《電腦愛好者》編輯部

在電腦安全，也就是我們前面提到的，主要是信息安全上有兩個要防范的方向，即信息丟失和信息泄露。對前者來說，硬件級問題造成的數(shù)據(jù)丟失事故一般用戶難以處理，例如移動存儲設(shè)備丟失、損壞，電腦存儲設(shè)備故障等，所以最佳解決方法當然是備份和同步，讓重要信息隨時擁有“分身”。而后者則是指的一些比較特殊的數(shù)據(jù)信息，其價值常常就在于隱秘性和獨特性，例如一些家庭的個人信息、財務(wù)信息，商業(yè)上的客戶信息、投資者信息等。這些數(shù)據(jù)一旦被人偷窺甚至截取，抑或是被別人掌控的話，不光信息價值會大打折扣，還會帶來不少麻煩（圖1），因此要減少其暴露在各種場合下的機會。

比較有趣的是，大家會發(fā)現(xiàn)，其實兩種防范的方向多少有點矛盾：防止數(shù)據(jù)丟失的最佳方式就是多點存儲，大量備份;而防止敏感信息泄露的方式則是集中存儲，減少存儲渠道。那么有沒有辦法解決兩者的矛盾呢？其實也是有的，那就是加密，讓別人無法解除信息、無法截取信息、無法識讀信息。在實際運用中，這也是最適合的電腦安全防護方式，那么對普通用戶來說，是否有辦法實施這些措施呢？其實在普通的電腦和操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)等方面，已經(jīng)為我們準備了很多相應(yīng)的選項，只待用戶去啟用。

文件加密

在很多時候，電腦的開放是無可奈何的事情，比如家用電腦或辦公室的共用電腦、數(shù)碼設(shè)備、移動存儲設(shè)備等都不得不與人分享，并且需要開放存儲等權(quán)限，不可能避免別人觸及自己的文件信息。在這樣的情況下，用戶最容易做到的信息保護措施就是對文件/文件夾加密，對普通用戶來說，比較容易做到的有如下幾種方式。

●Windows自帶

在Windows操作系統(tǒng)中自帶對文件和文件夾的加密功能，只要右鍵點擊想要加密的內(nèi)容，選擇“屬性一高級”就可以看到“加密內(nèi)容以保護數(shù)據(jù)”的選項（圖2）。需要注意的是，在加密文件的時候，考慮到開啟文件時的副本問題，Windows會默認使用父文件夾全部加密（圖3），如沒有這種打算，一定要注意選擇，否則可能加密一些非必要文件，造成麻煩。

將文件或文件夾加密后，只有在本機以相應(yīng)賬號登錄才能正常使用，即使文件被竊取或以其他賬號登錄打開都無法正常使用。這一方式雖然對加密用戶來說使用非常方便，每次開啟無需輸入密碼，但也造成加密文件沒有移動和共享能力，即使是加密用戶，一旦重裝操作系統(tǒng)、轉(zhuǎn)移平臺等，即使使用相同的登錄名、Windows賬號，都無法直接使用文件（圖4），因此最好在加密后馬上備份相應(yīng)的加密腳本，以防電腦出現(xiàn)故障，需要重裝系統(tǒng)。

●壓縮軟件

由于壓縮軟件是普通用戶電腦中必備的應(yīng)用軟件，所以使用壓縮文件進行文件存儲同時加密是很常見的做法。目前最常見的壓縮軟件WinRAR和7-Zip均支持壓縮和加密功能，而且各有特色。

WinRAR用戶可在右鍵菜單中選擇“添加到壓縮文件”，在“高級”頁面下，選擇“設(shè)置密碼”即可。它不僅能設(shè)置密碼，而且還支持隱藏文件名（圖5），即點擊壓縮文件后僅跳出密碼輸入窗口，必須輸入密碼后才能看到目錄結(jié)構(gòu)和文件名，保護更加充分。

而在7-Zip的加密選項中，可選目前民用級別最強的標準之一，即AES 256，而且其加密選項就位于壓縮主界面中，且同樣支持文件名加密（圖6）。很明顯，作為很多商用軟件的選擇，7-Zip在對加密的重視程度上是超過WinRAR的。

小知識：

AES 256

AES的全稱為AdvancedEncryption Standard（高級加密標準），叉稱Rijndael加密法，是美國聯(lián)邦政府采用的一種區(qū)塊加密標準。它同時也被全世界很多國家和地區(qū)、各種領(lǐng)域所承認和使用，已成為對稱密鑰加密中最流行的算法之一，也是公認的較為安全的對稱加密算法。

AES在軟件及硬件上都能快速地加解密，且只需要很少的存儲器。目前比較常見的AES128和AES 256指的是密鑰長度不同，分別是128bits和256bits，對應(yīng)的加密處理次數(shù)不同，分別是10輪和14輪，后者的強度高于前者。其實AES 128已經(jīng)極難破解，AES256則更加安全，幾乎不可能被一般黑客破解。

●辦公文件

一般用戶產(chǎn)出的主要知識產(chǎn)權(quán)文件就是Word、Excel、PPT等辦公軟件生成的文件，這些文件一般都自帶加密功能，只需要在生成的時候進行相應(yīng)的處理即可。例如在Word 365中，選擇將文件“另存為”，在另存界面中點擊“工具一常規(guī)選項”（圖7），即可開啟密碼設(shè)置界面。在這一界面中可以設(shè)置多種密碼，防止其他人打開或修改文檔（圖8）。

此外如PDF、Flash等文件，同樣可以在生成時進行保護，不僅是防止他人獲得信息或非法使用，還可以保護其中的一些圖片、動畫等組件不被剽竊。

系統(tǒng)權(quán)限

對電腦開啟各種不同的使用權(quán)限，不僅可以保護其上的文件內(nèi)容，還可以防止誤刪除、下載病毒等一些妨礙電腦安全的情況。而電腦的使用權(quán)限從基于硬件開機的BIOS密碼到操作系統(tǒng)功能開放程度的Windows權(quán)限等，有多種不同的選擇。

●Windows權(quán)限

在Windows自帶的加密功能中，系統(tǒng)賬號、權(quán)限是很主要的認證方式。對于不止一個人使用的電腦，開啟多個不同權(quán)限的賬號，設(shè)置不同的賬戶，對文件、文件夾、注冊表等的訪問能力是很好的保護方式。此外Windows10還支持多種方式登錄，也可以用來作為不同用戶的識別和登錄途徑。

一般來說，我們只需要根據(jù)系統(tǒng)設(shè)置管理員（Administrators）和訪客（Guest）兩種權(quán)限的用戶（圖9），并分別為敏感文件設(shè)置不同的讀寫權(quán)限即可（圖10）。不過對一些用戶比較復(fù)雜的電腦，還可以直接為不同的用戶設(shè)置獨立的權(quán)限，這一操作比較復(fù)雜，也較少用到，這里就不贅述了。針對一些用戶構(gòu)成比較復(fù)雜的電腦，例如電教教室中的演示電腦等，最好將注冊表、USB接口、上網(wǎng)等組件和功能也設(shè)置權(quán)限。

●BIOS權(quán)BR

通過直接在BIOS中設(shè)限，可以讓其他人根本無法開機，對電腦的保護作用更強。其設(shè)置非常簡單，一般在主界面或最后一個頁面中，注意很多BIOS實際上是有三個密碼項目，分別是UserPassword、Administrator（或Supervisor） Password、BootPassword（圖11），前兩者主要是針對BIOS訪問權(quán)限的，分別只能查看BIOS設(shè)置和允許進行修改，而后者才是啟動密碼。設(shè)置了Boot Password后會在啟動至BIOS引導時就要求用戶輸入密碼，正確才能繼續(xù)啟動過程。

需要注意的是，BIOS設(shè)置的啟動密碼雖然可以讓未授權(quán)用戶完全無法進入硬件引導過程，但也可以通過硬件層面直接繞過，比如拔掉電池強制清除BIOS，或者干脆卸除硬盤進行竊密。因此這一方式必須與其他防護方式配合使用.例如鎖住機箱、文件加密等。

●存儲盤加密

在文件與文件夾的更上一層，我們還可以直接對存儲盤進行加密，最常見的是閃存盤與移動硬盤，很多品牌都會直接提供加密工具，僅需要簡單設(shè)置，就能將存儲空間完全“鎖”住。目前很多相關(guān)的加密工具已經(jīng)可以支持AES算法，有些甚至達到AES 256，安全性極高（圖12）。但設(shè)置時也要非常小心，因為一些廠商表示用戶加密后連返廠都是無法破解的，廠商能做的也只是將密碼和數(shù)據(jù)一起“抹除”。

●虛擬系統(tǒng)

加密并不是一勞永逸的，設(shè)置的密碼安全性再高，如果直接被竊取了密碼的話，黑客同樣可以對用戶的文件進行任意處理。而竊取密碼最常見的就是種植木馬，通過記錄用戶的輸入或軟件的反應(yīng)，即可直接得到密碼。那么，如果必須運行一些比較可疑的程序又該怎么辦呢？最簡單的辦法就是將其與帶有各種用戶、密碼的操作系統(tǒng)分離，建立虛擬系統(tǒng)是比較簡單的方式。

Windows10系統(tǒng)自帶的虛擬PC工具以及主流處理器自帶的虛擬化設(shè)置，以及第三方虛擬機程序，我們進行過很多相關(guān)的介紹，這里就不再贅述了。需要注意的是，即使是在虛擬系統(tǒng)中，在運行“可疑”程序之前也應(yīng)該有一定的準備。例如注意其中的瀏覽器等“不起眼”的應(yīng)用中，是否啟用了自定義ID和密碼，因為借助這些ID與密碼，黑客同樣可以通過分析或不斷滲透，來獲得更多的用戶信息。特別是一些采用郵箱或手機號注冊，同時又喜歡使用統(tǒng)一密碼的用戶（圖13），只要被攻破一點，就會造成個人信息的全面丟失。

硬件解決方案

大家可能早已習慣了在手機上通過指紋、面孔解鎖屏幕或為付款等應(yīng)用授權(quán)。其實在PC上也完全可以實現(xiàn)這些能力，而且處理器中也內(nèi)置了專門的安全模塊，即英特爾的博銳（ vPro）技術(shù)和AMD的GuardMI技術(shù)，雖然其中大部分產(chǎn)品、功能是針對商用系統(tǒng)設(shè)計的，但也有很多消費級處理器、消費級電腦同樣帶有這些功能，且可以對消費級應(yīng)用提供良好的支持。例如最常見的就是可以更好地使用電腦上的指紋識別系統(tǒng)（圖14），將其納入整體應(yīng)用和安全體系內(nèi)。