現代安全指南：如何分層級保障網路安全

只有將睿智的決策與正確的預防措施加以結合，才能夠保持企業網路環境的安全性與生產效率，同時確保您具備能夠應對面臨的實際風險的能力。

E安全獨家編譯報道

E安全5月31日文 互聯網世界可謂危機四伏。時至今日，網路威脅正呈現出多種表現形式，且潛伏在幾乎一切角落。更糟糕的是，以往我們所強調的安全保障建議，例如避免非法網站、不訪問惡意內容、僅與熟知的人士交互等，如今已經無法滿足在線安全需求。

實際上，釣魚郵件開始假借家庭成員名義出現、攻擊者利用合法應用程序實施間諜活動、眾多知名網站亦受到惡意代碼的劫持，這意味著我們必須利用新的數字安全規則以滿足當今不斷變化的威脅狀況。

考慮到我們的數字化生活已經高度依賴於網路空間，包括通信、金融交易、娛樂、工作、教育等等，採取安全方式進行瀏覽無疑能夠帶來極大助益。具體來講，,我們需要以科學方式處理電子郵件，考慮到電子郵件已然成為網路攻擊當中漏洞工具包與惡意軟體的重要載體。

在今天的文章中，E安全將與您共同探討一項戰略性指導，其中將概述應採取哪些舉措以立足網路層面保護數據及隱私，同時儘可能不對生產力造成負面影響。

安全措施VS生產力保障

面對著浩如煙海的網路威脅因素，我們首先想到的當然是以嚴格方式鎖定一切，但這種作法帶來的挑戰在於，我們需要在預防舉措與生產力保障之間求得平衡點。

舉例來說，為了避免惡意JavaScript代碼的肆虐，可以嘗試在瀏覽器首選項中禁用JavaScript來解決這個問題，但這也將直接導致近半數互聯網資源變得不再可用。一個實際的例子：如果您打算在禁用JavaScript的情況下打開電子郵件，E安全小編只能笑而不語了。我們以不同的方式使用網路資源，因此面臨的風險亦各有區別，具體取決於我們身在哪裡、做些什麼以及在哪些時段使用。對於保障電子郵件用戶安全這項任務，安全研究人員在處理新浪微博與觀看視頻網站的用戶時顯然會採取不同的對策。更進一步地講，各類開發者工具的下載與論壇建議調整選項的設置也會給安全保護工作帶來影響。

作為最為基礎的安全保障層級，E安全小編建議大家應當定期更新您的【全部應用程序】，不僅僅是操作系統，尤其是您的網路瀏覽器。另外，如果瀏覽器未默認將Flash設定為【點擊後播放】，請務必手動啟用這一選項。再有，大家需要禁用ActiveX並在設備上卸載Java客戶端。除非您需要使用的是高度依賴於Java的客戶端應用程序，例如遊戲或者特定教育產品，否則您並不需要保留Java。目前即使是視頻會議等主要應用也已經開始轉向純HTML
5實現方式。

大家還應考慮將場地與操作加以關聯及考量。舉例來說，在公共無線網路上執行敏感交易很可能會給您造成損失。警惕！您最喜愛的咖啡館所提供的公共WiFi並不適合用於處理網上銀行業務。另外，即使您使用了SSL連接，仍有可能遭受中間人攻擊。

在了解了這些基礎知識之後，下面大家需要考慮您最擔心的風險是什麼、需要保護哪些資產、定期與誰交流以及您的數據存儲在哪裡。在以下幾個小節中，E安全小編將具體解析這些問題，幫助您將自身安全瀏覽實踐與威脅容忍水平匹配起來，最終找到最適合您實際需要的保障舉措平衡點。

威脅層級1：惡意軟體

大多數人，尤其在企業當中，會不惜一切代價避免惡意軟體的侵擾。作為兩大最為常見的攻擊微量，惡意軟體下載鏈接與偷渡式下載鏈接（即在點擊後會通過載入目標網頁的方式自動下載惡意軟體的鏈接）最值得關注。高風險鏈接往往出現在網頁、電子郵件以及即時通信內容當中。欺詐分子往往會利用社交網路及網址縮寫服務等手段傳播經過偽裝的惡意鏈接，並希望有人因點擊而成為受害者。

E安全獨家編譯報道

如何最大程度避免？

首先:，停止點擊不明鏈接。這一目標需要配合嚴格培訓且很難得到保障，畢竟我們隨時隨地都在向企業或者個人發出及收取各類鏈接。因此，E安全小編建議要求與您定期溝通的人士在發送鏈接前首先作出說明及提醒，並在鏈接發送後作出確認。

或者，您亦可以通過其它渠道向鏈接的「宣稱」發送者進行核實，例如通過簡訊詢問通過其帳戶發出的鏈接是否確實來自本人操作。這聽起來似乎有點偏執，但根據近期具有極高的成功率的谷歌文件欺詐活動證明，人們往往在看到來自信任人士發送的信息時缺乏警惕性。

最後，請儘可能手動輸入鏈接。如果某人向您發送了一篇白皮書鏈接，請親自訪問對應網站並按標題搜索該資料。

改進提示：設置瀏覽器以確保文件保存時發出存儲位置提示，這樣在任何下載操作進行前您都能得到提示。偷渡式下載的恐怖之處就在於其能在用戶毫不知情的前提下完成惡意軟體下載。另外，E安全小編建議配置您的安全軟體掃描全部下載文件，這將進一步確保瀏覽器不會在未知情況下存儲惡意代碼。

威脅層級2：間諜軟體

攻擊者能夠通過入侵您的瀏覽器發現各類有價值信息。在這種情況下，瀏覽器中安裝的插件很可能成為最大的隱患所在。因此，您需要謹慎使用插件，因為其往往會成為不可預見的惡意軟體傳遞載體。

具體來講，用戶需要定期檢查您的擴展列表（Chrome中為chrome://extensions，火狐中為about:addons），旨在了解其中是否存在某些陌生或者令人費解的條目。您亦可以通過禁用各種可疑項目以降低發生問題的機率。另外，請務必當心網頁當中一切誘導您安裝瀏覽器擴展的請求，例如「點擊『添加』」以提升瀏覽速度或者其它一些欺騙性的提示。

第一步: 請以格外謹慎的態度對待那些由個人創建的瀏覽器插件，因為其很可能會以非HTTPS方式訪問站點。即使是像LastPass這樣的專業密碼管理器，也剛剛在此前修復了一系列極為嚴重的安全漏洞。因此在安裝任意插件之前，請認真考量其帶來的助益是否真的高於潛在風險，如果答案是否定的，請拒絕安裝或者儘快卸載。

改進提示：請務必關注數據來源。如果需要下載Flash或者Adobe Reader，請從Adobe公司的官網處下載。切記不要從非官方網站處下載任何工具，因為其中很可能包含您難以察覺的間諜軟體、廣告軟體以及其它惡意文件。

另外，不要直接搜索【免費PDF轉換器】並無腦下載第一條鏈接提供的資源。（Chrome本身就能夠將頁面自動轉換為PDF，Office亦可將內容列印輸出為PDF格式。）。

威脅層級3：被「追蹤」

相信大家都有過這樣的經歷：在某電子商務網站上瀏覽過地磚之後，互聯網頁面中的各類彈窗廣告開始不斷給出與之相關的商品推薦。這就是廣告商能夠領先cookies追蹤您的在線訪問活動的結果，他們會以此為基礎提供與之相關的廣告內容。當然，廣告還僅僅只是開始，網站會利用cookies記錄您的帳戶、密碼與瀏覽歷史，同時追蹤您在其網站上的具體操作。因此，如果能夠禁用及清除cookies，那麼您的個人數據將不太可能為網路犯罪分子所獲取。

第一步: 使用隱私瀏覽或者隱身模式進行互聯網訪問。

在這種情況下，當會話結束時，您的cookies與瀏覽歷史將不會得到保留。您亦可啟用隱身模式並粘貼URL（特別是那些您不確定是否指向惡意軟體的鏈接）以導航至目標頁面，從而確保自身免受追蹤。如果大家希望在Chrome當中始終使用隱身模式，則可在Chrome屬性中的目標命令後添加「-incognito」參數，如此一來您即可隨時以隱身模式啟動Chrome瀏覽器。另外，您亦可通過about:config以相同方式使用火狐瀏覽器。

改進提示：如果大家需要使用新浪微博或其它社交帳戶，但又不希望一次次輸入登錄信息，則可在Chrome、火狐或者Safari當中創建一個獨立的用戶配置文件，這是專門為各類社交網路所預留。其負責保證相關信息僅用於實現登錄，且不會被外界所窺探。這種作法限制了與登錄操作相關的數據量，確保僅使用您必須使用的數據內容。另外，這項技術亦可用於降低網站追蹤狀況，包括使用社交網路內單點登錄機制訪問的流媒體音樂服務平台等其它服務。

如果非常介意瀏覽被追蹤，則請務必在每款瀏覽器當中啟用不追蹤選項。需要注意到是，不追蹤選項並非強制條目，其僅負責告知目標網站您不希望被追蹤，這意味著其實際效果取決於所訪問網站對您請求的尊重程度。許多網站對此並不重視，即不能保證您所訪問的網站能夠支持這一請求，但這至少能夠提前申明您不願被追蹤的意願。

威脅層級4：信息安全

Cookies因其包含大量有價值信息，一直是網路犯罪分子眼中最為重要的目標之一，特別是電子郵件、帳戶名稱以及密碼等內容。即使進行混淆，此類信息仍可能被攻擊者所利用。跨站點腳本攻擊就會利用網頁JavaScript從cookies當中提取到的用戶細節與會話信息偽造在線狀態及跨站點請求，從而實施對其它網站的欺詐式入侵。

E安全獨家編譯報道

第一步: 只要可以，請務必屏蔽各類cookies。儘管屏蔽第一方與第三方cookies以及禁用會話cookies確實能夠有效提升安全性，但這種作法往往會導致電子郵件與社交網路發生不可用問題。因此，大家至少應當屏蔽第三方cookies，並定期刪除瀏覽器當中的歷史記錄。

另外，不要允許瀏覽器保存您的密碼。儘管這種方式非常方便，但其很難保證所存儲密碼的安全性。E安全小編建議大家使用獨立的密碼管理器，例如1password或者KeePass。

改進提示：在搜索方面，可以使用DuckDuckGo等安全搜索引擎，其不會自動存儲任何由計算機傳輸的信息，包括您的IP地址以及其它數字身份信息。DuckDuckGo不會基於原本的搜索及定位自動補全搜索查詢內容，但這一點小小的犧牲絕對能夠換來安全性的顯著提升。

但如果大家希望保留自己的信息，那麼隱私瀏覽將提供幫助，畢竟不保存cookies的話，攻擊者將沒有任何有價值信息可供竊取。

另外，在每款瀏覽器的會話操作完成後刪除所有cookie也是個不錯的選擇。這就意味著您將不得不在訪問各個網站時重複輸入登錄信息。您也可以建立不同的用戶會話，並創建特定的登錄會話並限制cookies以完成特定的使用及作方式。

儘管部分插件確實非常危險，但也有不少仍值得推薦，例如Disconnect，可幫助用戶屏蔽一切第三方追蹤cookies，能夠確保您的社交媒體帳戶不致受到瀏覽歷史記錄的影響，您將可全面控制站點上的腳本。另一款值得一提的擴展為Ghostery，其能夠屏蔽各類常規追蹤腳本，但需要您根據實際需要為各站點設置腳本白名單。

威脅層級5：釣魚攻擊

釣魚網站屬於一類欺詐性網站，旨在竊取訪問者的個人信息。除了偽裝成電子郵件或者銀行網站去騙取您的登錄憑證之外，其也可能假借競賽或者中獎之名要求您輸入社保號碼。網路釣魚攻擊還能夠將受害者重新定向至其它惡意網站，從而下載惡意代碼及惡意軟體並收集各類敏感信息。時至今日，潛在的網路釣魚活動幾乎無處不在，因此在點擊任何鏈接之前要慎之又慎重。

E安全獨家編譯報道

第一步：不要點擊來自電子郵件中的鏈接或者打開其附件，更不要向表單當中填寫您的敏感信息。尤其不要相信假借政府方面發布的訴訟表單，這些很可能為子虛烏有，您應打電話給其中提到的部門進行親自確認。另外，千萬不要因為郵件中宣稱的人力資源部假期調整要求而直接點擊鏈接，相反，您應訪問人力資源網站了解詳情。這裡需要強調的是，網址構成中存在著許多可資利用的漏洞，例如將數字0替換為字母O，或者將nn替換為m，包括paypal.com.someothersite.com這類看上去似乎沒什麼問題的地址。因此，請務必親手在地址欄中輸入您所信任的企業網站地址，而不要點擊郵件或者即時通訊消息中的現成鏈接。

改進提示: 請僅在使用HTTPS的網站上提供個人信息。需要強調的是，考慮到Let』s

Encrpyt以及其它免費SSL證書來源的存在，單純是綠色小鎖圖標還不足以讓我們安心。大家應當關注EV證書，即瀏覽器地址欄處應當顯示正確的對應名稱。由電子前沿基金會發布的HTTPS
Everywhere擴展也是一個很好的選擇，其能夠以強制性方式通過HTTPS傳輸網站流量。

如果大家收到來自商家的特價或者打折信息郵件，請查看其是否有將郵件發送為文本而非HTML的選項。這能夠幫助大家準確判斷其內容中是否存在鏈接。

我們很難檢測出一切釣魚意圖，畢竟其中部分惡意活動確實水平很高。因此，請確保沒在不同帳戶中使用同一密碼，否則一旦密碼丟失，全部帳戶都將為惡意人士所獲取。另外，請儘可能將個人網路瀏覽與工作網路瀏覽分離開來，且永遠不要使用工作地址進行網站註冊，這種作法會導致在帳戶丟失後，您的工作地址很可能遭遇網路釣魚攻擊。最後，在網站支持的情況下啟用雙因素身份驗證機制，這將使得攻擊者更難使用被盜的憑證，特別是在相關帳戶涉及金融交易的情況下。

威脅層級6：最大限度保護

如果大家需要最大限度提升保護能力，則需要構建起一套由多種瀏覽器及操作系統共同構成的、分別支持不同操作活動的系統。另外，您亦可利用多套虛擬機以實現威脅隔離。

首先 使用不同網路瀏覽器處理不同操作。

即使用【瀏覽器處理1】金融交易，【瀏覽器處理2】進行通信，【瀏覽器處理3】單純用於網路信息瀏覽。

如此一來，如果攻擊者入侵了您常用於訪問論壇的瀏覽器，亦無法復跨站點腳本訪問您的網上銀行，因為惡意人士無法跨越不同瀏覽器。具體來講，新浪微博帳戶遭遇突破並不會影響到淘寶的正常使用。

對於那些高度敏感的網站，您應當為其設置專門的網路瀏覽器，並通過配置對相關網站進行重重限制。舉例來說，您可以通過一套專用瀏覽器去訪問Amazon
Web
Services控制面板，其無法「不慎」訪問任何其它網站（即在白名單當中僅添加AWS，其餘一律加以屏蔽）。通過這種方式，您將確保企業的整體雲基礎設施不致遭受暴露。同時，E安全小編強烈建議啟用該專用瀏覽器內的全部安全選項。

改進提示：對於具有極高潛在風險或者極度敏感的站點，E安全小編建議用戶可以考慮在多套虛擬機上對操作進一步隔離。例如在專有虛擬機上利用鎖定（且持續更新）的瀏覽器處理銀行業務。這將有助於解決一切以銀行業務為重點的網路攻擊，意味著惡意人士必須通過更為繁瑣的方式才有可能取得您的銀行信息。

Linux Live CD是運行虛擬機系統的理想實現方案，大家甚至能夠在虛擬機之內運行Live CD以最大程度提升安全性水平。Tails是一套非常簡潔的Linux變體，其關閉了USB驅動器並可用於隱藏您的數字化足跡，因為其中不會保留任何歷史記錄。

收到了一封看起來非常可疑的電子郵件？請在虛擬機中將其打開。如果其附件中包含惡意軟體，則感染的也只是一套空蕩蕩的虛擬機。當然，這種作法也並不是萬事大吉，一部分高水平惡意軟體被設計為不會在虛擬機之內執行。但，始終保持不確定是否安全的文件存在於虛擬機內，或者說遠離主桌面，在目前來說是一種較為有效的方式。

如果希望隱藏自己的在線活動，可考慮使用Tor（The
Onion
Router，是個免費、開源的程序），它可以給網路流量進行三重加密，並將用戶流量在世界各地的電腦終端里跳躍傳遞，並對不同Tor節點間傳輸的流量進行加密與路由，這樣就很難去追蹤它的來源，從而提供出色的匿名保護效果。由於您的流量將由Tor發往隨機伺服器，因此數據不再與您的個人IP地址相關聯。當然，Tor不是網路匿名訪問的唯一手段。

再有，您可以使用NoScript以禁用Java、JavaScript、Flash以及其它動態內容。此選項會導致大多數網站不可用，但您可以手動對內容進行授權，E安全小編建議您需要小心檢查以避免意外批准惡意代碼的執行。Adblock

Plus（廣告攔截器）能夠屏蔽來自已知廣告與間諜軟體網站的彈窗式廣告及其它內容。雖然有人擔心廣告商可以通過向該平台付費的方式避免自己的宣傳信息被Adblock
Plus所屏蔽，但實事求是地講，其確實能夠很好地關閉彈窗式廣告並阻止潛在攻擊。

另一種方法則是立足瀏覽器本身禁用JavaScript並屏蔽彈窗。大多數瀏覽器在默認情況下會自動屏蔽彈窗，但JavaScript由於被廣泛使用而保持默認啟用。

安全措施並不能一勞永逸

在網路世界中保障自身安全無疑是一項需要將技術、認知與意願加以結合的綜合性任務。當下的各類瀏覽器提供大量保護性選項，包括禁用插件以及啟用反釣魚機制等功能。只要啟用並設置這些基礎性安全保護手段，同時注意對全部軟體進行及時更新，那麼您的安全水平將能夠在不經意間得到大幅提升。

但必須承認的是，如今攻擊者能夠以前所未有的便捷方式實現惡意軟體感染或者實施網路釣魚攻擊。直白地講，所有的安全措施並不能夠一勞永逸，我們遭遇入侵攻擊也許只是時間的問題。然而只要您明確了自己最擔心的後果以及能夠承受的風險水平，即可建立起一套合理的安全保障方案，從而在業務需求、安全保障與生產力條件之間找到理想的平衡點。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！