什么是家庭網(wǎng)絡(luò)安全，為什么要關(guān)心它?

家庭網(wǎng)絡(luò)安全是指保護(hù)將設(shè)備(例如路由器、計(jì)算機(jī)、智能手機(jī)和支持 Wi-Fi 的嬰兒監(jiān)視器和相機(jī))相互連接并連接到家中互聯(lián)網(wǎng)的網(wǎng)絡(luò)。

許多家庭用戶(hù)對(duì)其網(wǎng)絡(luò)安全有兩個(gè)常見(jiàn)的誤解：

• 他們的家庭網(wǎng)絡(luò)太小，不會(huì)面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
• 他們的設(shè)備開(kāi)箱即用“足夠安全”。

大多數(shù)攻擊本質(zhì)上都不是針對(duì)具體哪個(gè)人的，并且可能發(fā)生在任何類(lèi)型的網(wǎng)絡(luò)上——無(wú)論大小、家庭還是企業(yè)。如果網(wǎng)絡(luò)連接到 Internet，本質(zhì)上就更容易受到攻擊，并且容易受到外部威脅的影響。

如何提高家庭網(wǎng)絡(luò)的安全性?

通過(guò)遵循以下一些簡(jiǎn)單但有效的技術(shù)，可以明顯減少家庭網(wǎng)絡(luò)的攻擊面，并使惡意網(wǎng)絡(luò)攻擊者更難發(fā)起成功的攻擊。

(1) 定期更新軟件。

定期軟件更新是可以采取的最有效步驟之一，以改善家庭網(wǎng)絡(luò)和系統(tǒng)的整體網(wǎng)絡(luò)安全狀況，對(duì)于安全從業(yè)人員來(lái)說(shuō)，這已經(jīng)是老生常談了。除了添加新特性和功能外，軟件更新通常還包括針對(duì)新發(fā)現(xiàn)的威脅和漏洞的關(guān)鍵補(bǔ)丁和安全修復(fù)程序。大多數(shù)現(xiàn)代軟件應(yīng)用程序會(huì)自動(dòng)檢查新發(fā)布的更新。如果自動(dòng)更新不可用，請(qǐng)考慮購(gòu)買(mǎi)識(shí)別和集中管理所有已安裝軟件更新的軟件程序。

(2) 刪除不必要的服務(wù)和軟件。

禁用所有不必要的服務(wù)以減少網(wǎng)絡(luò)和設(shè)備(包括路由器)的攻擊面。未使用或不需要的服務(wù)和軟件可能會(huì)在設(shè)備系統(tǒng)上產(chǎn)生安全漏洞，這可能會(huì)導(dǎo)致網(wǎng)絡(luò)環(huán)境的攻擊面增加。對(duì)于新的計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)尤其如此，供應(yīng)商通常會(huì)在這些系統(tǒng)上預(yù)安裝大量用戶(hù)可能認(rèn)為沒(méi)有用的試用軟件和應(yīng)用程序(稱(chēng)為“膨脹軟件”)。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 建議研究并刪除任何不經(jīng)常使用的軟件或服務(wù)。這點(diǎn)在網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求里也有明確，對(duì)于家庭用戶(hù)同樣適用。

(3) 調(diào)整軟件和硬件的出廠(chǎng)默認(rèn)配置。

許多軟件和硬件產(chǎn)品都是“開(kāi)箱即用”的，出廠(chǎng)默認(rèn)配置過(guò)于寬松，旨在使其易于使用并減少客戶(hù)服務(wù)的故障排除時(shí)間。不幸的是，默認(rèn)配置并不面向安全。在安裝后默認(rèn)啟用設(shè)備可能會(huì)為攻擊者創(chuàng)造更多的利用途徑。用戶(hù)應(yīng)采取措施強(qiáng)化默認(rèn)配置參數(shù)，以減少漏洞并防止入侵。

(4) 更改默認(rèn)登錄密碼和用戶(hù)名。

大多數(shù)網(wǎng)絡(luò)設(shè)備都預(yù)先配置了默認(rèn)管理員密碼以簡(jiǎn)化設(shè)置，默認(rèn)憑據(jù)并不安全，可能很容易在 Internet 上獲得，或者甚至可能在設(shè)備本身上進(jìn)行物理標(biāo)記。保持這些不變?yōu)閻阂饩W(wǎng)絡(luò)參與者創(chuàng)造了未經(jīng)授權(quán)訪(fǎng)問(wèn)信息、安裝惡意軟件和導(dǎo)致其他問(wèn)題的機(jī)會(huì)。

(5) 使用強(qiáng)而獨(dú)特的密碼。

選擇強(qiáng)密碼以幫助保護(hù)我們的設(shè)備。此外，不要對(duì)多個(gè)賬戶(hù)使用相同的密碼。如果我們的一個(gè)賬戶(hù)遭到入侵，攻擊者將無(wú)法破壞我們的任何其他賬戶(hù)。

(6) 運(yùn)行最新的防病毒軟件。

信譽(yù)良好的防病毒軟件應(yīng)用程序是抵御已知惡意威脅的重要保護(hù)措施，可以自動(dòng)檢測(cè)、隔離和刪除各種類(lèi)型的惡意軟件，例如病毒、蠕蟲(chóng)和勒索軟件。許多防病毒解決方案非常易于安裝且使用直觀(guān)。建議家庭網(wǎng)絡(luò)上的所有計(jì)算機(jī)和移動(dòng)設(shè)備都運(yùn)行防病毒軟件。此外，請(qǐng)務(wù)必啟用自動(dòng)病毒定義更新，以確保最大限度地抵御最新威脅。注意：因?yàn)闄z測(cè)依賴(lài)于簽名——可以將代碼識(shí)別為惡意軟件的已知模式——即使是最好的防病毒軟件也無(wú)法提供足夠的保護(hù)來(lái)抵御新的和高級(jí)威脅，例如零日漏洞和多態(tài)病毒。

(7) 安裝網(wǎng)絡(luò)防火墻。

在家庭網(wǎng)絡(luò)的邊界安裝防火墻以抵御外部威脅。防火墻可以阻止惡意流量進(jìn)入家庭網(wǎng)絡(luò)，并提醒我們注意潛在的危險(xiǎn)活動(dòng)。正確配置后，還可以作為內(nèi)部威脅的屏障，防止不需要的或惡意軟件訪(fǎng)問(wèn)互聯(lián)網(wǎng)。大多數(shù)無(wú)線(xiàn)路由器都帶有一個(gè)可配置的內(nèi)置網(wǎng)絡(luò)防火墻，其中包括額外的功能——例如訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)過(guò)濾和拒絕服務(wù) (DoS) 防御，可以根據(jù)自己的網(wǎng)絡(luò)環(huán)境進(jìn)行定制。切記!默認(rèn)情況下可能會(huì)關(guān)閉某些防火墻功能，包括防火墻本身。確保防火墻已打開(kāi)并且所有設(shè)置都已正確配置將加強(qiáng)我們網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。注意：Internet 服務(wù)提供商 (ISP) 可能能夠幫助我們確定防火墻是否具有最適合特定設(shè)備和環(huán)境的設(shè)置。

(8) 在網(wǎng)絡(luò)設(shè)備上安裝防火墻。

除了網(wǎng)絡(luò)防火墻之外，請(qǐng)考慮在連接到網(wǎng)絡(luò)的所有計(jì)算機(jī)上安裝防火墻，通常被稱(chēng)為基于主機(jī)或基于軟件的防火墻，根據(jù)預(yù)先確定的策略或規(guī)則集檢查和過(guò)濾計(jì)算機(jī)的入站和出站網(wǎng)絡(luò)流量。大多數(shù)現(xiàn)代 Windows 和 Linux 操作系統(tǒng)都帶有內(nèi)置、可定制且功能豐富的防火墻。此外，大多數(shù)供應(yīng)商將其防病毒軟件與額外的安全功能捆綁在一起，例如家長(zhǎng)控制、電子郵件保護(hù)和惡意網(wǎng)站攔截。

(9) 定期備份數(shù)據(jù)。

使用外部媒體或基于云的服務(wù)制作和存儲(chǔ)設(shè)備上所有有價(jià)值信息的定期備份副本。考慮使用第三方備份應(yīng)用程序，可以簡(jiǎn)化和自動(dòng)化該過(guò)程。務(wù)必加密備份以保護(hù)信息的機(jī)密性和完整性。如果數(shù)據(jù)丟失、損壞、感染或被盜，數(shù)據(jù)備份對(duì)于最大限度地減少影響至關(guān)重要。

(10) 提高無(wú)線(xiàn)安全性。

按照以下步驟提高無(wú)線(xiàn)路由器的安全性。注意：有關(guān)如何更改設(shè)備上的特定設(shè)置的具體說(shuō)明，請(qǐng)參閱路由器的說(shuō)明手冊(cè)或聯(lián)系ISP。

• 使用最強(qiáng)大的加密協(xié)議。建議使用 Wi-Fi Protected Access 3 (WPA3) 個(gè)人高級(jí)加密標(biāo)準(zhǔn) (AES) 和臨時(shí)密鑰完整性協(xié)議 (TKIP)，這是目前可供家庭使用的最安全的路由器配置。包含 AES 并能夠使用 128、192 和 256 位的加密密鑰。該標(biāo)準(zhǔn)已獲得美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 的批準(zhǔn)。

• 更改路由器的默認(rèn)管理員密碼。更改路由器的管理員密碼以幫助保護(hù)設(shè)備免受使用默認(rèn)憑據(jù)的攻擊。

• 更改默認(rèn)服務(wù)集標(biāo)識(shí)符 (SSID)。有時(shí)也稱(chēng)為“網(wǎng)絡(luò)名稱(chēng)”，SSID 是標(biāo)識(shí)特定無(wú)線(xiàn)局域網(wǎng) (WLAN) 的唯一名稱(chēng)。無(wú)線(xiàn)局域網(wǎng) (WLAN) 上的所有無(wú)線(xiàn)設(shè)備必須使用相同的 SSID 才能相互通信。由于設(shè)備的默認(rèn) SSID 通常標(biāo)識(shí)制造商或?qū)嶋H設(shè)備，攻擊者可以使用它來(lái)識(shí)別設(shè)備并利用其任何已知漏洞。使我們的 SSID 唯一且與我們的身份或位置無(wú)關(guān)，這將使攻擊者更容易識(shí)別我們的家庭網(wǎng)絡(luò)。

• 禁用 Wi-Fi 保護(hù)設(shè)置 (WPS)。WPS 為無(wú)線(xiàn)設(shè)備加入 Wi-Fi 網(wǎng)絡(luò)提供了簡(jiǎn)化機(jī)制，無(wú)需輸入無(wú)線(xiàn)網(wǎng)絡(luò)密碼。但是，WPS PIN 身份驗(yàn)證規(guī)范中的一個(gè)設(shè)計(jì)缺陷大大減少了網(wǎng)絡(luò)攻擊者強(qiáng)行破解整個(gè) PIN 所需的時(shí)間，因?yàn)樗鼤?huì)在八位數(shù) PIN 的前半部分正確時(shí)通知他們。許多路由器在嘗試猜測(cè) PIN 失敗一定次數(shù)后缺乏適當(dāng)?shù)逆i定策略，這使得暴力攻擊更有可能發(fā)生。

• 降低無(wú)線(xiàn)信號(hào)強(qiáng)度。Wi-Fi 信號(hào)經(jīng)常會(huì)傳播到我們家的范圍之外。這種擴(kuò)展的發(fā)射允許網(wǎng)絡(luò)邊界外的入侵者竊聽(tīng)。因此，請(qǐng)仔細(xì)考慮天線(xiàn)放置、天線(xiàn)類(lèi)型和傳輸功率水平。通過(guò)試驗(yàn)路由器放置和信號(hào)強(qiáng)度水平，可以減少 Wi-Fi 網(wǎng)絡(luò)的傳輸覆蓋范圍，從而降低這種攻擊風(fēng)險(xiǎn)。注意：雖然這會(huì)降低我們的風(fēng)險(xiǎn)，但有動(dòng)機(jī)的攻擊者可能仍然能夠攔截覆蓋范圍有限的信號(hào)。

• 不使用時(shí)關(guān)閉網(wǎng)絡(luò)。雖然頻繁關(guān)閉和打開(kāi) Wi-Fi 信號(hào)可能不切實(shí)際，但請(qǐng)考慮在旅行期間或長(zhǎng)時(shí)間不需要在線(xiàn)時(shí)禁用它。此外，許多路由器提供配置無(wú)線(xiàn)計(jì)劃的選項(xiàng)，該計(jì)劃將在指定時(shí)間自動(dòng)禁用 Wi-Fi。當(dāng)我們的 Wi-Fi 被禁用時(shí)，我們可以防止外部攻擊者利用我們的家庭網(wǎng)絡(luò)。

• 不需要時(shí)禁用通用即插即用 (UPnP)。UPnP 是一項(xiàng)方便的功能，允許聯(lián)網(wǎng)設(shè)備在網(wǎng)絡(luò)上無(wú)縫地發(fā)現(xiàn)和建立彼此之間的通信。然而，雖然 UPnP 功能簡(jiǎn)化了初始網(wǎng)絡(luò)配置，但它也存在安全風(fēng)險(xiǎn)。最近的大規(guī)模網(wǎng)絡(luò)攻擊證明，網(wǎng)絡(luò)中的惡意軟件可以使用 UPnP 繞過(guò)路由器的防火墻，允許攻擊者遠(yuǎn)程控制我們的設(shè)備，并將惡意軟件傳播到其他設(shè)備。因此，除非我們有特殊需要，否則我們應(yīng)該禁用 UPnP。

• 升級(jí)固件。檢查我們的路由器制造商的網(wǎng)站，以確保運(yùn)行的是最新的固件版本。固件更新可增強(qiáng)產(chǎn)品性能、修復(fù)缺陷并解決安全漏洞。注意：有些路由器可以選擇開(kāi)啟自動(dòng)更新。

• 禁用遠(yuǎn)程管理。大多數(shù)路由器都提供通過(guò)互聯(lián)網(wǎng)查看和修改其設(shè)置的選項(xiàng)。關(guān)閉此功能以防止未經(jīng)授權(quán)的個(gè)人訪(fǎng)問(wèn)和更改路由器配置。

• 監(jiān)控未知設(shè)備連接。使用路由器制造商的網(wǎng)站來(lái)監(jiān)控是否有未經(jīng)授權(quán)的設(shè)備加入或試圖加入我們的網(wǎng)絡(luò)。

(11) 降低電子郵件威脅。網(wǎng)絡(luò)釣魚(yú)電子郵件仍然是惡意軟件傳送和憑據(jù)收集所采用的最常見(jiàn)的初始攻擊媒介之一。攻擊人為因素，被認(rèn)為是每個(gè)網(wǎng)絡(luò)中最薄弱的部分，仍然非常有效。要感染系統(tǒng)，攻擊者只需說(shuō)服用戶(hù)單擊鏈接或打開(kāi)附件即可。好消息是，可以使用許多指標(biāo)來(lái)快速識(shí)別網(wǎng)絡(luò)釣魚(yú)電子郵件。抵御這些攻擊的最佳方法是成為受過(guò)教育且謹(jǐn)慎的用戶(hù)，并熟悉網(wǎng)絡(luò)釣魚(yú)攻擊的最常見(jiàn)元素。