昨天提到自由軟體一樣存有安全性的問題,那麼個人自己用的電腦該怎樣規劃安全防禦對策呢?這是最近很多人跟我提到的問題。
其實安全對策隨著電腦科技的發展不斷的改變著,也隨著網路的發達而越來越複雜。對策嚴謹嚴密,電腦運作很容易綁手綁腳,開個網頁或使用個什麼網路服務,都會出現安全警告,這個安全警告的內容又常常是有看沒有懂,就更別說是採取最適當的措施了。
這是個很難的問題,除了廠商的廣告文宣能夠大言不慚的提出他們自認的完美方案之外,以我多年的經驗來看,只要入侵電腦存有可觀的利益,完美的方案就不存在。但也不能因此就放棄架構安全對策,還是要有一定水準以上的防禦,才能讓自己的電腦在絕大多數的時候都能正常工作。以下我只分享我個人的作法,不代表是最佳的方案,而只是我個人的對安全對策的了解和財力範圍所能及的作法。
大體上,安全防禦的作法不外乎從軟硬體方面下手,在硬體方面,我選擇具有防火牆功能的無線路由器(Wirless Rotuer),這是 3 Com 給中小企業的產品(型號就不提供了,因為已經停產了,目前有更強的後繼機種),主要目的為了方便讓桌機和 NB 能同時上網,其次是因為它是中小企業級的產品,防火牆的功能比較完備,更重要的是當時燦坤特價,是當時所有的無線 AP 最便宜的!以比家用級產品更低的價格能享受企業級的防護,當然不可放過。
目前很多無線 AP 都只提供無線連接,無法接上有線的電腦,這一台剛好二者均可,所以不必為了同時上網再買一張無線網卡讓桌機用。
硬體防火多數牆能抵禦網路多數的非法存取(這裡所謂的非法是指未經使用者同意的存取行為,不是違反法律規定),即使攻擊密度高到讓硬體防火牆癱瘓,至少自己的電腦還能正常運作,不至於會完全無法工作。
不過光是這樣是不夠的,電腦本身還得有軟體防火牆的防護。畢竟硬體防火牆的設定是很死的,有些軟體是可以通過它的封鎖,要不然怎麼上網呢?怎麼使用 MSN 和 Skype 呢?既然這些軟體能通過,某些惡意程式(病毒、病蟲、間諜軟體、木馬程式等)當然也有可能通過。所以,軟體防火牆的存在是必要的,它要能偵測到哪些軟體正在進行網路存取,如果在它所列的認可清單中沒有的,那就該顯示出來讓使用者知道有哪些程式正在進行存取網路(這就是很多人弄不清楚的安全警告訊息),如此才有機會適時阻止重要資訊流出的危險。這個機會就看你對你的電腦所用的軟體認識多少而定,如果自己連最基本的執行檔是什麼,軟體安裝在哪個資料夾都不知道,那這一層防禦對你來說可能毫無意義。
軟體防火牆在 Windows XP SP2 後已經列入作業系統的標準配備,無奈微軟所提供的太精簡,很多軟體它都會放行,而且沒有辦法做到詳細的設定,往往是擋了就全部不能用,放行就是誰都能通過。因此,我會選擇其他的防火牆。我本來是要選擇企業級的產品,但是太貴作罷,上網尋找免費的軟體來使用,發現除了著名的 ZoneAlarm,還有很多,我還找到老牌的工具程式製作公司 Pc Tools(只要是從 DOS 一路玩上來的玩家應該都認識它,當年最強的工具程式非他出品的莫屬),它也出品免費的防火牆,不但有中文版,而且功能還頗齊全,某些重要的部份已達企業級的水準,當然我就選用啦!
最後一道防禦當然就是防毒軟體啦!現今的防毒軟體所要偵測的不只是病毒,還必須包括各式各樣的惡意程式才行。不過哪一套強?坦白說很難認定。以往我認定最好的是賽門鐵克的 Norton ,不過近來發現它有走下坡的趨勢,不但容易和其他程式衝突,消耗較多的記憶體,最重要的是更新的速度不夠快,快速變種的惡意程式往往沒辦法第一時間攔到。這對我這個常常要測試很多東西的人來說,這是非常大的致命傷。
最近測試過的比較好的是卡巴斯基(Kaspersky)的 Workstation 版本,防禦力的滿意自不在話下,它的更新頻率可以設定到一分鐘一次,但是這樣的頻率太密集,會影響電腦的其他工作,我自己的研究是可設定在 2-6 小時之間。而且這套產品內含防火牆,功能相當齊全,也能進行細項設定,如此可以減少軟體的安裝數目,進行設定也比較容易。不過它的費用並不便宜,因此也可考慮其他免費的防毒軟體。在眾多免費的防毒軟體中,我自己試過比較滿意的產品是俗稱小紅傘的 Avira AntiVir(這個沒有啥客觀標準,純粹是我個人的觀點),在沒有太多經費的情況下,不能用卡巴斯基的電腦,就以小紅傘搭配 Pc Tools 的防火牆囉!
看到這,大概會有許多人會問:「怎麼你都選擇企業級的產品啊?」這是因為我測試過許多家用版本,發現防禦力都不夠,簡直跟玩具無異,而且消耗的系統資源還比企業版高出許多(我完全無法理解廠商的目的),因此在能力許可的範圍內,我都選擇企業級的安全產品。不過機會不大的就是了。
以上是我個人目前的防禦架構和設施,所反應的是我對目前安全問題的認識,但也不代表我日後不會改變,也不是最佳的作法,只是提供給大家當作架構自己電腦防禦措施的一個參考。
沒有留言:
張貼留言