保护通用操作系统安全的十大方法.doc

保护通用操作系统安全的十大方法 导语：不管你使用的是一种操作系统平台系统安全方面的一些重要考虑因素总归是适用的以下是小编为大家精心整理的保护通用操作系统安全的十大方法欢迎大家参考！ 一、使用强密码 要提高安全性最简单的方法之一就是使用不会被蛮力攻击轻易猜到的密码蛮力攻击是指这样一种攻击：攻击者使用自动系统来尽快猜中密码希望不用多久就能找出正确的密码 密码应当包含特殊字符和空格、使用大小写字母避免单纯的数字以及能在字典中找到的单词；破解这种密码比破解你家人的姓名或者你的周年纪念日期组成的密码要难的多另外要记住：密码长度每增加一个字符可能出现的密码字符组合就会成倍增加一般来说不到8个字符的任何密码都被认为太容易被破解10个、12个甚至16个字符作为密码来得比较安全但也不要把密码设得过长以免记不住或者输入起来太麻烦 二、做好边界防御 不是所有的安全问题都发生在桌面系统上使用外部防火墙/路由器来帮助保护你的计算机是个好想法怕你只有一台计算机如果考虑低端产品可以购买一个零售路由器设备比如Linksys、DLink和Netgear等厂商的路由器可以从当地的电子产品商店买到如果考虑比较高端的产品可以向思科、Vyatta和FoundryNetworks等企业级厂商购买管理型交换机、路由器和防火墙 你也可以另辟蹊径“从头开始”自行组装防火墙；或者使用预先封装的防火墙/路由器安装程序来自行组建防火墙比如m0n0wall和IPCoP完全能做到功能与各大企业级厂商的解决方案不相上下代理服务器、防病毒网关和垃圾邮件过滤网关也都有助于提高边界的安全性请记住：一般来说交换机的安全功能胜过集线器；使用网络地址转换（NAT）协议的路由器胜过交换机；防火墙绝对是必不可少的设备 三、更新软件 尽管在很多情况下把补丁部署到生产系统之前先进行测试之类的问题可能极其重要但安全补丁最终还是必须部署到系统上如果长时间没有更新安全补丁可能会导致你使用的计算机很容易成为肆无忌惮的攻击者的下手目标 别让安装在计算机上的软件迟迟没有打上最新的安全补丁同样的情况适用于任何基于特征码的恶意软件保护软件比如反病毒软件（如果你的系统需要它们）：只有它们处于最新版本状态添加了最新的恶意软件特征码才能发挥最佳的保护效果 四、关闭没有使用的服务 计算机用户常常甚至不知道自己的系统上运行着些可以通过网络访问的服务Telnet和FTP是两种经常会带来问题的服务：如果你的计算机不需要这两种服务就应当关闭确保你了解在计算机上运行的每一种服务并且知道它为什么要运行在某些情况下这可能需要弄清楚该服务对你特定需要的重要性以便不会犯在微软Windows计算机上关闭远程过程调用（RPC）服务这样的错误而且不会禁用登录不过关闭实际上没有使用的服务始终是个好想法 五、使用数据加密 对关注安全的计算机用户或者系统管理员来说有不同级别的数据加密方法可供使用；选择合理的加密级别以满足自己的需要这必须根本实际情况来决定数据加密方法有很多从使用密码工具对文件逐个加密到文件系统加密直到整个磁盘的加密 上述加密方法通常不包括引导分区因为那样需要专门硬件帮助解密；但是如果非常需要加密引导分区以确保隐私、有必要投入这笔开支也可以获得这种整个系统的加密针对除了引导分区加密外的任何应用每一种所需的加密级别都有许多种解决方案包括可在各大桌面操作系统上实现整个磁盘加密的商业化专有系统和开源系统六、通过备份保护数据 对数据进行备份是你用来保护自己、避免灾难的最重要的方法之一确保数据冗余的策略有很多既有像定期把数据拷贝到光盘上这样简单、基本的策略也有像定期自动备份到服务器上这样复杂的策略如果系统必须维持不断运行、服务又不得中断冗余廉价磁盘阵列（RAID）可以提供故障自动切换的冗余机制以免磁盘出现故障 像rsync和Bacula这些的备份工具可以把不管多么复杂的自动备份方案组合起来像Subversion这些版本控制系统可以提供灵活的数据管理功能那样不但可以在另一台计算机上进行备份；而且不用吹灰之力就可以让多台桌面机或者笔记本电脑拥有同样的最新数据几年前我用来办公的那台笔记本电脑遇到了致命的硬盘故障结果用这种方式使用subversion帮了大忙这突出了定期备份关键数据的重要性 七、加密敏感通信 用于保护通信、避免被人窃听的密码系统极其普遍针对电子邮件的支持OpenPGP协议的软件针对即时通信（IM）客户软件的OffTheRecord插件针对使用像SSH和SSL这些安全协议的持续通信的加密隧道软件以及许多其他工具都用来确保数据在传输过程中没有受到破坏当然在个人对个人的通信中有时很难说服另一方使用加密软件来保护通信但有时候这种保护至关重要 八、不要信任外来网络 对于像本地咖啡店里面的无线网络这样的开放无线网络这一点显得尤其重要就因为你在安全方面非常谨慎所以无法在咖啡店或者另外某个不可信任的外来网络上使用无线网络这是没有道理的但关键是你必须通过自己的系统来确保安全；不要相信外来网络很安全、远离不怀好意的攻击者比如说在开放的无线网络上使用加密措施来保护敏感通信极其重要包括连接到这样的网站：使用登录会话cookie来自动验证身份或者输入用户名和密码 不太明显的一方面是你要确保没有在运行并不完全必要的任何网络服务；因为如果存在没有打上相应补丁的漏洞这些服务就会被人利用这适用于像NFS或者微软CIFS这些网络文件系统软件、SSH服务器、活动目录服务以及其他众多可能使用的服务里里外外检查一下自己的系统查明不怀好意的攻击者可能会借助怎样的机会来企图闯入你的计算机并确保这些入口点采取尽可能合理的措施严加保护起来在某些方面这只是关闭不需要的服务、加密敏感通信这两个安全方法的一种延伸；只不过在对待外来网络时你在允许系统上运行的服务以及自认为“敏感”的通信方面必须格外谨慎 在不可信任的外来网络上保护自己实际上需要重新全面评估系统的安全状况 九、使用不间断电源（UPS） UPS的作用不仅仅是停电时可以避免丢失文件使用UPS还有更重要的原因比如功率调节、避免文件系统受到损坏由于这个原因就要确保购买的UPS能够与操作系统协同运行以便通知操作系统什么时候UPS需要关闭免得电源用尽时你不在家；还要确保购买的UPS可提供电池供电和功率调节功能浪涌保护器根本不足以保护你的系统免遭“脏”电源的破坏记住：UPS对保护你的硬件和数据而言都很关键 十、监控系统、查找安全威胁和漏洞 千万不要想当然地认为：就因为已经采取了一系列安全防备措施系统就肯定不会遭到攻击者的破坏你应该总是要建立某种日常监控机制确保可疑事件会迅速引起你的注意；可以针对可能的安全漏洞或者安全威胁采取相应措施我们不但需要把这种注意力放在网络监控上还要放在完整性审查以及/或者其他的本地系统安全监控技术上 其他的安全防范措施可能适用这要看你具体使用一种操作系统有些操作系统由于设计上的特点导致安全状况不尽如这意这就带来了另外的安全挑战；而有些操作系统为有经验的系统管理员赋予了提高安全性的功能无论你用的是像微软Windows和AppleMacOSX这样的专有系统还是像Linux发行版、FreeBSD、