網路及電腦安全應對措施
網路及電腦安全應對措施
前 言
上一篇介紹了與個人信息安全有關的各組成要素。在這一節中,我們將圍繞五個安全環節,分別介紹它們的安全防護策略與措施。
如上一篇中「網路與電腦安全防範模型圖」所示,信息從用戶到互聯網之間,要經過文件、應用軟體、操作系統、電腦、區域網絡、GFW 等不同環節的連接與傳遞。在不同的環節,有不同的安全特性,也有不同的防備要點,以下將分別介紹。
一、網路安全
(一)基礎情況
不同的網路環境有不同的安全特性,比如:
1、公有網路與GFW,是你連接互聯網時必須通過而又無法做任何干預的部分;
2、在家庭網路,可能不會有網路管理員的監聽,但網路運營商能夠監控你,並可以直接對你定位;
3、在私有網路,比如你所在的公司或單位的區域網。你的信息和操作可能會被網路管理員監聽,但如果你沒有註冊及登錄操作,外部網路無法區分你與你同事的身份;
4、在開放網路,比如網吧或酒店,雖然可能被網路管理員監聽,但如果同時有多人使用公共電腦上網,並且你沒有提供身份證明的話,網路管理員並不知道你是誰,外部運營商更不可能知道;
針對以上不同情況,應根據你所做的事情,來調整相應的對策。基本的原則是在安全性高的環境做重要的操作,在安全性低的環境做不重要的操作。
(二)操作技能
1、 Wifi ,如果使用開放網路中的 Wifi 信號,要確定 Wifi 信號來自正式渠道 ( 比如是商家提供的 ) ,而不是來源不明的;
2、 VPN ,除了具有翻牆功能外,還可以在訪問國內網站時隱匿你的 IP 地址;
3、 https ,使用 Https 可以保護你瀏覽網頁的內容不被獲悉,應盡量保持在任何環境下都使用 Https連接網路;
● https使用方法其實很簡單,就是在你訪問網址的前綴 http 後面加一個 s ,比如在訪問 http://www.v2ex.com/ 的時候,在 http 後面 加 s ,讓鏈接變成:https://www.v2ex.com/。在 http 後面 加 s ,是使瀏覽的內容得到了一種安全協議的保護。但有以下幾點需要注意:
○ 只有支持 https 的網站才能使用 https 加密協議;
○ Google 的很多服務,包括 Gmail ,出於安全的考慮,現在已經強制用戶使用https ;
● 使用谷歌瀏覽器搜索一些網站時, https:// 部分不會出現。比如:wikipedia.org,在這種情況下,可以手動在網址前面加入協議名稱,如:https://wikipedia.org/ 。
如果覺得這樣不夠方便的話,可以在谷歌瀏覽器地址欄輸入chrome://netinternals/#hsts ,在 Add domain 選項的 Domain 右側輸入 wikipedia.org ,點選Include subdomains for STS 或 Include subdomains for PKP ,然後點 Add 。就可以把wikipedia.org 定義為自動使用 https 訪問。
4、 一些公共場所的電腦,比如網吧,可能都安裝了截屏軟體。在這種情況下,即使使用https 或 VPN 也無法保證安全,因為你眼睛能夠看到的,截屏軟體也同樣會捕捉到。
二、硬體安全
(一)徹底刪除硬碟及移動存儲設備中的文件
防止你的移動存儲設備,比如U盤、移動硬碟、存儲卡等成為泄密渠道,重要文件使用后應該立即徹底刪除。
徹底刪除文件的方法分為兩種:一種是全盤刪除,也就是格式化;一種是只把重要文件刪除。格式化分為兩種:一種是高級格式化,一種是低級格式化。一般認為低級格式化比高級格式化刪除文件更徹底,但實際上這兩種方法都不能把文件徹底刪除。也就是說,用這兩種方法格式化磁碟后,其中的數據還有被恢復的可能。
要真正徹底刪除全盤文件,需要把文件刪除后,或者是格式化后,在用較大的文件重複複製多次,才能達到徹底刪除的效果。這個過程手工操作有點繁瑣,可以藉助其它軟體完成。
CCleaner 正是這樣一款軟體工具,它可以對一個磁碟的全盤或者刪除文件后的部分空間做多次擦寫操作,達到徹底刪除的目的。下載地址: http://www.piriform.com/ccleaner/download 使用方法是,啟動 CCleaner 后,選左側的 「工具」 ,再選 「驅動器擦除器」,然後在右側「驅動器」位置選擇你要擦除的磁碟盤符,在最上面選「擦除」整個驅動器,還是僅擦除剩餘的空間,然後在「安全」位置選覆蓋的次數,有1、3、7、35遍的選擇,數字越大擦除次數越多越安全,也越需要時間。
CCleaner 針對的是整個磁碟或磁碟的剩餘空間,還有另外一款軟體 Eraser 用於徹底刪除選定的文件或文件夾。下載地址: http://sourceforge.net/projects/eraser/ ... e/download 安裝后,會在滑鼠右鍵自動增加一個選項。如果要刪除一個文件,將滑鼠移動到要刪除的文件上面,點右鍵,選 Eraser ,這個文件就會被徹底刪除。
也可以進入 Eraser 界面,選擇一個文件、一個目錄,或一個磁碟,做徹底刪除。
(二)防範硬體丟失、被劫、被盜
1、出行的時候也可以使用筆記本防盜鎖;
2、其它各種防止電腦被盜的方法。
(三)防範設備維修中的泄密
電腦送去檢修,應防範硬碟中的信息泄密。拆除硬碟雖然安全,但也會給電腦維修帶來不便。可行的辦法是:
● 本人隨電腦去維修處,先不拆除硬碟進行檢測,看是什麼故障。如果確認是硬碟故障,一般需要到專門的地方去維修或返廠維修。此時需要衡量,是否應該送去維修;或者找可信任的人或公司做硬碟維修;
● 如果確認不是硬碟故障,可以和維修處協商,告訴他們你的硬碟中有重要數據,不能放在維修處,請他們先把硬碟拆除下來。等其它故障維修好,下次來取電腦時,再把硬碟帶來安裝上。
● 你也可以自己動手先拆除硬碟再送去維修。如果是台式機,要打開機箱蓋,找到硬碟,拔出硬碟上的兩條線(一條電源線,一條數據線),用螺絲刀擰下硬碟上的螺絲,然後取出硬碟保存起來。等電腦修好后,再把硬碟安裝回去。如果是筆記本,一般在底部會有一個活動的卡式開關,把開關撥到開啟狀態,就可以取出硬碟了。
(四)防範淘汰設備轉讓或出售後的泄密
淘汰不用的電腦在轉讓或出售前,用前面介紹的方法做徹底的數據刪除;或把硬碟拆下,用鎚子徹底砸爛再扔掉。
(五)防範竊密硬體
在使用電腦前,要注意檢查是否有異常硬體設備,特別要提防USB鍵盤記錄器。如果你使用公共電腦(比如網吧),它可能藏在主機箱後面,也可能直接連接在主機箱裏面的主板上。即使在你自己熟悉的環境,也要提防有人偷偷插上USB鍵盤記錄器獲取你的信息。但目前USB記錄器還不能自動把信息傳輸出去。也就是說,放置USB鍵盤記錄器的人要把它取走,才能讀取上面記錄下來的數據。
三、操作系統安全
操作系統安全主要指電腦的操作系統未升級,或被惡意軟體破壞而造成的信息丟失或泄密。
(一)操作系統的選擇
操作系統有多種,根據安全的特性,優先使用順序如下:
1. 開源免費操作系統,比如 Ubunut http://www.ubuntu.org.cn/ 。它是一款對桌面程序支持豐富的 Linux 系統,操作容易,安全可靠;
2. 付費系統,比如 Windows 或 MacOS 。使用付費軟體不僅可以保證系統原本的安全性,還可以獲得一定的服務支持,但及時升級補丁預防系統本身的漏洞仍然是必要的;
3. 盜版 Windows系統,許多安全隱患往往來自盜版的 Windows系統。現在中國大陸大量電腦使用的是經過處理后的盜版 Windows系統,本著面向事實的態度,我們也將盜版操作系統的安全問題列入教程。
注意:無論任何操作系統,應該儘可能使用高版本。因為高版本的系統一般漏洞更少,對病毒或攻擊的防禦更好。
(二)操作系統常規技術管理
1、 保持操作系統升級;
2、設置登機口令和屏幕保護口令;密碼長度應達到8位數以上;
更多密碼安全問題,在《密碼安全》一章會有專門介紹。
3、禁用來賓賬戶
Guest 是 Windows 系統默認的來賓賬戶,用於臨時訪問的用戶,這會給一些用戶窺探系統狀態提供機會,一般應禁用 Guest 。方法: 在win7 中,打開 「控制面板」 ,打開 「用戶賬戶」 ,如果能看見 「Guest來賓賬戶 」 就單擊它,然後點「關閉來賓賬戶」 。 如果在 「用戶賬戶」 看不見 「Guest 來賓賬戶」 的話,說明它已經關閉了。
4、 可選用的系統防護軟體
(1)殺毒軟體
● avast,下載地址:
http://download.cnet.com/Avast-Free-Ant ... 19223.html
● AVG ,free.avg.com 下載地址:
http://download.cnet.com/AVG-AntiVirus-Free-2014/ 3001-2239_4-10320142.html
(2)卸載管理軟體
● Uninstall Tool 是一款專門的卸載管理工具,完整的使用 Uninstall 的卸載功能,需要在安裝軟體前就啟動它,並通過 Uninstall 安裝程序, Uninstall 會監控整個安裝過程,記錄安裝程序對系統的所有改動,並在卸載的時候,保證徹底卸載。如果你經常安裝新程序,那麼需要這樣一款軟體保駕護航。
(三)意外情況管理
如果發現電腦有未經授權的訪問,應做如下處理:
1、檢查文件是否有被非法打開、複製、刪除的操作;
2、 檢查是否有新安裝的程序,以及是否植入了隱藏的程序;
3、 查殺病毒木馬;
4、 極端情況下,應該重新安裝操作系統。
四、應用軟體安全
應用軟體直接依附於操作系統,是電腦實現各種功能的提供者。包括:瀏覽器、 MS Office、圖形處理軟體、一些工具軟體如壓縮軟體、視頻播放器等,應用軟體的安全會直接影響到操作系統的安全。
(一)需要知道的知識
1、 優先考慮使用國外知名的應用軟體,只有在沒有替代品的情況下才使用國產軟體;
2、優先使用開源軟體;
3、從官方網站下載安裝程序;
4、避免使用有惡意傳統的軟體,比如:360系列、騰訊軟體、Skype 中文版、各類國產瀏
覽器等。
更多國產軟體的使用,在《國產軟體安全》一章會有專門介紹。
推薦使用谷歌瀏覽器(Goolge Chrome),下面簡要介紹谷歌瀏覽器的幾個安全問題。
(二)谷歌瀏覽器
1、使用谷歌瀏覽器時,當瀏覽內容不希望在瀏覽器中留下痕迹時,打開「隱身窗口「, 方法:點擊右上角瀏覽器管理圖標(三橫杆),選「打開新的隱身窗口」,在這個窗口瀏覽網頁不會在電腦上留下隱私信息;
2、 移除不可信任的 CNNIC 證書。方法:
1)在windows 系統的 「開始」 下面的「搜索程序和文件」 框輸入: certmgr.msc ,跳出一個程序界面,點上面的certmgr.msc;
2)點其中「受信任的根證書頒發機構」 ,再點下面的「證書」,然後在右邊找到 CNNIC 相關的證書;找都后,將滑鼠放在上面點右鍵 「屬性」,在第一個選項卡中的 「證書目的」下面選為 「禁用此證書的所有目的」 ;然後點「確定」。然後用谷歌瀏覽器訪問該地址:
3) https://cnnic.net/ ,如果顯示「伺服器證書無效」,表示CNNIC證書已被移除。
使用最新版本的瀏覽器。訪問瀏覽器版本檢查網站:
http://www.whatbrowser.org/intl/zh-CN/ ,這個網站會顯示你正使用的瀏覽器版本號,如果你使用的瀏覽器不是最新版本,會有一個 「更新您的瀏覽器」 鏈接,點擊可以進入下載頁面, 並升級你的瀏覽器。
五、賬戶、文件、信息流
及用戶行為的信息安全
以上幾節主要介紹賬戶、文件、信息流,及用戶行為信息在各個環節中流通時的安全,這四者本身也有一些相關的安全問題,以下分別介紹。
(一)保護電腦賬戶及網站賬戶的安全
設置安全級別高的密碼,啟用兩步驗證,做好密碼管理;關於密碼安全問題,在《密碼安全》一章會有專門介紹。
(二)保護存儲在電腦中的各種主要文件
1、 個人文件分級管理。比如分為:不重要,非關鍵,重要,關鍵;
2、重要文件刪除后,清空一下垃圾箱,並徹底刪除文件,方法見二、(二);
3、 定期備份重要文件;
4、用加密工具AES Crypt,加密本地存儲的重要文件。
i.官方網站:http://www.aescrypt.com/
ii. 下載地址:http://www.aescrypt.com/download/
iii. 下載安裝后:
1)用滑鼠單擊一個需要加密的文件,點滑鼠右鍵,點 「AES Encrypt「;
2) 輸入一個密碼,並重複輸入;
3) 一個加密的文件就建好了;
4)如果要打開這個文件,雙擊加密文件,輸入密碼。
注意:如果在一個目錄中加密了一個文件,那麼,在同一個文件夾中,必須刪除(或者複製到其它文件夾)原來的文件。在這種情況下,這個加密的文件才能解密。
(三)用 谷歌環聊代替其它聊天工具
(四)避免在網路上公開個人生活信息;避免填寫不信任的表單
(五)不在陌生電腦上做重要操作;
(六)在公共場所進行重要操作時,防備有人或攝像頭能窺視到你的屏幕。
參考鏈接:
● http://www.williamlong.info/archives/3635.html
● http://news.sina.com.cn/c/2013-10-24/061928516914.shtml
● http://www.maiooo.com/goods.php?id=135
信息流竊聽:
● Microsoft handed the NSA access to encrypted messages http://www.theguardian.com/
world/2013/jul/11/microsoft-nsa-collaboration-user-data
● 美國安局曾向國際通用加密技術植入後門 http://www.cnbeta.com/articles/253741.htm
運營商:
● 你們以為運營商只是HTTP插點廣告而已么 http://zone.wooyun.org/content/2507
WIFI 安全:
● WIFI 安全:http://news.xmnn.cn/a/xmxw/201310/t20131002_3524258.htm
電腦防盜鎖
● http://www.pcpop.com/doc/0/683/683116_all.shtml
● http://www.kensington.com/kensington/zh/cn/p/1479/
K64670/%E8%82%AF%E8%BE%9B%E9%80%9A(kensington)%E9%BB%84%E8%89%B2%E
7%BA%A7%E4%BE%BF%E6%90%BA%E5%BC%8F%E5%AF%86%E7%A0%81%E7%94%B
5%E8%84%91%E9%94%81%EF%BC%88%E9%BB%91%E8%89%B2%EF%BC%89.aspx
加密軟體:
防火牆:
● 一些工具:http://www.nirsoft.net/
● 合理使用 hosts 文件
○ 編輯 hosts ,比如用 https://smarthosts.googlecode.com/svn/trunk/hosts 替換你系統的 hosts (Windows 中,在C:\Windows\System32\drivers\etc\hosts )可以翻牆,但也有一定的風險,因為hosts 文件或文件中的 ip 地址往往是通過網路獲得,如果這裏面包含了錯誤的 ip 地址,也有可能把你引導到惡意的網站。因此,如果如果做重要的操作,也應該避免使用這種翻牆方法,除非你能確認裏面的配置一定是準確的。
○ 安裝 CurrPorts (這個軟體其實挺 」偏僻」 的,也在猶豫要不要介紹給用戶)
a. TCP/IP 和 UDP 類似電腦與外界網路連接的一個個小窗口,檢測他們的狀態,可以了解電腦目前運行的狀態,CurrPorts是一款檢查你電腦使用 TCP/IP 和 UDP 及他們運行埠情況的工具。
b. 官網:http://www.nirsoft.net/utils/cports.html
c. 2.10 版下載:http://download.pchome.net/internet/tools/down-19312-11.html
d. 中文包:http://download.pchome.net/internet/tools/down-19316-11.html
e. 基本使用方法:啟動 CurrPorts 后就會顯示電腦中運行軟體及系統的狀況。
● 避免瀏覽一些不可信的網站
比如國內一些廣告橫飛,絲毫也不尊重用戶使用體驗的網站,盡量少在這些網站停留,並最好不要點擊其間的鏈接。
推薦:
谷歌瀏覽器有一款插件,可以查看什麼網站是可信任的,並且可以自己為可信任或不可信任的網站打分,一個網站獲得的好評越多越安全:https://chrome.google.com/webstore/detail/
wot/bhmmomiinigofkjcapegjjndpbikblnp
使用方法:
當安裝了插件,打開一個網站后,點擊瀏覽器地址欄右側的 WOT 綠色圓圈按鈕,會彈出一個評分窗口,先點評級,有信任度和兒童適合閱讀度,然後需要在下面選擇一個評價理由,還可以寫要超過30個字元的評論,再然後,就可以點保存了。
轉自:中國權利在行動





