加强操作系统安全的十个建议.docx

加强操作系统平安的十个建议无论你现在使用的操作系统是什么，总有一些通用的加强系统平安的建 议可以参考。如果你想加固你的系统来阻止未经授权的访问和不幸的灾 难的发生，以下预防措施肯定会对你有很大帮助。1、使用平安系数高的密码提高平安性的最简单有效的方法之一就是使用一个不会轻易被暴 力攻击所猜到的密码。什么是暴力攻击?攻击者使用一个自动化系统来尽可能快的猜想密 码，以希望不久可以发现正确的密码。使用包含特殊字符和空格，同时 使用大小写字母，防止使用从字典中能找到的单词，不要使用纯数字密 码，这种密码破解起来比你使用母亲的名字或你的生日作为密码要困难 的多。另外，你要记住，每使你的密码长度增加一位，就会以倍数级别增 加由你的密码字符所构成的组合。一半来说，小于8个字符的密码被认 为是很容易被破解的。可以用10个、12个字符作为密码，16个当然更 好了。在不会因为过长而难于键入的情况下，让你的密码尽可能的更长 会更加平安。2、做好边界防护并不是所有的平安问题都发生在系统桌面上。使用外部防火墙路由 器来帮助保护你的计算机是一个好想法，哪怕你只有一台计算机。如果从低端考虑，你可以购买一个宽带路由器设备，例如从网上就 可以购买到的Linksys、D-Link和Netgear路由器等。如果从高端考虑, 你可以使用来自诸如思科、Found二等企业级厂商的可网管交换机、路 由器和防火墙等平安设备。当然，你也可以使用预先封装的防火墙/路 由器安装程序，来自己动手打造自己的防护设备，例如使用mOnOwall 和IPCoPo代理服务器、防病毒网关和垃圾邮件过滤网关也都有助于实 现非常强大的边界平安。请记住，通常来说，在平安性方面，可网管交换机比集线器强，而 具有地址转换的路由器要比交换机强，而硬件防火墙是第一选择。3、升级您的软件在很多情况下，在安装部署生产性应用软件之前，对系统进行补丁 测试工作是至关重要的，最终平安补丁必须安装到你的系统中。如果很 长时间没有进行平安升级，可能会导致你使用的计算机非常容易成为不道德黑客的攻击目标。因此，不要把软件安装在长期没有进行平安补丁 更新的计算机上。同样的情况也适用于任何基于特征码的恶意软件保护工具，诸如防 病毒应用程序，如果它不进行及时的更新，从而不能得到当前的恶意软 件特征定义，防护效果会大打折扣。4、关闭没有使用的服务多数情况下，很多计算机用户甚至不知道他们的系统上运行着哪些 可以通过网络访问的服务，这是一个非常危险的情况。Telnet和FTP是两个常见的问题服务,如果你的计算机不需要运行 它们的话，请立即关闭它们。确保你了解每一个运行在你的计算机上的 每一个服务究竟是做什么的，并且知道为什么它要运行。在某些情况下，这可能要求你了解哪些服务对你是非常重要的，这 样你才不会犯下诸如在一个微软Windows计算机上关闭RPC服务这样的 错误。不过，关闭你实际不用的服务总是一个正确的想法。5、使用数据加密对于那些有平安意识的计算机用户或系统管理员来说，有不同级别 的数据加密范围可以使用，根据需要选择正确级别的加密通常是根据具 体情况来决定的。数据加密的范围很广，从使用密码工具来逐一对文件进行加密，到 文件系统加密，最后到整个磁盘加密。通常来说，这些加密级别都不会 包括对boot分区进行加密，因为那样需要来自专门硬件的解密帮助， 但是如果你的秘密足够重要而值得花费这局部钱的话，也可以实现这种 对整个系统的加密。除了 boot分区加密之外，还有许多种解决方案可 以满足每一个加密级别的需要，这其中既包括商业化的专有系统，也包 括可以在每一个主流桌面操作系统上进行整盘加密的开源系统。6、通过备份保护你的数据备份你的数据，这是你可以保护自己在面对灾难的时候把损失降到 最低的重要方法之一。数据冗余策略既可以包括简单、基本的定期拷贝 数据到CD上，也包括复杂的定期自动备份到一个服务器上。对于那些必须保持连续在线服务不宕机的系统来说,RAID可提供自 动出错冗余，以防其中一个磁盘出现故障。诸如rsync和Bacula等免费备份工具可以把任意复杂级别的自动 备份方案整合在一起。诸如Subversion之类的版本控制工具可以提供 灵活的数据管理，因此你不仅能够在另一台计算机上进行备份工作，而 且你能够不用费事的让多台计算机的系统可以对同一个数据保持同步。7、加密敏感通信用于保护通信免遭非法的密码系统是非常常见的。针对电子邮件的 支持OpenPGP协议的软件，针对即时通信客户端的OffTheRecord插件, 还有使用诸如SSH和SSL等平安协议维持通信的加密通道软件，以及许 多其他工具，都可以被用来轻松确实保数据在传输过程中不会被威胁。当然，在个人对个人的通信中，有时候很难说服另一方来使用加密 软件来保护通信，但是有的时候，这种保护是非常重要的。8、不要信任外部网络在一个开放的无线网络中，例如在你本地具有无线网络的咖啡店 中，这个理念是非常重要的。如果你对平安非常谨慎和足够警惕的话， 没有理由说在一个咖啡店或一些其他非信任的外部网络中，你就不能使 用这个无线网络。但是，关键是你必须通过自己的系统来确保平安，不 要相信外部网络和自己的私有网络一样平安。举个例子来说，在一个开放的无线网络中，使用加密措施来保护你 的敏感通信是非常必要的，包括在连接到一个网站时，你可能会使用一 个登录会话cookie来自动进行认证，或者输入一个用户名和密码进行 认证。还有，确信不要运行那些不是必须的网络服务，因为如果存在未 修补的漏洞的话，它们就可以被利用来威胁你的系统。这个原那么适用于 诸如NFS或微软的CIFS之类的网络文件系统软件、SSH服务器、活动目 录服务和其他许多可能的服务。从内部和外部两方面入手检查你的系统，判断有什么机会可以被恶 意平安破坏者利用来威胁你的计算机的平安，确保这些切入点要尽可能 的被关闭。在某些方面，这只是关闭不需要的服务和加密敏感通信这两 种平安建议的延伸，在使用外部网络的时候，你需要变得更加谨慎。很 多时候，要想在一个外部非信任网络中保护自己，实际上会要求你对系 统的平安配置重新设定。9、使用不间断电源支持如果仅仅是为了在停电的时候不丧失文件，你可能不想去选择购买 UPSo实际上之所以推荐你使用UPS,还有更重要的原因，例如功率调节 和防止文件系统损坏。由于这种原因，确保使你的操作系统能够提醒你 它什么时候将关闭，以免当电源用尽的时候你却不在家中，还要确保确 保一个提供功率调节和电池备份的UPSo一个简单的浪涌保护器还缺乏以保护你的系统免遭“脏电”的毁坏。 记住，对于保护你的硬件和你的数据，UPS都起着非常关键的作用。10、监控系统的平安是否被威胁和侵入永远不要认为：因为你已经采取了一系列平安防护措施，你的系统 就一定不会遭到平安破坏者的入侵。你应该搭建起一些类型的监控程序 来确保可疑事件可以迅速引起你的注意，并能够允许你跟踪判断是平安 入侵还是平安威胁。我们不仅要监控本地网络，还要进行完整性审核， 以及使用一些其他本地系统平安监视技术。根据你使用的操作系统不同，还有很多其他的平安预防措施。有的 操作系统因为设计的原因，存在的平安问题要大一些。而有的操作系统 可以让有经验的系统管理员来大大提高系统平安性。不过，无论你的使 用的是像微软的Windows和苹果的MacOSX,还是使用的像Linux Free BSD等开源操作系统，当你在加固它们的平安的时候，以上建议都是必须牢记心头的。