摘要: 需要给网络安全小白普及的知识。
你是否正遭受着关于安全Web浏览的错误观念所造成的危害呢?你可能认为自己的单位和用户很安全,但是,当今的互联网每隔几秒钟就出现一个新的被感染的网页,不管你如何谨慎,几乎都避免不了被感染的风险。
为了开始你的安全评估,你应当问自己一些问题:
你和你的用户们正在进行安全的Web浏览吗?你们避免浏览有风险的网站吗?限制上班时间的在线时间吗?采用强健的互联网访问策略吗?使用安全的浏览器吗?你们有没有经验识别有风险的网站呢?
如果你对上述任何一个问题作了肯定的回答,那么,你都需要读一下本文后面的内容。
拆穿十大谎言
你可能正遭受着关于Web安全的一个或多个谎言的危害。不过,不要担心,并非仅你一个人这样。在过去的几年中,关于风险的范围及应当采取的保护措施一直流传着一些错误的观念。有些谣言可能仅仅完全拒绝了互联网的访问,但是将自己从Web 2.0世界断开并不切合实际,因为它已经成为当今企业的一个关键工具。
用控制和封锁都很严密的互联网访问策略来建立严格的防御也并非适当的解决方案。用户们可以轻易地绕过这种机制。
请快速浏览本文。如果其中的任何一个谎言或错误观念能够引起你的共鸣,那么,你也许需要重新检查一下自己的Web安全解决方案了。这儿的内容也许可帮助你找到解决方案呢。
谎言一:我们控制着Web的使用,而且我们的用户也无法绕过我们的策略
借用匿名代理服务器,雇员们可以很轻松地绕过Web过滤策略,从而访问自己喜欢的任何网站。匿名代理服务器很容易得到,大量的学生和雇员都在利用匿名服务器。互联网上每天都在发布新的匿名代理服务器,其目标就是为了领先于Web安全公司的步伐。现在,甚至有些“足智多谋”的用户开始在家里建立其自己的私人代理服务器,以便于自由地访问网站而无需经过检查。如果你认为这不是一个问题,可用不同的搜索引擎,如谷歌等,上网搜索“绕过web过滤器”,你能够找到大量的方法能够绕过Web过滤器。
谎言二:我的用户并没有浪费时间浏览不适当的内容
如果没有任何Web过滤,你确实不知道用户们在用其互联网连接干什么。事实是,公司互联网的使用中,有超过40%是不恰当的和未经过检查的,其数量可达平均每人每天1到2小时。更糟的是,暴露在不恰当的内容面前的雇员们,有可能给单位带来潜在的法律后果。如果雇员从事网络赌博、浏览色情站点、访问与工作无关的社交网络,都会给公司带来极大的安全问题。而且,互联网成瘾事件日益增加,据估计,大约有5%到10%的互联网用户有着某种形式的Web依赖症。
谎言三:我们从来没有被恶意软件感染过,所以Web是安全的
你可能并不知道自己已被感染了。许多Web恶意软件的设计目的是为了窃取个人信息和口令,或者在用户不知晓的情况下,使用其电脑发布垃圾邮件、恶意软件或不适当的内容。借助于适当的Web安全网关,就可识别出自己的单位是否有可疑的网络行为。
谎言四:只有色情、赌博及其它欺诈网站有害
被劫持的可信任网站代表了被恶意软件控制的绝大部分网站。被感染的网站主要是我们每天都访问的并且信任的网站,只是这些网站已经被破解了,或者被“黑”了,并被用来发布恶意软件。因为这些网站非常流行,而且访问流量很大,因而能够将恶意软件悄悄地发布给毫无戒备的访问者。
谎言五:只有幼稚无知的用户会感染恶意软件和病毒
“偷渡式下载”之类的恶意软件能够自动下载,而无需任何用户干预,只需用户访问网站。因而,你的专业技术水平与此无关。事实是,如果你正在访问网站,你就面临风险。国内外各大主要安全厂商及相关IT媒体经常发布受感染的或发布恶意软件的网站名单,如果用户访问的是这类网站,就面临着风险。
谎言六:只有在下载文件时才会受到感染
多数恶意软件感染都是通过“偷渡式下载”发生的。黑客们将恶意代码注入到实际的网页内容中,在浏览器查看网页内容时,该代码便支自动下载并执行。恶意软件代码基本上已经成为专业漏洞利用工具的一部分,并销售给黑客,后者利用浏览器、操作系统或插件中的已知漏洞,来感染访问被劫持的网站的用户电脑并下载更多的恶意软件。
谎言七:Firefox比IE更安全
在风险面前,所有的浏览器都是平等的,因为所有的浏览器实际上都是JavaScript(这种典型的Web编程语言常被恶意软件作者用来发动攻击)的运行环境。此外,许多漏洞利用借助Adobe Acrobat等在浏览器上运行的阅读器,虽然更流行的浏览器可能会得到关于漏洞利用的更多宣传,但你最应当关注的是那些没有公开的漏洞利用。事实上,并没有安全的浏览器。
谎言八:浏览器中出现“挂锁”图标时,该网站就是安全的
“挂锁”图标表明,在浏览器与服务器之间有一个SSL加密连接,可以保护个人的敏感信息防止被截获。但它并不提供针对恶意软件的任何安全保护。事实恰当相反,因为多数Web安全产品对于加密的连接“视而不见”:它们甚至成为恶意软件感染、渗透一台电脑的传达工具。而且,有些恶意软件可以利用漏洞,欺骗SSL证书,使用户感觉到更安全,或者用虚假的连接来冒充银行站点。如今,有太多的黑客正在精心制定钓鱼机制,模仿银行、信用卡或其它支付站点,它们拥有虚假的SSL证书。可以说,普通的用户是极难发现其欺诈性的,而这正成为日益重要的安全风险。
谎言九:Web安全要求安全和自由之间的权衡
虽然互联网已经成为许多工作和业务的关键工具,无论对于哪个领域,都完全没有必要在访问和安全之间谋求什么平衡。适当的WEB安全解决方案向用户提供了访问网站的一定程度的自由,并保持单位的安全。工作组或个人的策略设置不必太复杂,关键是适合单位的需要。
在评估Web安全解决方案时,一定要重视你最常使用的监管任务,如为用户或用户组建立专门的策略等。这些任务的难易程度如何?需要花费多少时间?需要经过哪些步骤?多问类似的这些问题可以使你的决策更合理。
谎言十:端点安全解决方案不能防御Web威胁
通常情况下,情况就是这样。因为Web浏览器实际上拥有自己的运行环境:无论是下载内容、传递消息或执行脚本,都不需要浏览器外部的端点安全产品“看到”。然而,情况正在发生改变。最终,将会向Web安全开放全新的方式,特别是对于移动工作人员来说,他们的操作超过了公司网络的传统意义上的边界。公司需要一种动态保护产品,使其可以对端点进行实时的恶意站点过滤,用以保护离开公司网络的移动或远程工作人员。
使用有效的Web安全解决方案
关于Web安全,需要关注的措施有很多,特别重要的方面包括但不限于:保持系统的最新,及时打补丁;实现Web软件的标准化;确保浏览器的安全;强化一套强健的口令策略等。在此,笔者仅就如何使用有效的安全方案谈几点看法。
适当的Web安全解决方案可以保护单位免受现代的Web威胁,它能够将用户的浏览活动限制到与其工作相关的网站类型中,进而减少暴露在威胁面前的机会,或者至少可以帮助用户避免访问滋生恶意软件的色情、赌博网站。当然,适当的Web安全方案还应当在用户访问可信任的网站时提供保护,使其可以避免由可信网站被劫持时所带来的恶意软件威胁。最后,适当的Web安全方案还应当帮助用户保护互联网资源,防止其被滥用。
一个Web安全和控制解决方案的关键组件有如下几个方面:
1、工作效率和声誉过滤建立可授受的用户策略,限制来自臭名昭著的恶意网站的威胁暴露,过滤声名狼藉的站点而不管其种类。
2、代理服务器过滤防止用户绕过Web过滤,从而防止其将自身及单位置于风险之中。
3、在恶意软件被从可信网站上下载时,实时的恶意软件过滤能够实时地捕获恶意软件。
4、HTTPS过滤可以确保这种重要因素的安全,因为许多Web过滤方案对此就像“睁眼瞎”。
5、基于内容的过滤可以减少与恶意软件有关联的文件类型所造成的威胁,并可以控制带宽的耗用。
我们已经拆穿了几个常见的谎言,并揭露了关于Web安全风险的真相,并且对可靠的Web安全解决方案提供了建议。在Web安全风险日新月异的今天,你真得需要有效的Web安全解决方案来保护自己的单位和用户了。
原文地址:https://kb.cnblogs.com/page/71738/