书城政治公务人员信息安全知识读本
2859500000011

第11章 个人安全管理(1)

74.为什么要禁止使用盗版软件?

政府部门、企事业用户使用盗版软件有很大风险:一是法律风险。根据《计算机软件保护条例》第三十条第六项规定,“未经软件着作权人或者其合法受让者同意复制或者部分复制其软件作品”属于侵权行为。二是售后服务风险。盗版软件没有操作技术培训、技术支持,并且无法享受到正版软件的升级服务。三是恶意代码风险。来源不明的盗版软件中可能潜伏着木马程序和病毒。

75.Linux系统与Windows系统相比有哪些优势和不足?

Linux脱胎于20世纪70年代由贝尔实验室开发的大型计算机操作系统Unix,20世纪80年代末90年代初的“开源运动”使Linux得到了长足的发展。如今,Linux已经成为仅次于Windows的第二大个人电脑操作系统,Linux相比于Windows而言,具有相当多的优势:

(1)成本低廉

Linux操作系统使用成本低廉主要来自两个方面:一是Linux79操作系统和在Linux操作系统上运行的软件很多是开源的,与微软开发的价格高昂的正版软件相比,Linux操作系统具有价格的优势。二是在完成相同功能的情况下,Linux操作系统比Windows操作系统的硬件要求更低。英国政府的评估报告指出,如果在政府中充分使用Linux操作系统,每年将为政府节省约6亿美元的不必要开支。

(2)绿色环保

绿色和平组织的调查报告指出,持续使用Windows系列软件的企业每隔3~4年淘汰一次硬件设备,而Linux操作系统则是6~8年淘汰一次。Linux操作系统对硬件的要求更低,减缓了硬件更新速度,减少了电子垃圾的制造量,有益于环境保护,处理多余设备时也可以减少填埋垃圾所需设备及费用。

(3)系统稳定,易于管理

Linux操作系统是开放的,由软件开发爱好者共同开发和维护,同时也受到IBM、BEA等大型软件公司的支持,在某些应用中,其稳定性要强于Windows操作系统。同时,由于Linux操作系统中存在着大量由用户开发的、基于实际需要的管理软件,Linux操作系统的管理成本和开销都低于Windows操作系统。

(4)开放源代码,安全性能好

Windows操作系统是保密的,无法探知其内部的技术细节,在政府部门中使用存在着未知的安全风险。Linux操作系统由于其开源性,可以根据其具体的需要任意修改系统,以适合政府部门的特殊需要和安全性要求。

(5)拥有自主知识产权,有利于中国软件产业的发展

目前中国已经研发出红旗Linux等自主知识产权的操作系统,使用这些Linux操作系统,可以促进民族软件产业的发展。

然而,Linux系统在普及率上与Windows系统相比还有一定的差距,这主要是因为Linux系统还存在着一些不足:

(1)软件的安装和使用比较复杂

虽然现在的Linux操作系统也配备了自动安装程序(比如Redhat公司出品的redhatpacketmanager(rpm)),但运行于该系统的软件大多是个人开发的,多以源代码的方式发行,用户将源代码下载至硬盘上之后还必须配置操作系统环境,编译代码,这对于大多数非专业用户来说难度比较大。

(2)发行版本众多,管理混乱

由于Linux操作系统的开发和维护团体大多由志愿者组成,管理相对于Windows操作系统来说比较混乱。目前主流的Linux操作系统有Fedora、RedhatEnterpriseLinux、OpenSuse、Unbutu等近20个版本,面对如此多的选择,初级用户往往会感到无所适从。

76.如何在Windows下进行用户管理?

在Windows中管理员(Administrator)拥有最高管理权限,如果用户使用管理员权限登录并使用操作系统,那么他运行的所有程序,比如浏览器等都将拥有管理权力。这种状态一旦遭到病毒侵袭,将对整个系统的安全造成巨大危害。因此,我们应该根据需要合理设置用户权限,通过用户管理最大限度地保护系统安全。

WindowsXP可以创建两类账户,分别是管理员账户和受限账户。创建方法是进入【控制面板】,选择【用户账户】,点击【创建账户】,根据提示进行设置。

管理员账户拥有对系统的最高操作权限,可以更改软硬件设置、读取所有的非私人文件、设置其他用户的权限;受限用户默认情况下仅能操作自己的文件,使用被允许的部分程序,这种限制策略被称为“最小特权原则(LUA)”。受限账户可以满足上网、文书处理、影音播放等绝大多数应用,同时可以有效防止隐蔽安装的恶意软件、侵入内核的木马程序等。因此,我们应当用受限账户来完成日常操作,管理员账户仅用来配置系统、安装软件。

如果觉得默认的权限设置不够详细,可以使用组策略工具进一步详细设置。组策略是Windows为用户提供的管理工具,可以用来配置桌面环境的多种组件。点击【开始】,【运行】,在弹出的对话框中输入gpedit.msc,就可以打开“组策略”对话窗口。窗口中有“计算机配置”和“用户配置”两项,其中“用户配置”只针对当前用户生效,“计算机配置”对所有用户都有效,必须由管理员设置,如图8.1所示。

下面举几个例子说明组策略的运用:

(1)禁止当前用户访问注册表

在【组策略】窗口选择【用户配置】→【管理模板】→【系统】,将“阻止访问注册表编辑工具”项设置为已启用(图8.1)。

(2)禁止当前用户显示隐藏文件

在【组策略】窗口选择【用户配置】→【管理模板】→【Windows组件】→【Windows资源管理器】,将【工具|菜单删除|文件夹选项】项设置为已启用。

(3)禁止【开始】菜单的【最近使用文档】记录用户数据可以将【最近使用文档】一项从菜单中删除。具体的做法仍然是在【组策略】窗口选择【用户配置】→【管理模板】→【任务栏和开始菜单】,将“从开始菜单上删除‘文档’菜单”项设置为已启用。

77.账户口令有哪些?应该遵循哪些原则?

常见的口令有下面几种,具体的例子可以参见图8.2。

(1)CMOS口令

计算机启动的第一个步骤是主板的BIOS自检,如果用户添加了BIOS口令,那么仅当用户正确输入CMOS口令之后,计算机才能开始BIOS自检。该密码在主机板的BIOS程序中设置,这个口令的安全强度最高,除非拆开主机将主板上的CMOS电池放电,否则无法破解。

(2)系统登录口令

Windows中系统口令一是作为身份认证,将非法用户阻挡在系统之外;二是作为访问标记,当登录Windows后winlogon进程会将账户信息传递给本地安全权威(LSA),如果合法,就会生成一个“访问令牌”(AccessToken),以此作为用户访问的标记。

(3)锁定口令

在用户暂时离开时,锁定系统以免其他人非法使用。锁定系统的快捷方式为键盘上的WIN键+L键。

(4)应用程序,电子邮箱和网络通讯软件口令

通过设置该口令,防止他人盗用账号。

设置高强度的口令应遵循以下原则:

(1)扩大口令的字符空间

合理搭配字母、数字、特殊符号、切换大小写组成口令会使口令的字符空间变大,猜解难度会显着提高。

(2)设置长口令

假设已知一串口令,仅仅使用了数字,长度在4位以下,那么可能的口令一共有10+100+1000+10000=11110个。如果每秒试探50个密码,仅需3分多钟就可以破解这个密码。

(3)选用无规律的字串

不要使用生日、名人姓名、英语单词等有意义的字串作为口令,这些内容是尝试破解口令的人首要的试探目标。

(4)定期更换

有时口令已经泄露但是用户并不知情,定期更换口令可以预防此类情况。

此外,在输入口令时可以安装口令保护软件,如奇虎360保险箱(图8.3)、金山网镖等。

78.如何关闭特定的计算机端口?

端口是计算机与外界进行联系的渠道。关闭不必要的端口(如139、445端口经常被用来进行远程攻击)可以有效防止攻击,提高计算机的安全性。

关闭端口的方法主要有两种:一是借助个人防火墙软件,二是利用Windows提供的管理工具“本地安全策略”。下面以关闭445端口为例进行介绍:

(1)使用个人防火墙软件(以“天网防火墙”为例)

启动天网防火墙软件,点击【IP规则管理】按钮(图8.4),点击【增加IP规则】。【数据包方向】设置为【接收或发送】,【对方IP地址】设置为【任何地址】,【数据包协议类型】选择【TCP】,【本地端口】填写从445到445,【TCP标志位】选择【SYN】,【当满足上述条件时】设置为【拦截】。这样就关闭了445端口的数据通信。需要说明的是,如“天网防火墙”的安全等级设在中级以上,软件会自动关闭445端口(图8.4)。

(2)使用系统管理工具

进入【控制面板】,双击【管理工具】,选择【本地安全设置】。点击【IP安全策略,在本地计算机】,在右侧的空白区域点击鼠标右键,选择【创建IP安全策略】(图8.5),按照向导提示完成安全策略的创建,在策略创建过程中注意取消【激活默认响应规则】(图8.6)。

在弹出的属性对话框中,取消【使用添加向导】选项,点击【添加】,调出【新规则属性】对话框。在对话框中点击【添加】

(图8.7),调出【IP筛选器列表】对话框,取消【使用“添加向导”】

选项,点击【添加】(图8.8),调出【筛选器属性】对话框。

在寻址标签中【源地址】选择【我的IP地址】”,目标地址中选择【任何IP地址】,勾选【镜像】的复选框(图8.9)。协议标签中,【协议类型】选择【TCP】,端口设置为从任意端口到【445】端口(图8.10)。点击【确定】关闭该对话框。在IP筛选器列表中,选中【新IP筛选器列表】(图8.11)。

选择【筛选器操作】标签项,点击【添加】,按照向导建立新的【筛选器操作】,注意在安全措施中选择【阻止】(图8.12)。在【筛选器操作标签】中选中刚建立的【新筛选器操作】(图8.13),关闭对话框。

在本地安全设置中,右键点击刚刚建立的安全策略,选择【指派】(图8.14),完成设置。

79.如何关闭不必要的计算机系统服务?

系统服务是Windows操作系统提供的一组完成特定功能的程序。在这些系统服务中,有的专门用于完成操作系统的基本功能,如进程管理、用户管理等;有的用来配置网络应用,包括远程注册表管理、远程计算机管理等;还有些服务是软件安装时注册的,用来实现软件功能,如杀毒软件、SQL数据库服务等。用户应根据需求,合理开放服务,否则不但会造成系统资源的浪费,甚至会带来安全隐患。

点击【开始】菜单→【控制面板】→【管理工具】→【服务】,打开【服务】设置,可以查看系统服务并设置启动模式(图8.15)。

服务启动通常有三种模式:

(1)自动

在这种状态下,系统服务在Windows启动时自动运行。

(2)手动

在这种状态下,Windows运行过程中系统服务并不启动,但Windows任何用户都可以启动这项服务。

(3)禁用

在这种状态下,Windows不能自动启动系统服务,只有管理员可以撤销“禁用”状态。

下面列出部分建议禁止的服务,其他的服务请用户根据自身的需要酌情考虑。

(1)RemoteRegistry这项服务允许用户远程修改本地计算机的注册表,容易被黑客或木马利用,是一项非常危险的系统服务,建议禁止。

(2)Telnet这项服务允许用户通过网络在另外一台计算机上登录本地计算机。由于Telnet在网络上使用不加密的方式传送信息,一些关键的操作信息很可能被黑客窃听,黑客甚至可以通过Telnet服务来遥控我们的计算机,非常危险,建议禁止。

(3)Messenger微软公司提供的信使服务,用于同一局域网的用户相互交换数据。但现在已经成为恶意程序和广告信息传播的媒介,建议禁止。

(4)PerformanceLogsAndAlerts这项服务负责收集计算机访问资源情况和运行性能,并整理成日志。这项服务的缺点是其整理的日志也允许其他计算机上的用户通过网络访问,这往往成为黑客寻找漏洞的突破口,建议禁止。

(5)TerminalService这项服务允许多个用户从不同的地方控制同一台计算机,往往成为黑客控制“傀儡机”的后门,建议禁止。

80.什么是网络道德规范?主要包含哪些内容?

尽管我国在信息安全方面的立法速度已经明显加快,但信息技术的发展日新月异,黑客攻击的种类繁多,目前的法律还远远不足以应对层出不穷的新情况。因此,只有在不断完善信息安全法律体系的同时,从道德层面上规范我们的网络行为,才能真正创造安全健康的网络环境。

随着网络技术的普及,网络生活已经成为现代社会不可或缺的组成部分。网络道德规范是在网络环境下人与网络以及人与人关系的准则。目前关于网络道德规范的说法很多,如美国计算机伦理协会规定的“计算机伦理十诫”,具体内容为:

①不用计算机对他人造成人身、财产上的伤害。

②不用计算机干扰他人的计算机工作。

③尊重他人的隐私,不用计算机窥探他人计算机上的文件。

④不用计算机进行盗窃。

⑤不用计算机作伪证。

⑥尊重包括版权和着作权在内的财产权,不使用或拷贝未付款的商业软件。

⑦不应未经许可使用他人计算机上的资源,如盗用他人账号上网。

⑧尊重他人的知识产权,不盗用他人的智力成果。

⑨考虑自己编写的软件可能会造成的社会影响。

⑩资源共享,平等地使用网络中的信息资源。

81.如何安全浏览网页?

在恶意程序、钓鱼网站等包围下,网络显得越来越不安全,如何安全地浏览网页呢?

(1)提高警惕

安全意识始终是最重要的。不要轻信陌生人的留言,那可能是诈骗;不要随意点击链接,那可能是钓鱼网站。

(2)使用第三方浏览器上网

某些情况下Windows自带的IE浏览器比较脆弱,可以借助第三方浏览器强化网络浏览的安全性。目前主流的第三方浏览器如遨游、世界之窗等,都提供了弹出页面拦截,钓鱼网站过滤等功能;较新的360安全浏览器和谷歌的chrome浏览器更是借鉴了虚拟机的经验,为浏览器中的程序搭建了相对隔离的“沙箱”,借此抵御恶意程序的侵入。

(3)定期清理临时文件

访问网页时,多媒体资源会被暂时存储在临时文件夹中方便浏览,一些隐含在网页中的恶意程序也借此机会存入计算机。定期清理临时文件既可节约硬盘的使用空间,又可消除这些隐患。

(4)注意管理IE浏览器的加载项