上網(wǎng)本的安全準(zhǔn)則

朱德林

上網(wǎng)本市場(chǎng)的異軍突起對(duì)網(wǎng)絡(luò)安全行業(yè)的挑戰(zhàn),在于安全軟件的防護(hù)作用和服務(wù)器端的處理能力成為關(guān)鍵。

x在網(wǎng)絡(luò)世道紛擾之下,那些打著“凌動(dòng)”(Atom)標(biāo)簽的上網(wǎng)本們,先求潔身自好,才能云游網(wǎng)海。這類計(jì)算機(jī)的出現(xiàn),給各大IT廠商提供了機(jī)遇,同時(shí)接踵而至的還有挑戰(zhàn)。從硬件上的電池到Wi-Fi模塊,從軟件上的操作系統(tǒng)到終端防護(hù)產(chǎn)品,除了安全還是安全。

功能簡(jiǎn)化下的安全難題

如今流行的上網(wǎng)本價(jià)格普遍在3000元以內(nèi),一些“山寨版”更低至2000元左右,運(yùn)算性能上的缺陷使其無法正常使用大部分殺毒軟件。上網(wǎng)本市場(chǎng)的異軍突起對(duì)網(wǎng)絡(luò)安全行業(yè)形成真正意義上的挑戰(zhàn),在于安全軟件的防護(hù)作用和服務(wù)器端的處理能力成為關(guān)鍵。體形龐大、大量消耗CPU資源的傳統(tǒng)殺毒軟件應(yīng)“瘦身”以適合上網(wǎng)本的配置。

以上網(wǎng)為主要消費(fèi)目的的低價(jià)低配本,天然地存在諸多安全問題。主要是上網(wǎng)本的硬件配置低,限制了運(yùn)行安全軟件的能力,例如進(jìn)行數(shù)據(jù)加密和運(yùn)行反惡意軟件工具。由于對(duì)處理能力、內(nèi)存、存儲(chǔ)空間有較高要求,一些安全軟件在上網(wǎng)本上運(yùn)行很勉強(qiáng),甚至無法運(yùn)行。

過時(shí)的系統(tǒng)軟件使得上網(wǎng)本極易受到惡意軟件感染。例如,今年早些時(shí)候,英國安全公司Rise Security稱,易PC使用了尚未修正的Samba代碼,黑客可以遠(yuǎn)程控制存在漏洞的系統(tǒng)。

上網(wǎng)本一般離不開Wi-Fi網(wǎng)絡(luò),輕易登錄到可用的Wi-Fi網(wǎng)絡(luò),有可能泄露存儲(chǔ)的數(shù)據(jù),許多用戶甚至不知道自己入彀。操作系統(tǒng)一向是資源消耗大戶,且漏洞數(shù)不勝數(shù)。當(dāng)然對(duì)各安全廠商們來說最重要的問題是,重新設(shè)計(jì)終端防護(hù)產(chǎn)品,棄繁從簡(jiǎn),在不失去基本功能的前提下,降低資源占用從而相對(duì)提高性能。

為了給用戶最迅捷最經(jīng)濟(jì)的上網(wǎng)體驗(yàn),上網(wǎng)本就是要大刀闊斧地砍掉冗余組件,突出主干:一般不需要獨(dú)立的顯卡、聲卡、網(wǎng)卡,集成即可;減少或取消跟網(wǎng)絡(luò)無關(guān)的外部接口;使用高容量?jī)?nèi)存和低能耗CPU等。

現(xiàn)在上網(wǎng)本操作系統(tǒng)主要還是Windows XP家庭版,對(duì)于Windows系統(tǒng),只需要對(duì)最嚴(yán)重的漏洞打上補(bǔ)丁,通過關(guān)閉上網(wǎng)本環(huán)境下不必要的Windows系統(tǒng)服務(wù),就可避免服務(wù)引發(fā)的漏洞。有必要提醒一下,補(bǔ)丁也會(huì)對(duì)資源產(chǎn)生一定影響。

因此,可以適當(dāng)關(guān)閉一些系統(tǒng)服務(wù),舉例說明:禁用Telnet、Terminal Services、Server、Remote Registry這些對(duì)外服務(wù),配合用戶賬戶安全管理,將有效提高安全級(jí)別。此外,有的上網(wǎng)本配置了精簡(jiǎn)版的Linux等系統(tǒng),系統(tǒng)安全性就更加薄弱,更加無法抵御外網(wǎng)的威脅,這就需要引入第三方安全防護(hù)產(chǎn)品。

移動(dòng)安全:上網(wǎng)本的防塵罩

在移動(dòng)辦公時(shí)代,移動(dòng)安全包括了因筆記本被盜、遺失或不小心損壞造成的物理安全事故,這個(gè)不再探討。這里強(qiáng)調(diào)的移動(dòng)安全包括應(yīng)對(duì)遠(yuǎn)程攻擊和防止數(shù)據(jù)泄露。

移動(dòng)使用者會(huì)使用遠(yuǎn)程聯(lián)機(jī)訪問服務(wù)器進(jìn)行作業(yè),或者借由VPN隧道進(jìn)入網(wǎng)絡(luò)辦公系統(tǒng)。一般而言,在外移動(dòng)中的辦公系統(tǒng),是沒有受到企業(yè)防火墻等網(wǎng)關(guān)防護(hù)的,如果這些移動(dòng)中的上網(wǎng)本沒有安全控管機(jī)制,它們會(huì)有被攻擊的風(fēng)險(xiǎn),甚至將獲得的危險(xiǎn)帶入企業(yè)環(huán)境中。

安全廠商應(yīng)該提供主動(dòng)式防護(hù)產(chǎn)品,如一款好的簡(jiǎn)化防火墻軟件是保護(hù)移動(dòng)上網(wǎng)本不受攻擊的關(guān)鍵。這款防火墻要能夠?qū)崟r(shí)保護(hù)系統(tǒng)關(guān)鍵位置,能過濾內(nèi)外交換的 Internet 流量,根據(jù)適當(dāng)規(guī)則來攔截多個(gè)端口,并具有一定的入侵偵測(cè)功能以掃描進(jìn)出的流量,并能辨識(shí)及攔截惡意代碼,與辦公及上網(wǎng)無關(guān)的安全功能大可省去。

如果使用VPN訪問,這種主動(dòng)式防護(hù)產(chǎn)品能獲得VPN準(zhǔn)入策略,以獲得遠(yuǎn)程辦公的權(quán)利,VPN設(shè)備對(duì)上網(wǎng)本應(yīng)該切掉互聯(lián)網(wǎng)訪問權(quán)限(如啟用虛擬IP后禁止該用戶上外部網(wǎng))。

移動(dòng)使用者還有一個(gè)容易忽視的問題是文件數(shù)據(jù)的安全。上網(wǎng)本不應(yīng)攜帶大量的企業(yè)文檔數(shù)據(jù),即使攜帶,建議應(yīng)利用Windows系統(tǒng)的加密功能,或者安裝一款較低占用的圖文檔加密軟件客戶端,對(duì)必要攜帶的敏感圖文檔資料進(jìn)行限時(shí)受控,這將避免重要數(shù)據(jù)泄露。

在敏感的Wi-Fi網(wǎng)絡(luò)區(qū)域,必須有保證接入點(diǎn)安全、能進(jìn)行無線傳輸加密的防護(hù)產(chǎn)品,這個(gè)防護(hù)產(chǎn)品能夠挫敗非授權(quán)的數(shù)據(jù)訪問。除了技術(shù)手段外,制定行政規(guī)范限制上網(wǎng)本的使用及對(duì)上網(wǎng)本用戶進(jìn)行技術(shù)教育是必要的。

Web安全:上網(wǎng)本的保護(hù)傘

與移動(dòng)安全主要針對(duì)辦公不同的是,Web安全專門針對(duì)上網(wǎng)這一主題。Web安全一般指瀏覽互聯(lián)網(wǎng)的安全問題,比如掛馬網(wǎng)站、惡意網(wǎng)頁、郵件安全、網(wǎng)游及流媒體病毒等,一款針對(duì)上網(wǎng)本W(wǎng)eb安全的特別版本的殺毒軟件必不可少。

用于上網(wǎng)本的殺毒軟件雖然有縮水之處,但核心功能,,包括掃描病毒、網(wǎng)頁監(jiān)控和IM,郵件過濾等一應(yīng)俱全,如果結(jié)合防火墻還有一些針對(duì)VPN及Wi-Fi網(wǎng)絡(luò)的安全功能。另外軟件要適應(yīng)上網(wǎng)本屏幕比較小的特點(diǎn),避免系統(tǒng)忙時(shí)占用資源,多做靜默處理。

許多人知道云安全(Cloud Security),云安全是信息安全時(shí)代為擺脫單機(jī)殺毒龐大的病毒庫而生的,這種模型是建立在對(duì)大量客戶端的收集和分析之上的。云安全客戶端可以被看作是一種嗅探器,它給服務(wù)器端發(fā)送嗅探信息,服務(wù)器端通過不同可疑度的疊加,鎖定威脅源頭或幫助病毒庫升級(jí),再將防御動(dòng)作發(fā)送回客戶端。這樣的模型一則大大提升整個(gè)“云安全”網(wǎng)絡(luò)的免疫、查殺能力,二則使上網(wǎng)本的客戶端變得瘦些、效率更高?！霸瓢踩备拍钜唤?jīng)推出,各大殺毒軟件和安全工具紛紛跟進(jìn)。

當(dāng)然殺毒軟件本身的強(qiáng)壯是Web安全的前提,沒有所謂“內(nèi)核級(jí)自我保護(hù)”,殺毒可能反被病毒害。具備智能主動(dòng)防御模式的殺毒軟件,將不僅僅針對(duì)上網(wǎng)本。

適用即價(jià)值,上網(wǎng)本是一種時(shí)尚的移動(dòng)辦公工具,人們?cè)谙硎鼙憷耐瑫r(shí),對(duì)安全的聯(lián)想切勿忽視。隨著筆記本軟硬件技術(shù)的發(fā)展,未來的上網(wǎng)本必將擺脫低效的惡名,在安全上做到全副武裝,從而使用戶享受到真正的隨時(shí)隨地辦公。