安全经验谈连载之：防护个人工作站

防护个人计算机的第一步是保证补丁都正确安装了，微软网站上有工具（安全基准分析器）可以扫描Windows和Office系列产品，要定期扫描，至少每个季度做一次。同时也要定期检查一下其它软件是否有 新的更新。在许多情况下补丁都已经出了而利用此漏洞的病毒还大肆肆虐，很多人都忘记更新补丁。对于家庭计算机来说，更新补丁是 重要的安全措施，及时更新补丁可以抵御大部分攻击。对于网络工作站来说，这也是不可忽视的一步。

防护个人计算机第二步：对安装软件和改变配置加强管理。在网络环境下，大部分用户不允许改变系统的配置。只有网络管理员和指定的技术支持人员可以这样做。在家庭环境中，也只有负责人（通常是父母）才能安装软件。

这样做的目的是为了防止用户不小心安装了木马或其它恶意软件，假如不装任何软件，就不会有这种危险了。禁止用户修改配置是为了防止修改安全设置，新手经常做一些配置修改而没有意识到已经置身危险之中。

这里有一个很好的例子，新手可能会对Windows信使服务作些配置修改，因为大都认为是聊天室或即时通讯什么的，其实这是为网络管理员发送广播消息使用的。很不幸，一些广告软件就是用这项服务绕过弹出窗口阻止程序而进行骚扰的。因此，有安全意识的人应该禁止该服务。

任何网络环境都应该针对用户的配置权限做些限制，没有限制的话，即使是没有恶意的员工也可能摧毁系统安全。这通常要结合企业的规章制度一起贯彻实施，系统安全管理人员有义务向主管部门建议这些措施。

后一步前面已经提到，就是要对每一台计算机安装反病毒和反间谍软件，并且必须及时更新。及时更新的防病毒软件是整体安全方案的一部分，反病毒和反间谍双管齐下应该是个人电脑 主要的安全措施。一些安全专家认为反间谍是一个好的选择，但不是必要选择，也有一些专家坚持认为间谍软件越来越成为主要问题，甚至会超过病毒。

当然，如果操作系统内置有防火墙， 好也配置上。WindowsXP和Linux都有内置防火墙，打开配置上吧。实施这一步 常碰到的问题是，一些计算机可能是网络内的关键服务器（例如DNS服务器），在配置防火墙的时候要注意，不要阻止了正常的数据。如果是家庭计算机，可以简单的组织所有下行端口，如果在网络上，就要小心配置了。

密码和物理安全，也是计算机安全里非常重要的一部分，必须保证所有用户的密码至少8位，并包含字母与数字的组合。总之要保证完整的密码策略落实到位，这也能够使物理安全变得稳固。

上面的这些建议不能够使计算机绝对安全，但这些措施可以使用工作站的安全性保持在合理的范围内。注意，在考虑整个网络环境的整体安全性时，防护个人工作站的安全也是非常重要的。

之前强调常规动作非常重要，下面将针对个人计算机的常规动作总结一下，以清单的形式给出。该清单是用来辅助防护个人计算机的，不管是家庭计算机还是工作站，都需要一定的安全措施，利用该清单可以作为简单审计的蓝本。

基本安全措施：

●至少90天更新一次补丁。

●安装防病毒软件、正确运行并及时更新。

●关闭所有不用和不需要的服务。

●如果操作系统自带有端口过滤功能或防火墙，将其打开。

●密码长度不少于8位，至少6个月更改一次。

●浏览器至少设置为中等安全级别。

●只有管理员具有完全控制权限。

强化安全措施：

●安装反间谍软件，正确运行并及时更新。

●浏览器在中等安全级别的基础上进行一些自定义设置。

●密码至少8位，包含字母和数字的组合，并且每90天更改一次。

●卸载所有不需要的操作系统组件。

●每120天利用安全分析工具或端口扫描器对计算机进行一次脆弱性扫描。(责任编辑：李磊)