我在嵌入式系统领域经营一家小型(1 人)咨询公司,使用标准 DSL 互联网访问在家工作。我的主要开发机器是一台Windows XP PC,它通过以太网电缆连接到路由器。我还有一台 MacBook Pro 笔记本电脑,它通过 WLAN (WPA-PSK) 连接到网络。
除了启用 Windows 防火墙、不使用 IE、拥有最新的防病毒程序和强密码之外,我还需要知道什么才能确保客户数据在这些计算机上的安全?
小智 10
实际上,您的问题比标题所说的要广泛得多。它不仅涉及防止恶意意图的安全性,还涉及防止您无法影响的事物(例如火灾、地震等)。
我认为最好处理这种“自下而上”(或自上而下,取决于您的观点),可以这么说,从计算机本身开始,然后转到您自己的网络,并以您的计算机在互联网上结束,原来如此。
您的计算机实际上是最重要的资产。它们包含需要保护的数据,因此我将首先讨论它们。
确保数据安全的第一件事是实施适当的备份程序。这确保了您(他们)数据在灾难保护/恢复意义上的安全。什么是正确的备份程序,完全取决于您的预算和您使用的数据的敏感性。一个好的起点是通过互联网完成的加密和异地备份。
其次是查看以防火墙方式对计算机的保护。任何计算机都需要一个像样的防火墙,但有一个选择:您可以为您的个人计算机设置防火墙,或者您可以执行所谓的“外围防火墙”。我建议你选择第三个选项,两者结合。
使用外围和工作站防火墙的原因很简单:外围防火墙不会阻止您的工作站通过电子邮件附件受到感染。您的防病毒产品可能会,但工作站防火墙应确保它不会通过网络传播到任何其他计算机。
嗯,副标题有点奇怪。那是因为这实际上可能与前一个标题具有相同的副标题。保护计算机上数据的第三步是确保没有恶意的数据(即程序)可以在您的计算机上运行。要做到这一点,当然你需要一个你提到的最新浏览器。但是您还需要一种方法来检查什么是什么,什么是恶意的,什么不是恶意的。换句话说:您需要一个病毒扫描程序。
使用'net 找到一个像样的,或者,甚至更好:购买企业版。据我所知,迈克菲相当不错,卡巴斯基也是如此。
当然,你可以安装任何你想要的安全软件,如果配置不正确,它对你没有好处。所以一定要检查设置。对于防火墙,我建议基本上关闭所有内容。什么都没有进去,什么也没有出去。之后,开始根据需要打开端口。例如,您将需要端口 80,因为这是 HTTP 默认使用的端口。还有一些其他人,互联网知道他们。
另一件事是选择合适的密码。互联网上也有很多关于这方面的内容,但请放心,这非常重要。
现在您的计算机基本上是安全的,是时候保护您的网络了。重要的是要知道,只要有足够的时间和资源,任何加密或安全都可能被破坏。另外:不存在的可能性,就是没有可能性。这听起来很明显,但它非常重要。
老实说,有线网络的安全性并不高。从网络的角度来看,这里最重要的是外围防火墙。您当然可以进行各种巧妙的混淆,例如不使用 DHCP 并使用与默认值 (192.168.1/24) 不同的私有子网,但最终它们不是一种安全措施,它们只是让它变得更难找出你在做什么。
但也有观看它的物理方式。如果我可以物理访问它,那么您的盒子的安全性就不好。您的网络也是如此。我认为它在你家里面,但它仍然是一个想法。
无线网络更像是一个 PITA。与有线网络不同,您不需要物理插头即可访问它。所以理所当然地,安全性必须强得多。幸运的是,“他们”已经想到了这一点,并给了我们无线加密。
一开始有WEP。这在当时已经足够好了,因为没有人能在合理的时间内破解它。目前,在相当繁忙的网络上破解它大约需要两到五分钟。所以 WEP 出来了。
然后WPA出现了并且好多了。然而,WPA 标准已经处于危险之中。GPU作为计算处理器而不是图形处理的出现只会加速关键破解。所以WPA也不在话下。
目前,只有 WPA2 可以提供合理的安全性,特别是如果使用 RADIUS(而不是 PSK)实现。这就是安全与资源发挥作用的地方。如果您想要更高的安全性,则必须安装 RADIUS 服务器。然而,这需要付出代价,因此增加的安全性可能不会超过增加的成本。
我认为你现在能做的最好的事情就是使用 WPA2-PSK 和足够的密码。让它长,让它复杂。
任何不广播您的 SSID 之类的东西都是假的,任何工具都可以找到您的网络。注册MAC地址也是如此。找到一个可接受的 MAC 并将我的适配器设置为它需要大约一分钟。