上网安全与心态

【明慧网2004年7月16日】本文想就上网安全问题谈几点,因为对于我们来说不仅仅是技术问题,还有修炼的内容在里面,所以取了这么一个题目。

先谈谈技术方面。上网安全无非两点:一是保护自己,二是突破封锁。

一是保护自己。我把它分列几条:防黑、防(清)木马、防(杀)毒、加密(包括本地硬盘数据加密和通信加密)、还有一些其他的。保护自己这一点与网络结构没有关系。

防黑手段之一就是安装ZoneAlarm(ZA)防火墙,在很大程度上可以防止木马程序。安装防火墙主要作用就是给自己的计算机架起围墙,阻止不必要的程序随便進入我们的机器,需要通信的地方开一个大门(端口),找一个保安看门,由他检查進出计算机的通信是否合法。应用防火墙的关键是安全策略设置和当防火墙询问外出的程序是否放行时你的决定(这依赖于使用者熟悉自己使用的程序,与自己操作无关的程序应该一律禁止)。然而,防火墙还有一些不能防范的。所以在此纠正一些人的一个概念,认为有了防火墙就一定安全了。安装防火墙后并不是高枕无忧了,我们怎么能够完全依赖于一个外在的小程序呢?这点,下面谈到心态时再说。

关于木马的问题,扫描木马的程序有AdWare、PestPatrol,同时还有实时监控功能(AdWare需要启动Ad-Watch),实时拦截间谍程序的还有SpyBlocker,被称为间谍防火墙。防毒软件(有人称为防火墙或者病毒防火墙的)有一定的查杀木马的功能。

防止病毒的软件常用诺顿。如果很少浏览其他网站的话,若机器性能不太好,我个人认为,病毒软件可以考虑不安装。

加密问题很关键。首先要保证上网的机器上网时硬盘没有敏感数据,我们采用的方法要么是上网机器专用(有点浪费),要么是在机器上作一个加密的虚拟硬盘存放敏感数据。作加密虚拟硬盘的软件有:PGP、BestCrypt、Strongdisk等。其次,也是更重要的,就是通信过程中的加密,这是破除邪恶内容检测过滤的关键,也是可以持续的安全突破封锁的关键。而这种通信的加密已经和突破封锁的软件象自由之门等复合在一起了。我们自己往往不能够自己左右,因为这依赖于我们使用的代理、突破封锁的软件等,但是我们一定要确定确保我们的数据被加密了,我们简单的核实办法就是检查确认软件正常工作了。对于专业点的人员有软件可以截获進出的数据包,可以看到数据是被加密不可分析的。传输加密通信的不安全因素来自于密钥长度。现在IE6的密钥长度是128位0、1代码,相当于16位英文或数字的组合。要想实时的解密進行内容过滤是有难度的,所以是相对安全的。注意IE的升级,很早期版本的IE仅支持56位的密钥。

其他的还有很多。注意系统的升级,及时堵塞系统漏洞。注意以上各种防护软件的升级。在IE属性的“安全”选项卡中禁止不必要的Cookies、ActiveX、Java小程序,在IE中“高级”选项卡中将SSL2.0、SSL3.0选中等。

第二就是突破封锁。办法就是使用代理。代理就是代办。我们把我们的要求递交给一个不被封锁的第三方,由它代替我们请求我们所需要的网页信息,然后它再传给我们。其实我们使用的自由之门、花园网等本质上也是代理软件,它将我们自己的机器设为代理(127.0.0.1是机器本身的环回地址),当IE请求时,把请求交给自由之门(比如),自由之门将信息加密,同时作为客户端访问远程服务器(通常意义上的代理),然后访问明慧等。当然网络上还有一些第三方具有SSL加密功能的代理也可用。如果实现二次代理,我们可以将密道和虽不具有加密功能的代理一起使用也可以,但是至少有一个是加密的。

注意到以上这些内容,从技术层面来说,安全强度应该是问题不大了。对于小资料点上下网,我认为在目前的技术水平下完全可以胜任。安全问题永远是相对的,即使从常人的角度也是如此。

但是问题不只是技术上的,做工作时我们的心态才是决定问题的关键。前段时间我们有几位同修被邪恶非法抓捕后,我们当地在家的一些同修和原来资料点的同修就悟到应该加速小资料点的遍地开花。根据明慧网建议和正法的需要,资料点遍地开花是大势所趋,有条件的同修都应该本着为法负责、救度众生的态度积极参与進来,这一点是对的,我也看到了这种好的趋向。

但是,有些同修本身对于技术并不精通,对于技术问题看得过于乐观和简单,对于教技术有一种盲目性,不考虑学网人的心性和对于技术的理解欠缺,认为可以速成,一两天就可以单独上网了等,这就是一个心态的问题了。技术操作并不难,难的是对于问题的理解以及在法上的认识和把握。就比如对防火墙来说吧,防火墙能够阻止一定的入侵,这里有一些依赖于设置。撇开设置不说,防火墙也并不是什么都能够防范的。防火墙不能防范的主要是网页上的病毒和隐藏在一些小程序中的木马或间谍程序,甚至还有伪造的网页信息等,这些对于我们来说就可能是陷阱。我们有些功友上网时往往开几个常人网站做掩护(其实是没有用的),常人网站什么都有,污七八糟,如果上网时把握不好,随便点击某处时,心性上的漏就会带来表现在机器上面的漏洞,被邪恶钻空子。这只是一个方面。

也许心性上的漏不表现在此,而是表现在对能够上明慧的一种显示,或者将此看作是一种资本(因为毕竟能上明慧网的大陆同修还是少数)以此可以形成一个小圈子,或者长久留恋于网络上的各种信息并形成一种执著等等等等,这些都是上网同修应该把握的。

前几天我们当地有几位同修都是在网络方面出现的问题,这给我们当地不算冷静的推广小资料点的举动一个不小的冲击。

首先,我个人认为如果单纯从技术上来说,目前我们的技术工具只要及时更新应该是没有什么大问题的,我觉得出事同修背后心态也许更是问题的关键。当然不排除邪恶在技术方面突然有一个大的改造,但是我也听说,邪恶已经盯了同修好几个月了。

其次,我认为前段时间在很多同修中都流传着这样一个说法:还从来没有在网络上出事的。这显然是一种轻心和麻痹大意,如果长久这样掉以轻心,难说邪恶不钻空子。这件事就很好的给我们提了提醒。

再次,正当我们准备积极推進小资料点的时候,邪恶给我们来这么一下子,是不是对于我们的阻扰呢?问题出现了,有同修传言,邪恶上了新设备,专门对什么什么等。因此,本来准备学上网的同修,有的一下子熄了火。

我还是谈我的看法,我们是大法弟子,怎么能够一下子被邪恶障碍住呢?邪恶要封锁我们也不是一天了,邪恶能够使出的招数也使尽了,现在技术就这样一个水平,师父和宇宙的正神在制约着一切,旧势力黑手还能够有什么本事操控人间的不明真象的人在技术上给我们制造更大的障碍?(如果真是如此,那可是全世界大法弟子都应该找一找这方面的问题了。)

从技术角度讲,邪恶无论采取什么办法,最终还是内容的过滤和网址的过滤,只要我们的信息是加密的,对于它的什么设备有什么可怕的?(当然应该充分考虑我们的加密强度。)邪恶最方便做手脚的地方就是路由器了,以前网络上已经报道过思科公司助纣为虐的事,这是我们早就知道的。

这一次大陆网通公司网络确实在改造,但是到底与我们有没有关系、有多大关系,我们应该听听懂技术同修或者网通内部同修的意见,不应该遇到当地同修在这上面出事就带着人心一下子把问题都联系起来自己吓自己。

据我所知,这次改造,宽带用户取消原来的IP设置,改用ADSL虚拟拨号,客户端拨号软件采用Ethernet 300,可实现IP地址的动态分配。单纯从这项功能上看不出邪恶在此做什么手脚,因为这样改造对于网络管理和维护有很大益处,减少人工劳动量。如果在拨号服务器一端,我想还是对于IP地址和包的处理。有知道内部情况的同修可以提供此方面的信息。

最后我想说,只要我们的软件别有固定的特征(至少自由之门在3.3时就宣称没有特征了),只要邪恶不能实时的解密128位的密钥加密的信息,我们的这些小软件应该都是安全的。我们还是应该稳步的推动小资料点的发展,坚定正念做好师父要求我们做的三件事。