浅析个人主机安全加固及数据在移动过程中的数字签名

作为一名信息安全行业的从业者，个人的安全意识尤为重要，无论是从事渗透测试，还是从事安全软件的开发，或是安全技术和安全漏洞的研究，个人电脑的安全性都一定要提高到一个相对较高的位置。            

下面就我个人的一些经验来浅析一下应该从哪几个方面对个人电脑进行安全加固，从最大程度上降低自己被攻击以至于机密信息或个人资料被泄露的风险。            

由于我对MAC OS以及Linux系列操作系统还不是很熟悉，所以这篇文章主要是针对使用基于x86 32位CPU的Windows Server 2003 Enterprise Eidition操作系统。 另外，我所安装的是微软公司发布的标准版，而非国内一些论坛发布的精简版或修改版之类。            

在安装完系统后，默认设置对于我来说有着很多不需要的服务，那么首要的事情就是关闭这些服务，以降低被MS0X-0XX之类0 day攻击的风险。 想到这里，顺便提一下第三方软件，由于计算机行业的从业者，尤其是信息安全行业的从业者大多都有2-N台PC或notebook，工作用电脑和其他电脑是分开使用的，所以安全级别很明显也不一样。对于工作用电脑，除了安装工作所需的必要软件外，能不安装其他第三方软件就绝对不要安装。            

对于加固，主要从数据安全和网页浏览安全两个方向入手。            

通常情况下，我们的数据是直接存储在硬盘中，未经加密，也未隐藏，假如电脑中了木马或rootkit，那么损失可想而之。我推荐的一款软件是TrueCrypt，官方网站是http://www.truecrypt.org，能够对你所选定的硬盘分区或文件进行多种加密。至于其原理和使用方法，可自行参考用户手册和帮助文件。当然，类似的软件也有很多，我仅仅是推荐了我所使用的一款。    

而数据的销毁就更加显得格外重要，一般情况下对于非关键数据都采用shift+delete直接删除，但是这种方法销毁得并不彻底，攻击者通过使用一些数据恢复软件能够恢复部分甚至全部数据。即使格式化多次后重装系统，仍然有办法恢复。我所采用的办法是使用PGP专业版中的文件粉碎功能，它不同于普通的文件粉碎机。而且假设攻击者能够恢复出来，也是加密过的，在理论上不可获得。

对于网页浏览，浏览器本身的安全性就很重要，firefox和IE都可，但需要做一些修改和重新设置，以及安装一些辅助性的插件。     最后，杀毒软件和防火墙更是必不可少。至于品牌的选择就完全看个人爱好了。   

另外，下载的软件最好在虚拟机中解压或进行安装测试，同时开启文件监控和注册表监控，以防对真实操作系统造成毁灭性的破坏。 

>===========================分割线============================<

最后来谈谈数字签名技术的应用。

昨天看到一个电视剧，有一节内容是：A把带有公司机密资料的光盘交给员工B，让其转交给董事长C。目的是为了考查员工B是否可靠。当然，A一路跟踪着员工B，监视着他的一举一动。

我当时在想，B有以下几种可能：

# 复制光盘内容后上交原盘

# 复制光盘内容后上交复制盘，自己保留原盘

# 浏览光盘内容后上交原盘

这些并不是跟踪就可以确保的。对于以上三种可能，需要两种安全手段加以组合。

1. 使用加密软件对光盘内容进行加密或隐藏，需要私钥或密码才可查看其内容。

2. 使用类似软件的MD5校验值的方法对光盘进行HASH值计算，只要光盘被替换，那么HASH值就不同，这是唯一的。

以上只是一个例子，事实上，数字签名技术应用的范围相当之广，一切需要确保数据的唯一性和不可伪造性的地方都需要用到数字签名。

数据在移动，转储的过程中可能会在物理上经过替换或监听，也可能会在网络上发送的过程中被替换和监听。不过这两种安全手段相结合后可以轻易解决这些问题。

由于MD5算法已被证实不安全，那么基于RSA公钥体系的PGP算法就可以充分发挥它的长处，用做数字签名。

在生活中，当需要转交数据时，媒介无论是光盘，U盘还是移动硬盘，或者是通过电子邮件，文件中转站等，用加密和数字签名足可确保其唯一性。