王弘毅 哈爾濱工業(yè)大學計算機科學與技術學院

一、行文背景

前不久，關于各種勒索病毒及其變種的新聞充斥在各大媒體的版面上，讓生活早已離不開互聯(lián)網(wǎng)的廣大人民群眾紛紛神經(jīng)緊繃。實際上，除了這種新出現(xiàn)的、主要以索取錢財為目的的病毒，當下的互聯(lián)網(wǎng)還充斥著許多其他以盜取用戶信息，或單純進行破壞為目的的其他不法軟件。這些威脅的存在使得確保計算機系統(tǒng)與網(wǎng)絡的安全在如今顯得極為重要——稍不留神，這些妖魔鬼怪就會趁虛而入。針對運行不同操作系統(tǒng)的計算機，提高計算機安全性的措施會有細微差別，但毋庸置疑，其中也有一些共性的東西存在。

二、通用原則

1.安裝并積極更新殺毒軟件。盡管大多數(shù)操作系統(tǒng)內建了防火墻和簡單的防病毒軟件，但要想獲得更完全的安全防護，則應該在系統(tǒng)防護的基礎上安裝正規(guī)殺毒軟件，加固系統(tǒng)安全防線。這些專業(yè)的殺毒軟件會在系統(tǒng)中安放“鉤子函數(shù)”，以捕捉到不法軟件企圖破壞系統(tǒng)的行為，并對此做出反應。除了防病毒，這些軟件一般也有查殺木馬和發(fā)現(xiàn)蠕蟲的功能。

2.積極進行系統(tǒng)更新，保證自己的計算機補丁保持最新。一些漏洞，如之前由Google 團隊發(fā)現(xiàn)的熔斷和幽靈漏洞，實際上靠殺毒軟件是很難修復的。因為這些漏洞多是由硬件設計上的疏忽造成的。像熔斷漏洞，實際上是利用現(xiàn)代高性能處理器亂序執(zhí)行指令的特點，使程序有可能訪問到按照順序來說本不應該訪問到的數(shù)據(jù)。這樣的漏洞只能靠安裝系統(tǒng)廠商發(fā)布的補丁進行彌補，且很大程度上會犧牲機器的性能。

3.養(yǎng)成定期進行數(shù)據(jù)備份的習慣。許多操作系統(tǒng)內建有數(shù)據(jù)備份的功能，但最好的方式還是將本機的重要數(shù)據(jù)拷貝到可靠的外部存儲設備，如移動硬盤之中。這樣，就算碰到了勒索病毒導致大部分文件、甚至之前留在本機硬盤中的系統(tǒng)備份文件也被加密的情況，也可以通過重新安裝操作系統(tǒng)，再將數(shù)據(jù)從外部存儲器拷貝進本機的方法解決。

4.主動防范不熟悉的電子郵件和鏈接，不輕易點擊。通過郵件和網(wǎng)頁鏈接傳播病毒是非常古老，但也非常經(jīng)典的手段。不法分子往往會利用人們貪小便宜的心里，偽造中獎信息，誘導用戶透露自己的個人信息。對這類攻擊，最根本的解決方案還是提高警惕，并且只在通過多種渠道確認對方身份之后再進行進一步操作。

三、運行Windows 的計算機

除去上面的通用原則，針對運行不同操作系統(tǒng)的計算機，還有一些特殊的操作可以提高計算機安全性。

當前的市場中，絕大多數(shù)的個人計算機都運行Windows 操作系統(tǒng)。更準確來說，2019 年以來，在我國的個人計算機操作系統(tǒng)中，Windows 占據(jù)了92.96%的份額。

Windows 是一款非常優(yōu)秀的操作系統(tǒng)，其界面優(yōu)雅直觀，操作方便，當年一上市就獲得了許多消費者的青睞。但也正由于其極大的市場占有率，許多病毒都是針對Windows 操作系統(tǒng)來編寫的，這也使Windows 的用戶相較其他人暴露在更大的風險之中。

好在Windows 經(jīng)過了多年的發(fā)展，功能已經(jīng)發(fā)展得非常完善，其內置了許多提高系統(tǒng)安全性的選項，并且也內置了一個優(yōu)秀的殺毒軟件Defender。這款軟件的病毒庫更新是比較頻繁的，因此往往可以應對大多數(shù)普通的威脅。除此之外，Windows 的防火墻也是功能非常齊全的，可以通過用戶連接網(wǎng)絡的具體種類來進行不同程度的防護。這兩個防護一定程度上幫助用戶維持了系統(tǒng)的穩(wěn)定，也防御了外部網(wǎng)絡的一些威脅，并且都是默認開啟的，因此用戶只要不要被某些網(wǎng)站誤導，去主動關閉即可。除此之外，在最新版本的Windows10中，系統(tǒng)還新增了一個“使用隨機硬件地址”的選項，該選項可以讓用戶在網(wǎng)絡中進行通信時使用一個虛擬的隨機MAC 地址，從而可以有效防止內網(wǎng)中的攻擊。該選項可以在設置中的WLAN 選項下找到，且默認關閉。如要提升系統(tǒng)對內網(wǎng)中攻擊的防御能力，則應該開啟。

圖1 使用隨機硬件地址

四、運行Linux 的計算機

大多數(shù)運行著Linux 的計算機實際上是各大公司提供互聯(lián)網(wǎng)服務的服務器。這些服務器往往需要運行FTP 和SSH 等一系列需要支持用戶遠程登入以管理主機的程序，從而也會給惡意用戶留下遠程侵入系統(tǒng)的可乘之機。

由于Linux 是開源免費的操作系統(tǒng)，所以軟件更新一般會稍稍滯后。并且由于個人計算機往往很少使用，因此針對該系統(tǒng)的殺毒軟件往往也沒有Windows上的那樣成熟。但好在Linux 有著極高的自定義性，因此我們可以通過很多其自身的特點加強防御。

1.chroot 命令

chroot 對于運行FTP 或者SSH 的主機來說是非常有效的防御措施，可以在終端中通過chroot 命令執(zhí)行。其概念類似于一個簡單的虛擬機，也即將FTP 與SSH 運行在一個區(qū)別于真實系統(tǒng)根目錄的虛擬根目錄下。該方案相比將程序運行在VMware 等程序提供的完整虛擬機上的最大好處就在于其運行效率很高，并且可以自己選擇將哪些文件復制到虛擬目錄下。在這樣的情況下，就算惡意用戶通過FTP 或SSH 遠程登錄了主機，也只能對虛擬目錄下的文件進行破壞，而不會影響真實的操作系統(tǒng)文件。

2.合理設置權限

簡單來說，Linux下文件的權限主要分為讀、寫和執(zhí)行，且分別面向文件擁有者、組成員和其他用戶分別設置。有些時候程序提示權限不夠，會有程序員為了避免麻煩直接而將所有權限均賦予該程序。這樣一來，程序確實可以正常運行了，但卻使得其他用戶也有了利用該程序的機會。為了提高系統(tǒng)的安全性，在給文件賦予權限時，一定要保證權力不多給、不亂給，從而防止其被惡意用戶利用。

3.設置能力位

在2.1 版本以后，Linux 系統(tǒng)擁有了一個為程序設置能力位的功能。該功能是為了避免程序因為要執(zhí)行某些特殊功能而獲取系統(tǒng)最高權限后可能會被惡意用戶利用的情況。使用了能力位的程序只能在某一類操作上擁有系統(tǒng)最高權限，而不能進行能力位未授權的其他操作。在終端中，可以通過setcap 命令對文件進行能力位授予，而此操作也一樣應該秉持能力位不多給、不亂給的原則。

五、結束語

針對個人用戶經(jīng)常使用的Windows 和互聯(lián)網(wǎng)服務提供商通常使用的Linux 系統(tǒng)，本文分別給出了相應的提高系統(tǒng)安全性的方法。但本文所提到的這些方法僅僅只是幾個有代表性的方法，并非全部。在提高計算機安全的路上，沒有所謂的終點。維護信息安全仍需要人們持續(xù)的研究與努力。