Fahmida+Y.+Rashid+Serdar+Yegulalp

要想安全高效地上网需要明智的决策和适当的防范措施，以应对您身边的各种风险。

互联网这个地方会不会很可怕？有各种各样的威胁，潜伏在每个角落里。更糟糕的是，昨天人们还普遍认为的一些能安全上网的建议现在已经不管用了——不要上不良网站，不要买被盗的或者非法的商品，只和您认识的人打交道。欺骗家庭成员的钓鱼电子邮件、合法应用程序被嵌入了间谍软件、知名网站被恶意代码劫持——数字安全领域显然需要新规则来应对当今不断变化的各种威胁。

想一想我们有多少数字生活都是在网上进行的，举几个例子，通信、金融交易、娱乐、工作、教育，等等，因此，即使很少的一些安全浏览习惯也会让您受益匪浅。这包括我们怎样处理电子邮件消息，而电子邮件是利用攻击工具和恶意软件进行网络攻击最流行的载体。

在这里，我们提供了关于安全上网的策略指南，简要介绍了您应该怎样做才能保护您在网络上的数据和隐私，同时还能保持高效的上网。

了解您所面对的威胁

现在有这么多的威胁向我们逼近，最严格的方法是把所有的东西都锁起来，而难点是怎样做好预防措施，同时还能高效地上网。例如，为避免恶意JavaScript，您只需关闭浏览器首选项中的JavaScript，但几乎有一半的互聯网内容将无法使用。如果不启用JavaScript，Gmail还能用吗？这不太好。

我们以各自的方式上网，我们面临的风险也大不相同，这取决于我们在哪里、我们正在做什么、甚至是什么时候上网。安全研究人员的上网安全与我们普通人的完全不同，我们上网一般是收发电子邮件，使用社交网络，或观看网络视频。开发人员也不一样，他们会下载新工具和频繁访问论坛，获取建议。

基本上，您应该定期更新所有应用程序，而不仅仅是操作系统，而是每一个应用程序，特别是您的Web浏览器。您还应该将浏览器首选项切换到“点击播放Flash”——如果您的浏览器没有自动设置好。您还应该停用ActiveX，卸载机器上的Java客户端。除非您使用非常需要Java的客户端应用程序，例如游戏或者某些教育类产品，否则没必要启用Java。即使是主流的视频会议应用也转向了纯HTML5。

你也应该考虑把地点和活动结合起来。例如，在公共无线网络上进行的敏感交易可能会给您带来麻烦。您最喜欢的咖啡店的公共Wi-Fi也不适合访问网上银行。即使您使用的是SSL连接，中间人也可能通过SSL发起攻击。

一旦了解了这些基本常识，您应考虑您最担心的危险是什么，您要保护哪些资产，您经常与谁交流，您的数据存储在哪里，等等。下面，我们将帮助您打破这些顾虑，使您能够在一定程度的威胁下安全的地上网——您上网时可以容忍的威胁等级。

威胁等级1：确定没有恶意软件

大多数人，特别是企业，都会不惜一切代价避免恶意软件。两个最常见的攻击手段是下载恶意软件的链接以及网站挂马攻击，只要加载网页，恶意软件就会自动下载。可以在网页、电子邮件或者即时消息中找到危险的链接。诈骗者经常使用社交网络和URL短地址来传播伪装好的恶意链接，希望有人会点击这些链接。

首要措施：不要点击链接。这需要社会性的培训，但是很难坚持，特别是考虑到我们发送的所有链接既有专业的也有个人的。对于经常和您联系的人，如果他们打算向您发送链接，要求他们给您发送提醒通知——并且只有在得到肯定答复后才能向您发送链接。或者，要求联系人确认他们实际上是通过不同的渠道发送了链接。例如，给您的哥哥发个短信，问问从他帐户发送的链接真的是他发的吗。这样做好像有些过了，但最近的假谷歌文档骗局之所以得手，就是因为人们误认为恶意文件来自他们信任的人。一定要自己输入链接，如果有人向您发送一个链接，看起来像很酷的白皮书，那么直接去文本源头，自己在网站上找白皮书。

专业提示：设置您的浏览器，使其询问把文档保存在哪里，这样您始终知道某些内容被下载到哪里。挂马式攻击依赖于隐身，用户甚至不知道发生了什么。配置您的安全软件，在下载时扫描所有文件。

威胁等级2：我也不喜欢间谍软件

攻击者想方设法地破坏您的浏览器，找到各种信息。在这方面，不一定非要使用浏览器插件。谨慎地使用它们，因为它们可能成为恶意软件的载体。定期检查浏览器的扩展列表（Chrome的是chrome：//extensions，Firefox的是about：addons），以查看是否有任何不熟悉或莫名其妙的内容。禁用那些看起来很可疑的东西，您就很少会出错。还要小心尝试欺骗您安装浏览器扩展的网页，例如“点击‘添加以加速本网站”或者其他欺骗性的提示。

首要措施：要特别小心由个人开发的浏览器插件，因为这些插件可能会访问没有HTTPS的站点。专家也会遇到麻烦：LastPass是使用最广泛的密码管理器的创建者，最近也不得不修复其浏览器扩展中一些严重的漏洞。想一想，使用插件让自己更方便一些，还是风险更大一些，特别是如果您觉得短时间内不会给自己带来太大的好处。

专业提示：一定要考虑来源。如果您需要下载Flash或者Adobe Reader，请从Adobe网站上获取。不要从非关联网站上下载这些工具，因为间谍软件、广告软件和其他恶意文件很容易混在下载中。不要搜索“免费PDF转换器”，也不要下载首先出现的内容。（你真的需要一个吗？现在，Chrome能自动将页面转换为PDF，Office也会很好的支持PDF。）像PortableApps.com和Ninite这样的项目提供了方便的方法，从信任的来源自动获取和更新常见的开源软件和免费的应用程序。

威胁等级3：任何时候都不要被跟踪

以下情况会发生在我们所有人身上：在HomeDepot.com上浏览查找地砖后，家庭装修广告就会在网上到处乱闪。广告商通过Cookie跟踪您上网，并根据您的活动投放广告。但不仅仅是广告。网站使用Cookie记住您的帐户、密码和浏览记录，并跟踪您在网站上的活动。当您禁用和清除Cookie后，网络犯罪分子就很难获取您的个人数据。

首要措施：上网时使用私人浏览或者无痕模式。在此，当您的会话结束时，Cookie和浏览记录不会被保留。您可以启动无痕模式并粘贴到URL中（您确定不会提供给恶意软件），导航到该页面，确保您没有被跟踪。如果您想在Chrome上始终保持无痕浏览模式，请在Chrome属性中的目标命令的最后添加-incognito，每次启动Chrome时，都将进入无痕模式。您可以通过about：config对Firefox进行同样的配置。

专业提示：如果您想使用脸书、推特或者其他社交帐户，但不希望每次都登录，那么请在Chrome、Firefox或者Safari中建立一个单独的用户配置文件，一个专为某社交网络预留的用户配置文件。在那里登录，而且只在那里登录，在那里使用它，也只有在那里。这将与该登录相关联的数据限制为只有登录所必须的那些数据。有的网站把社交网络作为单点登录提供商，这种方法也能够避免这些网站跟踪您，例如Spotify。

如果您很在意被跟踪，您应该在您使用的每个浏览器上启用“不要跟踪（Do Not Track）”。DNT并不是强制执行的，它只是告诉网站，不要跟踪您。您的请求是否会被尊重，取决于您访问的网站。很多网站并不严谨，不保证您访问的网站会尊重您的请求，不过，提前明确您的偏好至少也不会有什么坏处。

威胁等级4：别动我的信息

Cookie之所以是网络犯罪分子的主要目标，是因为它们包含的信息，特别是电子邮件、帐户名称和密码信息。即使是被隐藏起来，这些信息也可能会被恶意使用。跨网站脚本攻击使用网页上的JavaScript，从Cookie中提取用户详细信息和会话信息，利用这些信息在网上模仿您，跨网站请求伪造攻击使用会话Cookie来伪造其他网站的请求。

首要措施：尽可能阻止Cookies。尽管阻止第一方和第三方Cookie，以及禁用会话Cookie也是不错的措施，但会使电子邮件和社交网络等基本的网络浏览几乎无法使用。您应该至少阻止第三方Cookie，您应考虑定期删除浏览器历史记录。

另外，不要让浏览器存储密码。这虽然很方便，但是很难保证存储密码的安全性。使用单独的密码管理器，例如，1Password或者KeePass。

专业提示：对于搜索，请使用DuckDuckGo等安全搜索引擎，它不会自动存储计算机传输的信息，例如您的IP地址和其他数字身份信息。DuckDuckGo不能根据以前的搜索或者位置自动完成搜索查询，但考虑到它也无法链接到您的搜索记录，因此这也是值得的。

如果您不想把自己的信息泄露出去，那么私人浏览是您的朋友。如果没有Cookie被保存，那也就没什么可窃取的。每次浏览器会话后删除所有的Cookie，这是个好主意。每次新会话时，您都不得不登录网站，因为他们不知道您是谁。这是建立不同用户会话的另一个应用情形，您可以为特定登录建立会话，并将该登录的Cookie限制为仅在该用户会话中。

虽然有些插件可能是危险的，但其他插件还是好的，例如Disconnect，它会阻止第三方跟踪Cookie。扩展插件会阻止社交媒体帐户跟踪浏览历史记录，并使用户能够控制网站上的脚本。另一个值得拥有的扩展是Ghostery，可以阻止常见的跟踪脚本，如果需要的话，您的白名单网站可以参考这一扩展。

威胁等级5：不要对我进行网络钓鱼

網络钓鱼网站是设计用于窃取个人信息的欺诈性网站。这不限于电子邮件或者银行网站的登录凭据信息。网络钓鱼网站可以伪装成比赛，并要求您提供SSN。网络钓鱼攻击还能把受害者重定向到可下载恶意代码的假冒网站，恶意软件会收集您的敏感信息。我们看到潜在的网络钓鱼攻击几乎无处不在，因此，我们倾向于不要点击任何链接。

首要措施：不要点击在电子邮件中收到的链接，也不要打开附件，更不用说填写您的敏感信息。联邦快递索赔表可能就是假的。拿起电话并致电联邦快递，以确定发生了什么。不要点击电子邮件中的链接，例如，看起来好像是人力资源部门提醒您假期到期了。直接到人力资源网站看看出了什么问题。输入URL有助于避免一些欺骗手段，例如使用0（零）而不是O（字母），或者nn而不是m，或者类似paypal.com.someothersite.com这样的地址。在浏览器的地址栏中输入公司网站受信任的URL，以避开电子邮件或者即时消息中的链接。

专业提示：仅在使用HTTPS的网站上提供个人信息。请记住，采用“让我们加密”和其他免费SSL证书来源，仅采用挂锁图标已经不够了。查找EV证书，那么实体名称应显示在浏览器栏中。电子前沿基金会的HTTPS Everywhere扩展也是一个很好的选择，因为它强制网站通过HTTPS传输数据流。

如果您收到商家的电子邮件，例如特价或者折扣，请查看是否有以文本方式而不是HTML方式发送电子邮件的选项。这样更容易看出所给的链接中有什么内容。

很难检测出所有的网络钓鱼攻击尝试——有一些是非常高明的。确保您所有帐户不会使用一个相同的密码，这样，即使一个账户被盗，其他账户也不会受损。使用密码管理器为每个网站帐户生成不同的密码。把个人互联网与工作互联网分开，并且永远不要使用工作地址来注册网站。如果该帐户被攻击，您当然不希望这会引发对您工作地址的网络钓鱼攻击。如果网站支持，则启用双重身份验证，这样，攻击者很难使用盗取的凭据，特别是如果该网站是金融机构。

威胁等级6：核保护

如果您希望最大限度地保护自己，则需要建立有多个浏览器和操作系统的系统，以便分开上网。您甚至可以考虑一系列的虚拟机来隔离威胁。

首要措施：使用不同的Web浏览器进行不同的上网活动：有进行金融交易的浏览器，而另一个用于通信，还有一个用于浏览上网。这样一来，如果攻击者频繁地在一个网络论坛上攻击您，他或者她就不能使用跨网站脚本来访问网上银行，因为不可能跳过浏览器进行攻击。脸书上的欺诈无法跳过去访问亚马逊。

對于非常敏感的网站——您帐户的“皇冠宝石”，那么该网站应采用专门的网络浏览器，并严格限制其配置。例如，只有使用专用浏览器才能访问您的亚马逊网络服务控制面板，意味着不会“意外”地浏览其他网站（白名单仅限AWS，而阻止其他站点），也不会暴露您企业的整个云基础架构。打开所有安全选项以锁定浏览器。

专业提示：对于非常危险的、潜在有危险的或者非常敏感的站点，请考虑在多个虚拟机上分开上网活动。使用锁定（最新）的浏览器，在专用虚拟机上进行所有银行业务。这避免了所有以银行为目标的网络攻击，攻击者会很难获取您的银行信息。

Linux Live CD是运行虚拟机的理想选择——您甚至可以在虚拟机中运行Live CD，尽可能提高安全性。Tails是非常精简的Linux，它从USB上运行，可用于隐藏数字痕迹，因为它不会永久保存什么。

收到的电子邮件的附件看起来有些可疑？那么在虚拟机中打开它。如果它是恶意软件，它只会感染一个空虚拟机。当然，只是因为VM中没有发生任何事情，就认为以为一切正常？——恶意软件可能被设计为不在虚拟机内执行。将该文件始终保留在虚拟机中，而不要放到主计算机中。

如果您想隐藏您的上网活动，请考虑Tor，它通过加密来隐藏您的身份，对传输数据进行加扰，在多个Tor节点之间路由数据流以掩盖原始站点。由于您的数据流通过Tor随机服务器进行传输，那么，数据不会与您的个人IP地址相绑定。

使用NoScript禁用Java、JavaScript、Flash和其他动态内容。这个选项会影响很多网站，但是它支持您手动授权内容，所以要仔细注意，确保恶意代码不会被意外地批准运行。Adblock Plus阻止已知广告和间谍软件网站的弹出式窗口和其他内容。Adblock Plus创建阻止列表的方式是有问题的，因为广告客户可以付费被列入平台白名单，但如果目标是关闭弹出式广告并阻止潜在的攻击，这样做就可以了。

另一种方法是禁用JavaScript并阻止浏览器本身的弹出窗口。默认情况下，大多数浏览器会自动阻止弹出窗口，但默认情况下会启用JavaScript，因为它使用的非常广泛。

注意安全

要想安全上网，既要有技术和安全意识，还要愿意经受磨炼。现在的浏览器提供了很多保护措施，包括能够禁用插件和打开反网络钓鱼机制等。只要启用这些功能，保证基本的安全环境，例如更新所有软件等，基本的上网安全就能够唾手可得。

但是，现在比以往更容易感染恶意软件或者被网络钓鱼攻击。有时只是因为在错误的时间去了错误的地方。但是，一旦您知道最担心的是什么，知道自己对风险的承受能力，那么就可以设定一个合理的安全方案来满足需要，让自己安全高效地上网。

原文网址：

http：//www.csoonline.com/article/3197684/internet/the-modern-guide-to-staying-safe-online.html