個人計算機使用者隱私保護全接觸(1)
個人計算機網路隱私保護,就是指按照制定的隱私保護策略,使用相應的隱私保護技術,將使用者的網路隱私妥善保管、安全傳輸,以及阻止來自物理和網際網路的攻擊的一個處理過程。它的目的就是通過對使用者計算機隱私實施必要的保護來將隱私洩漏機率控制在使用者自己可以接受的水平。
隱私保護策略和保護技術,不可能保證使用者的計算機網路隱私一點都不會洩漏。這是由於網際網路絡本身設計的開放性和隱私洩漏途徑的多樣性,以及不斷出現的新的攻擊方法所造成的。但不管怎麼樣,實施必要的隱私保護能將隱私洩漏的風險降低到使用者所能接受的水平。
同時,你還應當明的是,一定的隱私保護方法會對使用者計算機及網際網路的應用造成一定的不方便的,以及隱私的保護有可能要花費一定的費用的。因此,你在制定隱私保護策略時,應當在可接受的隱私安全性與計算機網路使用方便性,以及可接受的隱私安全性與最大的隱私保護支出這兩個方面做一個合適的權衡。
一、 制定個人計算機網路隱私保護策略
對個人計算機網路隱私進行保護時,先制定一個適合使用者本身實際需求的隱私保護策略,是一個非常明智的方法。一個好的適合你自己的隱私保護策略,能在整個隱私保護過程當中,指導你按計劃有序地對各種要保護的隱私實施相應的保護技術。
由於每個使用者所擁有的隱私的具體內容及內容的重要程度都不相同,因此,是不可能存在一個適合全部網路使用者的通用隱私保護策略的。但是,制定個人計算機網路隱私保護策略時,還是可以按照下面的這幾個步驟來進行的:
1、調查你有哪些隱私儲存在了計算機當,確定要保護的具體隱私內容,並將它們按重要程度進行分類;
2、分析你要保護的隱私可能會受到的威脅,並瞭解這些要面對的威脅是否有方法能夠應對;
3、根據分析結果,並且根據自己能在隱私保護中投入的資金的最大限度,來為每個級別的隱私內容確定一個自己可以接受的保護目標;
4、分別為每個級別的隱私保護目標制定具體的保護策略。隱私保護策略的制定時應當儘量詳細,針對每種威脅應當註明具體的保護技術。
5、將每個分級策略整合起來,構成一個完整的使用者隱私保護策略;
個人計算機網路隱私保護策略是一個不斷迴圈的過程,不是一個靜止的,一成不變的方案。這是由於儲存在你的計算機當中的屬於你的隱私內容是會不斷的增加或減少,隱私內容的重要程度也是不斷的變化的,而且,新的攻擊方法也會不斷的出現。因此,你不得不根據實際情況不斷調整你的隱私保護策略,這樣才能保證你的隱私保護策略總能最有效地防範你的網路隱私被洩漏。
二、個人計算機網路隱私保護技術
當你制定好隱私保護策略後,你就應該按照這個策略中所指定的隱私保護技術,對你的不同級別的隱私內容進行具體的安全防護工作。
隱私保護技術會隨著所要應用到的計算機的作業系統型別的不同而不同的。鑑於現在大部分的個人網路使用者,都是使用Windows作業系統。因此,在下面的講述中,如果沒做特別的說明,那麼所說的隱私保護技術,都是針對Windows作業系統而言的。
我們已經知道,威脅使用者網路隱私的主要有兩個方面,一個是來自直接接觸的物理威脅,一個是來自網際網路攻擊的威脅。下面,我們就分別來了解用什麼隱私保護技術可以防範這兩個方面的威脅。
1、防範直接接觸使用者計算機的物理攻擊威脅
當一個竊密者能夠直接接觸到使用者的計算機時,他(她)會通過下面的方法得到使用者儲存在計算機當中的隱私:
(1)、可以直接得到計算機中與使用者隱私相關的所有的圖片、視訊、音訊檔案,以及Word、Excel文件及其它文字文件。或者其它與使用者單位、工作相關的機密檔案。
(2)、得到使用者儲存在計算機當中的網路應用或系統應用的使用者名稱和密碼文件。(3)、通過資料恢復軟體對系統所有分割槽進行掃描,從中找到有用的資訊進行恢復。
(4)、查詢Internet臨時檔案、瀏覽器歷史記錄來了解使用者的網際網路操作習慣,以及獲得用儲存在使用者計算機當中的Cookie文件,以便可以實施Cookie欺騙攻擊。
(5)、通過系統中記錄的其它使用者操作痕跡記錄,如最近開啟的文件、Word等辦公軟體的最近編輯記錄、視訊播放軟體的播放記錄,以及影像處理軟體最近的瀏覽和開啟圖片檔案記錄等等,來輕易得到使用者的隱私檔案。
(5)、得到使用者上網賬號和密碼,或者IP地址和DNS地址和主機名。
(6)、瞭解使用者使用的作業系統型別,主機硬體資訊、安裝的軟體資訊,以及系統中已經啟動的服務及埠,使用的安全措施,存在的漏洞等等資訊。
(7)、為了能長久控制使用者主機或為了能得到更多的使用者隱私資訊,他(她)會在使用者的計算機當中安裝一些後門、特洛伊木馬程式及網路嗅探軟體,用來監聽鍵盤輸入、分析進出使用者計算機網路介面的資料包和進行執行控制。
(8)、當完成所有的工作後,竊密都會清除自己在使用者計算機當中的操作痕跡,然後將找到的使用者的隱私檔案拷貝到相應的移動儲存裝置上帶走。
一個竊密者,如果能夠直接接觸使用者計算機,可能還會得到比上面列出來的更多與使用者密切相關的重要隱私。不過,得到隱私的多少及重要程度,是由使用者儲存在計算機當中的隱私檔案的多少和重要性來決定的。但不管怎麼說,任何儲存在我們計算機當中的隱私都是不可這麼輕易被他(她)們獲得的,我們應當使用以下所示的方法來防範這種攻擊。
防範直接物理攻擊的首要方法,就是儘量防止你的計算機被竊密者直接接觸到。如果你認為你的計算機不可避免會被其它人(包括潛在的竊密者)直接接觸到,那麼,就應當繼續使用下面的保護技術來防範:
(1)、首先第一步就是要保證如果他(她)們沒有經過你的許可,就一定不能進入系統。你可以通過下面的方法來做到:
1)、防止會通過其它引導方式進入系統。其它引導方式就是指通過光碟、U盤來引導。你可以在主機板BIOS設定中,禁用除硬碟以外的其它所有可引導裝置的設定,然後設定BIOS進入密碼。並且,為了防止通過直接對CMOS電池放電來解密,還應當使用機箱電磁防盜鎖,以及使用BIOS電磁鎖。
2)、為計算機中的所有可用賬戶,包括預設的administrators賬戶都應當設定強壯的登入密碼。
(2)、應用資料加密技術。
在Windows作業系統下,有以下幾種檔案加密方法:
第一種資料加密方法,使用作業系統本身所具有的檔案及資料夾加密功能。
如果你所有的硬碟分割槽全部使用NTFS檔案格式,那麼,你可以使用NTFS檔案系統的EFS加密特性,來直接對要加密的檔案和資料夾進行加密。其具體步驟如下:
1)、開啟資源管理器,導航到要加密的檔案或資料夾所在位置,然後用滑鼠右鍵單擊此檔案或資料夾,在彈出的快捷選單中選擇“屬性”選單。
2)、在開啟的屬性對話方塊中的“常規”選項卡上,單擊“高階”按鈕,就會開啟的高階屬性對話方塊,在此對話方塊中選擇“加密內容以便保護資料”的核取方塊,然後單擊“確定”按鈕。
3)、此時,會出現一個“確認屬性更改”的對話方塊。在這個對話方塊中,有兩個單選項給你選擇。如果你只想加密這個資料夾,就選擇“將更改僅應用於此資料夾”的單項選擇框;如果你想在加密此資料夾的同時也加密整個資料夾中的內容,你應當選擇“將更改應用於此資料夾、子資料夾及檔案”的單項選擇框。
5)、在做出選擇後,單擊“確定”按鈕後即可完成檔案或資料夾的加密設定。
當一個檔案或資料夾被EFS加密後,如果系統當中的一個非授權使用者,想將加密檔案或資料夾中的檔案或整個加密檔案複製到硬碟分割槽中的其它地方時,就會彈出一個錯誤複製的警告資訊,提示此檔案或資料夾是加密資料夾,不能被非授權使用者複製。同理,如果系統中一個非授權使用者想開啟加密的檔案或資料夾中的檔案時,也會彈出一個不能被非授權使用者開啟的警告提示框。
XP作業系統下的EFS檔案及資料夾加密方式,並不能阻止被系統中其它使用者所檢視,也不能阻止系統中的其它使用者在此加密資料夾下新增他(她)們的檔案。並且,這些其它使用者新增的檔案也不能被你開啟。但是,你可以設定這個加密檔案可以被哪些使用者所共享,這時,所有共享此加密資料夾的所有使用者儲存的檔案都可以被你所操作。
此時,你可能會通過設定加密資料夾的隱藏屬性來隱藏這個資料夾,以便系統中的其它使用者不能看到它。但是,當這些系統使用者也具有管理員許可權時,他(她)們同樣可以通過設定允許顯示隱藏檔案及資料夾的方法,來看到這些設定了隱藏屬性的加密檔案和資料夾。這種檔案及資料夾的隱藏方式,只適合對XP作業系統不太熟習的使用者有效,不能完全依靠它來保護你的重要隱私檔案。此時就應該使用另一種加密方式。
第二種資料加密方法,通過加密軟體對檔案及資料夾進行加密。
現在,可以在Windows作業系統下使用的檔案加密軟體有很多,其中效果最好的是使用生成加密虛擬盤技術的加密軟體。它們主要生成一個獨立的使用強壯的密碼加密了的虛擬盤,當使用者正常掛載這個加密虛擬盤後,就可以如對待普通硬碟分割槽般來對它進行操作。所有放到這個加密虛擬盤中的檔案都會被自動加密,當使用者開啟這些檔案是又會自動被解密,加密和解密操作不需要使用者參與。當使用者取消加密虛擬盤的掛載後,它就會從資源管理器中消失。這類軟體中最出色的代表之一就是一款叫TrueCrypt的軟體,它有著上述所說內容的全部功能。你可以從www.truecrypt.org上下載它,現在最新版本是4.3a。它的安裝非常簡單,只要按安裝程式的提示就可以完成安裝。安裝完成執行它後,就會出現如圖1所示的程式主介面。
圖1 TrueCrypt的主介面
現在我們就通過它來建立一個加密的虛擬盤及使用這個加密虛擬盤。具體步驟如下所示:
1)、在如圖1所示的程式主介面中,單擊“create volume”按鈕,開啟如圖2所示的建立新加密卷的嚮導。在此介面中,有兩個基本的選項,“create a standard truecrypt volume”(建立一個標準的加密卷)和“create a hidden truecrypt volume”(建立一個隱藏的加密卷)。在本例中,選擇“create a standard truecrypt volume”選項,然後單擊“Next”按鈕,就會進入嚮導模式選擇的介面。在此介面中,也有兩個基本選項,如果你沒有什麼特別需求,可以按預設設定直接單擊“Next”按鈕繼續進行下一步的加密卷的建立工作。
圖2 選擇加密建立型別的介面
2)、此時,會出現如圖3所示的“volume location”(卷位置)的指定介面。在此介面中,如果你想將某個分割槽的可用空間全部用來作為一個加密卷,那麼,你就可以單擊此介面中的“select device…”按鈕來選擇這個分割槽。如果你只想建立一個指定大小的加密卷,那麼,你可以通過單擊此介面中的“select file …”來指定檔案儲存的位置和檔名。在本例中使用檔案方式,並指定為“E:mydocmyvolme”。指定完成後按“Next”按鈕。
圖3 卷位置指定介面
3)、接下就會會出一個提示介面,直接按此介面中的“Next”按鈕就會進入如圖4所示的“Outer Volume Encryption Options”(輸出卷加密選項)的介面。在此介面中的“Encryption Algorithm”的組合框中選擇一種加密方式,在本例中為“AES”,然後在“Hash Algorithm”組合框中選擇一種Hash型別,在本例中為“RIPEMD-160”。然後單擊“Next”按鈕繼續完成加密卷的建立。
圖4 輸出卷加密選項介面
4)、到這一步,就會出現一個讓你指定“Outer Volume Size”(輸出卷大小)的介面,如圖5所示。卷大小可以按KB或MB這兩種單位來指定,你應當根據卷檔案儲存分割槽的剩餘空間,以及你想要儲存的隱私檔案的大小,來決定要建立一個多大的加密卷。在本例中,由於只是做一個例子,筆者在文字框中按MB單位輸入了200的數字,這就是說只建立一個200MB大小的加密卷。指定完輸出卷的大小後,按“Netx”進入下一個建立步驟。
圖5 輸出卷大小介面
5)、此時,就會出現一個如圖6所示的輸入密碼的介面。在此介面中的“password”文字框中輸入要設定的密碼。這個密碼是你在掛載這個加密卷時要求輸入的,因此,為了安全,你應當設定得非常強壯,不能太過簡單。在此例中,為了方便只使用了由1到8的數字作為密碼。接著在“confirm”文字框中重新輸入一次設定的密碼,然後按“Next”按鈕。
圖6 密碼設定介面
6)、此時,就會出現“Outer Volume Format”(輸出卷格式化)的介面。直接按此介面中的“Format”按鈕,會先彈出一個警告對話方塊,如果你所有操作都沒有錯誤,就真接按“是”按鈕後就可開始對輸出捲進行高階格式化。格式的速度以你指定的輸出卷大小來定。
當建立完加密卷後,你就可以開始著手將你硬碟中需要保護的隱私檔案全部移動這個加密卷中來進行加密保護了。要完成這個工作,你必要先掛載這個檔案。你可按以下的步驟完成加密卷掛載工作:
1)、在TrueCrypt程式主介面中,先在“drive”列表框中為這個要掛載的加密卷指定一個可以使用的分割槽符號。
2)、然後在程式主介面的“Volume”框中單擊“Select File”按鈕,指定我們剛才建立的加密卷檔案“E:mydocmyvolme”。
3)、接著單擊程式主介面的“Mount”按鈕,就會彈出一個要求輸入掛載密碼的對話方塊。在本例中,我們輸入1到8的數字後,單擊此對話方塊中的“ok”按鈕,就完成加密卷的載入工作。
掛載好加密卷後,當你再開啟Windows資源管理器時,就會看到你剛才指定了的新的分割槽出現在資源管理器當中了。
此時,你就可以將要保護的隱私檔案全部複製到這個加密卷當中,然後對隱私的原檔案全部進行填零的徹底刪除操作。當你完成工作後,可以通過單擊程式主介面中的“Dismount”按鈕來取消這個加密卷的掛載,然後,這個加密卷就會從你的資源管理器中完全消失。你可以根據你的需要,分別為不同的隱私檔案建立多個相應的加密卷,也可以為所有隱私檔案建立一個足夠容量的加密卷。
在這裡需要注意的是,這些建立的加密卷檔案是可以被刪除的。因此,為了安全,你最好將這些建立好了的加密卷檔案備份到光碟等不能擦寫的儲存媒介中。將這些加密卷檔案放到任何可儲存媒介當中後仍然是處於加密狀態的。還有,你也可 以使用如Nodelete相似的防刪除軟體來對這些加密卷檔案進行防刪除保護。
第三種資料加密方法,使用硬體加密方式對硬碟中的檔案及資料夾加密。
如果儲存在你計算機中的隱私檔案非常重要,你不想被你看見,也不想被人拷貝,那麼,你就可以使用一新的安全計算機標準—TCG(Trusted Computing Group)。TCG是一個工業的安全計算機標準,也就是可信任計算機群組的總稱。按照這種標準生產的計算機本身就包含了非常強壯的安全技術,能保證計算機本身硬體及計算機中的所有軟體資源的安全。
TCG計算機使用一種叫TPM(Trusted Paltform Module(可信任平臺模組))安全晶片來對硬碟中的資料進行加密。TPM晶片可以插入到主機板中或直接焊接到主機板上的方式進入到主機當中,還可以將它們與BIOS整合在一起。通過TPM晶片加密過後的資料,離開本機後,資料也是不可能被讀取的。現在最新的版本是TPM 1.2安全晶片。同時,TCG計算機一般對機箱使用了防盜電子鎖,及對BIOS也使用BIOS電子鎖,防止機箱被盜、BIOS被放電等。TCG計算機使用金鑰盤來進行使用者系統登入認證,有的還會使用生物認證技術來對使用者系統登入進行認證,這樣就保證系統不會被其它非授權者登入進出。例如現在大多數TCG標準的膝上型電腦使用指紋認證技術。現在,大多數PC生產廠商(如聯想、DELL、HP等)都生產TCG標準的計算機,並且,現在這種計算機的價格也不高,完全可以被我們這些普通計算機使用者所接受。因此,如果使用者儲存在計算機上的隱私資料非常重要,為了隱私安全,也為了減輕你的安全防範工作,你完全可以考慮選擇使用TCG安全標準的安全計算機。我相信,這種安全計算機也會成為以後PC發展的主要潮流。
本文轉自 雪源梅香 51CTO部落格,原文連結:http://blog.51cto.com/liuyuanljy/186419,如需轉載請自行聯絡原作者
相關文章
- 隱私計算:保護資料隱私的利器
- 網站安全公司 支招對個人隱私保護措施網站
- WEB3技術發展探索:隱私保護計算Web
- 麥卡菲:保護隱私 停用智慧手機
- 機器學習中的隱私保護機器學習
- http代理是如何保護使用者隱私的?HTTP
- 復旦大學:保險App使用者隱私與個人資訊保護的若干隱患研究報告APP
- Chrome隱身模式可能沒有你想得那麼能保護個人隱私Chrome模式
- 隱私保護軟體——蜘蛛密友
- 使用CRM保護資料隱私
- 研究人員發現macOS隱私保護重大漏洞 攻擊者可繞過蘋果隱私保護核心機制Mac蘋果
- 一個能夠保護個人收藏夾隱私的Chrome擴充套件Chrome套件
- 機器學習與隱私保護,究竟路在何方?機器學習
- 大資料安全與隱私保護大資料
- Zoho CRM系統保護使用者隱私和資料安全
- 全同態加密的硬體加速:讓機器學習更懂隱私保護加密機器學習
- 企業隱私策略脫節:無法有效保護隱私——資訊圖
- 如何用 AI 技術保護隱私安全?AI
- 區塊鏈資料隱私保護分析區塊鏈
- 資料“吃”人 隱私保護盼重拳
- 保護電腦隱私檔案妙招教程
- 保護隱私的3個火狐外掛
- 雲應用程式如何加強隱私保護
- 《Whale 帷幄隱私保護白皮書》重磅釋出!
- 未經同意便“被公開” 大資料時代個人隱私資料如何保護?大資料
- 網際網路法治研究中心:中國個人資訊保安和隱私保護報告
- 愛爾蘭隱私保護機構將Facebook資料傳輸訴諸法庭
- 皮尤研究中心:調查發現智慧手機使用者更希望得到隱私保護
- 保護隱私 清除軟體使用後的痕跡
- 如何在保護使用者隱私的同時實現精準廣告投放?
- 海雲安個人隱私資訊保安影響評估系統入個人資訊保護創新實踐案例
- 托盤程式設計全接觸(轉)程式設計
- 托盤程式設計全接觸 (轉)程式設計
- 隱私計算FATE-核心概念與單機部署
- 計算機軟體保護條例 (轉)計算機
- 微軟調查顯示:約40%的受訪者不知如何在網路上保護個人隱私微軟
- 蘋果力捧隱私保護 是真情還是詭辯?蘋果
- 如何全面保護AI資料隱私和資料安全?AI