提高安全性的最簡單方法之壹是使用不容易被暴力攻擊猜到的密碼。暴力攻擊是指攻擊者使用自動系統盡快猜出密碼,希望不久後找到正確密碼的攻擊。
密碼應包含特殊字符和空格,使用大小寫字母,避免使用簡單的數字和字典中可以找到的單詞;破解這個密碼比破解由妳的姓氏或紀念日組成的密碼要困難得多。另外,記住:密碼長度每增加壹個字符,可能的密碼字符組合就會成倍增加。壹般來說,任何少於8個字符的密碼都被認為太容易破解。10、12甚至16字符作為密碼更安全。但是密碼不要設置太長,以免記不住或者輸入起來太麻煩。
第二,做好邊防
並非所有的安全問題都發生在桌面系統上。使用外部防火墻/路由器來幫助保護您的計算機是壹個好主意,即使您只有壹臺計算機。如果考慮低端產品,可以購買零售的路由器設備,比如Linksys、D-Link、Netgear的路由器,可以從當地的電子產品商店購買。如果考慮高端產品,可以購買思科、Vyatta、Foundry Networks等企業廠商的管理交換機、路由器、防火墻。
妳也可以另辟蹊徑,從頭開始組裝自己的防火墻;或者使用預打包的防火墻/路由器安裝程序來設置自己的防火墻,如m0n0wall、IPCoP等,完全可以實現與各大企業廠商解決方案相同的功能。代理服務器、反病毒網關和垃圾郵件過濾網關也有助於提高邊界的安全性。請記住:壹般來說,交換機的安全功能要好於集線器;使用網絡地址轉換(NAT)協議的路由器比交換機好;防火墻是絕對必要的設備。
第三,更新軟件
雖然在許多情況下,在將補丁部署到生產系統之前對其進行測試是非常重要的,但是安全補丁最終必須部署到系統中。如果長時間不更新安全補丁,妳使用的電腦很容易成為不法攻擊者的目標。
不要讓電腦上安裝的軟件耽誤了最新的安全補丁。同樣適用於任何基於簽名的惡意軟件防護軟件,比如殺毒軟件(如果妳的系統需要的話):只有當它們處於最新版本狀態,並添加了最新的惡意軟件簽名,才能發揮最佳的防護效果。
第四,關閉不用的服務。
計算機用戶通常甚至不知道他們的系統上正在運行哪些可以通過網絡訪問的服務。Telnet和FTP是兩個經常引起問題的服務:如果妳的電腦不需要這兩個服務,就應該關機。確保妳知道妳的電腦上運行的每壹個服務,以及它為什麽運行。在某些情況下,可能有必要了解該服務對您的特定需求的重要性,以便不犯關閉Microsoft Windows計算機上的遠程過程調用(RPC)服務的錯誤,並且不禁用登錄,但是關閉實際上不使用的服務總是壹個好主意。
動詞 (verb的縮寫)使用數據加密
對於關心安全的計算機用戶或系統管理員來說,有不同級別的數據加密方法可用;選擇壹個合理的加密級別來滿足自己的需求,壹定要根據實際情況來決定。數據加密的方法有很多種,從用密碼工具逐個加密文件,到加密文件系統,再到加密整個磁盤。
上述加密方法通常不包括引導分區,因為那需要特殊的硬件來幫助解密;但是,如果非常有必要對引導分區進行加密以保證隱私,並且有必要投入這筆費用,那麽也可以獲得整個系統的這種加密。對於除了引導分區加密之外的任何應用,每個需要的加密級別都有很多解決方案,包括商業專有系統和開源系統,可以在各大桌面操作系統上實現全磁盤加密。
第六,通過備份保護數據
備份數據是保護自己和避免災難的最重要的方法之壹。有許多策略可以確保數據冗余,從簡單和基本的策略(如定期將數據復制到光盤)到復雜的策略(如定期自動備份到服務器)。如果系統必須連續運行且服務不能中斷,RAID可以提供自動故障轉移的冗余機制,以避免磁盤故障。
rsync、Bacula等免費備份工具,無論多復雜都可以組合自動備份方案。Subversion等版本控制系統可以提供靈活的數據管理功能,這樣不僅可以在另壹臺計算機上進行備份;而且,無需清理灰塵,多臺臺式機或筆記本電腦就可以擁有相同的最新數據。
第七,加密敏感通信
用於保護通信和避免被竊聽的密碼系統非常普遍。支持電子郵件OpenPGP協議的軟件、即時消息(IM)客戶端軟件的非記錄插件、使用SSH和SSL等安全協議進行連續通信的加密隧道軟件以及許多其他工具都用於確保數據在傳輸過程中不會被損壞。當然,在人與人的交流中,有時很難說服對方使用加密軟件來保護交流,但有時這種保護是非常重要的。
八、不要相信國外的網絡。
這對於開放的無線網絡尤其重要,例如當地咖啡店中的無線網絡。只是因為妳對安全非常謹慎,所以妳不能在咖啡店使用無線網絡或者其他壹些不可信的外國網絡,這沒有任何意義。但關鍵是妳必須通過自己的系統來保證安全;不要相信國外的網絡是安全的,遠離惡意攻擊者。例如,在開放的無線網絡中,使用加密措施來保護敏感通信極其重要,包括連接到使用登錄會話cookie來自動驗證身份或輸入用戶名和密碼的網站。
另壹方面,您應該確保沒有不必要的網絡服務在運行;因為如果有沒有打補丁的漏洞,就會使用這些服務。這適用於網絡文件系統軟件,如NFS或微軟CIFS,SSH服務器,活動目錄服務和許多其他可能的服務。對妳的系統進行裏裏外外的檢查,找出惡意攻擊者可能利用哪些機會試圖闖入妳的電腦,並確保這些進入點采取盡可能合理的措施進行嚴格保護。在某些方面,這只是兩種安全方法的延伸:關閉不必要的服務和加密敏感通信。只是在處理國外網絡時,對於允許系統上運行的服務和妳認為“敏感”的通信,妳必須格外小心。
實際上,在不可信的外網上保護自己,需要重新評估系統的安全狀態。