确保无线上网的安全法则

骗攻击： 　　　　　　　　　　　　　　

　　<发起欺骗> （防御方法：检查对方可信任度，这里的对方，不光是指操作计算机的人，而是指对方的机器是否可靠——如果对方是可信任的人，给你发了个url，你可以询问是不是对方发给你，因为病毒是不会自动应答你的询问的，由此你可以判断出是对方给你发的，还是对方机器已经中毒后自动发的）
　　　　　　　
　　<访问潜在欺骗源> （防御方法：每一个web页，每一封信件——不管是不是来自朋友，也不管是不是门户站点，都有可能存在木马或脚本病毒，最好的办法就是禁用activex，必要的时候才打开，及时升级浏览器/邮件工具补丁，防止浏览器漏洞被利用；）

　　病毒不断演化，随着编程技术的进步，目前的病毒具备越来越多的欺骗特征——可以说目前病毒传播的2条主要途径就是漏洞和欺骗；对待漏洞没说的，第一时间打上补丁是最好的解决办法，对待欺骗则就要依靠用户主观的判断了。虽然很难量化标准，但天缘还是尽力把防止病毒/攻击的办法大致例举一下，下面的有些条件比较苟苛，但还是希望能尽力做到——虽然麻烦一点，但总比中毒/攻击后受到损失强。

　　1．用户密码足够复杂，推荐8~16位数字＋大小写字符＋特殊符号 ；win2k/xp可考虑把administrator用户改名；

　　2．尽量使用网络共享，采用ftp等更安全的方式代替（默认共享目录，例举用户名，空密码漏洞是著名的容易被利用）；如果必要情况下需要使用，请一定设置上8位以上的复杂密码，并制定文件目录的确实需要的最小权限（例如提供资料让人下载的，就只需要设置成只读权限就行了）

　　3．及时升级系统和工具补丁；（这点我在此文中一直在强调，但事实上是——不少用户宁可每天花10个小时的时间玩游戏，也不愿意花10分钟去访问一下windows的update站点，安装杀毒软件/防火墙是治标，打patch才是治本，随时打好patch是每日必修功课）；

　　4．安装带有病毒即时监控/邮件监控的杀毒程序，并及时升级病毒库；（很多朋友强调自己用的是正版杀毒软件，但一直忽略了购买正版杀毒软件的最必要因素——获得良好的升级支持服务，不升级病毒库的杀毒软件是无法捕捉到新病毒的。因此天缘个人建议每天2次升级最新病毒库是比较适合的，一次在早上开机时，一次在下午开机时）；

　　5．使用更优秀的软件代替产品；（例如用myie2代替ie，用total command 代替资源浏览器。不是说微软自身的产品不能用——有时候就是因为微软的产品功能太多，众多的功能中有可能有存在漏洞的，就会危机到系统安全了，所以推荐使用代替产品。而事实上不少第三方软件的确相当好用的）

　　6．使用个人版网络防火墙，将icmp反馈禁止，再根据自己需要把敏感端口全部禁止掉；（在金山等防火墙设置中，很容易找到“禁止icmp回应”，“禁止ping响应”这样的规则，勾选上就行了）win2k/xp自带的ipsec也能实现，不过比较繁复一些，个人感觉适合系统管理员而不是普通用户，另外winxp自带的防火墙也能作到禁止ping回应，各位可以试着开启它）

　　7.修改xp/win2000的默认设置，在服务中禁止掉自己不需要的一些服务。如messager和远程操作注册表都是常常被利用的服务程序；（在中文版本中，都有详细的中文提示，yesky网站上的介绍文章也相当多，各位可以搜索一下）

　　8．养成安全意识。网络前辈说过一句名言“安全，从来都不是技术问题，而是一个意识。”前面几条都是在第8条的基础上得到体现的，如果没有了安全意识，即使用再昂贵的杀毒软件也懒于升级、用再优秀的操作系统也懒于打patch，那么一切都是白费了。特别是对待目前逐渐成为主流的病毒/攻击欺骗而言，如果用户不在主观上保持“存疑”的态度，那么随意接受/打开外来的文件，中毒的可能性是相当大的。另外补充一句，网络上只有“本地”和“远程”2个概念，不管是不是朋友的计算机，是不是同一个工作组内的机器，它始终是台远程机器发送过来的数据——保持必要的怀疑，不管该计算机是谁拥有。

　　9．在金山的主页，对待流行病毒，都有专杀工具和注册表修复工具免费下载，如果用户能确认自己所中的是何种病毒时，使用专杀工具能获得更高的杀毒效率；而且在这些站点上，还有最新的病毒预报可以看到，方便用户提前作好准备以及了解攻击细节。

　　后记

　　目前对待联网的桌面操作系统而言，安全主要在于对网络上病毒/攻击的防御，事前充分地做好准备工作，远比病毒、攻击入侵后再进行补救更好。病毒、攻击除了依赖于技术实现，更重要的是依赖于用户自身的安全意识——天缘接触的不少用户都知道要升级操作系统、要买正版杀毒软件、不在网络上随便下载东西，但真到实施的时候却常常因为贪图便利和抱有侥幸心理，最后到病毒、攻击入侵机器后才悔之晚矣。现在的windows系统的升级做的