2017年5月12日起,WannaCrypt(永恒之蓝)病毒肆虐网络,截至今天下午,(两天时间)国内已数万机构中招,波及大量普通用户。更可恶的是,病毒会加密用户文件,勒索转账比特币解密文件。(不要去尝试汇款,真正汇款也不会有解密的可能。)
本文针对普通用户(非软件业内人士)聊聊网络安全的一些基本概念,为你提供一些网络安全思路。
什么是安全?
"这个世界很美好,值得我们为之奋斗",我同意后半句。
——海明威
这个网络世界不安全,我们依旧要为个人信息安全奋斗。
不要以为可以做什么保障绝对安全,那是不存在的。在一个网络安全专家眼中,普通用户的网络行为千疮百孔,满是漏洞,他几乎有能力获取你的任意网络资料。哪怕如此,哪怕如此,学习一些基础知识,做一些基本工作来保护个人资料依旧是一件必要的事。你不需要找一把坚不可破的自行车锁,只需要比旁边自行车的锁安全一些就够了。
更不要认为自己的网络安全无关紧要,认为自己的支付宝余额极少,某某帐号不重要,丢了没关系,电脑里都是工作笔记、孩子的生活照片,黑客不会来攻击。先不说丢失个人资料、账号被盗会给自己带来极大的麻烦。网络攻击早已变成多维度的复杂行为。你能想到随手注册的一个小网站帐号被盗导致自己网银被攻破吗?你能想到 QQ 被盗导致朋友被帐号诈骗打款吗?甚至用被盗的孩子照片信息去勒索父母,用你被盗的个人信息办信用卡……不要小看个人信息的重要性!对未知领域有一颗敬畏之心。
对普通用户来说,保护资料最安全的方式就是备份,比如专门留个不拿到外面用的移动硬盘备份重要资料,单独U盘外部使用是个非常好的习惯。甚至,把重要资料刻成光盘!这是奇招,有奇效。
使用网络过程中,信任谁?
- 苹果微软Google:最新版操作系统,为你提供 XYZ 新功能,推荐升级……
- 腾讯、阿里、360:聊天用我、购物用我、支付用我、上网用我,我们给你最完善、最安全的使用体验
- 某小应用厂商:请手机实名注册,
- 共享充电宝:打开调试模式,免费充电!免费!
- 单位里的手机专家小张:不要更新系统,苹果就是更新系统让你手机变慢,逼着你换新手机。
- 手机维修铺老板:手机要越狱吗?越狱都是官方泄漏出来的,你想如果不能越狱装盗版,手机还卖给谁?
- 某政府:我们重视你们的网络安全,花了你们四千万给你们电脑装绿坝,我们强推手机实名制
所有安全问题,归根结底都是信任问题。
对普通用户而言,信任谁是个极其困难的问题。上面这些团体个人似乎说得都挺有道理。而其中,混杂着大量冲突与谬误。
安全方面,越大的公司,越值得信任。
举一个例子你就能明白大公司在安全领域所做的努力:所有的安全专家&黑客,还不能破解 iPhone 的密码&指纹加密。罪犯的 iPhone 手机密码锁住了,FBI 都打不开!
如果要详细区分的话:
- 第一梯队:国外大公司
- 第二梯队:国内大公司:腾讯、阿里巴巴、360
- 第三梯队:国内知名公司
- 第四梯队:无
注意第四梯队是不存在的,”某某明星创业公司“,”某某扫码返现公司活动“,都不可信。建议你:手机、电脑里只装必要的大公司的应用,只访问大公司的网站。
安全方面,越专业的人,越值得信任。
这里要留意一个概念,就是知专业领域的问题。
- 同一个公司,专业领域会不同:360 公司的销售(非技术专业)使用手机的经验一般来不会太深入,你请教他技术意义不大;
- 同一个大行业领域,专业领域也会很不同:手机维修是普通用户常接触而错误理念极多的一个职业,虽也是互联网领域的一份子,可对软件安全的认识很可能还不如邻家更上大学的计算机专业孩子。
政府在这之中,是个有点尴尬的角色。看看这次永恒之蓝多少政府单位中招,你就知道他们的技术水平如何。不过如果想提升大众安全,他们又有极强的决策影响力。在互联网安全领域,你很难说信任不信任他。大多数时候,他最大的问题是不作为,而他做一些事情的时候,我们也都可以认为是好事,可以支持。(虽然其实也没有别的选项)
一些安全 Tips
- 能用 iOS,不用 Android
- <del>能用 macOS,不用 windows。</del>普通用户不适合
- iOS 一定不要越狱,Android 一定不要 Root!!!
- 用 Windows 就用 Windows10,不要再用 Win7,更不要用 WinXP
- 接上一条,软件用新不用旧。留意软件的更新周期,厂商明确不再维护的软件,不要再用。(微软明确声明:于2014年4月8日停止支持 WinXP)
- 软件用心不用旧:不论你是用 iOS Android macOS Windows,打开自动更新!!!
- 优先使用国外大公司的软件,如果没有,使用国内大公司的软件
- 用谷歌浏览器,打开自动更新
- 只装需要的软件,不乱试用小公司的软件
- 统一从可靠的软件商店下软件,不随意从网站下软件
- 完全使用正版,合理选择收费正版软件和免费正版软件,留 2000 元作购买收费软件预算,这基本能把你所有刚需的软件买齐。习惯了正版软件,你就会明白,找盗版、破解花费大量的时间多么不值得
- 密码分级:大公司帐号和临时(偶尔)使用的公司帐号密码不要设置成一样
- 不合预期的邮件、短信、聊天信息中的链接不要随意点(尤其是 Android)
- 不要随便扫不可信的二维码(尤其是 Android)
- 不要在不可信的网页上输入手机号、邮箱、家庭住址等个人信息
聊聊概念,扯扯细节,希望本文能给你带来好运气,不碰到安全问题。
