|
|
|
 |
|
10條安全警示 系統健康不再靠運氣
|
|
來源:新浪 2007-11-15 15:58:07
|
|
雪影藍風 編譯 對于一般用途的操作系統平臺,安全性的問題都是人們關鍵的考慮。當你在應對一些未授權的訪問以及不幸的系統破壞時,你需要預先防范以下的十條注意事項: 1、使用強度大的密碼 要增強安全性的最簡單方法之一,就是使用一個不容易被攻擊者所破解的密碼。強制攻擊就是攻擊者利用自動的系統,盡可能在較短的時間內猜測你的密碼,希望能夠從中找到正確的密碼。將密碼中包含一些特殊字符以及空格,再使用大小寫混合的字母,避免出現字典中的詞,再加上數字,這比起你使用母親的名字或者是周年紀念日的日期來作為密碼要難以破解得多。另外要記住的是,在密碼長度有效的范圍內,盡可能地使用較長的密碼。一般來說,任何少于8個字符的密碼都被認為是相當容易破解的。10個、12個甚至是16個字符則要更好。當然,也不要設置了過長的密碼,讓自己都很難記住,而且在輸入的時候也不方便。 2、更新你的軟件 在部署你的產品系統前,關注一些例如補丁測試這樣的事也許在很多情況下都是非常關鍵的,最終,安全補丁則是必須及時更新到你的系統上的。如果太長時間沒有對你的計算機進行安全更新,那么你的計算機就很容易成為那些肆無忌憚的攻擊者的目標。 不要讓你的軟件更新周期長期地慢于你的安全更新時間表。對于那些基于簽名的惡意軟件防護工具,例如殺毒軟件,沒有什么比及時更新以識別當前最新的惡意軟件來得有效。 3、使用周邊的防護措施 并非所有的安全問題都發生在桌面上。最好能夠使用外部的防火墻/路由器來幫助保護你的計算機,即使你只有一臺電腦。至少,你可以購買一個零售的路由裝置,例如便宜的Linksy、D-Link或者是Netgear路由器,你也可以使用你自己的防火墻,或者是使用預包裝的防火墻/路由器,例如m0n0wall和IPCop。代理服務器、殺毒軟件網關以及垃圾郵件過濾器網管都能夠增強你的周邊安全體系。 請記住,交換機的安全性要比hub強,帶有NAT的路由器又要比交換機好,而防火墻則無疑是必須的。 4、關閉你不使用的服務 計算機用戶經常都不知道哪些可訪問的網絡服務運行在自己的系統中。Telnet和FTP就是屬于那種在你不需要的時候可以關閉的服務。請注意每個運行在你的計算機上的服務,并且知道每個服務需要運行都有它的理由。 在某些情況下,這需要清楚地了解這項服務對你特定需求的重要性,這樣你才不至于在微軟的Windows計算機上關閉了RPC服務導致無法登錄,但如果你實際上用不上的服務,將它們全部關閉才是最好的選擇。 5、采用數據加密 對于有安全意識的計算機用戶或者是系統管理員來說,有各種不同級別的數據加密服務可供他們選擇,并且能夠為他們需要加密的數據選擇不同級別的加密服務。 數據加密可以使用文件基礎的用密碼編寫的工具,通過文件系統加密,對整個磁盤進行加密。一般來說,這沒有包括到引導分區,因為這種加密方式要求特定硬件的解密幫助,但如果你的數據具有較高的隱私性,那么你就可以選擇全系統的加密。如果是想要加密引導分區,也有很多根據不同級別的加密需求的方案可選擇,在每種主流的桌面操作系統上,都包括整個磁盤機密的商業的系統和開源的系統。
6、用備份保護你的數據 保護你的數據不受損害的最重要方法之一就是將數據進行備份。針對數據冗余的策略也有從簡到繁的范圍,簡單基本的方法可以周期性地將數據拷貝到CD上,而較為復雜一些的方法則可以定期地將數據備份到服務器上。系統必須在服務不出問題的情況下維持固定的正常運行時間,RAID能夠在磁盤出現問題的時候自動進行失效備援。 免費的備份工具有像rsync和Bacula這樣的,能夠依照你的設定進行復雜性有別的備份方案。像Subversion這樣的版本控制系統能夠提供靈活的數據管理功能,這樣你不僅能夠將數據備份到其它的計算機上,還可以毫無困難地保持多臺計算機保持最新的相同數據。這種顛覆性的備份方法讓我的筆記本在2004年的一次災難性的損害中,重要的數據得以幸免于難。 7、加密敏感的通信 用來保護通信不受竊取的密碼化的系統已經相當普及。對電子郵件OpenPGP支持的軟件,清除IM客戶端記錄的插件以及使用像SSH和SSL這樣安全協議的持久通信的加密通道軟件支持等等,都能夠保證你的數據在傳輸的過程中不會遭到竊取。 在人對人的通信中,也許有時你很難說服參與者使用加密軟件來保護你們之間的通信,但有時,這種保護的確是相當重要的。 8、不要相信外部的網絡 這在開放的無線網絡中尤為重要,例如當你在一間咖啡店使用網絡時。如果你對安全問題謹慎而敏感,那么你沒有理由不能夠在咖啡店或者是其它不可信任的無線網絡,但是,關鍵在于你必須確保你系統的安全,不要輕信外部網絡,以保證不受到惡意的攻擊。例如,在開放的無線網絡中使用加密手段來保護一些敏感的通信是非常重要的,這包括你使用登錄會話cookie來自動驗證身份或者輸入用戶名和密碼連接到網站的時候。 你還要確保,那些非必要的網絡服務,都不應讓它們運行, 否則如果系統中存在未修復的漏洞,它們就很可能遭到攻擊。這對于NFS或者微軟的CIFS、SSH服務器、活動目錄服務以及任何其它可能的服務來說都是相當重要的。 從內部和外部檢查你的系統,看看是否存在可能讓攻擊者破壞你的系統的隱患,并且讓這些地方盡可能地鎖定以受保護。在某些程度上來說,這也是要關閉不需要的服務以及加密敏感通信的擴展方面,處理那些你必須格外小心使用運行在你系統中服務的外部網絡,以及你認為屬于“敏感的”通信。保證你自己不在外部的非受信的網絡中不受侵害要求對你的系統安全配置文件進行一次完全的大整修。 9、獲得不間斷的電源供應 你一定不希望在電源耗盡的時候丟失文件。當然還有其它重要的原因,例如功率調節器以及避免文件系統的崩潰。處于這些原因,請確保當你不在家或者是辦公室時,如果電腦必須關閉,你有辦法讓操作系統對你發出提示,并且確保你有一個UPS能夠提供給你如同備用電池一樣的電源條件。電流的浪涌保護完全無法保障你的系統不受損害,只有UPS才是保護你的硬件和數據不受損的關鍵。 10、監視對系統可能造成的安全威脅 千萬不要忽視這方面,因為你有一份為系統安全而準備的可查對清單是保證你的系統不受到安全侵害的必要保障。你必須設定一些監視的例行程序,來確保有可疑的事件發生時能夠很快察覺到,并讓你能夠馬上對可能對安全產生威脅的事件采取行動。這樣的注意事項不僅要放在對網絡的監視中,并且要在你的整個本地系統中應用這類的監視手段。 其它的安全防范措施則取決于你所使用的操作系統。一些操作系統由于設計上的安全配置文件不夠理想,可能會面臨更大的安全挑戰,而一些操作系統則比較強大,具有較強的系統管理員能夠為操作系統增強安全性。當你在為你的操作系統設防的時候一定要謹記這一切,無論你使用的是微軟的Windows、Apple的Mac OS X這樣的商用操作系統還是開源的操作系統,例如FreeBSD、NetBSD等Linux分發版本,甚至是對安全性高度關注的OpenBSD。 有一種情況,就是在你所選擇了需要使用的操作系統后,僅使用默認的安全防護就足夠有效,而不需要進一步增強系統安全,但這樣的情況是非常罕見的。無論你使用的是何種操作系統,都請遵照以上的十點,并考慮你使用的操作系統特定的需求,不要將你系統的健全寄托在運氣上。 |
