我在embedded式系统领域经营一家小型(1人)咨询公司,在家使用标准的DSL互联网接入。 我的主要开发机器是Windows XP PC,它通过以太网电缆连接到路由器。 我也有一台MacBook Pro笔记本电脑,通过WLAN(WPA-PSK)连接到networking。
除了启用Windows防火墙,不使用IE浏览器,拥有最新的防病毒程序和强大的密码之外,还需要了解如何保护客户的数据安全。
其实,你的问题比标题所说的要广泛得多。 它不仅涉及安全,而且涉及防止恶意的意图,而且还涉及对您没有影响(例如火灾,地震等)事物的保护。
我认为最好是处理这个“自下而上”(或自上而下,取决于你的观点),所以说,从电脑本身开始,然后到自己的networking,并在互联网上的计算机结束,就像那样。
你的电脑实际上是最重要的资产。 它们包含需要保护的数据,所以我会先谈谈它们。
保证数据安全的第一件事就是实施适当的备份程序。 这确保了您的(他们)数据在灾难保护/恢复意义上的安全性。 什么是适当的备份程序,完全取决于您的预算和您使用的数据的敏感性。 一个好的起点将是通过互联网进行encryption和非现场备份。
其次就是看防火墙中的计算机保护方式。 任何电脑都需要一个体面的防火墙,但是有一个select:你可以防止你的个人电脑,或者你可以做所谓的“外围防火墙”。 我build议你select第三个选项,两者的组合。
做外围和工作站防火墙的原因很简单:外围防火墙不会阻止工作站通过电子邮件附件被感染。 您的防病毒产品可能,但工作站防火墙应确保它不通过networking传播到任何其他计算机。
那么,副标题有点奇怪。 这是因为这实际上可能与前面的标题具有相同的副标题。 保护计算机上的数据的第三步是确保没有数据(即程序)有恶意的意图可以在您的计算机上运行。 要做到这一点,当然你需要一个最新的浏览器。 但是你也需要一种方法来检查什么是什么,什么是什么,什么是非恶意的。 换句话说:你需要一个病毒扫描器。
使用'networkingfind一个体面的,或者,甚至更好:购买企业版本。 从我听说McAfee和卡巴斯基都是相当体面的。
当然,你可以安装你想要的任何安全软件,如果configuration不正确,它会对你没有好处。 所以请确保您检查设置。 对于防火墙,我build议基本上closures一切。 什么都没有进去 之后,开始在需要打开的基础上打开端口。 例如,您将希望端口80出去,因为这是HTTP默认使用的端口。 还有一些其他人和互联网知道他们。
另一件事是select体面的密码。 互联网也有很多,但是请放心,这是非常重要的。
既然您的电脑本质上是安全的,那么现在是时候保护您的networking了。 如果知道有足够的时间和资源,任何encryption或安全都可能被破坏,这一点很重要。 另外:不存在的可能性是不可能的。 这听起来很明显,但这是非常重要的。
老实说,有线networking没有多less安全可言。 这里最重要的是networking防火墙。 你当然可以做各种整齐的混淆,比如不使用DHCP,使用与默认(192.168.1 / 24)不同的私有子网,但最终它们不是一个安全措施,它只是使它有点难找出你在做什么。
但是,也有观察它的物理方式。 如果我可以在物理上访问它,那么您的包装盒上的安全性就不好。 你的networking也一样。 我把它放在你的家里,但这仍然是一个念头。
无线networking更像是PITA。 与有线networking不同,您不需要物理插头即可访问它。 所以有理由认为,安全性必须更强。 幸运的是,“他们已经想到了这个,给了我们无线encryption。
一开始有WEP。 那时已经足够好了,因为没有人能在合理的时间内破解它。 目前,在一个相当繁忙的networking上,大约需要两到五分钟才能破解它。 所以WEP出来了。
然后WPA来了,好多了。 但是,WPA标准已经处于危险之中。 GPU作为一个计算处理器而不是graphics处理器的出现,已经加速了大量开发的关键。 所以WPA也是不可能的。
此时,只有WPA2可以提供合理的安全性,特别是在使用RADIUS(而不是PSK)的情况下。 这就是安全性和资源发挥作用的地方。 如果你想要更多的安全性,你将不得不安装一个RADIUS服务器。 然而,这将会付出代价,所以增加的安全性可能不会超出增加的成本。
我认为你现在可以做的最好的就是使用WPA2-PSK和足够的密码。 把它弄长,使其变得复杂。
像不播放你的SSID是假的,任何工具都可以find你的networking。 那么是注册MAC地址。 大约需要一分钟才能find一个可接受的MAC,并将其设置为适配器。
你应该先思考“我要保护什么,怎样保护什么”,然后提出措施。
既然你有两台机器,最安全的解决scheme就是在一台机器上拥有所有的“数据”,而不是将其连接到networking,而是使用USB存储器来传输数据。
除此之外,我build议你考虑以下几点:
在默认情况下阻止出站连接
文件encryption(全盘encryption,如果可能的话,在容器中encryption“数据”本身(尝试Truecrypt))
电子邮件encryption
PS:既然你是来自德国,你应该(不是真的,这样做…)看看BSI主页(联邦信息安全办公室)
公民BSI: https : //www.bsi-fuer-buerger.de/cln_174/BSIFB/DE/Home/home_node.html
Grundschutzbaustein笔记本电脑https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/baust/b03/b03203.html
Grundschutzbaustein XP https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/baust/b03/b03209.html
Grundschutzbausteine Netze https://www.bsi.bund.de/cln_183/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Bausteine/Netze/netze_node.html
在您的环境中最薄弱的环节是Windows XP。 这对安全来说太可怕了。 为什么? 因为你所做的一切都是以具有完整pipe理员权限的用户来完成的。
为什么您的Web浏览器或电子邮件客户端需要在您的操作系统上运行pipe理权限? 它不需要它。 然而,这是大多数恶意软件到达Windows的途径。
我build议升级到Windows 7,其中安全模式更像Linux或Mac OS。 您可以以普通用户的身份在Windows 7中运行桌面应用程序,并根据安装应用程序和驱动程序等的要求提示您inputpipe理员密码。如果在运行Windows 7时看到提示inputpipe理员密码,不启动安装或应用程序更新,那么你知道这是恶意软件即将被安装,你可以说取消。 这在Windows XP中是不会发生的,而且有一半的机会,你已经有系统上的隐形恶意软件无法被你使用的防病毒产品检测到。 顺便说一句,如果你不知道,许多恶意软件的目标,并瘫痪反病毒产品。
作为一项小型操作,您不会在数据备份和保护方面投入大量资金。 所以请尝试一些简单的工作。 确定哪些数据丢失时不能被replace。 确定有多less数据。 提出一个计划,定期将其备份到DVD或可能的USB驱动器或几个。 把这个媒体交给一个你信任的人住在别的build筑里(也许是你的兄弟等等)。 现在你有异地备份。 (把你的产品密钥也放在那个媒体上)
PCI标准很好地概括了业务安全的主要分支。 你可能不会严格遵循这里的所有build议,但它显示了主要的想法集中。
让我们将CIA模型应用于这个问题:
保密性:数据只能提供给授权的个人。
完整性:检测未经授权的数据更改。
可用性:数据必须提供给授权的个人。
住一些额外的话:
没有周边。 资源丰富的攻击者可以到达他们想要的位置。 踝关节不能。
这并不是说您可以多久进行一次备份,而是关于您validation恢复方法的工作频率。
防病毒软件和其他恶意软件扫描程序只能可靠地检测磁盘上的不活动威胁。 主动恶意软件可以修改操作系统内核,防病毒软件和个人防火墙。 只要你的系统上运行恶意软件,它就变得不值得信任,你应该假设你在屏幕上看到的任何东西都是谎言。 从已知的良好备份中恢复。
有两个方面的安全性。 1)如何防止闯入; 2)什么时候发生。 其他人已经涵盖1),我会尝试一些关于2)的信息。
一个问题是沟通。 你说谁,你说什么? 你没有把问题升级到正确的人的问题,因为只有你自己,但你必须告诉你的客户(不),警察(或不是)或其他合作伙伴(如果有的话)。
那么还有一个技术问题。 例如,如果你有一个DoS,你应该有一个想法在哪里看,谁可以帮你。 你可能需要在rest之后移动/重build你的服务器/应用程序,你知道该怎么做吗? 多久? 备份好吗? 最近?
基本上,我告诉你的是,你应该有一些sorting或灾难恢复计划/草案。 这对于其他情况也是非常有价值的。