要提高安全性,最簡單的方法之壹就是使用不會被蠻力攻擊輕易猜到的密碼。蠻力攻擊是指這樣壹種攻擊:攻擊者使用自動系統來盡快猜中密碼,希望不用多久就能找出正確的密碼。
密碼應當包含特殊字符和空格、使用大小寫字母,避免單純的數字以及能在字典中找到的單詞;破解這種密碼比破解妳家人的姓名或者妳的周年紀念日期組成的密碼要難的多。另外要記住:密碼長度每增加壹個字符,可能出現的密碼字符組合就會成倍增加。壹般來說,不到8個字符的任何密碼都被認為太容易被破解。10個、12個甚至16個字符作為密碼來得比較安全。但也不要把密碼設得過長,以免記不住,或者輸入起來太麻煩。
二、做好邊界防禦
不是所有的安全問題都發生在桌面系統上。使用外部防火墻/路由器來幫助保護妳的計算機是個好想法,哪怕妳只有壹臺計算機。如果考慮低端產品,可以購買壹個零售路由器設備,比如Linksys、D-Link和Netgear等廠商的路由器,可以從當地的電子產品商店買到。如果考慮比較高端的產品,可以向思科、Vyatta和Foundry Networks等企業級廠商購買管理型交換機、路由器和防火墻。
妳也可以另辟蹊徑,“從頭開始”自行組裝防火墻;或者使用預先封裝的防火墻/路由器安裝程序來自行組建防火墻,比如m0n0wall和IPCoP,完全能做到功能與各大企業級廠商的解決方案不相上下。代理服務器、防病毒網關和垃圾郵件過濾網關也都有助於提高邊界的安全性。請記住:壹般來說,交換機的安全功能勝過集線器;使用網絡地址轉換(NAT)協議的路由器勝過交換機;防火墻絕對是必不可少的設備。
三、更新軟件
盡管在很多情況下,把補丁部署到生產系統之前先進行測試之類的問題可能極其重要,但安全補丁最終還是必須部署到系統上。如果長時間沒有更新安全補丁,可能會導致妳使用的計算機很容易成為肆無忌憚的攻擊者的下手目標。
別讓安裝在計算機上的軟件遲遲沒有打上最新的安全補丁。同樣的情況適用於任何基於特征碼的惡意軟件保護軟件,比如反病毒軟件(如果妳的系統需要它們):只有它們處於最新版本狀態,添加了最新的惡意軟件特征碼,才能發揮最佳的保護效果。
四、關閉沒有使用的服務
計算機用戶常常甚至不知道自己的系統上運行著哪些可以通過網絡訪問的服務。Telnet和FTP是兩種經常會帶來問題的服務:如果妳的計算機不需要這兩種服務,就應當關閉。確保妳了解在計算機上運行的每壹種服務,並且知道它為什麽要運行。在某些情況下,這可能需要弄清楚該服務對妳特定需要的重要性,以便不會犯在微軟Windows計算機上關閉遠程過程調用(RPC)服務這樣的錯誤,而且不會禁用登錄,不過關閉實際上沒有使用的服務始終是個好想法。
五、使用數據加密
對關註安全的計算機用戶或者系統管理員來說,有不同級別的數據加密方法可供使用;選擇合理的加密級別以滿足自己的需要,這必須根本實際情況來決定。數據加密方法有很多,從使用密碼工具對文件逐個加密,到文件系統加密,直到整個磁盤的加密。
上述加密方法通常不包括引導分區,因為那樣需要專門硬件幫助解密;但是如果非常需要加密引導分區以確保隱私、有必要投入這筆開支,也可以獲得這種整個系統的加密。針對除了引導分區加密外的任何應用,每壹種所需的加密級別都有許多種解決方案,包括可在各大桌面操作系統上實現整個磁盤加密的商業化專有系統和開源系統。
六、通過備份保護數據
對數據進行備份是妳用來保護自己、避免災難的最重要的方法之壹。確保數據冗余的策略有很多,既有像定期把數據拷貝到光盤上這樣簡單、基本的策略,也有像定期自動備份到服務器上這樣復雜的策略。如果系統必須維持不斷運行、服務又不得中斷,冗余廉價磁盤陣列(RAID)可以提供故障自動切換的冗余機制,以免磁盤出現故障。
像rsync和Bacula這些免費的備份工具可以把不管多麽復雜的自動備份方案組合起來。像Subversion這些版本控制系統可以提供靈活的數據管理功能,那樣不但可以在另壹臺計算機上進行備份;而且不用吹灰之力,就可以讓多臺桌面機或者筆記本電腦擁有同樣的最新數據。
七、加密敏感通信
用於保護通信、避免被人竊聽的密碼系統極其普遍。針對電子郵件的支持OpenPGP協議的軟件,針對即時通信(IM)客戶軟件的Off The Record插件,針對使用像SSH和SSL這些安全協議的持續通信的加密隧道軟件,以及許多其他工具,都用來確保數據在傳輸過程中沒有受到破壞。當然,在個人對個人的通信中,有時很難說服另壹方使用加密軟件來保護通信,但有時候這種保護至關重要。