个人信息安全保护：数据安全

[wanghx]

http://feedproxy.google.com/~r/Wdragon/~3/BSrd7i2FQ0U/safe-protection-personal-information-data-security.html

个人信息安全保护：数据安全

from W.Dragon's Blog by WDragon

老早想写一篇这个方面的东西了，琢磨来琢磨去，自己研究了老长时间，觉得差不多了，蹦出来讲讲。

本文作为整体计算机信息安全防护的其中一个分支内容，介绍了数据安全的概念和建立在实际运用基础上的本机数据 安全架构体系，将逐步引导你在本机对资料进行完善的被动防护，理论上被成功完全窃取数据的概率绝对不会比两架空中的飞机相撞大。事实上一般并不需要完全做 到，比如WDragon我自己都没有完全做到，^_^。

一.个人/商用计算机安全体系

我认为个人/商用计算机安全分为以下几部分：

1.物 理安全

2.网 络安全

3.系 统安全

4.数 据安全

以上4点，逐级递进，任何一点的漏洞将会毫无疑问的威胁到后面的几点，

    先说一下本文阐述的商用计算机概念，指的是在工作时配发的私人用计算机，这应该是由一个人专用的，并且不事先设置监控软件的计算机，假如安全分析发现配发 的计算机中有某些上司监视员工行为的工具存在，最好自己准备一台笔记本电脑专用于工作，因为监控软件本身就是一个威胁源。

物理 安全很好理解，就是物理上主机的安全状况。

    假如物理主机防御非常强健，接触者需要严格的身份验证并且不连接互联网的话，那么就是理想中的最安全状态了，可是很显然这在一般条件下是几乎无法做到的， 我们能做的就是增加旁人接触主机的难度，给机箱上锁，设置开机密码等等比较简单的工作，不过如果你能把机箱让国安局看管的话，下面的文字也都不用看了……

网络 安全包括在相对安全的网络环境下的安全和非安全的网络环境下的安全。

    比如在公网下就处于非安全的 网络环境，这时的计算机就是大海上的一叶孤舟，时时刻刻都可能受到暴风雨的摧残，这对主机防御是相当不利的， 一般条件下建议最少也添置一台具有基本防火墙功能的路由器，将计算机从公网中剥离来大幅度 减少被袭击的可能性，如果路由器能够设置成不回应ping的工作模式就更好了，这可以避 免大多数恶意行为者（骇客乃至不入流的工具党）对于网络上的拉网式攻击（带套总安全些，虽然不是绝对管用）。

    当计算机处于可信的VPN（虚拟专用网）和网关具有强大滤过能力的防火墙的局域网下时可以认为是相对安全的网络环境， 这时候就不需要将大多数精力分散到传入数据的分析处理上，通常情况下做好反弹木马和局域网内部攻击的防范就可以了。

    不论在何种网络环境下，都需要做到的是应 用层面的安全和操作行为的 安全。

    应用层面的安全就是利用各种网络安全软件做好对网络入侵的防范，比如大多数稍有常识的计算机使用者都会安装的NIPS（基于网络的主机入侵防御），大多数 防火墙都属于这个范畴。

    操作行为的安全指的是宽泛的“习惯性的安全”，即需要在平时对电脑的应用中养成良好的习惯，最大限度的将自己置于信任的网络内，狭义的说就是不去访问那些 可能具有安全风险的网站，举例来说，国内的成人、色情站点是最为常见和普遍的 主动或被动挂马对象，曾经有一个朋友在某色情站点浏览一番后因为系统异常而求助于我，我给他的电脑进行病毒扫描之后诧异的发现他的电脑居然中了多达 1000+的名称大多不重复的病毒/木马，我判断这最起码有4个以上的木马下载器在 运作……一般这些网站主动挂上的木马下载器不会超过2个，至少据我所知在这个灰色产业链内是这样的……那么别的木马下载器捏？啊哈哈……

系统 安全就是一个非常宽广而我无法完全解释的概念了，不过，本文的重点也不在此~

    严格来说系统安全完全包括了上述几条，不过我这里还是分开吧，在这里系统的安全表示系统在正常使用下没有任何威胁数据安全的漏洞、不能被任何主动攻击入 侵、系统没有任何威胁性程序、配备有底层监控软件、良好的灾难预防习惯。呃，上面是我的白日梦……

    有没有漏洞不是我们所能控制的，最好的办法就是使用小众的操作系统并勤打补丁，这样可以很好的避免漏洞的出现，但是我们在讨论的是主流操作系统下的安 全……所以我们能够做到的只有勤于打补丁、定时杀毒、定时手动检查系统有无可疑的现象。

    设定完备的日志记录、组策略是在Windows下必须且管用的动作，同时个人认为HIPS（主机入侵防御）工具是必备 的，要求其至少具有AD（应用程序防御体系）和RD（注册表防御体系），3D具备当然是最好的，不过我一般也就用2D，SSM（AD+RD，非常经典的安全软件）是非常好的选择。

二.数据安全概述。

1.密 码设定

2.密 码安全防范

3.远 端截获数据的防范

4.对 本地数据分析的防范

5.文 件安全措施

6.应 对针对密码持有者暴力逼迫的文件安全措施

7.重 要数据次级存放点策略

三.数据安全的执行

对于密码设定， 我想在这里不需要多说了，建议收看《密码的精妙选择与记忆》还有月光博客的《你的密码还安全吗？》和《有关MD5加密后的密码安全讨论》

2.密码安全防范

    (1).在任何电脑上不存储任何密码，包括程序自动记忆、文本形式的备忘等。

        最低要求是通过keepass这类的密码管理工具统一管理密码，但我也不建议这样做，因为将所有密码放到一起本身就是高风险的。假如实在无法全部记忆，从 实际应用的角度出发考虑，建议使用记忆高安全等级密码，存放低安全等级密码的方法，这样风险会小很多，还有，密码管理软件的密码必须是独一无二的，不要因 为集中存放了诸多密码就设定和高安全等级一样的密码^_^

    (2).重要的服务具有低安全等级账户，简单的说，注册马甲~

        我使用的级别区分方式从低到高为：

        通用密码：该密码为从基础密码扩展3个字符得来，用作各种乱七八糟的不重要的服务注册，比如论坛。

        普通密码：该密码为从基础密码扩展5个字符得来，这个等级通常用于使用有一定频率的，不重要的服务。

        IM密码：该密码用于各种需要在公共场所登陆的即时聊天软件，比如QQ，MSN等。

        常用服务：非常重要的服务使用的密码，诸如twitter、校内等常用而又私人的服务

        最高级别安全密码：网银登陆账号密码、最重要的Gmail邮箱密码等，这些密码是在16位以上的不具备基础密码特征的完全彼此独立的密码。换句话说，每个 高安全级别密码都是互不相同且不是由基础密码扩展来的，虽然比较难记……

    (3).高安全等级密码仅在加密的网络上输入和设置。

        这个意思是你的高等级密码（就是从基本密码扩展来的最为复杂的一种，简单的说，网银登陆密码级别）不能够在任何你不信任的地方输入，包括网吧、公司、公共 场所、别人家里等等。你可以使用另外的相同功能的低安全等级账户替代它。

        另外，高等级安全密码设定的服务必须具有安全的传输路径，比如SSL，或者别的更为小众的加密手段（hashmail的java）。gmail就是典型的全程SSL传输的邮箱服务，我不推荐除此之 外的任何邮箱服务，即便yahoo拥有相同等级的加密措施（操蛋的雅虎曾经出卖用户数据给big brother！）

        总结性的说，你的高等级密码仅能够在满足下列条件的情况下键入：

        1.使用的计算机安全状况值得信任

        2.密码键入页面的SSL证书没有问题。（证书检验方式在后面写出）

    (4).每次登陆高安全等级账户的第一件事是查看登陆日志。（假如有）

        Gmail提供了邻近几次登陆日志查看的功能，当你每次登陆进去以后首先应该在最下方检查你的登陆记录，是否有陌生的IP地址登陆，如果有，应该立刻备份 最新内容然后将所有内容全部删除，检查计算机安全性，最好彻底重装一次系统，最后将次级存放点的数据恢复到账户中。（假如有备份恢复的功能的话）

3.远端截获数据的防范。

• 不论任何时间地点，不论对应账号安全等级，尽量全部使用SSL连接是非常管用的手段。
• 做法就是在所有http后面尝试加上s……对于无法加上s的网站，尽量使用VPN、Tor、SSH等加密代理手段访问再输入，当然 不能加s的网站通常不会具备非常高的资料价值，也可以使用低安全等级的账户访问~
• 同时在访问开启SSL协议的网站的时候，注意查看证书 的签名是否正确，以免被中间人攻击
• 检验SSL证书的有效性。火狐中可以通过工 具——页面信息——安全——查看证书，来查看证书是否正常，IE8则是通过“安全”——“安全报告”查看。

4.对本地数据分析的防范。

    当对方不论什么原因能够触碰到你的硬盘时，你的数据就非常危险了……

    这时候就是纯粹的被动数据安全了，主要有以下几点：

1. 平时注意清除自己的行为记录，比如我的文档打开历史，可以在组策略中取消保存，CCleaner是个非常不错的计算机历史清除工具，可以设置成关机自动 清除，覆写N遍，保证恢复不出来~除非是美国耗资几百万（几千万？）的什么紫外线硬盘数据恢复仪，那玩意说不定能给他恢复……不过我想你应该不会那么逆天 吧？
2. 文件安全防范，也就是对重要文件的加密，这个后面会说到。
3. 习惯于安置密码，在编辑文档，压缩备份的时候顺手设上密码，加上EFS，这会让试图非法窃取你的数据的 贼异常头疼。
4. 尽量少采用本地邮件客户端，宁可使用邮件到达通知软件或者服务，到时候上加密网页看，使用本地邮件客户 端是相对较为容易泄密的方式，特别是重要邮箱，一定不能在本地留下痕迹。
5. 任何程序的临时文件目录迁移至加密分区，注意，是加密分区，不是隐藏分区！不是啥文件夹加密大师这类废 柴工具能够做到的，方法在后面抗暴力胁迫的安全加密手段中提到。
6. 最优的做法是某文档/文件在数次密码验证失败后自动销毁，可是我不清楚可靠的能够达到这个目的的软 件……

5.文件安全措施。

    在传递文件的时候，S/MIME安全邮件是似乎不错的方法，但是其操作实在太过繁琐，并且虽然内容很安全，但是包括邮件标题，收信人发信人，发信 IP 地址，都会暴露，我记得本机DNS名也有暴露的风险，所以这个方法基本上可以排除，还不如利用7-zip打包成256bits的AES加密文件传递来的方便安全~

    对于本机的数据，我个人采用的方法是开辟一个专用的硬盘分区，按需调整大小，我分了10GB。

    对分区使用TrueCrypt这款软件进行加密处理，接着卸载掉分区完成后分配的盘符，用TrueCrypt将其载入到原盘符，这样就得到一个只有载入时 才出现的加密盘，即便有人手动分配盘符，也只是一片空白， 我将所有的临时文件堆放在这个盘符，由于使用Twofish-AES加密算法（在创建的时候可以选择，建议采用两种算法叠加的模式，这样可以读写速度和安全性能均衡），使得在我的电脑配 置下读写速度理论值在磁盘实际读写速度附近，即便理论值无法达到磁盘实际读写速度，高于IDE硬盘的速度也完全够用了。

    使用Firefox浏览器的便携版，设定禁止进程存储，将目录放在加密分区内，这样就是加密的无敌铁金刚版Firefox了。

    对于工作中的临时文件，同样堆积在该分区内，这样在遇到急事需要立刻离开的话就可以简单的卸除该分区或者关机就可以保证极高的安全等级，同时配合前面的 CCleaner，即便是专业的安全人员恐怕也会摊手摇头了。

6.应对针对密码持有者暴力逼迫的文件安全 措施。

    在某些极端情况下，可能密码持有者将面对残酷的现实——暴力胁迫，你可能不得不交代出你的密码来换取自己的人身安全，面对这样的假设，可能会有些束手无 策，但是我仍然能够给出足以实践的参考方法（我可没有那么逆天^_^）

    假如你认为在某些原因下可能必须透露出你的机密所在，那么可以采用如下办法。

1. 对重要文件分门别类，理清“绝 对不能招”和“交出这些的损失能够接受”
2. 用TrueCrypt创建单文件加密区，使用三重叠加加密算法，去除扩展名，不要特立独行的命名，放置 在system32目录，这样做是为了防止通过修改日期看出该文件的特殊之处，由于system32文件异常杂乱，这个办法显然无法奏效。这个文件用来存 放“绝对不能招”的文件，密码需要独一无二。
3. 在TrueCrypt产生的加密分区内创建隐藏加密区，同样密码必须独一无二，存放“即便泄露，损失可 以承受”的文件，安置这个加密分区的原因是防止一些懂这方面技术的人逼迫你吐露加密分区密码，一般来说知道这个功能的人都会忍不住创 建一个隐藏加密区存储更为重要的数据。
4. 该方法主要目的在于减少损失， 所以可以适当变通，比如降低隐藏加密区的文件重要程度。
5. 需要注意的是，必须确保你常常及时将临时文件加密盘的重要文件转移到单文件加密区和隐藏加密区，否则便 没有任何意义。

7.重要数据的次级存放点。

     你需要常常备份单文件加密区，并且将其上传到网上的存储空间来保证文件的安全性，记住，上传使用全局SSH或者VPN网络，否则被截获一个莫名数据包会让 窃听者开心不已。

四.总结

终于写完了，实话说，这篇文章分了好几天写，衔接的非常不好，看来我以后一定要一鼓作气，将一篇文章分开时间 写之后我对文字内容的控制力就急剧下降以至于到了让我非常受不了的地步……

这篇文章我并不满意，让批评来的更猛烈些吧！

关于本文核心内容的TrueCrypt使用，限于篇幅，我实在不敢再掺杂进去了，否则本身就读起来不爽的文章 可读性将降至谷底……汗。

转载请注明本文原始链接：http://xuanmg.org/posts/safe-protection-personal-information-data-security.html