在互聯(lián)網(wǎng)上存在大量各種各樣的幫助信息，告訴你如何確保計(jì)算機(jī)免受遠(yuǎn)程入侵和惡意移動(dòng)代碼的感染，并且在很多正規(guī)的IT安全教育培訓(xùn)中這樣的主題也常常是重點(diǎn)。如果你考慮到這一點(diǎn)，物理上確保計(jì)算機(jī)不被盜竊并不是什么困難的事情。但對(duì)于安全保護(hù)來(lái)說(shuō)，更困難的可能是，如何阻止通過(guò)網(wǎng)絡(luò)物理連接進(jìn)行的未經(jīng)授權(quán)的使用。

大量的書(shū)籍甚至也包括不少討論組，都對(duì)如何控制公司網(wǎng)絡(luò)上的計(jì)算機(jī)并監(jiān)測(cè)其使用情況這一問(wèn)題進(jìn)行了討論，甚至象棘手問(wèn)題處理策略之類的重要資料，我們也可以找到。但經(jīng)常被忽視的一個(gè)問(wèn)題是，怎樣確保在你離開(kāi)計(jì)算機(jī)的幾分鐘時(shí)間沒(méi)有人利用它進(jìn)行未經(jīng)授權(quán)的操作。

特別是在計(jì)算機(jī)安全對(duì)你來(lái)說(shuō)是非常重要的今天，這樣做可能有多種原因。舉例來(lái)說(shuō)：

· 即使沒(méi)有對(duì)員工進(jìn)行嚴(yán)格的監(jiān)測(cè)，你也可能會(huì)認(rèn)為工作場(chǎng)所是一個(gè)安全的地方，也可以放心留下無(wú)人值守的計(jì)算機(jī)，但這可能會(huì)導(dǎo)致你成為心懷不滿的員工或意外的訪客惡意行為的犧牲品。

· 在工作場(chǎng)所對(duì)員工實(shí)行基于登錄名的審核，可能是一個(gè)不錯(cuò)的選擇。這樣可以確保在你離開(kāi)的時(shí)間，沒(méi)有人可以利用你的帳戶進(jìn)行未經(jīng)授權(quán)的操作。

· 當(dāng)在咖啡館和其他公共場(chǎng)所利用筆記本計(jì)算機(jī)進(jìn)行工作(或娛樂(lè))的時(shí)間，不要認(rèn)為沒(méi)有人會(huì)在你離開(kāi)的時(shí)間偷走它。即使是留下通常值得信賴的朋友在筆記本計(jì)算機(jī)旁邊，也可能會(huì)出搞笑事件，舉例來(lái)說(shuō)，他可能利用微軟Windows操作系統(tǒng)的熱狗展臺(tái)主題將圖形界面改變?cè)斐梢环N令人痛苦的效果。

· 當(dāng)有人希望你不要離開(kāi)自己的計(jì)算機(jī)以防止被盜的時(shí)間，確保系統(tǒng)中的機(jī)密信息不會(huì)被小偷恢復(fù)是非常重要的。

讓我們確定你已經(jīng)使用了包括全磁盤(pán)加密、強(qiáng)安全性密碼的操作系統(tǒng)登錄模式以及個(gè)人文件加密等在內(nèi)顯而易見(jiàn)的高技術(shù)措施來(lái)防范這些時(shí)刻存在的威脅。這樣的話，你就應(yīng)該更關(guān)注于怎樣在離開(kāi)筆記本計(jì)算機(jī)到洗手間或離開(kāi)IT部門(mén)一次會(huì)議上辦公桌這段時(shí)間里，采取什么樣的措施才能保證系統(tǒng)的安全。下面提供的五項(xiàng)簡(jiǎn)單措施，就可以提高你的系統(tǒng)安全性，防范那些妄圖直接進(jìn)入的人：

1. 為基本輸入輸出系統(tǒng)BIOS和CMOS設(shè)置密碼

盡管，為計(jì)算機(jī)的基本輸入輸出系統(tǒng)BIOS和CMOS設(shè)置一個(gè)密碼并不能提供“真正的”安全。只要打開(kāi)機(jī)箱，從主板上取下CMOS的電池，就可以輕松繞過(guò)基本輸入輸出系統(tǒng)BIOS和CMOS的設(shè)置密碼。但從另一方面考慮，如果某人只有在你遠(yuǎn)離的幾分鐘才能接近系統(tǒng)的話，這會(huì)是一個(gè)非常重要的防護(hù)措施，可以降低他在你回來(lái)前獲得系統(tǒng)控制權(quán)的概率。由于基本輸入輸出系統(tǒng)BIOS和CMOS的密碼只能消除，而不會(huì)被黑客行為破解，這樣也可以讓你發(fā)現(xiàn)有人試圖利用你的計(jì)算機(jī)進(jìn)行未經(jīng)授權(quán)的訪問(wèn)操作。

2. 禁止使用外部設(shè)備開(kāi)機(jī)

利用一張軟盤(pán)就可以實(shí)現(xiàn)整個(gè)操作系統(tǒng)的全部功能，CD或DVD、甚至USB閃存設(shè)備也可以用來(lái)啟動(dòng)系統(tǒng)，大量的黑客工具也可以做到這一點(diǎn)。只要將它們插入相應(yīng)的驅(qū)動(dòng)器中，并重新啟動(dòng)系統(tǒng)即可。如果你在CMOS設(shè)置中沒(méi)有禁止這些選項(xiàng)的話，它們將容許其他人利用別的操作系統(tǒng)啟動(dòng)系統(tǒng)。正如我文章上面所述的，如果你為基本輸入輸出系統(tǒng)BIOS和CMOS設(shè)置密碼，在清除密碼更改設(shè)置前是不可能使用這些啟動(dòng)設(shè)備的。

3. 在遠(yuǎn)離計(jì)算機(jī)的時(shí)間始終鎖定屏幕或登出用戶

在離開(kāi)的時(shí)間留下支持用戶登入所有應(yīng)用都處于激活狀態(tài)的計(jì)算機(jī)，是讓未經(jīng)授權(quán)的人獲得系統(tǒng)中的大量信息最快和最簡(jiǎn)單的方式。如果你離開(kāi)的時(shí)間，磁盤(pán)解密功能是處于運(yùn)行的狀態(tài)，全磁盤(pán)加密并不會(huì)給信息安全帶來(lái)保障，只要有足夠的時(shí)間，就可以通過(guò)USB閃存設(shè)備將機(jī)密文件復(fù)制出來(lái)，甚至也許更容易，只要通過(guò)GMail或者雅虎郵箱將數(shù)據(jù)發(fā)送給本人就可以了。使用系統(tǒng)的屏幕鎖功能，以防止這種物理連接行為。舉例來(lái)說(shuō)，你可以為屏幕保護(hù)程序設(shè)定密碼，或者在離開(kāi)的時(shí)間登出系統(tǒng)，這樣的話，任何人想進(jìn)入系統(tǒng)都必須再次登入。

在默認(rèn)狀態(tài)下，一些圖形用戶界面環(huán)境并不包含這樣的功能，我選擇的窗口管理器(AHWM和wmii)就屬于這樣的情況。并且，象這樣的輕量級(jí)圖形用戶界面環(huán)境也沒(méi)有相關(guān)的設(shè)置;我選擇一個(gè)稱做slock的屏幕鎖定工具來(lái)實(shí)現(xiàn)這樣的功能，盡管它非常小，但功能非常出色。如果你選擇使用它的話，請(qǐng)務(wù)必記得要登出TTY控制臺(tái)，因?yàn)閟lock本身只會(huì)鎖定X會(huì)話，TTY控制臺(tái)是不包括在內(nèi)的。

4. 為加密工具選擇只使用內(nèi)存的安全部分

正如我在《“不安全的內(nèi)存”常見(jiàn)問(wèn)題解答》一文中所解釋的，加密工具會(huì)將密碼保存在可以使用的空間里，因此，當(dāng)計(jì)算機(jī)系統(tǒng)內(nèi)存被大量占用的時(shí)間，原先保存在內(nèi)存中的數(shù)據(jù)就可能被交換到磁盤(pán)上(舉例來(lái)說(shuō)，根據(jù)微軟的官方術(shù)語(yǔ)，叫做存儲(chǔ)頁(yè)文件)。如果這樣的情況出現(xiàn)了，就可能出現(xiàn)在關(guān)閉系統(tǒng)后數(shù)據(jù)還是存在的問(wèn)題。這時(shí)間，只要坐在硬盤(pán)前，運(yùn)行一個(gè)簡(jiǎn)單的分析工具，加密密碼就被恢復(fù)了。

解決這個(gè)問(wèn)題的關(guān)鍵是要確保你使用的內(nèi)存是安全的：對(duì)于操作系統(tǒng)來(lái)說(shuō)，不同用處的隨機(jī)存取記憶的管理方式是不一樣的，預(yù)留給某一特定應(yīng)用的內(nèi)存位置將永遠(yuǎn)不會(huì)被交換到磁盤(pán)。如果你希望了解詳細(xì)的信息，可以參考《“不安全的內(nèi)存”常見(jiàn)問(wèn)題解答》一文。當(dāng)出現(xiàn)這種情況的時(shí)間，請(qǐng)確保不要在關(guān)閉系統(tǒng)的時(shí)間就馬上離開(kāi)，應(yīng)該稍微再等幾分鐘;因?yàn)榇嬖趽碛羞@樣功能的惡意安全裝置，只要物理連接到系統(tǒng)上，可以快速對(duì)隨機(jī)存取記憶里保存的信息進(jìn)行恢復(fù)。

5. 為未經(jīng)授權(quán)的密碼恢復(fù)操作設(shè)定阻礙措施

現(xiàn)在的大部分普通操作系統(tǒng)都提供了對(duì)由于系統(tǒng)誤差和用戶錯(cuò)誤操作導(dǎo)致的密碼失敗恢復(fù)設(shè)置。其中的一些甚至提供了一種可以直接恢復(fù)或重設(shè)丟失的管理員密碼的辦法。這也就意味著，存在一種幾乎不受到任何限制進(jìn)入系統(tǒng)任何部分的方法(除了需要專門(mén)密碼的加密文件)。其中最簡(jiǎn)單的一種就是進(jìn)入備用操作模式，微軟Windows操作系統(tǒng)的安全模式和Unix(包括Linux )單用戶模式就屬于這種情況。

在微軟Windows操作系統(tǒng)的安全模式下，大部分安全軟件都將被禁用，甚至通常使用的一些日志和加密工具也被包括在內(nèi)。對(duì)于黑客來(lái)說(shuō)，這是一個(gè)不錯(cuò)的攻擊途徑，可以方便地獲得系統(tǒng)管理員帳戶的密碼;舉例來(lái)說(shuō)，微軟Windows XP操作系統(tǒng)就可以創(chuàng)建沒(méi)有密碼的系統(tǒng)管理員帳戶，對(duì)于安全實(shí)踐來(lái)說(shuō)，這是一個(gè)多么可怕的錯(cuò)誤啊。為了防范這種情況的發(fā)生，就需要對(duì)安全模式進(jìn)行設(shè)定，禁止未經(jīng)授權(quán)的人隨意地進(jìn)入系統(tǒng)。不過(guò)，如果這個(gè)人比較了解技術(shù)，能夠使用網(wǎng)絡(luò)上大量存在的Windows操作系統(tǒng)密碼恢復(fù)工具(而且是免費(fèi)的)，這樣的限制設(shè)定效果并沒(méi)有多大。

另一方面，在Unix和類Unix操作系統(tǒng)中，繞過(guò)安全措施進(jìn)行破解以獲得root密碼也是相當(dāng)困難的。不過(guò)，這種操作系統(tǒng)提供了一種單用戶模式，可以在沒(méi)有正確設(shè)置的情況下，獲得系統(tǒng)根級(jí)別的大部分權(quán)限。因此，你需要通過(guò)對(duì)TTY控制臺(tái)的設(shè)置進(jìn)行調(diào)整，取消root權(quán)限，來(lái)解決這個(gè)問(wèn)題。在不同的操作系統(tǒng)下，相應(yīng)的操作也是不一樣的。舉例來(lái)說(shuō)，在FreeBSD和蘋(píng)果MacOS操作系統(tǒng)下，你需要在/etc/ttys的文件里對(duì)配置進(jìn)行調(diào)整，而在許多Linux操作系統(tǒng)里，它們位于/etc/securetty文件中。

結(jié) 論

顯而易見(jiàn)，本文并不打算為你在公司網(wǎng)絡(luò)的周邊提供更好的安全，也不會(huì)教你如何進(jìn)行現(xiàn)場(chǎng)調(diào)查或滲透測(cè)試。所有要做的，僅僅是提醒你安全的基礎(chǔ)應(yīng)該是個(gè)人，無(wú)論他們是什么背景(工作、家庭、學(xué)校等)，對(duì)于安全事故來(lái)說(shuō)，最常見(jiàn)的原因依舊是用戶的粗心大意。盡管內(nèi)容可能不那么全面(畢竟，這僅僅這個(gè)列表僅僅包含了五項(xiàng))，但也可以給你開(kāi)始的方向。

通常情況下，安全鏈中最薄弱的環(huán)節(jié)就是用戶。你的責(zé)任就是讓這種情況不要成為現(xiàn)實(shí)。

【編輯推薦】

1. 十大絕招幫助企業(yè)化解經(jīng)濟(jì)危機(jī)安全風(fēng)險(xiǎn)
2. Win2003 安全配置技巧
3. 網(wǎng)絡(luò)和數(shù)據(jù)通訊安全
4. 路由器安全性基礎(chǔ)設(shè)置