论文部分内容阅读
要想安全高效地上网需要明智的决策和适当的防范措施,以应对您身边的各种风险。
互联网这个地方会不会很可怕?有各种各样的威胁,潜伏在每个角落里。更糟糕的是,昨天人们还普遍认为的一些能安全上网的建议现在已经不管用了——不要上不良网站,不要买被盗的或者非法的商品,只和您认识的人打交道。欺骗家庭成员的钓鱼电子邮件、合法应用程序被嵌入了间谍软件、知名网站被恶意代码劫持——数字安全领域显然需要新规则来应对当今不断变化的各种威胁。
想一想我们有多少数字生活都是在网上进行的,举几个例子,通信、金融交易、娱乐、工作、教育,等等,因此,即使很少的一些安全浏览习惯也会让您受益匪浅。这包括我们怎样处理电子邮件消息,而电子邮件是利用攻击工具和恶意软件进行网络攻击最流行的载体。
在这里,我们提供了关于安全上网的策略指南,简要介绍了您应该怎样做才能保护您在网络上的数据和隐私,同时还能保持高效的上网。
了解您所面对的威胁
现在有这么多的威胁向我们逼近,最严格的方法是把所有的东西都锁起来,而难点是怎样做好预防措施,同时还能高效地上网。例如,为避免恶意JavaScript,您只需关闭浏览器首选项中的JavaScript,但几乎有一半的互聯网内容将无法使用。如果不启用JavaScript,Gmail还能用吗?这不太好。
我们以各自的方式上网,我们面临的风险也大不相同,这取决于我们在哪里、我们正在做什么、甚至是什么时候上网。安全研究人员的上网安全与我们普通人的完全不同,我们上网一般是收发电子邮件,使用社交网络,或观看网络视频。开发人员也不一样,他们会下载新工具和频繁访问论坛,获取建议。
基本上,您应该定期更新所有应用程序,而不仅仅是操作系统,而是每一个应用程序,特别是您的Web浏览器。您还应该将浏览器首选项切换到“点击播放Flash”——如果您的浏览器没有自动设置好。您还应该停用ActiveX,卸载机器上的Java客户端。除非您使用非常需要Java的客户端应用程序,例如游戏或者某些教育类产品,否则没必要启用Java。即使是主流的视频会议应用也转向了纯HTML5。
你也应该考虑把地点和活动结合起来。例如,在公共无线网络上进行的敏感交易可能会给您带来麻烦。您最喜欢的咖啡店的公共Wi-Fi也不适合访问网上银行。即使您使用的是SSL连接,中间人也可能通过SSL发起攻击。
一旦了解了这些基本常识,您应考虑您最担心的危险是什么,您要保护哪些资产,您经常与谁交流,您的数据存储在哪里,等等。下面,我们将帮助您打破这些顾虑,使您能够在一定程度的威胁下安全的地上网——您上网时可以容忍的威胁等级。
威胁等级1:确定没有恶意软件
大多数人,特别是企业,都会不惜一切代价避免恶意软件。两个最常见的攻击手段是下载恶意软件的链接以及网站挂马攻击,只要加载网页,恶意软件就会自动下载。可以在网页、电子邮件或者即时消息中找到危险的链接。诈骗者经常使用社交网络和URL短地址来传播伪装好的恶意链接,希望有人会点击这些链接。
首要措施:不要点击链接。这需要社会性的培训,但是很难坚持,特别是考虑到我们发送的所有链接既有专业的也有个人的。对于经常和您联系的人,如果他们打算向您发送链接,要求他们给您发送提醒通知——并且只有在得到肯定答复后才能向您发送链接。或者,要求联系人确认他们实际上是通过不同的渠道发送了链接。例如,给您的哥哥发个短信,问问从他帐户发送的链接真的是他发的吗。这样做好像有些过了,但最近的假谷歌文档骗局之所以得手,就是因为人们误认为恶意文件来自他们信任的人。一定要自己输入链接,如果有人向您发送一个链接,看起来像很酷的白皮书,那么直接去文本源头,自己在网站上找白皮书。
专业提示:设置您的浏览器,使其询问把文档保存在哪里,这样您始终知道某些内容被下载到哪里。挂马式攻击依赖于隐身,用户甚至不知道发生了什么。配置您的安全软件,在下载时扫描所有文件。
威胁等级2:我也不喜欢间谍软件
攻击者想方设法地破坏您的浏览器,找到各种信息。在这方面,不一定非要使用浏览器插件。谨慎地使用它们,因为它们可能成为恶意软件的载体。定期检查浏览器的扩展列表(Chrome的是chrome://extensions,Firefox的是about:addons),以查看是否有任何不熟悉或莫名其妙的内容。禁用那些看起来很可疑的东西,您就很少会出错。还要小心尝试欺骗您安装浏览器扩展的网页,例如“点击‘添加’以加速本网站”或者其他欺骗性的提示。
首要措施:要特别小心由个人开发的浏览器插件,因为这些插件可能会访问没有HTTPS的站点。专家也会遇到麻烦:LastPass是使用最广泛的密码管理器的创建者,最近也不得不修复其浏览器扩展中一些严重的漏洞。想一想,使用插件让自己更方便一些,还是风险更大一些,特别是如果您觉得短时间内不会给自己带来太大的好处。
专业提示:一定要考虑来源。如果您需要下载Flash或者Adobe Reader,请从Adobe网站上获取。不要从非关联网站上下载这些工具,因为间谍软件、广告软件和其他恶意文件很容易混在下载中。不要搜索“免费PDF转换器”,也不要下载首先出现的内容。(你真的需要一个吗?现在,Chrome能自动将页面转换为PDF,Office也会很好的支持PDF。)像PortableApps.com和Ninite这样的项目提供了方便的方法,从信任的来源自动获取和更新常见的开源软件和免费的应用程序。
威胁等级3:任何时候都不要被跟踪
以下情况会发生在我们所有人身上:在HomeDepot.com上浏览查找地砖后,家庭装修广告就会在网上到处乱闪。广告商通过Cookie跟踪您上网,并根据您的活动投放广告。但不仅仅是广告。网站使用Cookie记住您的帐户、密码和浏览记录,并跟踪您在网站上的活动。当您禁用和清除Cookie后,网络犯罪分子就很难获取您的个人数据。
互联网这个地方会不会很可怕?有各种各样的威胁,潜伏在每个角落里。更糟糕的是,昨天人们还普遍认为的一些能安全上网的建议现在已经不管用了——不要上不良网站,不要买被盗的或者非法的商品,只和您认识的人打交道。欺骗家庭成员的钓鱼电子邮件、合法应用程序被嵌入了间谍软件、知名网站被恶意代码劫持——数字安全领域显然需要新规则来应对当今不断变化的各种威胁。
想一想我们有多少数字生活都是在网上进行的,举几个例子,通信、金融交易、娱乐、工作、教育,等等,因此,即使很少的一些安全浏览习惯也会让您受益匪浅。这包括我们怎样处理电子邮件消息,而电子邮件是利用攻击工具和恶意软件进行网络攻击最流行的载体。
在这里,我们提供了关于安全上网的策略指南,简要介绍了您应该怎样做才能保护您在网络上的数据和隐私,同时还能保持高效的上网。
了解您所面对的威胁
现在有这么多的威胁向我们逼近,最严格的方法是把所有的东西都锁起来,而难点是怎样做好预防措施,同时还能高效地上网。例如,为避免恶意JavaScript,您只需关闭浏览器首选项中的JavaScript,但几乎有一半的互聯网内容将无法使用。如果不启用JavaScript,Gmail还能用吗?这不太好。
我们以各自的方式上网,我们面临的风险也大不相同,这取决于我们在哪里、我们正在做什么、甚至是什么时候上网。安全研究人员的上网安全与我们普通人的完全不同,我们上网一般是收发电子邮件,使用社交网络,或观看网络视频。开发人员也不一样,他们会下载新工具和频繁访问论坛,获取建议。
基本上,您应该定期更新所有应用程序,而不仅仅是操作系统,而是每一个应用程序,特别是您的Web浏览器。您还应该将浏览器首选项切换到“点击播放Flash”——如果您的浏览器没有自动设置好。您还应该停用ActiveX,卸载机器上的Java客户端。除非您使用非常需要Java的客户端应用程序,例如游戏或者某些教育类产品,否则没必要启用Java。即使是主流的视频会议应用也转向了纯HTML5。
你也应该考虑把地点和活动结合起来。例如,在公共无线网络上进行的敏感交易可能会给您带来麻烦。您最喜欢的咖啡店的公共Wi-Fi也不适合访问网上银行。即使您使用的是SSL连接,中间人也可能通过SSL发起攻击。
一旦了解了这些基本常识,您应考虑您最担心的危险是什么,您要保护哪些资产,您经常与谁交流,您的数据存储在哪里,等等。下面,我们将帮助您打破这些顾虑,使您能够在一定程度的威胁下安全的地上网——您上网时可以容忍的威胁等级。
威胁等级1:确定没有恶意软件
大多数人,特别是企业,都会不惜一切代价避免恶意软件。两个最常见的攻击手段是下载恶意软件的链接以及网站挂马攻击,只要加载网页,恶意软件就会自动下载。可以在网页、电子邮件或者即时消息中找到危险的链接。诈骗者经常使用社交网络和URL短地址来传播伪装好的恶意链接,希望有人会点击这些链接。
首要措施:不要点击链接。这需要社会性的培训,但是很难坚持,特别是考虑到我们发送的所有链接既有专业的也有个人的。对于经常和您联系的人,如果他们打算向您发送链接,要求他们给您发送提醒通知——并且只有在得到肯定答复后才能向您发送链接。或者,要求联系人确认他们实际上是通过不同的渠道发送了链接。例如,给您的哥哥发个短信,问问从他帐户发送的链接真的是他发的吗。这样做好像有些过了,但最近的假谷歌文档骗局之所以得手,就是因为人们误认为恶意文件来自他们信任的人。一定要自己输入链接,如果有人向您发送一个链接,看起来像很酷的白皮书,那么直接去文本源头,自己在网站上找白皮书。
专业提示:设置您的浏览器,使其询问把文档保存在哪里,这样您始终知道某些内容被下载到哪里。挂马式攻击依赖于隐身,用户甚至不知道发生了什么。配置您的安全软件,在下载时扫描所有文件。
威胁等级2:我也不喜欢间谍软件
攻击者想方设法地破坏您的浏览器,找到各种信息。在这方面,不一定非要使用浏览器插件。谨慎地使用它们,因为它们可能成为恶意软件的载体。定期检查浏览器的扩展列表(Chrome的是chrome://extensions,Firefox的是about:addons),以查看是否有任何不熟悉或莫名其妙的内容。禁用那些看起来很可疑的东西,您就很少会出错。还要小心尝试欺骗您安装浏览器扩展的网页,例如“点击‘添加’以加速本网站”或者其他欺骗性的提示。
首要措施:要特别小心由个人开发的浏览器插件,因为这些插件可能会访问没有HTTPS的站点。专家也会遇到麻烦:LastPass是使用最广泛的密码管理器的创建者,最近也不得不修复其浏览器扩展中一些严重的漏洞。想一想,使用插件让自己更方便一些,还是风险更大一些,特别是如果您觉得短时间内不会给自己带来太大的好处。
专业提示:一定要考虑来源。如果您需要下载Flash或者Adobe Reader,请从Adobe网站上获取。不要从非关联网站上下载这些工具,因为间谍软件、广告软件和其他恶意文件很容易混在下载中。不要搜索“免费PDF转换器”,也不要下载首先出现的内容。(你真的需要一个吗?现在,Chrome能自动将页面转换为PDF,Office也会很好的支持PDF。)像PortableApps.com和Ninite这样的项目提供了方便的方法,从信任的来源自动获取和更新常见的开源软件和免费的应用程序。
威胁等级3:任何时候都不要被跟踪
以下情况会发生在我们所有人身上:在HomeDepot.com上浏览查找地砖后,家庭装修广告就会在网上到处乱闪。广告商通过Cookie跟踪您上网,并根据您的活动投放广告。但不仅仅是广告。网站使用Cookie记住您的帐户、密码和浏览记录,并跟踪您在网站上的活动。当您禁用和清除Cookie后,网络犯罪分子就很难获取您的个人数据。