什么是家庭网络安全,您为什么要关心?相互连接并连接到您家中Internet的网络。许多家庭用户对其网络安全有两种常见的误解:他们的家庭网络太小,不会面临网络攻击的风险。他们的设备开箱即用“足够安全”。大多数攻击本质上都是非个人的,可以发生在任何类型的网络上——无论大小,家庭还是企业。如果网络连接到Internet,则它本质上更容易受到外部威胁。如何提高家庭网络的安全性?通过遵循一些简单但有效的技术,您可以显着减少家庭网络的攻击面,并使恶意网络攻击者更难发动成功的攻击。(1)定期更新软件。对于安全从业者来说,定期软件更新是改善家庭网络和系统整体网络安全状况的最有效步骤之一,这已是陈词滥调。除了添加新特性和功能外,软件更新通常还包括针对新发现的威胁和漏洞的关键补丁和安全修复程序。大多数现代软件应用程序会自动检查新发布的更新。如果自动更新不可用,请考虑购买可识别并集中管理所有已安装软件更新的软件程序。(2)删除不需要的服务和软件。禁用所有不必要的服务以减少网络和设备(包括路由器)的攻击面。未使用或不需要的服务和软件会在设备系统上造成安全漏洞,从而导致网络环境的攻击面增加。对于新的计算机系统尤其如此,供应商通常会在这些系统上预装大量用户可能会觉得无用的试用软件和应用程序(称为“膨胀软件”)。美国网络安全和基础设施安全局(CISA)建议研究并删除任何不常用的软件或服务。这一点在网络安全等级保护的基本要求中也有明确规定,同样适用于家庭用户。(3)调整软硬件出厂默认配置。许多软件和硬件产品都是“开箱即用”的,具有过于宽松的出厂默认配置,旨在使其易于使用并减少客户服务的故障排除时间。不幸的是,默认配置不是面向安全的。安装后默认启用设备可能会为攻击者创造额外的利用途径。用户应采取措施强化默认配置参数,以减少漏洞并防止入侵。(4)修改默认登录密码和用户名。大多数网络设备都预先配置了默认管理员密码以简化设置,默认凭据并不安全,可能很容易在Internet上获得,甚至可能在设备本身上有物理标记。让这些保持原样,为恶意网络行为者创造了未经授权访问信息、安装恶意软件并导致其他问题的机会。(5)使用强而独特的密码。选择强密码来帮助保护我们的设备。另外,不要为多个帐户使用相同的密码。如果我们的一个帐户遭到破坏,攻击者将无法破坏我们的任何其他帐户。(6)运行最新的杀毒软件。信誉良好的防病毒软件应用程序是抵御已知恶意威胁的重要保护措施,可以自动检测、隔离和删除各种类型的恶意软件,例如病毒、蠕虫和勒索软件。许多防病毒解决方案都非常易于安装且使用直观。建议家庭网络上的所有计算机和移动设备都运行防病毒软件。此外,请务必启用自动病毒定义更新,以确保最大程度地防范最新威胁。注意:由于检测依赖于签名——可以将代码识别为恶意软件的已知模式——即使是最好的防病毒软件也无法提供足够的保护来抵御新的和高级的威胁,例如零日攻击和恶意软件。州病毒。(7)安装网络防火墙。在家庭网络外围安装防火墙以抵御外部威胁。防火墙可以阻止恶意流量进入家庭网络,并提醒我们潜在的危险活动。如果配置得当,它还可以充当内部威胁的屏障,防止不需要的或恶意软件访问Internet。大多数无线路由器都带有可配置的内置网络防火墙,其中包括访问控制、Web过滤和拒绝服务(DoS)防御等附加功能,这些功能可以根据您的网络环境进行定制。记住!某些防火墙功能可能默认关闭,包括防火墙本身。确保打开防火墙并正确配置所有设置将加强我们网络的网络安全。注意:您的Internet服务提供商(ISP)可能能够帮助我们确定您的防火墙是否具有适合您的特定设备和环境的最佳设置。(8)在网络设备上安装防火墙。除了网络防火墙外,还可以考虑在所有连接到网络的计算机上安装防火墙,通常称为基于主机或基于软件的防火墙,它根据一组预先确定的策略或检查和过滤计算机的入站和出站网络规则流。大多数现代Windows和Linux操作系统都带有内置、可自定义且功能丰富的防火墙。此外,大多数提供商将他们的防病毒软件与其他安全功能捆绑在一起,例如家长控制、电子邮件保护和恶意网站拦截。(9)定期备份资料。使用外部媒体或基于云的服务在您的设备上制作和存储所有有价值信息的定期备份副本。考虑使用可以简化和自动化流程的第三方备份应用程序。请务必加密您的备份以保护信息的机密性和完整性。如果数据丢失、损坏、感染或被盗,数据备份对于将影响降至最低至关重要。(10)提高无线安全性。请按照以下步骤提高无线路由器的安全性。注意:有关如何更改设备上特定设置的具体说明,请参阅路由器的说明手册或联系您的ISP。使用可用的最强大的加密协议。建议使用Wi-Fi保护访问3(WPA3)个人高级加密标准(AES)和临时密钥完整性协议(TKIP),这是当今家庭使用的最安全的路由器配置。包括AES并能够使用128、192和256位加密密钥。该标准已获得美国国家标准技术研究院(NIST)的批准。更改路由器的默认管理员密码。更改路由器的管理员密码,以帮助保护您的设备免受使用默认凭据的攻击。更改默认服务集标识符(SSID)。SSID有时称为“网络名称”,是标识特定无线局域网(WLAN)的唯一名称。无线局域网(WLAN)上的所有无线设备必须使用相同的SSID才能相互通信。由于设备的默认SSID通常标识制造商或实际设备,因此攻击者可以使用它来标识设备并利用其中的任何已知漏洞。使我们的SSID唯一且独立于我们的身份或位置将使攻击者更容易识别我们的家庭网络。禁用Wi-Fi保护设置(WPS)。WPS为无线设备提供了一种无需输入无线网络密码即可加入Wi-Fi网络的简化机制。然而,WPSPIN身份验证规范中的设计缺陷大大减少了网络攻击者通过在八位PIN的前半部分正确时通知他们来暴力破解整个PIN所需的时间。许多路由器在尝试猜测PIN码失败一定次数后缺乏适当的锁定策略,这使得暴力攻击更有可能发生。降低无线信号强度。Wi-Fi信号通常传播到我们家的范围之外。这种扩展发射允许网络边界外的入侵者进行窃听。因此,请仔细考虑天线布置、天线类型和发射功率水平。通过试验路由器放置和信号强度级别,您可以减少Wi-Fi网络的传输覆盖范围,从而降低这种攻击的风险。注意:虽然这降低了我们的风险,但有动机的攻击者仍可能能够拦截覆盖范围有限的信号。不使用时关闭网络。虽然频繁关闭和打开Wi-Fi信号可能不切实际,但请考虑在旅行期间或不需要长时间在线时将其禁用。此外,许多路由器提供配置无线计划的选项,该计划将在指定时间自动禁用Wi-Fi。当我们的Wi-Fi被禁用时,我们可以防止外部攻击者利用我们的家庭网络。不需要时禁用通用即插即用(UPnP)。UPnP是一种方便的功能,它允许联网设备在网络上无缝地发现并相互建立通信。然而,虽然UPnP功能简化了初始网络配置,但它也带来了安全风险。最近的大规模网络攻击证明,网络中的恶意软件可以使用UPnP绕过路由器防火墙,让攻击者远程控制我们的设备,并将恶意软件传播到其他设备。因此,除非我们有特殊需要,否则我们应该禁用UPnP。升级固件。查看我们的路由器制造商的网站,确保您运行的是最新的固件版本。固件更新可增强产品性能、修复错误并解决安全漏洞。注意:某些路由器可以选择打开自动更新。禁用远程管理。大多数路由器都提供通过Internet查看和修改其设置的选项。关闭此功能可防止未经授权的个人访问和更改路由器配置。监视未知设备连接。使用路由器制造商的网站来监控加入或试图加入我们网络的未经授权的设备。(11)减少电子邮件威胁。网络钓鱼电子邮件仍然是用于恶意软件传递和凭据收集的最常见的初始攻击媒介之一。攻击被认为是每个网络中最薄弱部分的人为因素仍然非常有效。要感染系统,攻击者只需诱使用户单击链接或打开附件即可。好消息是,有很多指标可以用来快速识别钓鱼邮件。抵御这些攻击的最佳方法是成为受过良好教育且谨慎的用户,并熟悉网络钓鱼攻击的最常见元素。
