网络安全意识 | 互联网安全漫游指南

《网络安全意识》这一系列的文章已更新了最后一篇。为了便于广大的用户,读者提升安全意识,我们特此将这几篇文章中的安全建议总结归纳,希望读者们能借此提升自己的安全意识,保护自身安全。

一、线上社交

真正的恶意攻击者是贪婪的,他们为了达成目标会不择一切手段,不放弃一切信息。所以,如果你想保证自家公司的绝对安全,如果你想提升自己的安全意识,就不要忽视所有能被提供出去的信息的重要性,攻击者能拿到的所有相关信息都有对应的价值.

Checklist

  1. 发布图片时,重要信息务必打码;
  2. 尽量不在动态或朋友圈中暴露定位信息;
  3. 使用过“附近的人”功能者,应清除位置信息后退出;
  4. 尽量不发送照片原图,或编辑修改后再发送;
  5. 不要在公开社交网络中暴露公司敏感信息;
  6. 尽量不要在社交媒体中暴露真实姓名;
  7. 不要在QQ签名(包括签名历史),留言板中泄露敏感信息;
  8. 不要使用QQ空间中照片人脸识别后贴备注的功能;
  9. QQ名片夹中“标签”功能尽量不要暴露个人照片或敏感信息;
  10. 安全问题的本质是信任问题,不要轻易相信陌生人,或对涉及到公司内部情况等的敏感信息做到闭口不谈(如果没法做到防守好每一条可能被攻击的渠道,就坚守最根本的不能放手的部分);
  11. 设定好空间和朋友圈的开放权限;
  12. 尽量减少信息流出,有条件的话设置向外开放的时间范围,如只展示半年内的动态;
  13. 适当管理留言板等公开交流渠道的内容;
  14. 在熟人情况异常或开始涉及敏感信息范围时,请多渠道核实真实情况;
  15. 尽量少地在个人信息处留下真实信息;
  16. 事出反常必有妖,有便宜占时请及时核实真实情况,不要贪心;
  17. 相信直觉,一旦起疑就及时进行核实,在涉及到敏感范围时,任何人都是不值得信任的;
  18. 经常管理微信登录设备;
  19. 有条件的话,请设置好友可查看的动态时间范围(非好友最好不可查看);
  20. 尽量关闭通过手机号,QQ号查询到用户的功能;
  21. 微信号尽量不要暴露个人信息,如姓名缩写等。

二、账号密码

在这个信息化时代,各类交流平台以及各种工具平台都是通过账号密码进行验证和登录。账户安全的重要性不言而喻,它的范围之广,关系到每一个人,包括个人手机APP账户、电脑网站账户、银行卡账户密码等一些账户信息以及一些与区块链相关的助记词,密钥等信息。如果这些信息被泄露或者是被不法分子利用,将会造成不可挽回的损失。

Checklist

  1. 对于自身的口令密码,每个网站应设置不同密码,或进行密码分级,例如:涉及资金的密码设为一类,通讯账户密码设为一类等,如果一个密码泄露也不会导致其他账户被盗;
  2. 对于自己的账户密码,尽量不要发送给他人,避免出现账户密码泄露;
  3. 避免单纯使用个人信息设置密码,如:自己的生日、配偶的姓名等;
  4. 不要单纯使用字典中的单词;
  5. 密码长度八位以上;
  6. 密码包含大写字母以及特殊字符, 不使用弱密码,如123456,1234qwer;使用强密码,如 Wyh0056…,…Cyy600!;
  7. 定期更换密码;
  8. 私钥一定要手抄;
  9. 多个安全地方存储;
  10. 确保助记词的准确性,多次校验;
  11. 或者强加密后存在电脑;
  12. 不要截屏和拍照,会同步到云端;
  13. 不要拷贝粘贴,会同步到云端;
  14. 不要使用邮件传输或存储私钥;
  15. 不要将私钥发到群里;
  16. 不要将私钥导入未知的第三方网站;
  17. 不要在被偷看,监控状态下显示私钥,输入密码等;
  18. 不要将私钥告诉身边的人;
  19. 不要使用社交网络传递,如:QQ,微信,信息根本不安全;
  20. 不要在越狱,root的机器上安装各种数字货币钱包;
  21. 不要明文存储在电脑,电脑可能有木马等软件;
  22. 大额资产建议用冷钱包。

三、线下社交

世上的交易往往是风险越高,收益越大,对于社交攻击而言,也是同样。线上社交一类,更多是非主动式的攻击,风险,成本,不良影响相对低,相对应地,它的收益也不会太高。而对于一个更加资深的攻击者而言,线下社交攻击虽然风险更大,可能出现的意外状况更多,攻击进程更不可控,但它带来的收益却是足以使人冒险的。

Checklist

  1. 请时刻提醒自己谦虚冷静,被异常地夸赞不一定是什么好事情;
  2. 不要和别人随便交换信息,不要轻易信任他人;
  3. 当有人的观点言论出现某些敏感错误时,一笑带过即可,不必多说误事;
  4. 当一个陌生人能迅速和你产生共鸣,那也许就是值得怀疑的,保守住自己的秘密;
  5. 尽量避免回应假设性问题;
  6. 酒精能够诱导说真话,尽量少喝酒,喝完了尽量少说话。

四、WiFi安全

诚然一些方法可以避免一些安全隐患,但是一刀切的禁止连接公共WIFI,实在是有些因噎废食的意味。

Checklist

  1. 公共WiFi该用还是要用,用的时候尽量避免敏感操作(登录、转账)。现如今流量也不是很贵,建议出门在外敏感操作还是使用流量,相信运营商;
  2. 敏感设备,存储了重要文件或者数据的设备就不要连接公共WiFi。同理手机热点是一个不错的解决方法;
  3. 一个整个酒店都用同一个WiFi在一般情况下的安全性都要比每个房间独立WiFi的安全性要低,连接前做好权衡;
  4. 大多数采用手机认证的公共WiFi会绑定IP和手机号方便出事后进行溯源相比之下会更安全一些,但是目前对于日志的保存情况我们也不要报太多的希望;
  5. 路由器管理后台设置强密码,防止弱口令被登录;
  6. 关闭使用pin码登录,指的是WPS功能,只需输入数字就可登录;
  7. 启用WPA加密,不用已经过时的WEP加密;
  8. 如果特别注重安全的话可以对SSID进行隐藏;
  9. 不安装某APP进行WiFi密码分享。

五、办公安全

企业面临的安全问题来自四面八方,但主要还是来自外部和内部两方面。外部问题主要来源于web对网站,app,小程序等的黑客攻击,内部主要是办公室安全,是工作人员的安全意识,以及公司的相关制度管理问题。目前很多大企业的安全问题,除了对外部网站或者APP的黑客攻击之外,还有内部的信息泄露或者其他有害行为,对企业造成无法弥补的损害。

Checklist

  1. 避免将口令写在纸上,存放于办公桌面,应将口令纸条放在保险箱里,或使用一些存储密码的工具;
  2. 离开电脑时谨记锁屏(windows下可使用win+L,MAC记得随手合盖);
  3. 及时更新电脑系统和安装补丁;
  4. 电脑安装杀毒软件;
  5. 在公共场合交谈,差旅,应注意不泄露公司的敏感信息;
  6. 陌生人的邮件应在确认身份后,再进行点击查看;
  7. 在办公区域拍照应注意避免拍到关于公司的敏感信息;
  8. 打印文件应注意文件打印后及时删除;
  9. 会后应整理会场,擦黑板不遗留文件,敏感文件存柜;
  10. 进入公司应随手关门,防止公司无关人员尾随;
  11. 技术人员应保存好代码,保证安全的情况下可上传至在线网站;
  12. 公司WiFi应做好办公和访客分离,不应把办公WiFi密码随意告知来访人员;
  13. 办公IM应做好消息加密,必要时公司可开发自己的专用通讯软件;
  14. VPN尽量不使用自己搭建的简易VPN,目前市面上已经有完善的VPN设备,可开启两步验证,保证VPN的登录安全,如果使用自己搭建的VPN,建议密码设置为强密码;
  15. 保证VPN信息的安全存储,建议不要存储在网站页面。

六、反钓鱼

钓鱼,指运用欺诈心理结合电脑科技的新犯罪手法,也可以粗略地理解为一种使用特殊手段引诱你上钩以获取好处的骗局。在现代生活中,人与人之间交流接触的渠道越来越多,接触面越来越广,交流频率也越来越高。相应地,钓鱼也得益于此,在日渐频繁的交际中变得愈加强大。

Checklist

  1. 一般来说,官方发出的邮件,信息不会有语法,称呼上的问题,但钓鱼邮件可能会在这方面出差错;
  2. 当有邮件或短信等诱导你点击链接时, 请仔细观察链接 ,ip 和 ip + 端口,这种形式的链接不要点击(45.127.78.93和58.24.84.116:8080类似的,XX.XX.XX.XX是ip,后面的冒号和数字是端口号);
  3. 当有邮件或短信等诱导你点击链接时,请仔细观察,是否是看不明白其归属或功能的 短链接
  4. 当有邮件或短信等诱导你点击链接时,请仔细观察域名(网址),是否类似于使用rn混淆m之类的情况出现,如果不放心,可以输入自己牢记的网址或从官方渠道进入;
  5. 一般来说,正规机构在需要用户付出代价之前,都会有提醒预告,但钓鱼邮件会直接使用紧迫的语气(你的账户24小时就会被封禁);
  6. 一般来说,单单一封邮件无法对你实施攻击,一定要以邮件为基础,在此之上产生别的交互才可以,比如说 点击链接后输入内容,运行/打开文件 ,当需要以上动作时,请警惕小心;
  7. 一些使用工具复制出的网站,点击登录后会跳转到真正的网站上, 在用戶看来,就是输入密码,登录后又让登录了一次 。如果出现类似这样的异常情况,请 立刻更改密码
  8. 当你怀疑一个网站,想要鉴别时, 尝试输入错误的账号密码 ,看看网页的反应;
  9. 当你收到一个可疑的邮件时,可以 询问客服 或是多渠道询问发件人,客服会帮你鉴别它是否属于常规业务,发件人会告诉你那是不是他发的邮件;
  10. 当你的邮件中包含一个链接时,可以 将鼠标悬停在该链接上,查看它真正的指向 ,是否与表面上相同,当你点击进“百度”时,是否真的跳转到了百度;
  11. 在别人的公司地盘里扔一个含有u盘病毒的u盘也是常见的钓鱼手段,如果捡到了不明来源的u盘, 不要好奇地插到自己的电脑上
  12. 不要随意安装未知来源的软件,在正常功能之外添加恶意远程控制代码且不被发现,是非常容易做到的。某知名交易所就是因为客服从陌生人处获取并打开了安装包后,黑客获取权限进入内网才导致了重大损失;
  13. 打开电脑上的文件后缀显示 (win10用户可在打开任意文件夹后按下图操作),这样你就会发现,有一种恶意程序,它的名字叫“ 聚会照片.jpg.exe ”;
  14. 禁用word中的宏,word文档远不如看起来无害。宏病毒可能在你打开那个文档时就已经暗暗发作了。

七、RFID安全

移动支付大行其道的现在,钱包已经名副其实的成为了卡包。从门禁卡到购物储值卡;从借记卡到信用卡,各种卡片的安全性也愈发的重要。

Checklist

  1. 开启相关转账提醒,短信提醒、微信、支付宝提醒均可,在异常转账后第一时间进行冻结;
  2. 拍照时注意卡片是否出镜,防止敏感信息泄露,这点对于信用卡尤其重要;
  3. 对经常使用并携带的银行卡可以选择屏蔽卡套,现在市面上已有很多可供大家选择。

八、手机安全

手机外观逐渐发展出了翻盖式,直板式,滑盖式,腕表式;手机的使用方式也从以前按键式进化到了触屏式。到了现在手机在我们生活中扮演的角色也越来越重要,越来越不可或缺。当然,便捷似乎从来与安全不甚搭边,在这个“手机时代”中,前所未有的危险也在暗处等待着我们。

Checklist

  1. 未知来电,对于所说话语,不要盲目相信;

  2. 短信内容中的链接不要盲目点击,包括各种中奖信息,也不过是骗子伪造的假象,天上不会掉馅饼,及时屏蔽;

  3. 对于涉及亲人和财产的电话和短信,应及时确认,避免出现任何损失;

  4. 做好重要数据及时备份,以防手机丢失损坏和系统升级时,发生文件丢失;

  5. 及时安装系统和应用更新,如近几天微信7.0.9出现漏洞,在这也提醒大家及时更新微信版本;

  6. 手机操作系统不越狱,越狱后不在手机上执行敏感操作;

  7. 安装APP应查看来源是否是官方安全渠道;

  8. 不安装安全性未知的APP;

  9. 安装APP时应查看该APP是否会申请功能不需要的权限;

  10. 安装APP时阅读隐私条例;

  11. 未付款前尽量不要提前打开付款码,关闭”免密支付“。

                                       ·END·
                                  转载于——零时科技