不 受威脅。當然，若僅僅把家安置在不受自然災害的地方是遠遠不夠的，你還要有足夠的安全 措施，比如：防盜門窗、監(jiān)控電視等，你也不能忘記購買窗簾，以免泄漏自己的隱私，但 你不能忘記必要的時候要把窗簾拉上，否則也無濟于事。如此，你應該能很好地理解物理 安全的重要性了，對于個人計算機系統(tǒng)也是一樣的，重點需要注意的幾點如下：環(huán)境安全(Environment):無論如何你要首先確保你的計算機所在的環(huán)境是安全的， 要盡量避免或減輕來自諸如洪水、

10、雷電、地震等自然災害的安全威脅，當然，門窗也必須 有必要的防范措施，否則偷竊者可能會如入無人之境，盡管他可能對你的數(shù)據并不感興趣， 但很有可能你會連數(shù)據和計算機盡失，如此以來就幾乎無安全可言了。（2）設備安全（Device）：不要給別人創(chuàng)造能輕易接觸你的計算機的機會，刻意接觸并操作 你計算機的人大多是覬覦你的數(shù)據，不能以為不開機器就是安全的，否則你無法防備有人 會把硬盤拿走復制數(shù)據后再拿回來，而你卻一無所知，計算機的數(shù)據復制技術是如此的完美， 以致于可以做出完全一樣的拷貝卻不留下任何痕跡。若可能的話，最好能把你的機箱鎖住， 把不用的設備在系統(tǒng)中禁止掉，以防止別人從你的軟驅或USB等接口竊取數(shù)據

11、。（3）密碼安全（Password）:有安全觀念的人都會在自己的計算機上設置開機密碼，并且設 置進入CMOS的密碼，因為他知道寄希望于操作系統(tǒng)的密碼 來阻止非授權訪問是很困難的， 他知道他的密碼不能太簡單，否則很容易被人猜中，當然他不會把密碼寫在紙條上然后貼在 顯示器上，因為他清楚這樣的話就不用要密碼了。（4）啟動安全（Boot）：大多數(shù)的機器出廠的時候在CMOS里面默認系統(tǒng)優(yōu)先從軟盤啟動的， 本意是好讓用戶用軟盤啟動機器后用光盤等安裝操作系統(tǒng)或其他軟件，不幸的是大多數(shù)用 戶在安裝完軟件后忘記設置優(yōu)先從硬盤啟動了，如此，就給能物理接觸計算機的人大開方便 之門，只要用一張軟盤就能啟動你的機器，然

12、后自由地訪問你的數(shù)據，從而繞開了操作系 統(tǒng)的密碼驗證功能，所以，若不需要軟盤啟動的時候，一定要在CMOS里面設置系統(tǒng)優(yōu)先從 硬盤啟動。2、加固操作系統(tǒng)（Secure Operating System）至今為止還沒有發(fā)現(xiàn)任何操作系統(tǒng)是絕對安全的，并且隨著技術的發(fā)展，操作系統(tǒng)越來越 復雜，代碼量越來越大，參與開發(fā)的程序員越來越多，從而導致了操作系統(tǒng)自身的臭蟲（Bugs） 也越來越多，所以很多操作系統(tǒng)廠商在推出產品以后不斷地發(fā)布服務程序包（Service Pack） 或更新程序（Update）等，不管它們用什么名字來掩飾，總之就是一個目的，把以前發(fā)布的 操作系統(tǒng)的臭蟲堵住或不完善之處更正，當然同時也

13、會添加一些優(yōu)化代碼或其他功能。前 面提到過，目前默認安裝的大多數(shù)操作系統(tǒng)都幾乎無安全性可言，Windows和Unix等操作 系統(tǒng)出現(xiàn)的眾多安全漏洞都說明了這點，事實上即便安裝了這些補丁程序也不能夠徹底解 決問題，諸如開放沒有使用的功能和系統(tǒng)設置不當，都會留下安全隱患。所以，加固操作系 統(tǒng)勢在必行，主要從以下幾個方面做起：（1）安裝系統(tǒng)補T（Install patches）： 一般來說，大多數(shù)操作系統(tǒng)的廠商都會在它們的網站 上公布有關系統(tǒng)更新的信息，只要稍加注意就能夠找到，需要注意的是，下載補丁程序前 一定要仔細閱讀附帶的安裝說明書，以便做好數(shù)據備份等預防工作，因為不恰當?shù)陌惭b補丁 程序可能會導

14、致系統(tǒng)無法啟動或數(shù)據破壞等情況。（2）最小化系統(tǒng)（Minimize System）：在系統(tǒng)集成的時候，往往會采用系統(tǒng)的最大化安裝， 為的是方便調試連通，而事實上不少功能模塊是你說不需要的，安全之相反，遵循最小化 原則，也就是說能不裝的一定不裝，一定要裝的要盡量少裝，因為每多一項不必要的模塊， 無疑就多了一份不安全的因素，所以，對系統(tǒng)要嚴格檢查，去掉各種不必要的模塊，以提 高系統(tǒng)的安全性。（3）進行安全設置（Security Configure）：在計算機系統(tǒng)中有諸多的因素需要設置才有較好 的安全性，如：用戶權限的分配、共享目錄的開放與否、磁盤空間的限制、注冊表的安全 配置、瀏覽器的安全等級等等

15、，系統(tǒng)默認的配置適合大多數(shù)人使用，但其安全性往往是較差 的，所以要對系統(tǒng)中和安全有關的項目進行仔細的設置，以使得系統(tǒng)達到較高的安全性。3、使用個人防火墻（Personal Firewall）個人防火墻是抵御來自網絡攻擊最有效的手段之一，即便你的系統(tǒng)存在諸多你無法解決的 安全問題，防火墻的使用將把你受攻擊的可能性降到最低，它能夠在很大程度上保護你的 系統(tǒng)信息不向外泄漏，并且能夠監(jiān)控和你通信的網絡數(shù)據包，把有害的連接拒絕于門外。所 以，對于連接在網絡上的計算機而言，使用防火墻來保護自己的系統(tǒng)是非常必要的選擇， 至少它可以在以下幾個方面有效地幫你抵擋來自網絡的攻擊：抵御拒絕服務(Defend D.O

16、.S):諸如 WinNuker、Teardrop、IGMP Nuker 等各種通過發(fā) 送畸形數(shù)據包而達到拒絕服務目的的炸彈程序，個人防火墻均可以識別出來并處理報警。關閉不必要的端口：連接在網絡上的計算機是不安全的，一個很重要的因素就是因為 開放的端口太多，對于個人計算機而言，對外開放很多端口往往不是必需的，個人防火墻 的端口阻塞功能，可以替你關閉不必要的端口，有效地保護系統(tǒng)信息不向外泄漏，并且降低 了黑客利用開放的端口入侵的可能性，從而大大提高了系統(tǒng)的安全性。監(jiān)控不明程序進程：因為木馬類程序往往隱藏在正常的程序中，一不小心就會被釋放 出來，而木馬類程序往往是隱蔽的運行然后通過網絡和外界進行聯(lián)系

17、，沒有專業(yè)技能和手 段的話是很難發(fā)現(xiàn)的，而個人防火墻的監(jiān)控網絡連接進程功能，可以有效地阻擋含有木馬的 不明程序在你系統(tǒng)上的執(zhí)行，從而達到安全防護的目的。4、使用反病毒軟件個人版(Personal Anti-Virus)在具有安全觀念的人士之中，即便他的計算機并不和網絡連接，即便他是專業(yè)反病毒專家， 也很難見到他的計算機系統(tǒng)中會不安裝反病毒軟件，數(shù)量如此巨大的計算機病毒，達幾萬 種之多，傳播途徑如此之廣，有軟盤、光盤、Email等等，再加上病毒的加密變形等隱藏技 術，頭腦再復雜的你也很難勝任手工去識別計算機病毒的工作，而這一切反病毒軟件輕松幫 你解決，你所做的就是經常輕松點一個鼠標或設定一個計劃

18、任務來升級你的病毒碼特征庫 即可。具體來說，反病毒軟件可以為我們做以下一些事情：發(fā)現(xiàn)并殺死(Scan and Kill):反病毒軟件的掃描功能能夠為你確定不明軟盤、硬盤、 光盤等介質里面的文件是否含有病毒程序，值得注意的是由于光盤是只讀的，即便發(fā)現(xiàn)病 毒也無法殺死，可以通過先把有毒文件復制到硬盤，然后再進行查殺來處理，一般來說，若 系統(tǒng)中沒有病毒的話，僅僅復制有毒的文件是不會激活病毒的。監(jiān)控并殺死(Watch and Kill)：木馬程序、炸彈網頁、郵件蠕蟲等這些基于網絡的有害 程序幾乎把系統(tǒng)搞的一團糟，可喜的是，反病毒軟件現(xiàn)在都具備了實時檢測功能，能夠有效 地把這些有害程序拒之門外。識別并隔

19、離(Recognize and Insulate)：病毒和反病毒永遠是一對矛盾，目前大多反病 毒軟件的檢測原理都是基于特征碼的識別，也就是說反病毒程序總是要比病毒遲后一步， 那么是不是新的病毒就無法防范了呢？不是的，病毒的感染和傳播，盡管是千變萬化的，但 總是有規(guī)律可循的，正是通過對病毒規(guī)律性的研究，現(xiàn)在的反病毒軟件引擎能夠有效的識 別出新的品種或變種的病毒來，盡管無法殺除，但卻可把它和你的系統(tǒng)完全隔離開來，通 過對隔離區(qū)文件上報分析后升級你的反病毒軟件就能夠達到查殺該病毒的目的。5、使用加密軟件(Encrypt Software)在對系統(tǒng)施加了防火墻和反病毒等安全防護措施后，并不等于你就處于

20、安全的狀態(tài)了，比 如：你的數(shù)據仍然可能被人查看，因為它是明文的；你的Email內容也有可能會被截獲， 也因為它是明文的。在這些時候，加密類軟件就大顯神通了，它可以把你的數(shù)據變換成看似 雜亂無章的東西，當你需要的時候只需要輸入口令字就能恢復原狀，而此口令字只有你本人 才知道，如此即便別人拿到了你的數(shù)據，沒有口令字的話他只有失望了。這就是加密軟件 的神奇之處，它能為我們在以下幾個方面提供數(shù)據的安全保密：數(shù)據加密(Data Encrypt)：此功能可以對磁盤、目錄、文件、Email等進行加密處理， 只有擁有口令字或特定的解鎖文件才能恢復到原狀，否則你看到的將永遠是無法識別的亂碼。數(shù)字簽名(Digit

21、al Sign)：在這數(shù)字化的網絡時代，人們在驚嘆數(shù)據復制的精確度是如 此之高的同時，卻又陷入了經常被假冒的困惑，數(shù)字簽名的出現(xiàn)有效地解決了此問題，通過 對文件或Email等進行數(shù)字簽名后，接受人可以輕松地判斷出其真實性。6、提高安全意識(Security Consciousness)在前面所述中主要體現(xiàn)的是技術防護層次，事實上，網絡安全本身是一個比較大的概念， 涉及法律、道德、知識、管理、技術、策略等多個方面，是一個有機的結合體，而不是功 能的簡單疊加。就目前來看，整個社會對網絡安全的意識淡薄，這是很可怕的事情，從大量 的安全事件來看，缺乏安全意識是導致事件發(fā)生的重要因素之一，所以要向真正地起到安 全防護的效果，在做好技術防護的同時，還需要把安全意識的提高放到日程上來，具體來 說有以下一些方面需要多加注意和關注：（1）在需要密碼的地方要盡可能設置復雜些并且不同，而且還要定期更換。（2）一定要經常更新你的防火墻和反病毒等需要頻繁更新的安全防護類軟件。（3）不要輕易運行來歷不明的程序，實在必需也要先用反病毒軟件檢查后才用。（4）瀏覽網頁、下載文件和接收Email的時候要確保打開了反病毒軟件的實時監(jiān)控功能。（5）不要在公眾場所尤其是網吧的機器上使用你的個人信息。（6）任何未