十大建議改變您的系統安全等級

無論你現在使用的作業系統是什麼，總有一些通用的加強系統 安全 的建議可以參考。如果你想加強你的系統來阻止未經授權的通路和不幸的災難的發生，以下預防措施肯定會對你有很大幫助。

　　 1、使用安全系數高的密碼

　　提高安全性的最簡單有效的方法之一就是使用一個不會輕易被暴力攻擊所猜到的密碼。

　　什麼是暴力攻擊?攻擊者使用一個自動化系統來盡可能快的猜測密碼，以希望不久可以發現正确的密碼。使用包含特殊字元和空格，同時使用大小寫字母，避免使用從字典中能找到的單詞，不要使用純數字密碼，這種密碼破解起來比你使用母親的名字或你的生日作為密碼要困難的多。

　　另外，你要記住，每使你的密碼長度增加一位，就會以倍數級别增加由你的密碼字元所構成的組合。一半來說，小于8個字元的密碼被認為是很容易被破解的。可以用10個、12個字元作為密碼，16個當然更好了。在不會因為過長而難于鍵入的情況下，讓你的密碼盡可能的更長會更加安全。

　　 2、做好邊界防護

　　并不是所有的安全問題都發生在系統桌面上。使用外部防火牆/路由器來幫助保護你的計算機是一個好想法，哪怕你隻有一台計算機。

　　如果從低端考慮，你可以購買一個寬帶路由器裝置，例如從網上就可以購買到的Linksys、D-Link和Netgear路由器等。如果從高端考慮，你可以使用來自諸如思科、Foundry等企業級廠商的可 網管 交換機、路由器和防火牆等安全裝置。當然，你也可以使用預先封裝的防火牆/路由器安裝程式，來自己動手打造自己的防護裝置，例如使用m0n0wall和IPCoP。代理伺服器、防病毒網關和垃圾郵件過濾網關也都有助于實作非常強大的邊界安全。

　　請記住，通常來說，在安全性方面，可網管交換機比集線器強，而具有位址轉換的路由器要比交換機強，而硬體防火牆是第一選擇。

　　 3、更新您的軟體

　　在很多情況下，在安裝部署生産性 應用 軟體之前，對系統進行更新檔測試工作是至關重要的，最終安全更新檔必須安裝到你的系統中。如果很長時間沒有進行安全更新，可能會導緻你使用的計算機非常容易成為不道德黑客的攻擊目标。是以，不要把軟體安裝在長期沒有進行安全更新檔更新的計算機上。

　　同樣的情況也适用于任何基于特征碼的惡意軟體保護工具，諸如防病毒應用程式，如果它不進行及時的更新，進而不能得到目前的惡意軟體特征定義，防護 效果 會大打折扣。

　　 4、關閉沒有使用的服務

　　多數情況下，很多計算機使用者甚至不知道他們的系統上運作着哪些可以通過網絡通路的服務，這是一個非常危險的情況。

　　Telnet和FTP是兩個常見的問題服務，如果你的計算機不需要運作它們的話，請立即關閉它們。確定你了解每一個運作在你的計算機上的每一個服務究竟是做什麼的，并且知道為什麼它要運作。

　　在某些情況下，這可能要求你了解哪些服務對你是非常重要的，這樣你才不會犯下諸如在一個微軟Windows計算機上關閉RPC服務這樣的錯誤。不過，關閉你實際不用的服務總是一個正确的想法。

　　 5、使用資料加密

　　對于那些有安全意識的計算機使用者或系統管理者來說，有不同級别的資料加密範圍可以使用，根據需要選擇正确級别的加密通常是根據具體情況來決定的。

　　資料加密的範圍很廣，從使用密碼工具來逐一對檔案進行加密，到檔案系統加密，最後到整個磁盤加密。通常來說，這些加密級别都不會包括對boot分區進行加密，因為那樣需要來自專門硬體的解密幫助，但是如果你的秘密足夠重要而值得花費這部分錢的話，也可以實作這種對整個系統的加密。除了boot分區加密之外，還有許多種解決方案可以滿足每一個加密級别的需要，這其中既包括商業化的專有系統，也包括可以在每一個主流桌面作業系統上進行整盤加密的開源系統。

　　 6、通過備份保護你的資料

　　備份你的資料，這是你可以保護自己在面對災難的時候把損失降到最低的重要方法之一。資料備援政策既可以包括簡單、基本的定期拷貝資料到CD上，也包括複雜的定期自動備份到一個伺服器上。

　　對于那些必須保持連續線上服務不當機的系統來說，RAID可提供自動出錯備援，以防其中一個磁盤出現故障。

　　諸如rsync和Bacula等 免費 備份工具可以把任意複雜級别的自動備份方案整合在一起。諸如Subversion之類的版本控制工具可以提供靈活的資料管理，是以你不僅能夠在另一台計算機上進行備份工作，而且你能夠不用費事的讓多台計算機的系統可以對同一個資料保持同步。通過這種方式來使用subversion，讓我在2004年我的工作筆記本的硬碟損壞的情況下，資料幸免于難，這也說明了對關鍵資料進行定期備份的重要性。

　　 7、加密敏感通信

　　用于保護通信免遭竊聽的密碼系統是非常常見的。針對電子郵件的支援OpenPGP協定的軟體，針對即時通信用戶端的Off The Record插件，還有使用諸如SSH和SSL等安全協定維持通信的加密通道軟體，以及許多其他工具，都可以被用來輕松的確定資料在傳輸過程中不會被威脅。

　　當然，在個人對個人的通信中，有時候很難說服另一方來使用加密軟體來保護通信，但是有的時候，這種保護是非常重要的。

　　 8、不要信任外部網絡

　　在一個開放的無線網絡中，例如在你本地具有無線網絡的咖啡店中，這個理念是非常重要的。如果你對安全非常謹慎和足夠警惕的話，沒有理由說在一個咖啡店或一些其他非信任的外部網絡中，你就不能使用這個無線網絡。但是，關鍵是你必須通過自己的系統來確定安全，不要相信外部網絡和自己的私有網絡一樣安全。

　　舉個例子來說，在一個開放的無線網絡中，使用加密措施來保護你的敏感通信是非常必要的，包括在連接配接到一個網站時，你可能會使用一個登入會話cookie來自動進行認證，或者輸入一個使用者名和密碼進行認證。還有，确信不要運作那些不是必須的網絡服務，因為如果存在未修補的漏洞的話，它們就可以被利用來威脅你的系統。這個原則适用于諸如NFS或微軟的CIFS之類的網絡檔案系統軟體、SSH伺服器、活動目錄服務和其他許多可能的服務。

　　從内部和外部兩方面入手檢查你的系統，判斷有什麼機會可以被惡意安全破壞者利用來威脅你的計算機的安全，確定這些切入點要盡可能的被關閉。在某些方面，這隻是關閉不需要的服務和加密敏感通信這兩種安全建議的延伸，在使用外部網絡的時候，你需要變得更加謹慎。很多時候，要想在一個外部非信任網絡中保護自己，實際上會要求你對系統的安全配置重新設定。

　　 9、使用不間斷電源支援

　　如果僅僅是為了在停電的時候不丢失檔案，你可能不想去選擇購買UPS。實際上之是以推薦你使用UPS，還有更重要的原因，例如功率調節和避免檔案系統損壞。由于這種原因，確定使你的作業系統能夠提醒你它什麼時候将關閉，以免當電源用盡的時候你卻不在家中，還要確定確定一個提供功率調節和電池備份的UPS。

　　一個簡單的浪湧保護器還不足以保護你的系統免遭“髒電”的毀壞。記住，對于保護你的硬體和你的資料，UPS都起着非常關鍵的作用。

　　 10、監控系統的安全是否被威脅和侵入

　　永遠不要認為：因為你已經采取了一系列安全防護措施，你的系統就一定不會遭到安全破壞者的入侵。你應該搭建起一些類型的監控程式來確定可疑事件可以迅速引起你的注意，并能夠允許你跟蹤判斷是安全入侵還是安全威脅。我們不僅要監控本地網絡，還要進行完整性稽核，以及使用一些其他本地系統安全監視技術。

　　根據你使用的作業系統不同，還有很多其他的安全預防措施。有的作業系統因為設計的原因，存在的安全問題要大一些。而有的作業系統可以讓有經驗的系統管理者來大大提高系統安全性。不過，無論你的使用的是像微軟的Windows和蘋果的Mac OSX，還是使用的像Linux、FreeBSD等開源作業系統，當你在加強它們的安全的時候，以上建議都是必須牢記心頭的。