電腦安全大話題層層深入保平安

《電腦愛(ài)好者》編輯部

在電腦安全，也就是我們前面提到的，主要是信息安全上有兩個(gè)要防范的方向，即信息丟失和信息泄露。對(duì)前者來(lái)說(shuō)，硬件級(jí)問(wèn)題造成的數(shù)據(jù)丟失事故一般用戶難以處理，例如移動(dòng)存儲(chǔ)設(shè)備丟失、損壞，電腦存儲(chǔ)設(shè)備故障等，所以最佳解決方法當(dāng)然是備份和同步，讓重要信息隨時(shí)擁有“分身”。而后者則是指的一些比較特殊的數(shù)據(jù)信息，其價(jià)值常常就在于隱秘性和獨(dú)特性，例如一些家庭的個(gè)人信息、財(cái)務(wù)信息，商業(yè)上的客戶信息、投資者信息等。這些數(shù)據(jù)一旦被人偷窺甚至截取，抑或是被別人掌控的話，不光信息價(jià)值會(huì)大打折扣，還會(huì)帶來(lái)不少麻煩（圖1），因此要減少其暴露在各種場(chǎng)合下的機(jī)會(huì)。

比較有趣的是，大家會(huì)發(fā)現(xiàn)，其實(shí)兩種防范的方向多少有點(diǎn)矛盾：防止數(shù)據(jù)丟失的最佳方式就是多點(diǎn)存儲(chǔ)，大量備份;而防止敏感信息泄露的方式則是集中存儲(chǔ)，減少存儲(chǔ)渠道。那么有沒(méi)有辦法解決兩者的矛盾呢？其實(shí)也是有的，那就是加密，讓別人無(wú)法解除信息、無(wú)法截取信息、無(wú)法識(shí)讀信息。在實(shí)際運(yùn)用中，這也是最適合的電腦安全防護(hù)方式，那么對(duì)普通用戶來(lái)說(shuō)，是否有辦法實(shí)施這些措施呢？其實(shí)在普通的電腦和操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)等方面，已經(jīng)為我們準(zhǔn)備了很多相應(yīng)的選項(xiàng)，只待用戶去啟用。

文件加密

在很多時(shí)候，電腦的開(kāi)放是無(wú)可奈何的事情，比如家用電腦或辦公室的共用電腦、數(shù)碼設(shè)備、移動(dòng)存儲(chǔ)設(shè)備等都不得不與人分享，并且需要開(kāi)放存儲(chǔ)等權(quán)限，不可能避免別人觸及自己的文件信息。在這樣的情況下，用戶最容易做到的信息保護(hù)措施就是對(duì)文件/文件夾加密，對(duì)普通用戶來(lái)說(shuō)，比較容易做到的有如下幾種方式。

●Windows自帶

在Windows操作系統(tǒng)中自帶對(duì)文件和文件夾的加密功能，只要右鍵點(diǎn)擊想要加密的內(nèi)容，選擇“屬性一高級(jí)”就可以看到“加密內(nèi)容以保護(hù)數(shù)據(jù)”的選項(xiàng)（圖2）。需要注意的是，在加密文件的時(shí)候，考慮到開(kāi)啟文件時(shí)的副本問(wèn)題，Windows會(huì)默認(rèn)使用父文件夾全部加密（圖3），如沒(méi)有這種打算，一定要注意選擇，否則可能加密一些非必要文件，造成麻煩。

將文件或文件夾加密后，只有在本機(jī)以相應(yīng)賬號(hào)登錄才能正常使用，即使文件被竊取或以其他賬號(hào)登錄打開(kāi)都無(wú)法正常使用。這一方式雖然對(duì)加密用戶來(lái)說(shuō)使用非常方便，每次開(kāi)啟無(wú)需輸入密碼，但也造成加密文件沒(méi)有移動(dòng)和共享能力，即使是加密用戶，一旦重裝操作系統(tǒng)、轉(zhuǎn)移平臺(tái)等，即使使用相同的登錄名、Windows賬號(hào)，都無(wú)法直接使用文件（圖4），因此最好在加密后馬上備份相應(yīng)的加密腳本，以防電腦出現(xiàn)故障，需要重裝系統(tǒng)。

●壓縮軟件

由于壓縮軟件是普通用戶電腦中必備的應(yīng)用軟件，所以使用壓縮文件進(jìn)行文件存儲(chǔ)同時(shí)加密是很常見(jiàn)的做法。目前最常見(jiàn)的壓縮軟件WinRAR和7-Zip均支持壓縮和加密功能，而且各有特色。

WinRAR用戶可在右鍵菜單中選擇“添加到壓縮文件”，在“高級(jí)”頁(yè)面下，選擇“設(shè)置密碼”即可。它不僅能設(shè)置密碼，而且還支持隱藏文件名（圖5），即點(diǎn)擊壓縮文件后僅跳出密碼輸入窗口，必須輸入密碼后才能看到目錄結(jié)構(gòu)和文件名，保護(hù)更加充分。

而在7-Zip的加密選項(xiàng)中，可選目前民用級(jí)別最強(qiáng)的標(biāo)準(zhǔn)之一，即AES 256，而且其加密選項(xiàng)就位于壓縮主界面中，且同樣支持文件名加密（圖6）。很明顯，作為很多商用軟件的選擇，7-Zip在對(duì)加密的重視程度上是超過(guò)WinRAR的。

小知識(shí)：

AES 256

AES的全稱為AdvancedEncryption Standard（高級(jí)加密標(biāo)準(zhǔn)），叉稱Rijndael加密法，是美國(guó)聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)。它同時(shí)也被全世界很多國(guó)家和地區(qū)、各種領(lǐng)域所承認(rèn)和使用，已成為對(duì)稱密鑰加密中最流行的算法之一，也是公認(rèn)的較為安全的對(duì)稱加密算法。

AES在軟件及硬件上都能快速地加解密，且只需要很少的存儲(chǔ)器。目前比較常見(jiàn)的AES128和AES 256指的是密鑰長(zhǎng)度不同，分別是128bits和256bits，對(duì)應(yīng)的加密處理次數(shù)不同，分別是10輪和14輪，后者的強(qiáng)度高于前者。其實(shí)AES 128已經(jīng)極難破解，AES256則更加安全，幾乎不可能被一般黑客破解。

●辦公文件

一般用戶產(chǎn)出的主要知識(shí)產(chǎn)權(quán)文件就是Word、Excel、PPT等辦公軟件生成的文件，這些文件一般都自帶加密功能，只需要在生成的時(shí)候進(jìn)行相應(yīng)的處理即可。例如在Word 365中，選擇將文件“另存為”，在另存界面中點(diǎn)擊“工具一常規(guī)選項(xiàng)”（圖7），即可開(kāi)啟密碼設(shè)置界面。在這一界面中可以設(shè)置多種密碼，防止其他人打開(kāi)或修改文檔（圖8）。

此外如PDF、Flash等文件，同樣可以在生成時(shí)進(jìn)行保護(hù)，不僅是防止他人獲得信息或非法使用，還可以保護(hù)其中的一些圖片、動(dòng)畫等組件不被剽竊。

系統(tǒng)權(quán)限

對(duì)電腦開(kāi)啟各種不同的使用權(quán)限，不僅可以保護(hù)其上的文件內(nèi)容，還可以防止誤刪除、下載病毒等一些妨礙電腦安全的情況。而電腦的使用權(quán)限從基于硬件開(kāi)機(jī)的BIOS密碼到操作系統(tǒng)功能開(kāi)放程度的Windows權(quán)限等，有多種不同的選擇。

●Windows權(quán)限

在Windows自帶的加密功能中，系統(tǒng)賬號(hào)、權(quán)限是很主要的認(rèn)證方式。對(duì)于不止一個(gè)人使用的電腦，開(kāi)啟多個(gè)不同權(quán)限的賬號(hào)，設(shè)置不同的賬戶，對(duì)文件、文件夾、注冊(cè)表等的訪問(wèn)能力是很好的保護(hù)方式。此外Windows10還支持多種方式登錄，也可以用來(lái)作為不同用戶的識(shí)別和登錄途徑。

一般來(lái)說(shuō)，我們只需要根據(jù)系統(tǒng)設(shè)置管理員（Administrators）和訪客（Guest）兩種權(quán)限的用戶（圖9），并分別為敏感文件設(shè)置不同的讀寫權(quán)限即可（圖10）。不過(guò)對(duì)一些用戶比較復(fù)雜的電腦，還可以直接為不同的用戶設(shè)置獨(dú)立的權(quán)限，這一操作比較復(fù)雜，也較少用到，這里就不贅述了。針對(duì)一些用戶構(gòu)成比較復(fù)雜的電腦，例如電教教室中的演示電腦等，最好將注冊(cè)表、USB接口、上網(wǎng)等組件和功能也設(shè)置權(quán)限。

●BIOS權(quán)BR

通過(guò)直接在BIOS中設(shè)限，可以讓其他人根本無(wú)法開(kāi)機(jī)，對(duì)電腦的保護(hù)作用更強(qiáng)。其設(shè)置非常簡(jiǎn)單，一般在主界面或最后一個(gè)頁(yè)面中，注意很多BIOS實(shí)際上是有三個(gè)密碼項(xiàng)目，分別是UserPassword、Administrator（或Supervisor） Password、BootPassword（圖11），前兩者主要是針對(duì)BIOS訪問(wèn)權(quán)限的，分別只能查看BIOS設(shè)置和允許進(jìn)行修改，而后者才是啟動(dòng)密碼。設(shè)置了Boot Password后會(huì)在啟動(dòng)至BIOS引導(dǎo)時(shí)就要求用戶輸入密碼，正確才能繼續(xù)啟動(dòng)過(guò)程。

需要注意的是，BIOS設(shè)置的啟動(dòng)密碼雖然可以讓未授權(quán)用戶完全無(wú)法進(jìn)入硬件引導(dǎo)過(guò)程，但也可以通過(guò)硬件層面直接繞過(guò)，比如拔掉電池強(qiáng)制清除BIOS，或者干脆卸除硬盤進(jìn)行竊密。因此這一方式必須與其他防護(hù)方式配合使用.例如鎖住機(jī)箱、文件加密等。

●存儲(chǔ)盤加密

在文件與文件夾的更上一層，我們還可以直接對(duì)存儲(chǔ)盤進(jìn)行加密，最常見(jiàn)的是閃存盤與移動(dòng)硬盤，很多品牌都會(huì)直接提供加密工具，僅需要簡(jiǎn)單設(shè)置，就能將存儲(chǔ)空間完全“鎖”住。目前很多相關(guān)的加密工具已經(jīng)可以支持AES算法，有些甚至達(dá)到AES 256，安全性極高（圖12）。但設(shè)置時(shí)也要非常小心，因?yàn)橐恍S商表示用戶加密后連返廠都是無(wú)法破解的，廠商能做的也只是將密碼和數(shù)據(jù)一起“抹除”。

●虛擬系統(tǒng)

加密并不是一勞永逸的，設(shè)置的密碼安全性再高，如果直接被竊取了密碼的話，黑客同樣可以對(duì)用戶的文件進(jìn)行任意處理。而竊取密碼最常見(jiàn)的就是種植木馬，通過(guò)記錄用戶的輸入或軟件的反應(yīng)，即可直接得到密碼。那么，如果必須運(yùn)行一些比較可疑的程序又該怎么辦呢？最簡(jiǎn)單的辦法就是將其與帶有各種用戶、密碼的操作系統(tǒng)分離，建立虛擬系統(tǒng)是比較簡(jiǎn)單的方式。

Windows10系統(tǒng)自帶的虛擬PC工具以及主流處理器自帶的虛擬化設(shè)置，以及第三方虛擬機(jī)程序，我們進(jìn)行過(guò)很多相關(guān)的介紹，這里就不再贅述了。需要注意的是，即使是在虛擬系統(tǒng)中，在運(yùn)行“可疑”程序之前也應(yīng)該有一定的準(zhǔn)備。例如注意其中的瀏覽器等“不起眼”的應(yīng)用中，是否啟用了自定義ID和密碼，因?yàn)榻柚@些ID與密碼，黑客同樣可以通過(guò)分析或不斷滲透，來(lái)獲得更多的用戶信息。特別是一些采用郵箱或手機(jī)號(hào)注冊(cè)，同時(shí)又喜歡使用統(tǒng)一密碼的用戶（圖13），只要被攻破一點(diǎn)，就會(huì)造成個(gè)人信息的全面丟失。

硬件解決方案

大家可能早已習(xí)慣了在手機(jī)上通過(guò)指紋、面孔解鎖屏幕或?yàn)楦犊畹葢?yīng)用授權(quán)。其實(shí)在PC上也完全可以實(shí)現(xiàn)這些能力，而且處理器中也內(nèi)置了專門的安全模塊，即英特爾的博銳（ vPro）技術(shù)和AMD的GuardMI技術(shù)，雖然其中大部分產(chǎn)品、功能是針對(duì)商用系統(tǒng)設(shè)計(jì)的，但也有很多消費(fèi)級(jí)處理器、消費(fèi)級(jí)電腦同樣帶有這些功能，且可以對(duì)消費(fèi)級(jí)應(yīng)用提供良好的支持。例如最常見(jiàn)的就是可以更好地使用電腦上的指紋識(shí)別系統(tǒng)（圖14），將其納入整體應(yīng)用和安全體系內(nèi)。