浅析个人主机安全加固及数据在移动过程中的数字签名
2008-07-05 12:51
351 查看
作为一名信息安全行业的从业者,个人的安全意识尤为重要,无论是从事渗透测试,还是从事安全软件的开发,或是安全技术和安全漏洞的研究,个人电脑的安全性都一定要提高到一个相对较高的位置。
下面就我个人的一些经验来浅析一下应该从哪几个方面对个人电脑进行安全加固,从最大程度上降低自己被攻击以至于机密信息或个人资料被泄露的风险。
由于我对MAC OS以及Linux系列操作系统还不是很熟悉,所以这篇文章主要是针对使用基于x86 32位CPU的Windows Server 2003 Enterprise Eidition操作系统。 另外,我所安装的是微软公司发布的标准版,而非国内一些论坛发布的精简版或修改版之类。
在安装完系统后,默认设置对于我来说有着很多不需要的服务,那么首要的事情就是关闭这些服务,以降低被MS0X-0XX之类0 day攻击的风险。 想到这里,顺便提一下第三方软件,由于计算机行业的从业者,尤其是信息安全行业的从业者大多都有2-N台PC或notebook,工作用电脑和其他电脑是分开使用的,所以安全级别很明显也不一样。对于工作用电脑,除了安装工作所需的必要软件外,能不安装其他第三方软件就绝对不要安装。
对于加固,主要从数据安全和网页浏览安全两个方向入手。
通常情况下,我们的数据是直接存储在硬盘中,未经加密,也未隐藏,假如电脑中了木马或rootkit,那么损失可想而之。我推荐的一款软件是TrueCrypt,官方网站是http://www.truecrypt.org,能够对你所选定的硬盘分区或文件进行多种加密。至于其原理和使用方法,可自行参考用户手册和帮助文件。当然,类似的软件也有很多,我仅仅是推荐了我所使用的一款。
而数据的销毁就更加显得格外重要,一般情况下对于非关键数据都采用shift+delete直接删除,但是这种方法销毁得并不彻底,攻击者通过使用一些数据恢复软件能够恢复部分甚至全部数据。即使格式化多次后重装系统,仍然有办法恢复。我所采用的办法是使用PGP专业版中的文件粉碎功能,它不同于普通的文件粉碎机。而且假设攻击者能够恢复出来,也是加密过的,在理论上不可获得。
对于网页浏览,浏览器本身的安全性就很重要,firefox和IE都可,但需要做一些修改和重新设置,以及安装一些辅助性的插件。 最后,杀毒软件和防火墙更是必不可少。至于品牌的选择就完全看个人爱好了。
另外,下载的软件最好在虚拟机中解压或进行安装测试,同时开启文件监控和注册表监控,以防对真实操作系统造成毁灭性的破坏。
>===========================分割线============================<
最后来谈谈数字签名技术的应用。
昨天看到一个电视剧,有一节内容是:A把带有公司机密资料的光盘交给员工B,让其转交给董事长C。目的是为了考查员工B是否可靠。当然,A一路跟踪着员工B,监视着他的一举一动。
我当时在想,B有以下几种可能:
# 复制光盘内容后上交原盘
# 复制光盘内容后上交复制盘,自己保留原盘
# 浏览光盘内容后上交原盘
这些并不是跟踪就可以确保的。对于以上三种可能,需要两种安全手段加以组合。
1. 使用加密软件对光盘内容进行加密或隐藏,需要私钥或密码才可查看其内容。
2. 使用类似软件的MD5校验值的方法对光盘进行HASH值计算,只要光盘被替换,那么HASH值就不同,这是唯一的。
以上只是一个例子,事实上,数字签名技术应用的范围相当之广,一切需要确保数据的唯一性和不可伪造性的地方都需要用到数字签名。
数据在移动,转储的过程中可能会在物理上经过替换或监听,也可能会在网络上发送的过程中被替换和监听。不过这两种安全手段相结合后可以轻易解决这些问题。
由于MD5算法已被证实不安全,那么基于RSA公钥体系的PGP算法就可以充分发挥它的长处,用做数字签名。
在生活中,当需要转交数据时,媒介无论是光盘,U盘还是移动硬盘,或者是通过电子邮件,文件中转站等,用加密和数字签名足可确保其唯一性。
下面就我个人的一些经验来浅析一下应该从哪几个方面对个人电脑进行安全加固,从最大程度上降低自己被攻击以至于机密信息或个人资料被泄露的风险。
由于我对MAC OS以及Linux系列操作系统还不是很熟悉,所以这篇文章主要是针对使用基于x86 32位CPU的Windows Server 2003 Enterprise Eidition操作系统。 另外,我所安装的是微软公司发布的标准版,而非国内一些论坛发布的精简版或修改版之类。
在安装完系统后,默认设置对于我来说有着很多不需要的服务,那么首要的事情就是关闭这些服务,以降低被MS0X-0XX之类0 day攻击的风险。 想到这里,顺便提一下第三方软件,由于计算机行业的从业者,尤其是信息安全行业的从业者大多都有2-N台PC或notebook,工作用电脑和其他电脑是分开使用的,所以安全级别很明显也不一样。对于工作用电脑,除了安装工作所需的必要软件外,能不安装其他第三方软件就绝对不要安装。
对于加固,主要从数据安全和网页浏览安全两个方向入手。
通常情况下,我们的数据是直接存储在硬盘中,未经加密,也未隐藏,假如电脑中了木马或rootkit,那么损失可想而之。我推荐的一款软件是TrueCrypt,官方网站是http://www.truecrypt.org,能够对你所选定的硬盘分区或文件进行多种加密。至于其原理和使用方法,可自行参考用户手册和帮助文件。当然,类似的软件也有很多,我仅仅是推荐了我所使用的一款。
而数据的销毁就更加显得格外重要,一般情况下对于非关键数据都采用shift+delete直接删除,但是这种方法销毁得并不彻底,攻击者通过使用一些数据恢复软件能够恢复部分甚至全部数据。即使格式化多次后重装系统,仍然有办法恢复。我所采用的办法是使用PGP专业版中的文件粉碎功能,它不同于普通的文件粉碎机。而且假设攻击者能够恢复出来,也是加密过的,在理论上不可获得。
对于网页浏览,浏览器本身的安全性就很重要,firefox和IE都可,但需要做一些修改和重新设置,以及安装一些辅助性的插件。 最后,杀毒软件和防火墙更是必不可少。至于品牌的选择就完全看个人爱好了。
另外,下载的软件最好在虚拟机中解压或进行安装测试,同时开启文件监控和注册表监控,以防对真实操作系统造成毁灭性的破坏。
>===========================分割线============================<
最后来谈谈数字签名技术的应用。
昨天看到一个电视剧,有一节内容是:A把带有公司机密资料的光盘交给员工B,让其转交给董事长C。目的是为了考查员工B是否可靠。当然,A一路跟踪着员工B,监视着他的一举一动。
我当时在想,B有以下几种可能:
# 复制光盘内容后上交原盘
# 复制光盘内容后上交复制盘,自己保留原盘
# 浏览光盘内容后上交原盘
这些并不是跟踪就可以确保的。对于以上三种可能,需要两种安全手段加以组合。
1. 使用加密软件对光盘内容进行加密或隐藏,需要私钥或密码才可查看其内容。
2. 使用类似软件的MD5校验值的方法对光盘进行HASH值计算,只要光盘被替换,那么HASH值就不同,这是唯一的。
以上只是一个例子,事实上,数字签名技术应用的范围相当之广,一切需要确保数据的唯一性和不可伪造性的地方都需要用到数字签名。
数据在移动,转储的过程中可能会在物理上经过替换或监听,也可能会在网络上发送的过程中被替换和监听。不过这两种安全手段相结合后可以轻易解决这些问题。
由于MD5算法已被证实不安全,那么基于RSA公钥体系的PGP算法就可以充分发挥它的长处,用做数字签名。
在生活中,当需要转交数据时,媒介无论是光盘,U盘还是移动硬盘,或者是通过电子邮件,文件中转站等,用加密和数字签名足可确保其唯一性。
相关文章推荐
- 安全加固____关于恶意跨页面JS注入值提交数据
- 用c#进行移动设备开发时rda同步数据时的设置详细过程
- Apache下域名虚拟主机在个人主页目录上实现过程 推荐
- 移交笔记本电脑前如何安全地删除个人数据
- Apache下域名虚拟主机在个人主页目录上实现过程
- 作为专注于为个人和企业移动应用开发者提供全面的应用安全服务平台
- 欧企移动邮件 数据安全不容乐观
- 利用Android与iOS系统进行移动应用开发:浅析开发过程及人员招募
- 【清晰明了】A局域网主机向B局域网主机传输数据的过程
- 移动、云与大数据正面临严峻的安全挑战
- 移动安全大讲堂:整体解决方案之Android加固保护
- Discuz论坛安全加固浅析
- 第六题:航天飞行器是一项复杂而又精密的仪器,飞行器的损耗主要集中在发射和降落的过程,科学家根据实验数据估计,如果在发射过程中,产生了 x 程度的损耗,那么在降落的过程中就会产生 x2 程度的损耗,如果飞船的总损耗超过了它的耐久度,飞行器就会爆炸坠毁。问一艘耐久度为 h 的飞行器,假设在飞行过程中不产生损耗,那么为了保证其可以安全的到达目的地,只考虑整数解,至多发射过程中可以承受多少程度的损耗?
- 38. OP-TEE中secure stroage------安全文件数据格式和操作过程
- FrameWork数据权限浅析4之基于多维度配置表实现行级数据安全
- 助你加固Win7数据安全防线的七招技巧
- #云栖大会# 移动安全专场——APP加固新方向(演讲速记)
- 浅析APP安全现状,爱加密为APP提供加固方案!
- 网络中数据传输过程浅析
- 浅析NTFS 文件系统数据流安全问题