电脑安全大话题层层深入保平安

《电脑爱好者》编辑部

在电脑安全，也就是我们前面提到的，主要是信息安全上有两个要防范的方向，即信息丢失和信息泄露。对前者来说，硬件级问题造成的数据丢失事故一般用户难以处理，例如移动存储设备丢失、损坏，电脑存储设备故障等，所以最佳解决方法当然是备份和同步，让重要信息随时拥有“分身”。而后者则是指的一些比较特殊的数据信息，其价值常常就在于隐秘性和独特性，例如一些家庭的个人信息、财务信息，商业上的客户信息、投资者信息等。这些数据一旦被人偷窥甚至截取，抑或是被别人掌控的话，不光信息价值会大打折扣，还会带来不少麻烦（图1），因此要减少其暴露在各种场合下的机会。

比較有趣的是，大家会发现，其实两种防范的方向多少有点矛盾：防止数据丢失的最佳方式就是多点存储，大量备份;而防止敏感信息泄露的方式则是集中存储，减少存储渠道。那么有没有办法解决两者的矛盾呢？其实也是有的，那就是加密，让别人无法解除信息、无法截取信息、无法识读信息。在实际运用中，这也是最适合的电脑安全防护方式，那么对普通用户来说，是否有办法实施这些措施呢？其实在普通的电脑和操作系统、网络服务等方面，已经为我们准备了很多相应的选项，只待用户去启用。

文件加密

在很多时候，电脑的开放是无可奈何的事情，比如家用电脑或办公室的共用电脑、数码设备、移动存储设备等都不得不与人分享，并且需要开放存储等权限，不可能避免别人触及自己的文件信息。在这样的情况下，用户最容易做到的信息保护措施就是对文件/文件夹加密，对普通用户来说，比较容易做到的有如下几种方式。

●Windows自带

在Windows操作系统中自带对文件和文件夹的加密功能，只要右键点击想要加密的内容，选择“属性一高级”就可以看到“加密内容以保护数据”的选项（图2）。需要注意的是，在加密文件的时候，考虑到开启文件时的副本问题，Windows会默认使用父文件夹全部加密（图3），如没有这种打算，一定要注意选择，否则可能加密一些非必要文件，造成麻烦。

将文件或文件夹加密后，只有在本机以相应账号登录才能正常使用，即使文件被窃取或以其他账号登录打开都无法正常使用。这一方式虽然对加密用户来说使用非常方便，每次开启无需输入密码，但也造成加密文件没有移动和共享能力，即使是加密用户，一旦重装操作系统、转移平台等，即使使用相同的登录名、Windows账号，都无法直接使用文件（图4），因此最好在加密后马上备份相应的加密脚本，以防电脑出现故障，需要重装系统。

●压缩软件

由于压缩软件是普通用户电脑中必备的应用软件，所以使用压缩文件进行文件存储同时加密是很常见的做法。目前最常见的压缩软件WinRAR和7-Zip均支持压缩和加密功能，而且各有特色。

WinRAR用户可在右键菜单中选择“添加到压缩文件”，在“高级”页面下，选择“设置密码”即可。它不仅能设置密码，而且还支持隐藏文件名（图5），即点击压缩文件后仅跳出密码输入窗口，必须输入密码后才能看到目录结构和文件名，保护更加充分。

而在7-Zip的加密选项中，可选目前民用级别最强的标准之一，即AES 256，而且其加密选项就位于压缩主界面中，且同样支持文件名加密（图6）。很明显，作为很多商用软件的选择，7-Zip在对加密的重视程度上是超过WinRAR的。

小知识：

AES 256

AES的全称为AdvancedEncryption Standard（高级加密标准），叉称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。它同时也被全世界很多国家和地区、各种领域所承认和使用，已成为对称密钥加密中最流行的算法之一，也是公认的较为安全的对称加密算法。

AES在软件及硬件上都能快速地加解密，且只需要很少的存储器。目前比较常见的AES128和AES 256指的是密钥长度不同，分别是128bits和256bits，对应的加密处理次数不同，分别是10轮和14轮，后者的强度高于前者。其实AES 128已经极难破解，AES256则更加安全，几乎不可能被一般黑客破解。

●办公文件

一般用户产出的主要知识产权文件就是Word、Excel、PPT等办公软件生成的文件，这些文件一般都自带加密功能，只需要在生成的时候进行相应的处理即可。例如在Word 365中，选择将文件“另存为”，在另存界面中点击“工具一常规选项”（图7），即可开启密码设置界面。在这一界面中可以设置多种密码，防止其他人打开或修改文档（图8）。

此外如PDF、Flash等文件，同样可以在生成时进行保护，不仅是防止他人获得信息或非法使用，还可以保护其中的一些图片、动画等组件不被剽窃。

系统权限

对电脑开启各种不同的使用权限，不仅可以保护其上的文件内容，还可以防止误删除、下载病毒等一些妨碍电脑安全的情况。而电脑的使用权限从基于硬件开机的BIOS密码到操作系统功能开放程度的Windows权限等，有多种不同的选择。

●Windows权限

在Windows自带的加密功能中，系统账号、权限是很主要的认证方式。对于不止一个人使用的电脑，开启多个不同权限的账号，设置不同的账户，对文件、文件夹、注册表等的访问能力是很好的保护方式。此外Windows10还支持多种方式登录，也可以用来作为不同用户的识别和登录途径。

一般来说，我们只需要根据系统设置管理员（Administrators）和访客（Guest）两种权限的用户（图9），并分别为敏感文件设置不同的读写权限即可（图10）。不过对一些用户比较复杂的电脑，还可以直接为不同的用户设置独立的权限，这一操作比较复杂，也较少用到，这里就不赘述了。针对一些用户构成比较复杂的电脑，例如电教教室中的演示电脑等，最好将注册表、USB接口、上网等组件和功能也设置权限。

●BIOS权BR

通过直接在BIOS中设限，可以让其他人根本无法开机，对电脑的保护作用更强。其设置非常简单，一般在主界面或最后一个页面中，注意很多BIOS实际上是有三个密码项目，分别是UserPassword、Administrator（或Supervisor） Password、BootPassword（图11），前两者主要是针对BIOS访问权限的，分别只能查看BIOS设置和允许进行修改，而后者才是启动密码。设置了Boot Password后会在启动至BIOS引导时就要求用户输入密码，正确才能继续启动过程。

需要注意的是，BIOS设置的启动密码虽然可以让未授权用户完全无法进入硬件引导过程，但也可以通过硬件层面直接绕过，比如拔掉电池强制清除BIOS，或者干脆卸除硬盘进行窃密。因此这一方式必须与其他防护方式配合使用.例如锁住机箱、文件加密等。

●存储盘加密

在文件与文件夹的更上一层，我们还可以直接对存储盘进行加密，最常见的是闪存盘与移动硬盘，很多品牌都会直接提供加密工具，仅需要简单设置，就能将存储空间完全“锁”住。目前很多相关的加密工具已经可以支持AES算法，有些甚至达到AES 256，安全性极高（图12）。但设置时也要非常小心，因为一些厂商表示用户加密后连返厂都是无法破解的，厂商能做的也只是将密码和数据一起“抹除”。

●虚拟系统

加密并不是一劳永逸的，设置的密码安全性再高，如果直接被窃取了密码的话，黑客同样可以对用户的文件进行任意处理。而窃取密码最常见的就是种植木马，通过记录用户的输入或软件的反应，即可直接得到密码。那么，如果必须运行一些比较可疑的程序又该怎么办呢？最简单的办法就是将其与带有各种用户、密码的操作系统分离，建立虚拟系统是比较简单的方式。

Windows10系统自带的虚拟PC工具以及主流处理器自带的虚拟化设置，以及第三方虚拟机程序，我们进行过很多相关的介绍，这里就不再赘述了。需要注意的是，即使是在虚拟系统中，在运行“可疑”程序之前也应该有一定的准备。例如注意其中的浏览器等“不起眼”的应用中，是否启用了自定义ID和密码，因为借助这些ID与密码，黑客同样可以通过分析或不断渗透，来获得更多的用户信息。特别是一些采用邮箱或手机号注册，同时又喜欢使用统一密码的用户（图13），只要被攻破一点，就会造成个人信息的全面丢失。

硬件解決方案

大家可能早已习惯了在手机上通过指纹、面孔解锁屏幕或为付款等应用授权。其实在PC上也完全可以实现这些能力，而且处理器中也内置了专门的安全模块，即英特尔的博锐（ vPro）技术和AMD的GuardMI技术，虽然其中大部分产品、功能是针对商用系统设计的，但也有很多消费级处理器、消费级电脑同样带有这些功能，且可以对消费级应用提供良好的支持。例如最常见的就是可以更好地使用电脑上的指纹识别系统（图14），将其纳入整体应用和安全体系内。