个人PC安全解决方案

1、、主要威胁来源(Baleful Source)1、物理接触(Physical Touch)通过物理地接触进行非授权访问和破坏，是一种很简单有效的攻击方式，幸运的是能物理 接触你的计算机的人大多是可信的。但是，俗话说：“害人之心不可有，防人之心不可无”， 为了你的计算机及数据的安全，还是要了解一下物理攻击的途径，主要方式如下：软盘启动(Floppy Booting)：通过使用软盘启动你的计算机可以轻松地非法访问你的 数据，根据专家研究表明，此方法目前对所有的Windows和Unix都十分有效。硬盘失窃(Hard Disk Stolen)：计算机放置的环境不安全的话，很可能会发生直接把你 的硬盘甚

2、至电脑偷走的情况。密码偷看(Password Record)：在键盘上输入密码的时候很容易被不怀好意的人看到并 记下，不管你信与否，的确有人能在几米外记下你快速敲过的字符，甚至包括字母的大小写 和特殊字符。2、病毒感染(Virus Infection)在几年前，大家对病毒的概念还主要是引导型和文件型病毒，但网络发展是如此之快，稍 加注意就会发现近年来危害更大的是在网络上漫游的蠕虫类程序，它们在整个网络中漫游 着，转播速度非常迅速，不仅造成了无休止的网络阻塞，而且伤及了众多的无辜者，对编制 此类 程序者的诅咒的同时，还是来了解一下它们的入侵方式吧，主要的途径见下：软盘(Floppy Disk)：

3、毫无防护的使用软盘有可能会给你带来引导区或可执行文件类的 电脑病毒。尽管引导区病毒已经几乎没有了生存的环境，但假如你不小心使用早年前已被 感染引导区病毒的软盘的话，尽管它不能成功地隐蔽驻留在你的计算机上，但有可能它的尝 试感染会破坏你的硬盘分区，导致数据尽失，欲苦无泪。光盘(CDROM)：轻率地使用光盘与软盘一样有害，甚至超过软盘，因为光盘是只读 的，即便发现有病毒等有害程序也无法杀除，很容易误使用，更令人堪忧的是，盗版光碟在 迅速传播，而大多都已经被病毒感染。电子邮件(Email)：随着Internet网络的发展，电子邮件被频繁的使用，给蠕虫类病毒 提供了良好的生存空间，大量事实证明，仅仅收

4、到一封邮件，就算你不打开正文或附件，仅 仅选中邮件的标题头，就有可能带来灭顶之灾。有害网页(Malicious Homepage):浏览网站是绝大多数上网人员所要做的事情，遗憾 的是，过去一直被认为浏览网站是安全的概念接连不断的被打破了，大量的攻击事件表明， 仅仅通过使用浏览器观看某些恶意网站的网页，完全可能在你的机器上执行二进制代码，意 思就是说可以在你机器上运行任何程序，包括木马和格式化硬盘的程序等。网络共享(Network Share)：网络当初的设计目的就是为了资源共享，所以大多数的操 作系统都可设置共享文件夹，以便和其它网络用户共享信息，不幸的是，病毒会感染共享文 件，然后继而感染所

5、有使用此共享文件的系统。3、网络攻击(Network Attack)随着网络科技的发展，良莠不齐的东西都来了，尤其是网络攻击事件的频繁发生，无不都 和黑客(Hacker)”有关联，这个曾经代表具有顶尖系统网络技术的美誉，而今几乎堕落 到了良心的深渊，公众对之敬而远之，受害的企业仍心有余悸，而它那能在网络纵横的魅 力却有吸引着一批批的脚本小子(Script Kids)，致力于要成就所谓真正的黑客，带来的后果 却是众多企业单位的网站首页无辜被涂鸦，网络系统莫名奇妙的崩溃，个人隐私被在网络 上披露，在他们体验掌控网络快感而欢呼的时候，却不知道已经给企业和个人带来了难以估 量的损失，并且已经触犯了国家

6、法律。分析其网络攻击的手法将有助于做好安全防范，不 外乎主要有以下几种方式：(1)拒绝服务(Denial of Service)：简称D.O.S，就是通过发送特殊畸形的数据包导致系统 崩溃死机或者是提交大量正常数据包进行洪水式(Flood)的淹没攻击，均可可导致系统丧 失提供正常服务的能力，即被称为拒绝攻击。目前网络上有大量的此类程序存在，并且可轻 松下载，常见的有：WinNuker、Teardrop SYN Flooder等。黑客闯入(Hacker Inbreak):使用扫描程序发现系统开放的端口和漏洞，然后通过特 殊的程序或进行特定的操作就能够控制整个系统，能做到这样的人，一般被称为黑客”

7、。 事实上，大量的黑客事件证明，目前默认安装的大多数操作系统都几乎无安全性可言，这就 意味着假如没有施以安全措施的话，就等于是处于开放状态。木马程序(Trojan)：这个希腊神话里面的名词，经过多个世纪后终于在现在的网络中 复活了，你的系统一旦被安装了木马程序就意味着你的计算机可以被别人象你一样自由的 使用，你的一举一动都在他人的掌控之中，甚至可以强迫你去做你不愿意做的事情，而这个 人很可能是在地球的另一面。网络嗅探器(Network Sniffer)：最初设计网络的时候主要是为了教育和科研使用，所 以没有考虑太多安全性，数据在网络上的传输都是明文的，于是嗅探类程序就应运而生， 它们潜伏在网络

8、中，悄悄地捕获着网络上所有的数据包，包括ftp、telnet等账号密码信息 及邮件内容等，如此，网络已无安全性可言。二、安全解决方案(Security Solution)一个好的解决方案不仅要内容全面完整，而且要主次分明、重点突出，从而把技术、产品 和服务有机的组织起来，形成一个比较完善的结合体，才能真正发挥其作用。从安全的角 度来讲，那么要从环境、自身、产品和意识等方面出发，进行综合分析，逐个解决存在的问 题，把可能的危险排除在发生之前，那么也就达到了安全防护的目的。个人安全解决方案 框架图见下：(from: wiwr. j anker, org)1、确保物理安全(Physical Secu

9、rity)物理安全是非常之重要，是一切安全的基础，可以试想，你的住家若安置在洪水经常泛滥 的地方，就算你有再好的安全报警装置，身体多么的健康强壮，也很难保你的人身安全不 受威胁。当然，若仅仅把家安置在不受自然灾害的地方是远远不够的，你还要有足够的安全 措施，比如：防盗门窗、监控电视等，你也不能忘记购买窗帘，以免泄漏自己的隐私，但 你不能忘记必要的时候要把窗帘拉上，否则也无济于事。如此，你应该能很好地理解物理 安全的重要性了，对于个人计算机系统也是一样的，重点需要注意的几点如下：环境安全(Environment):无论如何你要首先确保你的计算机所在的环境是安全的， 要尽量避免或减轻来自诸如洪水、

10、雷电、地震等自然灾害的安全威胁，当然，门窗也必须 有必要的防范措施，否则偷窃者可能会如入无人之境，尽管他可能对你的数据并不感兴趣， 但很有可能你会连数据和计算机尽失，如此以来就几乎无安全可言了。（2）设备安全（Device）：不要给别人创造能轻易接触你的计算机的机会，刻意接触并操作 你计算机的人大多是觊觎你的数据，不能以为不开机器就是安全的，否则你无法防备有人 会把硬盘拿走复制数据后再拿回来，而你却一无所知，计算机的数据复制技术是如此的完美， 以致于可以做出完全一样的拷贝却不留下任何痕迹。若可能的话，最好能把你的机箱锁住， 把不用的设备在系统中禁止掉，以防止别人从你的软驱或USB等接口窃取数据

11、。（3）密码安全（Password）:有安全观念的人都会在自己的计算机上设置开机密码，并且设 置进入CMOS的密码，因为他知道寄希望于操作系统的密码 来阻止非授权访问是很困难的， 他知道他的密码不能太简单，否则很容易被人猜中，当然他不会把密码写在纸条上然后贴在 显示器上，因为他清楚这样的话就不用要密码了。（4）启动安全（Boot）：大多数的机器出厂的时候在CMOS里面默认系统优先从软盘启动的， 本意是好让用户用软盘启动机器后用光盘等安装操作系统或其他软件，不幸的是大多数用 户在安装完软件后忘记设置优先从硬盘启动了，如此，就给能物理接触计算机的人大开方便 之门，只要用一张软盘就能启动你的机器，然

12、后自由地访问你的数据，从而绕开了操作系 统的密码验证功能，所以，若不需要软盘启动的时候，一定要在CMOS里面设置系统优先从 硬盘启动。2、加固操作系统（Secure Operating System）至今为止还没有发现任何操作系统是绝对安全的，并且随着技术的发展，操作系统越来越 复杂，代码量越来越大，参与开发的程序员越来越多，从而导致了操作系统自身的臭虫（Bugs） 也越来越多，所以很多操作系统厂商在推出产品以后不断地发布服务程序包（Service Pack） 或更新程序（Update）等，不管它们用什么名字来掩饰，总之就是一个目的，把以前发布的 操作系统的臭虫堵住或不完善之处更正，当然同时也

13、会添加一些优化代码或其他功能。前 面提到过，目前默认安装的大多数操作系统都几乎无安全性可言，Windows和Unix等操作 系统出现的众多安全漏洞都说明了这点，事实上即便安装了这些补丁程序也不能够彻底解 决问题，诸如开放没有使用的功能和系统设置不当，都会留下安全隐患。所以，加固操作系 统势在必行，主要从以下几个方面做起：（1）安装系统补T（Install patches）： 一般来说，大多数操作系统的厂商都会在它们的网站 上公布有关系统更新的信息，只要稍加注意就能够找到，需要注意的是，下载补丁程序前 一定要仔细阅读附带的安装说明书，以便做好数据备份等预防工作，因为不恰当的安装补丁 程序可能会导

14、致系统无法启动或数据破坏等情况。（2）最小化系统（Minimize System）：在系统集成的时候，往往会采用系统的最大化安装， 为的是方便调试连通，而事实上不少功能模块是你说不需要的，安全之相反，遵循最小化 原则，也就是说能不装的一定不装，一定要装的要尽量少装，因为每多一项不必要的模块， 无疑就多了一份不安全的因素，所以，对系统要严格检查，去掉各种不必要的模块，以提 高系统的安全性。（3）进行安全设置（Security Configure）：在计算机系统中有诸多的因素需要设置才有较好 的安全性，如：用户权限的分配、共享目录的开放与否、磁盘空间的限制、注册表的安全 配置、浏览器的安全等级等等

15、，系统默认的配置适合大多数人使用，但其安全性往往是较差 的，所以要对系统中和安全有关的项目进行仔细的设置，以使得系统达到较高的安全性。3、使用个人防火墙（Personal Firewall）个人防火墙是抵御来自网络攻击最有效的手段之一，即便你的系统存在诸多你无法解决的 安全问题，防火墙的使用将把你受攻击的可能性降到最低，它能够在很大程度上保护你的 系统信息不向外泄漏，并且能够监控和你通信的网络数据包，把有害的连接拒绝于门外。所 以，对于连接在网络上的计算机而言，使用防火墙来保护自己的系统是非常必要的选择， 至少它可以在以下几个方面有效地帮你抵挡来自网络的攻击：抵御拒绝服务(Defend D.O

16、.S):诸如 WinNuker、Teardrop、IGMP Nuker 等各种通过发 送畸形数据包而达到拒绝服务目的的炸弹程序，个人防火墙均可以识别出来并处理报警。关闭不必要的端口：连接在网络上的计算机是不安全的，一个很重要的因素就是因为 开放的端口太多，对于个人计算机而言，对外开放很多端口往往不是必需的，个人防火墙 的端口阻塞功能，可以替你关闭不必要的端口，有效地保护系统信息不向外泄漏，并且降低 了黑客利用开放的端口入侵的可能性，从而大大提高了系统的安全性。监控不明程序进程：因为木马类程序往往隐藏在正常的程序中，一不小心就会被释放 出来，而木马类程序往往是隐蔽的运行然后通过网络和外界进行联系

17、，没有专业技能和手 段的话是很难发现的，而个人防火墙的监控网络连接进程功能，可以有效地阻挡含有木马的 不明程序在你系统上的执行，从而达到安全防护的目的。4、使用反病毒软件个人版(Personal Anti-Virus)在具有安全观念的人士之中，即便他的计算机并不和网络连接，即便他是专业反病毒专家， 也很难见到他的计算机系统中会不安装反病毒软件，数量如此巨大的计算机病毒，达几万 种之多，传播途径如此之广，有软盘、光盘、Email等等，再加上病毒的加密变形等隐藏技 术，头脑再复杂的你也很难胜任手工去识别计算机病毒的工作，而这一切反病毒软件轻松帮 你解决，你所做的就是经常轻松点一个鼠标或设定一个计划

18、任务来升级你的病毒码特征库 即可。具体来说，反病毒软件可以为我们做以下一些事情：发现并杀死(Scan and Kill):反病毒软件的扫描功能能够为你确定不明软盘、硬盘、 光盘等介质里面的文件是否含有病毒程序，值得注意的是由于光盘是只读的，即便发现病 毒也无法杀死，可以通过先把有毒文件复制到硬盘，然后再进行查杀来处理，一般来说，若 系统中没有病毒的话，仅仅复制有毒的文件是不会激活病毒的。监控并杀死(Watch and Kill)：木马程序、炸弹网页、邮件蠕虫等这些基于网络的有害 程序几乎把系统搞的一团糟，可喜的是，反病毒软件现在都具备了实时检测功能，能够有效 地把这些有害程序拒之门外。识别并隔

19、离(Recognize and Insulate)：病毒和反病毒永远是一对矛盾，目前大多反病 毒软件的检测原理都是基于特征码的识别，也就是说反病毒程序总是要比病毒迟后一步， 那么是不是新的病毒就无法防范了呢？不是的，病毒的感染和传播，尽管是千变万化的，但 总是有规律可循的，正是通过对病毒规律性的研究，现在的反病毒软件引擎能够有效的识 别出新的品种或变种的病毒来，尽管无法杀除，但却可把它和你的系统完全隔离开来，通 过对隔离区文件上报分析后升级你的反病毒软件就能够达到查杀该病毒的目的。5、使用加密软件(Encrypt Software)在对系统施加了防火墙和反病毒等安全防护措施后，并不等于你就处于

20、安全的状态了，比 如：你的数据仍然可能被人查看，因为它是明文的；你的Email内容也有可能会被截获， 也因为它是明文的。在这些时候，加密类软件就大显神通了，它可以把你的数据变换成看似 杂乱无章的东西，当你需要的时候只需要输入口令字就能恢复原状，而此口令字只有你本人 才知道，如此即便别人拿到了你的数据，没有口令字的话他只有失望了。这就是加密软件 的神奇之处，它能为我们在以下几个方面提供数据的安全保密：数据加密(Data Encrypt)：此功能可以对磁盘、目录、文件、Email等进行加密处理， 只有拥有口令字或特定的解锁文件才能恢复到原状，否则你看到的将永远是无法识别的乱码。数字签名(Digit

21、al Sign)：在这数字化的网络时代，人们在惊叹数据复制的精确度是如 此之高的同时，却又陷入了经常被假冒的困惑，数字签名的出现有效地解决了此问题，通过 对文件或Email等进行数字签名后，接受人可以轻松地判断出其真实性。6、提高安全意识(Security Consciousness)在前面所述中主要体现的是技术防护层次，事实上，网络安全本身是一个比较大的概念， 涉及法律、道德、知识、管理、技术、策略等多个方面，是一个有机的结合体，而不是功 能的简单叠加。就目前来看，整个社会对网络安全的意识淡薄，这是很可怕的事情，从大量 的安全事件来看，缺乏安全意识是导致事件发生的重要因素之一，所以要向真正地起到安 全防护的效果，在做好技术防护的同时，还需要把安全意识的提高放到日程上来，具体来 说有以下一些方面需要多加注意和关注：（1）在需要密码的地方要尽可能设置复杂些并且不同，而且还要定期更换。（2）一定要经常更新你的防火墙和反病毒等需要频繁更新的安全防护类软件。（3）不要轻易运行来历不明的程序，实在必需也要先用反病毒软件检查后才用。（4）浏览网页、下载文件和接收Email的时候要确保打开了反病毒软件的实时监控功能。（5）不要在公众场所尤其是网吧的机器上使用你的个人信息。（6）任何未