个人PC安全解决方案.docx

一、主要威胁来源（Baleful Source）1、物理接触（Physical Touch）    通过物理地接触进行非授权访问和破坏，是一种很简单有效的攻击方式，幸运的是能物理接触你的计算机的人大多是可信的但是，俗话说：“害人之心不可有，防人之心不可无”，为了你的计算机及数据的安全，还是要了解一下物理攻击的途径，主要方式如下：（1）软盘启动（Floppy Booting）：通过使用软盘启动你的计算机可以轻松地非法访问你的数据，根据专家研究表明，此方法目前对所有的Windows和Unix都十分有效2）硬盘失窃（Hard Disk Stolen）：计算机放置的环境不安全的话，很可能会发生直接把你的硬盘甚至电脑偷走的情况3）密码偷看（Password Record）：在键盘上输入密码的时候很容易被不怀好意的人看到并记下，不管你信与否，的确有人能在几米外记下你快速敲过的字符，甚至包括字母的大小写和特殊字符2、病毒感染（Virus Infection）    在几年前，大家对病毒的概念还主要是引导型和文件型病毒，但网络发展是如此之快，稍加注意就会发现近年 来危害更大的是在网络上漫游的蠕虫类程序，它们在整个网络中漫游着，转播速度非常迅速，不仅造成了无休止的网络阻塞，而且伤及了众多的无辜者，对编制此类 程序者的诅咒的同时，还是来了解一下它们的入侵方式吧，主要的途径见下：（1）软盘（Floppy Disk）：毫无防护的使用软盘有可能会给你带来引导区或可执行文件类的电脑病毒。

尽管引导区病毒已经几乎没有了生 存的环境，但假如你不小心使用早年前已被感染引导区病毒的软盘的话，尽管它不能成功地隐蔽驻留在你的计算机上，但有可能它的尝试感染会破坏你的硬盘分区， 导致数据尽失，欲苦无泪2）光盘（CDROM）：轻率地使用光盘与软盘一样有害，甚至超过软盘，因为光盘是只读的，即便发现有病毒等有害程序也无法杀除，很容易误使用，更令人堪忧的是，盗版光碟在迅速传播，而大多都已经被病毒感染3）电子邮件（Email）：随着Internet网络的发展，电子邮件被频繁的使用，给蠕虫类病毒提供了良好的生存空间，大量事实证明，仅仅收到一封邮件，就算你不打开正文或附件，仅仅选中邮件的标题头，就有可能带来灭顶之灾4）有害网页（Malicious Homepage）：浏览网站是绝大多数上网人员所要做的事情，遗憾的是，过去一直被认为浏览网站是安全 的概念接连不断的被打破了，大量的攻击事件表明，仅仅通过使用浏览器观看某些恶意网站的网页，完全可能在你的机器上执行二进制代码，意思就是说可以在你机 器上运行任何程序，包括木马和格式化硬盘的程序等5）网络共享（Network Share）：网络当初的设计目的就是为了资源共享，所以大多数的操作系统都可设置共享文件夹，以便和其它网络用户共享信息，不幸的是，病毒会感染共享文件，然后继而感染所有使用此共享文件的系统。

3、网络攻击（Network Attack）    随着网络科技的发展，良莠不齐的东西都来了，尤其是网络攻击事件的频繁发生，无不都和“黑客 （Hacker）”有关联，这个曾经代表具有顶尖系统网络技术的美誉，而今几乎堕落到了良心的深渊，公众对之敬而远之，受害的企业仍心有余悸，而它那能在 网络纵横的魅力却有吸引着一批批的脚本小子（Script Kids），致力于要成就所谓真正的黑客，带来的后果却是众多企业单位的网站首页无 辜被涂鸦，网络系统莫名奇妙的崩溃，个人隐私被在网络上披露，在他们体验掌控网络快感而欢呼的时候，却不知道已经给企业和个人带来了难以估量的损失，并且 已经触犯了国家法律分析其网络攻击的手法将有助于做好安全防范，不外乎主要有以下几种方式：（1）拒绝服务（Denial of Service）：简称D.O.S，就是通过发送特殊畸形的数据包导致系统崩溃死机或者是提交 大量正常数据包进行洪水式（Flood）的淹没攻击，均可可导致系统丧失提供正常服务的能力，即被称为拒绝攻击目前网络上有大量的此类程序存在，并且可 轻松下载，常见的有：WinNuker、Teardrop、SYN Flooder等。

2）黑客闯入（Hacker Inbreak）：使用扫描程序发现系统开放的端口和漏洞，然后通过特殊的程序或进行特定的操作就能够控制整个 系统，能做到这样的人，一般被称为“黑客”事实上，大量的黑客事件证明，目前默认安装的大多数操作系统都几乎无安全性可言，这就意味着假如没有施以安全 措施的话，就等于是处于开放状态3）木马程序（Trojan）：这个希腊神话里面的名词，经过多个世纪后终于在现在的网络中复活了，你的系统一旦被安装了木马程序就意味着你的计算机可 以被别人象你一样自由的使用，你的一举一动都在他人的掌控之中，甚至可以强迫你去做你不愿意做的事情，而这个人很可能是在地球的另一面4）网络嗅探器（Network Sniffer）：最初设计网络的时候主要是为了教育和科研使用，所以没有考虑太多安全性，数据在网络上的 传输都是明文的，于是嗅探类程序就应运而生，它们潜伏在网络中，悄悄地捕获着网络上所有的数据包，包括ftp、telnet等账号密码信息及邮件内容等， 如此，网络已无安全性可言二、安全解决方案（Security Solution）    一个好的解决方案不仅要内容全面完整，而且要主次分明、重点突出，从而把技术、产品和服务有机的组织起 来，形成一个比较完善的结合体，才能真正发挥其作用。

从安全的角度来讲，那么要从环境、自身、产品和意识等方面出发，进行综合分析，逐个解决存在的问题， 把可能的危险排除在发生之前，那么也就达到了安全防护的目的个人安全解决方案框架图见下：1、确保物理安全（Physical Security）    物理安全是非常之重要，是一切安全的基础，可以试想，你的住家若安置在洪水经常泛滥的地方，就算你有再 好的安全报警装置，身体多么的健康强壮，也很难保你的人身安全不受威胁当然，若仅仅把家安置在不受自然灾害的地方是远远不够的，你还要有足够的安全措 施，比如：防盗门窗、监控电视等，你也不能忘记购买窗帘，以免泄漏自己的隐私，但你不能忘记必要的时候要把窗帘拉上，否则也无济于事如此，你应该能很好 地理解物理安全的重要性了，对于个人计算机系统也是一样的，重点需要注意的几点如下：（1）环境安全（Environment）：无论如何你要首先确保你的计算机所在的环境是安全的，要尽量避免或减轻来自诸如洪水、雷电、地震等自然灾害的 安全威胁，当然，门窗也必须有必要的防范措施，否则偷窃者可能会如入无人之境，尽管他可能对你的数据并不感兴趣，但很有可能你会连数据和计算机尽失，如此 以来就几乎无安全可言了。

2) 设备安全（Device）：不要给别人创造能轻易接触你的计算机的机会，刻意接触并操作你计算机的人大多是觊觎你的数据，不能以为不开 机器就是安全的，否则你无法防备有人会把硬盘拿走复制数据后再拿回来，而你却一无所知，计算机的数据复制技术是如此的完美，以致于可以做出完全一样的拷贝 却不留下任何痕迹若可能的话，最好能把你的机箱锁住，把不用的设备在系统中禁止掉，以防止别人从你的软驱或USB等接口窃取数据3）密码安全（Password）：有安全观念的人都会在自己的计算机上设置开机密码，并且设置进入CMOS的密码，因为他知道寄希望于操作系统的密码 来阻止非授权访问是很困难的，他知道他的密码不能太简单，否则很容易被人猜中，当然他不会把密码写在纸条上然后贴在显示器上，因为他清楚这样的话就不用要 密码了4）启动安全（Boot）：大多数的机器出厂的时候在CMOS里面默认系统优先从软盘启动的，本意是好让用户用软盘启动机器后用光盘等安装操作系统或其 他软件，不幸的是大多数用户在安装完软件后忘记设置优先从硬盘启动了，如此，就给能物理接触计算机的人大开方便之门，只要用一张软盘就能启动你的机器，然 后自由地访问你的数据，从而绕开了操作系统的密码验证功能，所以，若不需要软盘启动的时候，一定要在CMOS里面设置系统优先从硬盘启动。

2、加固操作系统（Secure Operating System）    至今为止还没有发现任何操作系统是绝对安全的，并且随着技术的发展，操作系统越来越复杂，代码量越来越大，参与开发的程序员越来越多，从而导致了操作系统自身的臭虫（Bugs）也越来越多，所以很多操作系统厂商在推出产品以后不断地发布服务程序包（Service Pack） 或更新程序（Update）等，不管它们用什么名字来掩饰，总之就是一个目的，把以前发布的操作系统的臭虫堵住或不完善之处更正，当然同时也会添加一些优 化代码或其他功能前面提到过，目前默认安装的大多数操作系统都几乎无安全性可言，Windows和Unix等操作系统出现的众多安全漏洞都说明了这点， 事实上即便安装了这些补丁程序也不能够彻底解决问题，诸如开放没有使用的功能和系统设置不当，都会留下安全隐患所以，加固操作系统势在必行，主要从以下 几个方面做起：（1）安装系统补丁（Install patches）：一般来说，大多数操作系统的厂商都会在它们的网站上公布有关系统更新的信息，只要稍加 注意就能够找到，需要注意的是，下载补丁程序前一定要仔细阅读附带的安装说明书，以便做好数据备份等预防工作，因为不恰当的安装补丁程序可能会导致系统无 法启动或数据破坏等情况。

2）最小化系统（Minimize System）：在系统集成的时候，往往会采用系统的最大化安装，为的是方便调试连通，而事实上不少功能 模块是你说不需要的，安全之相反，遵循最小化原则，也就是说能不装的一定不装，一定要装的要尽量少装，因为每多一项不必要的模块，无疑就多了一份不安全的 因素，所以，对系统要严格检查，去掉各种不必要的模块，以提高系统的安全性3）进行安全设置（Security Configure）：在计算机系统中有诸多的因素需要设置才有较好的安全性，如：用户权限的分配、共 享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等等，系统默认的配置适合大多数人使用，但其安全性往往是较差的，所以要对系统中 和安全有关的项目进行仔细的设置，以使得系统达到较高的安全性3、使用个人防火墙（Personal Firewall）    个人防火墙是抵御来自网络攻击最有效的手段之一，即便你的系统存在诸多你无法解决的安全问题，防火墙的 使用将把你受攻击的可能性降到最低，它能够在很大程度上保护你的系统信息不向外泄漏，并且能够监控和你通信的网络数据包，把有害的连接拒绝于门外所以， 对于连接在网络上的计算机而言，使用防火墙来保护自己的系统是非常必要的选择，至少它可以在以下几个方面有效地帮你抵挡来自网络的攻击：（1）抵御拒绝服务（Defend D.O.S）：诸如WinNuker、Teardrop、IGMP Nuker等各种通过发送畸形数据包而达到拒绝服务目的的炸弹程序，个人防火墙均可以识别出来并处理报警。

2）关闭不必要的端口：连接在网络上的计算机是不安全的，一个很重要的因素就是因为开放的端口太多，对于个人计算机而言，对外开放很多端口往往不是必需 的，个人防火墙的端口阻塞功能，可以替你关闭不必要的端口，有效地保护系统信息不向外泄漏，并且降低了黑客利用开放的端口入侵的可能性，从而大大提高了系 统的安全性3）监控不明程序进程：因为木马类程序往往隐藏在正常的程序中，一不小心就会被释放出来，而木马类程序往往是隐蔽的运行然后通过网络和外界进行联系，没 有专业技能和手段的话是很难发现的，而个人防火墙的监控网络连接进程功能，可以有效地阻挡含有木马的不明程序在你系统上的执行，从而达到安全防护的目的4、使用反病毒软件个人版（Personal Anti-Virus）    在具有安全观念。