保护信息免受物理性威胁

    无论您为您的计算机筑起数据屏障付出了多大的努力,您仍然可能在某天醒来,发现计算机或里面的信息副本因各种不幸的意外或蓄意行为而丢失、被盗或受损。任何意外,电源冲击、忘记关上窗户或打翻一杯咖啡,都可能导致您所有数据丢失并且无法继续使用您的计算机。谨慎的风险评估、坚持不懈地维持健康的计算机作业环境,以及书面化的安全策略可以帮助您避免此类灾难。

设定场景

Shingai 和 Rudo 是一对年长夫妇,他们长年帮助津巴布韦的艾滋病感染者维持适当的药物治疗。他们正在申请资助给他们的办公室购置新计算机和网络设备。由于他们生活在一个政治动荡、基础设施匮乏的地区,他们和资助者都希望能够确保新硬件设施的安全,不仅不会受到黑客和病毒的侵害,而且也不会遭遇没收、雷暴、电涌及其他此类灾害的困扰。一旦成功申请到资助,他们就请当地的计算机技术员 Otto 帮忙设计一套行动方案,来加强准备购置的新计算机和网络设备的物理安全。

 

 

您将从本章节学到的内容

  • 更多有关您的计算机以及储存在计算机上的信息所面临的物理威胁
  • 如何最好地保护您的计算机设备免受这些威胁影响。
  • 如何为计算机与网络设备创建健康的作业环境。
  • 在为您的办公室计算机制定安全计划时应该考虑什么。


风险评估

 

    许多组织团体都低估了保持办公室与设备的物理安全的重要性。于是,他们往往缺乏一套清晰的策略,用来描述应该采取何种措施来避免计算机和备份存储设备遭遇失窃、恶劣天气、意外事件以及其他物理威胁。显然,这些策略非常重要,但是要把它们适当地制定出来可能比想象中复杂得多。比如说,许多组织都给办公室安装了质量很好的门锁,也许还有保险窗,但如果他们不注意钥匙的配制数量,以及什么人持有这些钥匙,那他们的敏感资料仍然易受侵害。

Shingai: 我们想把一份安全策略的摘要写到申请书里,但要确保这个策略本身足够完善。我们都应该写些什么内容呢?

Otto: 我恐怕我无法推荐一套“放之四海而皆准”的解决方案来应对物理安全所面临的挑战。一套好策略的详情一般都要根据某个特定组织的个体环境而定。不过,我倒是有一个大体上的建议:当您尝试制定一个计划时,您必须非常仔细地观察您的工作环境,对薄弱环节的所在以及如何加强这些环节,要进行富有创造性的思考。

 

 

 

 

 

 

 

    在评估您或您的组织所面临的风险与安全漏洞时,您必须估计您的数据受到的威胁可能来自若干不同的层面。

  • 要考虑您使用的通信渠道,以及您是如何使用它们的。包括信件、传真、固定电话、移动电话、电子邮件以及Skype

  • 要考虑您如何储存重要资料。计算机硬盘、电子邮件和网络服务器、U盘、外置硬盘、CD和DVD、移动电话、打印纸张以及手写的便条,都是可能的方式。

  • 要考虑存放这些物件的实际位置。它们可能位于办公室、家里、后院的垃圾桶中,又或者,越来越普遍的情况是“放在互联网上”。在最后这种情况中,要界定一份特定资料的物理位置,恐怕是很困难的。

    记住,同一份资料可能在不同的层面存在隐患。就像您想依靠反病毒软件来保护U盘的内容不受恶意软件的侵害,您还必须依靠一份详细的物理安全计划来避免这份资料遭到盗窃、丢失或毁坏。有些安保实践,例如拥有一个良好的异地备份策略,对于避免数据威胁和物理威胁都是有好处的,而其他实践则显然更具针对性。

当您要决定是把U盘放在口袋里还是密封于行李底部的塑料袋里,您就是在作一个有关物理安全的决定,尽管您试图保护的资料是数字化的。通常,正确的策略在很大程度上视实际情况而定。您是要穿行于城镇之间,还是要跨越边境?会有别人帮您提包吗?是否正在下雨?这些就是当您要作此种决定时应该考虑的问题。


保护您的信息免受物理入侵

 

    伺机接触您的敏感资料的不怀好意的人是一种重大的物理威胁。如果您以为这就是您的信息安全所面临的唯一威胁的话,那您就错了,但忽视它就更是目光短浅,大错特错了。您可以采取一些步骤来降低物理侵扰的风险。以下列出的分类和大部分建议都既适用于家庭也适用于办公室。您应该以此为基础,制定出与您个人具体的物理安全状况相适应的策略。

办公室周围

  • 要了解您的邻居。根据您的国家和邻里关系的安全状况,有可能出现以下其中一种情况:要么把他们变成帮助您照看办公室的盟友;要么把他们加入到您的潜在威胁列表中,成为安全计划必须要解决的问题。

  • 检查您如何保护所有门、窗以及其他能通往您办公室的入口。

  • 考虑安装一个监控摄像头或者动作感应警报器。

  • 尝试设立一个接待处,在访客进入办公室之前,先在那里接见他们。设立一个与您的日常工作区分隔开的会议室。

办公室里

  • 把网络线缆安装在室内以便保护它们。

  • 服务器路由器交换器, 集线器和调制解调器等网络设备锁进安全的房间或者机柜。能够在实际接触这些设备的入侵者可以安装恶意软件,这样一来,他即便离开,也仍然可以窃取数据或攻击您网络上的其他计算机。

  • 如果您有无线网络,保护您的接入点是至关重要的,这样入侵者就不能加入您的网络或监控您的通信。如果您使用不安全的无线网络,那么,在您附近任何一个有笔记本电脑的人都可能成为潜在的入侵者。这样来定义“物理性”确实有些不寻常,但这帮助您考虑到,能够监控您的无线网络的不怀好意的人,相当于偷偷潜入了您的办公室,插上网线接入到您的网络上。根据您的接入点硬件和软件的具体情况,用以保障无线网络安全所需的步骤可能有所不同,但通常都不难解决。

工作的时候

  • 为了避免别人看到屏幕上正在显示的内容,您应该留意计算机屏幕放置的地点,无论放在办公桌上还是当您离开办公室时,都要谨慎。在办公室室内的话,意味着要注意窗户的位置和敞开的门,如有宾客等候处,也要注意。

  • 大多数台式计算机机箱都有一个扣槽,您可以添加一个挂锁让任何没有钥匙的人无法打开它。如果您办公室里有这样的机箱,您应该把它们锁上,这样入侵者就不能擅自改动内部的硬件。在购买新的计算机时您也可以把这一功能考虑进去。

  • 如有可能,应使用电脑锁来防止入侵者偷走整台计算机。 这对可以藏在包里或大衣之下的笔记本电脑和小型台式机来说尤为重要。

有关物理安全的软件及设置

  • 确保当您重启计算机时,它会在允许您运行软件和访问文件之前要求您输入密码。如果它不要求,您可以在 Windows 中启用这个功能。点击“开始”菜单,选择“控制面板”,然后双击“用户帐户”。在“用户帐户”窗口选择您自己的帐户,然后点击“创建密码”。选择一个安全的密码,如在第三章:如何创建和维护良好的密码中所论述的。输入您的密码,确认一遍,再点击“创建密码”。

  • 在您的计算机的BIOS基本输入输出系统中有几项有关物理安全的设置。首先,您应该把计算机设置为禁止从软盘驱动器、CD或DVD驱动器启动。其次,您应该为BIOS本身设置一个密码,这样入侵者就不能简单地撤销之前的设置。再次强调,请确保选择一个安全的密码。

  • 如果您使用一个在第三章里说到的安全密码数据库来为特定的计算机储存您的 Windows 或 BIOS 密码,请切记不要把唯一的数据库副本保存在该台计算机上。

  • 养成每次当您离开计算机前都把帐户锁定的习惯。在 Windows 上,您可以按住 Windows 标志键然后按 L 键来快速锁定。正如前面所说的,只有给帐户设置了密码,此功能才会生效。

  • 给办公室里的计算机和储存设备上的敏感信息加密。请参看第四章:如何保护您计算机上的敏感文件了解更多详情和相关的上手指南。

Rudo: 在BIOS里捣鼓,我有点紧张。如果操作出错,我会把电脑弄坏吗?

Otto: 当然会,至少可能会死机一小会儿。实际上,你需要改变的设定都很简单,但BIOS的界面本身可能有点吓人,而且如果操作失当,有可能会导致电脑暂时无法启动。一般来说,如果你对BIOS的操作感到不安,你应该请电脑经验更丰富的人来帮忙。

 

 

 

 

 

 

 

便携设备

  • 把您的笔记本电脑、移动电话和其他包含敏感信息的便携设备随时带在身上,特别是当您去旅行或住在旅馆里的时候。旅行时带上笔记本电脑电脑锁是个不错的主意,尽管有时候不容易找到适当的东西栓住。记住,小偷往往选择就餐时间作案,他们大多会在房间可能没人的时段里到房间翻找笔记本电脑。

  • 如果你拥有一台笔记本电脑,或者手持计算机设备例如掌上电脑(PDA),尽量避免把它们显露出来。没有必要让小偷知道你带了这么多贵重的硬件,或者让想获取您资料的人知道您包里有一个装满数据信息的硬盘。避免在公共场合使用您的便携设备,最好把手提电脑装在看上去不像手提电脑包的包里。 

 

 

 

 

 

 

 

 

 

为您的计算机硬件维持一个健康的环境

 

    就跟许多电子设备一样,计算机也相当敏感。它们对不稳定的供电、极端温度、灰尘、潮湿或者机械压力会适应不良。您可以采取一些措施来保护您的计算机和网络设备免受这些威胁:

  • 电力问题,如电涌、全面停电和部分停电,可能导致计算机受到物理损害。这种不规则性能使硬盘“崩溃”,损毁它里面包含的信息,或者对计算机里的电子部件造成物理损害。

  • 如有能力,您应该给办公室里重要的计算机安装不间断电源(UPSs),UPS能在停电时提供临时的电力。

  • 如果认为 UPSs 不适宜或太昂贵,您还可以使用电源滤波器或电涌保护装置,它们中的任意一个都可以帮您避免电涌造成的损害。

  • 在连接重要的设备前,先测试好您的供电网络。尽量使用三孔的电源插座,它们当中有一条接连“地线”。另外,如有可能,在冒险插上计算机之前先插上廉价的设备,如电灯和电风扇,先试用一两天来看看电力系统的运行情况。

  • 为了避免发生意外,不要把重要的硬件放置在通道、接待处或其他容易被接近的地点。UPS、电源滤波器、电涌保护装置、插线板和电源延长线,特别是那些与服务器和网络设备连接起来的装置,应该放在适当的位置,从而不会因意外失误而关闭。

  • 如果您能买到高质量的计算机线缆、插线板和延长线,您应该购买足够数量供整个办公室使用并且额外留一些作为备用。那些会从墙上松脱下来的、与插头接触不良的、时常产生火花的插线板不仅烦人,还会对连接在上面的计算机的物理安全造成损害。有些用户拿它们没办法,会用胶带把接触不良的插头绑紧在会产生火花的插线板上,这就留下了明显的火灾隐患。

  • 如果您把任何计算机放在机柜里,请确保机柜足够通风,否则计算机可能过热。

  • 计算机设备不应该放置在散热器、排气口,空调或其他管道系统附近。

Shingai: 其实今年早些时候我们刚解决了一些这样的问题。我们花了几个月时间去找不会从电脑后部脱落的线缆。

Otto: 还有看起来不至于造成地毯着火的插线板呢?

Shingai: 那也找了。最后,Rudo 不得不从约翰内斯堡带了些回来。别忘了,这里供电状况本身还是很不稳定的,但至少设备还比较好用。 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

制定您的物理安全策略

    一旦您对个人或您的组织所面临的威胁与漏洞作出评估,您就必须考虑可以采取哪些步骤来改善您的物理安全。您应该制定一份详细的安全策略 ,把这些步骤一一写下来。这个书面文件将会对您自己、您的同事和刚加入组织的新人起到指引作用。它同时还应该包括一份清单,说明在各种不同的物理安全紧急情形下应当采取何种措施。每位相关人员都应该花时间阅读、执行并保持这些安全标准。也应该鼓励他们就如何改善这个文件提出问题和建议。

根据具体情况,您的物理安全策略应该包含不同的部分:

  • 一份办公室通行策略,列明了各个警报系统、有哪些钥匙、谁持有这些钥匙、什么时候允许访客进入、跟谁签定了清洁合约以及其他此类问题。
  • 一份关于办公室的哪个区域是仅限授权人士使用的策略。
  • 一份设备的详细清单,包括序列号和物理性描述。
  • 一份对于包含敏感信息的纸张垃圾的安全废置方案。
  • 相关应急程序:
  • 如果敏感信息遭泄露或被错误放置时应该通知谁。
  • 当发生火灾、洪水或其他自然灾害时应该联系谁。
  • 如何进行某条钥匙的紧急重配。
  • 如何联系提供电力、水利、或网络服务的公司或组织。
  • 如何从您的异地备份中恢复数据。您可以在第五章:如何挽救信息损失中找到更详细的备份建议。

    您的安全策略应该定期复审和修改,以反映自上一次复审后作出的任何策略变化。还有,在备份其他重要数据的同时,不要忘记备份您的安全策略文档。更多有关制定安全策略的信息,请参看延伸阅读部分。

延伸阅读

电话诈骗中,骗子存在哪些漏洞?

文章来源:发自知乎专栏「社会安全观察 
天上午在《同事亲历的一次电话诈骗》, 这里看见@大风 在专栏里发了一篇关于自己同事被诈骗的经过,我说说这个事件里骗子存在的几个漏洞,做一个简单的科普。


1.别人盗用你的身份信息开卡之后欠费了,银行并不知道这个情况,那么正常的情况应当是寄账单到你家。如果欠费金额较大,有的银行会直接人工电话通知你,出现电子音的情况很少。我所知道的招行和兴业似乎是有的。还有个很简单的小方法可以识破这一招:电话诈骗如果有电子音提示你按键操作,那么你就故意按错它提示你的按键,如果它依然接入人工服务或者完成了操作,那必定是诈骗电话无疑。


2.公安机关认定你是嫌疑人的话,会直接过去抓捕你,不会在电话里和你瞎扯半天。


3.没有电话笔录这个东西。所有的笔录都需要画押和签名,除非你是文盲或者拒签。没有电话笔录这个东西。


4.综合前面两点,我可以明确地告诉你,如果你之前没有报过案件,或者没有案底,或者近期内没有丢失过物品,那么公安机关不会主动联系你。


5.网上能够找到改号软件,主叫电话可以改成任何的号码,包括银行和公安局的。


6.公安局并不需要除了你身份证以外的任何信息,我们可以直接从后台调取,并且如果你真的有犯罪嫌疑,我们又掌握了实际的证据。那么我们可以在向上级提交报告书后查找你名下的银行卡信息以及冻结你的银行账号。因此,通过打钱来确定你的银行卡信息这一点就更可疑了。


7.如果你不是政府人员,那么检察院不会介入逮捕前的侦查阶段。


8.没有刑事拘捕证这个东西。要么是公安机关的拘留证,要么是公安机关的逮捕证,要么是检察院的逮捕决定书。拘捕指的是拘留和逮捕,现实办案之中没有这种说法,更不可能写在法律文书上。一般的刑事案件的办案流程是:公安机关出具拘留证,刑事拘留七天或者三十天内,再向检察院呈请批准逮捕犯罪嫌疑人,而检察院审查过后只能出具批准逮捕决定书到公安机关,再由公安机关出具逮捕证。


9.能上互联网的电脑上不了公检法的内网。一机不能连二网。普通人没有权限接触公检法的内网。


10.网络上花钱是可以买的到你的身份证信息的,有些骗子直接用你身份证的照片黏贴到他们制作的各种拘留证,逮捕证上,比较唬人。但是问题在于各种逮捕证拘留证都是没有照片的。


11.除了购物网站,任何需要你输入银行卡和密码的人和网站都是骗子。因为银行,公安机关不需要你的密码就能干很多事情。


12.如果现实中公安机关是这样办案的,那么破案率还要低上许多倍。真的办案民警,一般不会这么热心,巡警之类的就不一定。具体的警察办案过程我以后会做一个简单的科普。


上述所有信息,记住关键的三条:


1.不要给任何人你的银行卡和密码。


2.没有电话笔录这种东西。


3.执法机关会直接抓捕你,不会和你瞎扯太多。

一些路由器的默认初始密码

  全向QL168010.0.0.2,用户名admin密码是qxcomm1680,管理员密码是qxcommsupport

  全向QL1880192.168.1.1,用户名root密码是root

  全向QL168810.0.0.2,用户名admin;密码为qxcomm1688

  TP-LINKTD-8800在IE输入192.168.1.1,用户名admin,密码为admin.

  合勤zyxel642telnet192.168.1.1密码1234

  EcomED-802EG在IE输入192.168.1.1用户名和密码都为root

  神州数码6010RA在IE输入192.168.1.1 用户名ADSL密码为ADSL1234

  华为SmartAXMT800初始IP是192.168.1.1用户名和密码都为admin

  伊泰克http://192.168.1.1用户名:supervisor密码:12345

  华硕http://192.168.1.1用户名:adsl密码:adsl1234

  阿尔卡特http://192.168.1.1一般没有密码

  同维DSL699Ehttp://192.168.1.1用户名:ROOT密码为:ROOT

  大亚DB102http://192.168.1.1用户名:admin密码:dare

  WST的RT1080http://192.168.0.1username:rootpassword:root

  WST的ART18CXhttp://10.0.0.2username:adminpassword:conexant

  username:userpassword:password

  全向qxcomm1688http://192.168.1.1高端设置密码是:qxcommsuport

  全向qxcomm1680http://192.168.1.1用户:qxcomm1680密码:qxcomm1680

  实达

  实达ADSL2110-EHaddress:192.168.10.1user:adminpwd:starnetadsl

  V3.2 rootroot

  V5.4 rootgrouter

  泛德用户:admin密码:conexant

  东信Ea700http://192.168.1.1用户名:空密码:password

  broadmax的hsa300ahttp://192.168.0.1username:broadmax

  password:broadmax

  长虹ch-500Ehttp://192.168.1.1username:rootpassword:root

  重庆普天CPADSL03http://192.168.1.1username:rootpassword:root

  台湾突破EA110RS232:38400[url]http://192.168.7.1username:SLpsw:SL

  etek-td的ADSL_T07L006.0http://192.168.1.1UserName:supervisor

  Password:12345

  GVC的DSL-802E/R3Ahttp://10.0.0.2username:adminpassword:epicrouter

  username:userpassword:password

  科迈易通km300A-1http://192.168.1.1username:password:password

  科迈易通km300A-Ghttp://192.168.1.1username:rootpassword:root

  科迈易通km300A-Ausername:rootoradminpassword:123456

  sunrise的SR-DSL-AEhttp://192.168.1.1username:adminpassword:0000

  sunrise的DSL-802E_R3Ahttp://10.0.0.2username:admin

  password:epicrouter

  username:userpassword:password

  UTStar的ut-300Rhttp://192.168.1.1 username:admin

  password:utstar

  湖北邮通IP:10.0.0.2 Username:admin Password:epicrouter

  亨威NSM500网速通IP:192.168.1.1 Username:root Password:root

  艾玛701g192.168.101.1192.168.0.1用户名:admin密码:admin

  用户名:SZIM 密码:SZIM

  艾玛701H192.168.1.110.0.0.2用户名:admin密码:epicrouter

  实达2110EHROUTER 192.168.10.1 用户名:user密码:password

  用户名:root密码:grouter

  神州数码/华硕:用户名:adsl密码:adsl1234

  全向:用户名:root密码:root

  普天:用户名:admin密码:dare

  e-tek用户名:admin密码:12345

  zyxel用户名:anonymous密码:1234

  北电用户名:anonymous密码:12345

  大恒用户名:admin密码:admin

  大唐用户名:admin密码:1234

  斯威特用户名:root密码:root

  用户名:user密码:user

  中兴用户名:adsl密码:adsl831

解决CHM文件无法显示的办法

最简单解决CHM文件无法显示的办法

看到这个,你烦吗?!
这几天遇到了几次这个问题,某些chm文件即使下载到本地,都提示“取消操作”而不能显示页面,只好google之。原来是微软为了防止CHM利用某漏洞,而出了一个安全补丁,导致页面无法显示。网上很多人都研究过这个问题,有些改注册表、有些搞安全级别、有些盯上了itss.dll……虽然解决方法很多,但是我尝试过以上的方法,麻烦不说,而且还有几个文件死活无法显示,无耐中的时候,试了一个非常简单的操作,搞定了~

解决方法:

在CHM文件右键——属性——解除锁定!万事大吉!

看图:

欺骗的艺术

欺骗的艺术

The Art of Deception

凯文•米特尼克著

 

前言

人之初

从盗打电话到黑客

成为社会工程师

最后的想法

内容介绍

第一部 幕后的故事

第一章 安全软肋

第二部 攻击者的手段

第二章 无害信息的价值

第三章 正面攻击——直接索取

第四章 建立信任

第五章 我来帮你

第六章 你能帮我吗?

第七章 假冒网站和危险附件

第八章 利用同情、内疚和胁迫

第九章逆向骗局

第十章进入内部

第十一章综合技术与社会工程学

第十二章攻击新进员工

第十三章聪明的骗局

第十四章商业间谍

第十五章信息安全知识与培训

第十六章推荐的信息安全策略 

附件列表

 

继续阅读欺骗的艺术