当你在网上浏览信息的时候,当你与好友在QQ、MSN上聊天的时候,当你收发电子邮件的时候,当你在自己电脑上编辑重要的文章的时候,你是否知道自己正处在一个危机四伏的环境中?任何人只要稍稍掌握一点黑客的知识,或者拥有一款在网络上随处可见的黑客软件,就可以窃取你电脑中的秘密,甚至删除你电脑中的文件。这并不是危言耸听。
关于个人电脑的信息安全,我们过去曾经在多篇文章中从多个不同的角度进行过介绍。不过,由于篇幅和版面方面的原因,我们一直没能对个人电脑所面临的所有安全问题进行全方位的综合介绍。近几个月以来,一方面由于新病毒和恶意程序的种类及数量不断增加,另一方面,也由于有不少读者来信或来电咨询大量有关安全方面的疑问。为此,我们特意制作了这一期的《危险的IT》。在接下来的这篇文章中,你将会看到从上网浏览到网上聊天,从办公软件到电子邮件,从系统登录到网络银行等几乎日常生活中你可能会遇到的所有安全隐患以及解决的方法。另外,鉴于我们过去一直对于软件方面的安全问题介绍得比较多而忽略了一些硬件方面的安全特性,因此在本文中,我们还将会为你介绍多款在硬件方面具有突出的安全性能的产品,例如可以锁定硬盘使其只能在本机上使用的笔记本电脑等。
网络中的陷阱
众所周知,网络上可能是最不安全的地方之一了,你的个人信息有可能在网上被泄漏,黑客可能通过网络入侵你的个人电脑,甚至浏览一个网页也有可能被种上木马。在面对危机四伏的网络时,我们应当如何保障自己的安全?
有很多安全措施可以有效地提高你在网络上的安全度,而且只需要举手之劳。
保持系统的及时升级
微软为购买其正版操作系统的用户提供免费的在线升级服务。不要小看这项服务,因为任何一个操作系统本身都会或多或少地存在着各种安全隐患和漏洞,而这些漏洞正是不少黑客软件和恶意程序最喜欢攻击的目标。微软在发现这些问题后,会及时发布相应的补丁程序,以修正这个错误。升级这些补丁非常简单,以Windows XP为例,你只要点击控制面板中的“自动更新”图标,然后在新打开的窗口里面选择系统推荐的“自动”项,则只要你上网,系统就会在你指定的时间自动下载并安装最新的补丁程序,完全不需要你的干预。
最少配备一个防火墙
从保护网络安全的角度出发,所有的电脑都应该最少配备一个防火墙。如果你不知道如何选择这方面的产品,那么建议你起码要安装Windows XP内建的防火墙,既不需要另外下载安装,又可以确保软件可与系统内的其他应用程序良好协作。
在控制面板双击“Windows防火墙”图标,可进入防火墙的设置界面,启动防火墙或对其做进一步的设置。Windows防火墙能够在一定程度上阻止未经授权的连接,避免感染网络蠕虫病毒。并且,在你运行的程序需要从互联网或局域网络接收信息时,Windows防火墙会询问你,让你选择是阻止连接,还是在防火墙配置上创建一个“例外”,允许该程序的连接要求。
无孔不入的间谍软件
专业的间谍软件清除工具中,SpyBot Search & Destroy(spybot.safer-networking.de/)曾以其丰富的功能与优秀的性能获得CHIP评测推荐,该软件的间谍软件检测和清除效果非常好,并提供预先对系统进行设置以屏蔽知名间谍软件的免疫功能。你可以从软件的网站上下载安装程序,安装后可以从“开始”菜单中的SpyBot Search & Destroy组中启动该程序。首次启动时软件将弹出一个有着许多国旗的对话框让你选择需要使用哪一种语言,选择五星红旗即可选择简体中文。启动SpyBot Search & Destroy后单击软件主界面左侧“SpyBot - S&D”中的“检查 & 清除”,再单击右侧窗口中的“检查问题”,软件将开始检查和清除间谍软件。单击主界面左侧的“SpyBot - S&D”中的“免疫”,软件将马上检查系统上免疫功能的使用状况,然后在右侧的“免疫”窗口弹出一个对话框告知检查的结果。
被忽视的微软安全工具
其实,微软已经为其用户提供了不少安全工具软件,但我们往往忽视了这一点。在这一类软件中,最著名而且使用最方便的,当然要数微软的基准安全分析器(Microsoft Baseline Security Analyzer,简称MBSA)了,该软件是微软专门为Windows 2000/XP/2003操作系统准备的安全分析工具,可检查系统内已知漏洞是否已经正确修正,是否有多余的服务程序在运行,用户以及管理员的权限和口令是否安全,注册表和共享资源的设置是否正确,系统内Internet Explorer 浏览器、Microsoft Office、互联网信息服务(Internet Information Services,简称IIS)、SQL等软件的设置是否正确,已知漏洞是否已经被修正等各方面的安全问题。而且,对于不能够通过测试的项目,分析工具会提示不能够通过的原因,并且给出修正的方法。
你可以从MBSA的下载页面上下载MBSA程序的安装包(www.microsoft.com/china/technet/security/tools/mbsahome.mspx)。安装后运行进入MSBA的主界面,单击右边窗口中的“Scan a computer”或“Scan more than one computer”选项,可以选择测试一台或者多台电脑,选择完毕后单击“Start scan”即开始测试。测试完毕后MBSA将显示一个以问题的严重性排序的清单,清楚地列出各测试项目在本系统内的状态。
除了MBSA外,微软还提供了许多其他安全工具供用户下载,你可以访问微软技术网络的安全工具下载页面(www.microsoft.com/china/technet/security/tools/default.mspx)来下载。
如果你想在系统上启用IIS来实现Web服务器或者FTP服务功能,可以下载IIS Lockdown工具,在解开的文件中运行其中的“IISLockd.exe”启动Lockdown工具,该工具是一个专用于设置IIS的软件,它将一些不是IIS必需的程序和脚本移走,并且修改IIS让其只支持基本服务功能,同时修正一些系统已知的漏洞。
千疮百孔的IE
目前,国内有许多用于提高IE对于恶性软件防护能力的软件,但这些软件中的有一些在使用时却又会引起新的问题,甚至同样会对浏览器做一些未经你同样的修改,所以,这里只推荐你使用SpywareBlaster (www.javacoolsoftware.com/sbdownload.html),该软件可以防止恶意程序的下载和自动安装,并能清除目前已经安装的有害ActiveX控件。而且,该软件的使用非常简单,你只需要下载安装该软件,然后启动软件单击“Updates”更新软件的恶意程序数据库,再单击“ Protection”即可选择应用在各种浏览器上的保护功能。
多种安全手段
并不安全的ADSL
如果你使用ADSL接入互联网,那么你必须特别小心注意,因为这一方式有可能存在着一定的安全隐患。一般来讲,ADSL接入方式的调制解调器都是通过Web设置页面进行管理的,而且管理账户的密码都是默认的。但由于大多数情况下ADSL的管理账户只允许本地局域网用户登录,因此并不会导致安全问题。但遗憾的是,有部分国内正在使用的ADSL调制解调器,竟然是默认支持允许通过互联网远程登录Web设置界面的,使用户的ADSL调制解调器等于向所有人开放。
如果你不清楚你的ADSL是通过什么方式管理的,那你有必要马上仔细阅读你的ADSL调制解调器说明书。如果ADSL调制解调器允许通过互联网管理,那么你应该即刻将其设置为只支持本地局域网用户登录,并马上更改管理账户的密码。
数字证书
数字堡垒后的网络银行
越来越多的人开始使用网上银行业务,但对于这种新的业务,很多人心里都抱有一定的怀疑:网上银行真的保险吗?
必须使用加密传输协议
你必须清楚地知道,如果不使用加密的安全传输协议,那么所有通过互联网传输的信息都是非常容易被窃听和篡改的。因而,在使用网络银行之时,必须使用加密传输协议。那么如何知道当前是否正在使用安全传输协议呢?以目前最常用的SSL(Secure Socket Layer,安全套接层)协议为例,通过浏览器地址栏上的协议标识https://,你能够辨认出浏览器正在使用SSL协议连接。另外,首次连接某个使用SLL协议的网上银行时,浏览器将弹出对话框要求你安装一个SSL协议证书,在安装SSL证书后在浏览器的右下方你会看到一把闭合的黄色小锁,表示浏览器将使用SSL加密传输的资料,避免敏感的资料在传输的过程中被窃听或篡改。
必须使用数字证书
数字证书是保障网上银行交易安全必不可少的手段之一,数字证书具有电子签名及信息加密两大功能,能在互连网上起到身份确认,保障信息的安全和完整及信息的不可否认性等作用,其安全性是以往使用口令验证的网络服务所不能比拟的。
文件证书的使用技巧
使用文件型数字证书的技巧,关键在于如何保证数字证书的安全,避免你在银行申请下载的数字证书被其他人获得。以使用招商银行的数字证书为例,你需要到招商银行的营业网点填写一份《个人数字证书申请表》,并填写你准备使用该数字证书管理哪一个银行账户,然后就可以获得下载数字证书的授权码。回家后在你需要使用网络银行理财的电脑上打开招商银行网站,单击“登录个人银行专业版”,浏览器将弹出一个警告窗口,只需要单击“是”即可开始自动下载并安装理财软件。安装的过程中安装程序将要求你选择一个合适的位置保存软件信息,这些信息包括你的个人信息与数字证书等重要数据,也是我们重点要保护的对象。为了安全起见,我们最好不要把这些信息和网络银行的客户端软件保存在同一台计算机上,最好将其放到别的存储介质中,例如闪存盘中。
其实,保存数字证书的方法很多,除了闪存盘外,PDA、手机、MP3播放机等所有可以与电脑连接并存储文件的介质都可以用来保存我们的数字证书。为了进一步提高安全性,我们甚至还可以结合各种文件加密技术,将文件型数字证书加密,在使用前才解密。