HOME 回資訊服務處首頁 Login
2006年第3期
簡訊
PNC 2006年韓國年會暨PRDLA、ECAI聯合會議8/15-18舉行
本院台北GigaPoP光纖纜線忠孝東路段將於8月上旬完成遷移
完成本院環變中心新辦公室網路建置
網路影音服務新增兩項視訊內容
資訊活動訊息--「台北電腦應用展」8/3-7世貿一館展出
資訊安全
個人電腦安全之防護
資訊話題
細說「軟體工廠」概念(十五)
 
資訊安全 >
上一篇 | 下一篇 | 返回電子報
 
個人電腦安全之防護
 
彭逸帆

前言

  隨著個人電腦與網際網路的發展,原本資訊交換時所需之媒介,如光碟片、磁片等儲存裝置,在網路日益普及之後,已使得資訊不必再完全依賴這類媒體而得以快速交換。雖然知識的傳遞藉由網路可以更加快速,但伴隨而來的卻是病毒、廣告軟體、間諜軟體(Spy ware)、網路釣魚(Phishing)【註1】、木馬程式(Trojan Horse)、後門程式(Backdoor)等不良軟體或程式的散佈。

  在過去,電腦病毒或是具有惡意的軟體在散播時,受限於傳遞的不便,電腦病毒所帶來的災害也往往侷限於小部份的公司行號或個人,災情有限;不過現在電腦病毒可以方便地透過普及的網路傳播,受害對象擴大到可以說全球連接上網路的使用者皆有受到感染的可能。因此,如何做好電腦安全的防護不僅是資訊人員所必須注意的工作,對於一般個人使用者而言,也是極為重要且不可忽視的課題。

網路通訊協定
       
  一般而言,使用者只需要設定好個人電腦的IP與相關設定,即可連上網際網路,之所以可以透過網路交換資訊,其所遵循的乃是相同的網路通訊協定TCP/IP。

  有關網際網路的發展可溯及1960年代,當然美國政府機構為了應付戰爭危機的需求,希望可以在戰時仍能連接各個離散的網路系統,因此委託DARPA(Defense Advanced Research Project Agency)推動ARPANET(Advanced Research Project Agency NETwork),ARPANET的構想與原理所發展出的通訊技術相當成功,也就奠定了今日網際網路的模式;而其電腦通訊細節的網路標準即是TCP/IP網際網路協定。目前,TCP/IP技術主要由INTERNIC(Internet Network Information Center)維護與發展,標準大部份都以Request For Comment(RFC)技術報告的型式公開。RFC文件包含了所有TCP/IP協定標準以及其最新版本。

  TCP/IP協定架構主要可以分為四層,如【表1】所示;資料傳遞的路徑則約略如【圖1】所示。

表1 TCP/IP協定架構

應用層 Application Layer

傳輸層 Transport Layer

網際網路層 Internet Layer

網路介面層 Network Interface Layer

 

圖1 資料傳遞路徑

   其中,「傳輸層」主要提供傳輸控制協定(Transmission Control Protocol, TCP)與使用者資料流協定(User Datagram Protocol, UDP);而「應用層」則是提供應用程式間的溝通。

電腦防護介紹

  針對個人電腦的防護而言,主要就是在「傳輸層」、「應用層」這兩層架構中做處理;防護的方式約略可以分成使用「防火牆」與「防毒軟體」兩種【註2】。

  個人電腦實際在操作時,是以不同的連接埠(Port)進行資料的傳遞。舉例來說,當使用者連結到中央研究院的網站時,其實就是使用者透過使用瀏覽器,啟動一個連接埠,連結到中央研究院網站主機提供網頁的連接埠(通常為Port 80),藉由建立起的連線進行資料的傳遞。

  由於網際網路開放的特性,此時,使用者則需要如防火牆以及防毒軟體等的防護措施,才能安心地遨遊於網路世界。防火牆的運作如【圖2】所示,使用者可以透過防火牆的設定,讓允許的程式或是Port開放連線,而其他不被允許的軟體或是Port則封鎖住,以避免網路上一些奇怪的嘗試甚至是入侵。

圖2 有防火牆網路連線模式

  防火牆的功能即是可以藉由設定,達到管控個人電腦與外界網際網路連線的建立。舉例來說,原本個人電腦在沒有安裝任何防火牆的情況下一旦連上網際網路,則網路上其他的使用者皆可以嘗試與您的個人電腦建立連線,如【圖3】所示;如果此時您的電腦有安全上的漏洞,就非常可能被有心人士入侵。 

圖3 無防火牆網路連線模式

  而「防毒軟體」主要則是針對檔案或資料進行掃瞄,如果檔案或程式受到病毒、木馬程式、間諜軟體的感染時,可以進行解毒、隔離或是刪除等的處理。以一般民眾最常使用的網路服務 - 收發電子郵件為例,當使用者從郵件主機收取或發送信件時,透過防毒軟體得以檢查所收取或發信的信件是否含有病毒之類的惡意程式,如【圖4】所示。


 

圖4 裝有防毒軟體電腦收發信件的模式

  同理,以現今相當流行的即時通軟體(Internet Messenger, IM)為例,現在的防毒軟體也可以同時檢查傳送的檔案是否含有病毒。

相關軟體介紹

  目前市面上所販售的防毒軟體或是防火牆種類相當繁多,筆者整理出幾種比較常見的軟體及其相關的網址資訊,請參見【表2】。

表2 國內常見防毒、防火牆軟體

軟體名稱

相關網址

賽門鐵克(Symantec http://www.symantec.com
趨勢科技(Trend http://www.trendmicro.com
卡巴斯基(Kaspersky http://www.kaspersky.com.tw
Mcafee http://www.mcafee.com
Panda http://www.pandasoftware.com.tw
‧‧‧ ‧‧‧

  【表2】所列的軟體大多是商業軟體需要付費購買,不過也是有少部份有提供個人使用者免費使用,使用者可以多加嘗試,以選擇適合自己的軟體。

軟體舉例使用說明

  以本院為例,多數的使用者皆是使用賽門鐵克的軟體,因此筆者以賽門鐵克所出品的Norton AntiVirus 2005為例,並以此軟體做說明。此一軟體不僅有防毒軟體的服務,同時兼具有簡易防火牆的功能。

  一般而言,當該軟體安裝完畢同時更新之後,其執行畫面應該類似【圖5】。

 圖5 Norton AntiVirus 2005執行畫面

  由於現在的軟體顯示界面都非常的人性化,這套Norton AntiVirus 2005也不例外。當軟體有任何問題時(譬如病毒碼太舊,或是有些服務沒有啟動),其程式執行的畫面皆會有不同的顏色顯示以提醒使用者注意;除此之外,在有安全疑慮的地方程式也加以註釋說明。舉例來說,如果您安裝好軟體卻沒有設定自動啟動防毒軟體的服務,則當您點選該程式時,畫面會顯示相關需要注意的資訊(如【圖6】所示),同時也會有建議的選擇供使用者作決定。

 圖6 Norton AntiVirus 2005未執行自動防護功能

  使用者在使用此套軟體時,最基本的就是要注意該軟體執行後所顯示的相關資訊是否正常,最好的情況應該是在「安全掃瞄功能」與「線上更新服務」兩大部份的狀態都是顯示綠色打勾的情形(如【圖五】所示);如果有任何一項有顯示驚嘆號的情況(如【圖6】所示),使用者都應該注意相關解決的訊息,以期系統與防毒軟體等程式保持在最新的狀態。

  除了上述基本的使用功能之外,此套軟體有提供簡易的防火牆功能,在此也概略說明。

圖7 Norton AntiVirus 2005 Internet病毒防護

  在Norton AntiVirus 2005的功能中,其防火牆的選項是「Internet病毒防護」如【圖7】所示。該軟體提供有幾項不同的管控方法,一般的使用者大概接受預設的規則即可;如果有需要特別的要求,可以針對不同的方法進行設定。譬如使用者在個人電腦上需要使用某一特定軟體,並利用該軟體透過網路進行資料傳遞,則該程式在開始執行之初應該會出現防火牆的警示訊息(如【圖8】所示),使用者可以針對自己不同的需求,進行「允許」、「攔截」或是「手動設定Internet連線」等設定。

 圖8 防火牆設定訊息

  「允許」、「攔截」兩個選擇,文字意義及相當明顯,使用者不至於迷惑,筆者在此針對「手動設定Internet連線」作說明。在選擇「手動設定Internet連線」並按下確認後,會出現如【圖9】的訊息,表示使用者需要針對此一程式新增防火牆規則;而新增的規則有「允許」、「攔截」兩種,其設定的步驟相當類似,只是設定好的結果是相反,因此筆者以「允許」的規則為例進一步說明。

 圖9 防火牆新增規則

  在選擇「允許」之後,會出現如【圖10】的畫面,此處即是設定允許哪些電腦可以使用此程式所產生的連線;如果是選擇「只限定下列的電腦與網站」,即表示只有在列表中的顯示的主機可以連線。

圖10 防火牆新增規則

  接著點選「下一步」,會出現如【圖11】的畫面,此處則是設定允許哪些通訊協定或是允許哪些通訊類型或通訊埠,使用者可以根據不同軟體所使用的連接埠進行設定。

圖11 防火牆新增規則

  之後按照指示進行相關設定,到最後會出現如【圖12】的畫面,該畫面即顯示使用者所新增規則完成的畫面。

 圖12 防火牆新增規則完成的畫面

  以上是針對特定軟體需要開放設定的說明,如果使用者因為某些需求,需要開放特定的Port(譬如架設網站需要開放Port 80),其相關設定的步驟大同小異,使用者可根據個人需求狀況,仿前述步驟加以設定。

結論

  電腦安全的防護不僅僅是資訊人員的工作,一般使用者也需注意相關基本的防護知識,否則在這寬頻普及的環境中若您的電腦不幸中毒或者被入侵,受害的將不僅僅只是您自己的電腦而已,而是所有連結在這個網路上的使用者,不可不慎。

  最後筆者建議「二要、二不要」原則供使用者參考:

二要:

  1. 要常更新:更新系統漏洞(譬如Windows的Windows Update),更新病毒碼。
  2. 要定期掃毒:藉由防毒軟體所提供的排程功能,定期掃毒。

二不要:

  1. 不要隨意下載檔案:對於網路上有許多來路不明的東西,不要隨便下載,因為這些東西都很可能含有惡意的程式或是受到電腦病毒的感染。
  2. 不要執行不瞭解的軟體:在瀏覽網站時,有些有問題的網站會要求使用者安裝軟體,此時您必須注意網站所要求安裝的軟體是否是合法沒有問題的檔案;如果不清楚的話,則最好不要隨便執行安裝那些軟體。

附註

【註1】:網路釣魚的目的是在騙取受害者在網路上的帳號密碼(譬如線上遊戲或網路銀行的帳號密碼)、信用卡資料等個人隱私的資訊,在騙取得到資料之後,直接偷取遊戲虛擬寶物或是將網路銀行帳戶的資金轉帳偷竊走,甚至利用竊取得到的個人資料進行不法的行為。

【註2】:目前許多公司所出品的防毒軟體同時也會整合防火牆的功能,因此防毒軟體與防火牆產品的區隔已經愈來愈不明顯。




上一篇 | 下一篇 | 返回電子報
 
 本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。