防范操作系統安全風險的做法有:
使用強密碼:要提高安全性,最簡單的方法之一就是使用不會被蠻力攻擊輕易猜到的密碼。蠻力攻擊是指這樣一種攻擊:攻擊者使用自動系統來盡快猜中密碼,希望不用多久就能找出正確的密碼。密碼應當包含特殊字符和空格、使用大小寫字母,避免單純的數字以及能在字典中找到的單詞;破解這種密碼比破解你家人的姓名或者你的周年紀念日期組成的密碼要難的多。另外要記住:密碼長度每增加一個字符,可能出現的密碼字符組合就會成倍增加。一般來說,不到8個字符的任何密碼都被認為太容易被破解。10個、12個甚至16個字符作為密碼來得比較安全。但也不要把密碼設得過長,以免記不住,或者輸入起來太麻煩。
做好邊界防御:不是所有的安全問題都發生在桌面系統上。使用外部防火墻/路由器來幫助保護你的計算機是個好想法,哪怕你只有一臺計算機。如果考慮低端產品,可以購買一個零售路由器設備,比如linksys、d-link和netgear等廠商的路由器,可以從當地的電子產品商店買到。如果考慮比較高端的產品,可以向思科、vyatta和foundry networks等企業級廠商購買管理型交換機、路由器和防火墻。
更新軟件:盡管在很多情況下,把補丁部署到生產系統之前先進行測試之類的問題可能極其重要,但安全補丁最終還是必須部署到系統上。如果長時間沒有更新安全補丁,可能會導致你使用的計算機很容易成為肆無忌憚的攻擊者的下手目標。別讓安裝在計算機上的軟件遲遲沒有打上最新的安全補丁。同樣的情況適用于任何基于特征碼的惡意軟件保護軟件,比如反病毒軟件(如果你的系統需要它們):只有它們處于最新版本狀態,添加了最新的惡意軟件特征碼,才能發揮最佳的保護效果。
關閉沒有使用的服務:計算機用戶常常甚至不知道自己的系統上運行著哪些可以通過網絡訪問的服務。telnet和ftp是兩種經常會帶來問題的服務:如果你的計算機不需要這兩種服務,就應當關閉。確保你了解在計算機上運行的每一種服務,并且知道它為什么要運行。在某些情況下,這可能需要弄清楚該服務對你特定需要的重要性,以便不會犯在微軟windows計算機上關閉遠程過程調用(rpc)服務這樣的錯誤,而且不會禁用登錄,不過關閉實際上沒有使用的服務始終是個好想法。
使用數據加密:對關注安全的計算機用戶或者系統管理員來說,有不同級別的數據加密方法可供使用;選擇合理的加密級別以滿足自己的需要,這必須根本實際情況來決定。數據加密方法有很多,從使用密碼工具對文件逐個加密,到文件系統加密,直到整個磁盤的加密。
通過備份保護數據:對數據進行備份是你用來保護自己、避免災難的最重要的方法之一。確保數據冗余的策略有很多,既有像定期把數據拷貝到光盤上這樣簡單、基本的策略,也有像定期自動備份到服務器上這樣復雜的策略。如果系統必須維持不斷運行、服務又不得中斷,冗余廉價磁盤陣列(raid)可以提供故障自動切換的冗余機制,以免磁盤出現故障。
加密敏感通信:用于保護通信、避免被人竊聽的密碼系統極其普遍。針對電子郵件的支持openpgp協議的軟件,針對即時通信(im)客戶軟件的off the record插件,針對使用像ssh和ssl這些安全協議的持續通信的加密隧道軟件,以及許多其他工具,都用來確保數據在傳輸過程中沒有受到破壞。當然,在個人對個人的通信中,有時很難說服另一方使用加密軟件來保護通信,但有時候這種保護至關重要。
不要信任外來網絡:對于像本地咖啡店里面的無線網絡這樣的開放無線網絡,這一點顯得尤其重要。就因為你在安全方面非常謹慎,所以無法在咖啡店或者另外某個不可信任的外來網絡上使用無線網絡,這是沒有道理的。但關鍵是你必須通過自己的系統來確保安全;不要相信外來網絡很安全、遠離不懷好意的攻擊者。比如說在開放的無線網絡上,使用加密措施來保護敏感通信極其重要,包括連接到這樣的網站:使用登錄會話cookie來自動驗證身份,或者輸入用戶名和密碼。
使用不間斷電源(ups):ups的作用不僅僅是停電時可以避免丟失文件。使用ups還有更重要的原因,比如功率調節、避免文件系統受到損壞。由于這個原因,就要確保購買的ups能夠與操作系統協同運行,以便通知操作系統什么時候ups需要關閉,免得電源用盡時你不在家;還要確保購買的ups可提供電池供電和功率調節功能。浪涌保護器根本不足以保護你的系統免遭“臟”電源的破壞。記住:ups對保護你的硬件和數據而言都很關鍵。
監控系統、查找安全威脅和漏洞:千萬不要想當然地認為:就因為已經采取了一系列安全防備措施,系統就肯定不會遭到攻擊者的破壞。你應該總是要建立某種日常監控機制,確保可疑事件會迅速引起你的注意;可以針對可能的安全漏洞或者安全威脅采取相應措施。我們不但需要把這種注意力放在網絡監控上,還要放在完整性審查以及/或者其他的本地系統安全監控技術上。
回答所涉及的環境:聯想天逸510S、Windows 10。
防范操作系統安全風險的做法有:
使用強密碼:要提高安全性,最簡單的方法之一就是使用不會被蠻力攻擊輕易猜到的密碼。蠻力攻擊是指這樣一種攻擊:攻擊者使用自動系統來盡快猜中密碼,希望不用多久就能找出正確的密碼。密碼應當包含特殊字符和空格、使用大小寫字母,避免單純的數字以及能在字典中找到的單詞;破解這種密碼比破解你家人的姓名或者你的周年紀念日期組成的密碼要難的多。另外要記住:密碼長度每增加一個字符,可能出現的密碼字符組合就會成倍增加。一般來說,不到8個字符的任何密碼都被認為太容易被破解。10個、12個甚至16個字符作為密碼來得比較安全。但也不要把密碼設得過長,以免記不住,或者輸入起來太麻煩。
做好邊界防御:不是所有的安全問題都發生在桌面系統上。使用外部防火墻/路由器來幫助保護你的計算機是個好想法,哪怕你只有一臺計算機。如果考慮低端產品,可以購買一個零售路由器設備,比如linksys、d-link和netgear等廠商的路由器,可以從當地的電子產品商店買到。如果考慮比較高端的產品,可以向思科、vyatta和foundry networks等企業級廠商購買管理型交換機、路由器和防火墻。
更新軟件:盡管在很多情況下,把補丁部署到生產系統之前先進行測試之類的問題可能極其重要,但安全補丁最終還是必須部署到系統上。如果長時間沒有更新安全補丁,可能會導致你使用的計算機很容易成為肆無忌憚的攻擊者的下手目標。別讓安裝在計算機上的軟件遲遲沒有打上最新的安全補丁。同樣的情況適用于任何基于特征碼的惡意軟件保護軟件,比如反病毒軟件(如果你的系統需要它們):只有它們處于最新版本狀態,添加了最新的惡意軟件特征碼,才能發揮最佳的保護效果。
關閉沒有使用的服務:計算機用戶常常甚至不知道自己的系統上運行著哪些可以通過網絡訪問的服務。telnet和ftp是兩種經常會帶來問題的服務:如果你的計算機不需要這兩種服務,就應當關閉。確保你了解在計算機上運行的每一種服務,并且知道它為什么要運行。在某些情況下,這可能需要弄清楚該服務對你特定需要的重要性,以便不會犯在微軟windows計算機上關閉遠程過程調用(rpc)服務這樣的錯誤,而且不會禁用登錄,不過關閉實際上沒有使用的服務始終是個好想法。
使用數據加密:對關注安全的計算機用戶或者系統管理員來說,有不同級別的數據加密方法可供使用;選擇合理的加密級別以滿足自己的需要,這必須根本實際情況來決定。數據加密方法有很多,從使用密碼工具對文件逐個加密,到文件系統加密,直到整個磁盤的加密。
通過備份保護數據:對數據進行備份是你用來保護自己、避免災難的最重要的方法之一。確保數據冗余的策略有很多,既有像定期把數據拷貝到光盤上這樣簡單、基本的策略,也有像定期自動備份到服務器上這樣復雜的策略。如果系統必須維持不斷運行、服務又不得中斷,冗余廉價磁盤陣列(raid)可以提供故障自動切換的冗余機制,以免磁盤出現故障。
加密敏感通信:用于保護通信、避免被人竊聽的密碼系統極其普遍。針對電子郵件的支持openpgp協議的軟件,針對即時通信(im)客戶軟件的off the record插件,針對使用像ssh和ssl這些安全協議的持續通信的加密隧道軟件,以及許多其他工具,都用來確保數據在傳輸過程中沒有受到破壞。當然,在個人對個人的通信中,有時很難說服另一方使用加密軟件來保護通信,但有時候這種保護至關重要。
不要信任外來網絡:對于像本地咖啡店里面的無線網絡這樣的開放無線網絡,這一點顯得尤其重要。就因為你在安全方面非常謹慎,所以無法在咖啡店或者另外某個不可信任的外來網絡上使用無線網絡,這是沒有道理的。但關鍵是你必須通過自己的系統來確保安全;不要相信外來網絡很安全、遠離不懷好意的攻擊者。比如說在開放的無線網絡上,使用加密措施來保護敏感通信極其重要,包括連接到這樣的網站:使用登錄會話cookie來自動驗證身份,或者輸入用戶名和密碼。
使用不間斷電源(ups):ups的作用不僅僅是停電時可以避免丟失文件。使用ups還有更重要的原因,比如功率調節、避免文件系統受到損壞。由于這個原因,就要確保購買的ups能夠與操作系統協同運行,以便通知操作系統什么時候ups需要關閉,免得電源用盡時你不在家;還要確保購買的ups可提供電池供電和功率調節功能。浪涌保護器根本不足以保護你的系統免遭“臟”電源的破壞。記住:ups對保護你的硬件和數據而言都很關鍵。
監控系統、查找安全威脅和漏洞:千萬不要想當然地認為:就因為已經采取了一系列安全防備措施,系統就肯定不會遭到攻擊者的破壞。你應該總是要建立某種日常監控機制,確保可疑事件會迅速引起你的注意;可以針對可能的安全漏洞或者安全威脅采取相應措施。我們不但需要把這種注意力放在網絡監控上,還要放在完整性審查以及/或者其他的本地系統安全監控技術上。
回答所涉及的環境:聯想天逸510S、Windows 10。