拆穿安全Web瀏覽的十大謊言，網際網路營銷

　　你是否正遭受著關於安全Web瀏覽的錯誤觀念所造成的危害呢？你可能認為自己的單位和使用者很安全，但是，當今的網際網路每隔幾秒鐘就出現一個新的被感染的網頁，不管你如何謹慎，幾乎都避免不了被感染的風險。

　　為了開始你的安全評估，你應當問自己一些問題：

　　你和你的使用者們正在進行安全的Web瀏覽嗎？你們避免瀏覽有風險的網站嗎？限制上班時間的線上時間嗎？採用強健的網際網路訪問策略嗎？使用安全的瀏覽器嗎？你們有沒有經驗識別有風險的網站呢？

　　如果你對上述任何一個問題作了肯定的回答，那麼，你都需要讀一下本文後面的內容。

　　拆穿十大謊言

　　你可能正遭受著關於Web安全的一個或多個謊言的危害。不過，不要擔心，並非僅你一個人這樣。在過去的幾年中，關於風險的範圍及應當採取的保護措施一直流傳著一些錯誤的觀念。有些謠言可能僅僅完全拒絕了網際網路的訪問，但是將自己從Web 2.0世界斷開並不切合實際，因為它已經成為當今企業的一個關鍵工具。

　　用控制和封鎖都很嚴密的網際網路訪問策略來建立嚴格的防禦也並非適當的解決方案。使用者們可以輕易地繞過這種機制。

　　請快速瀏覽本文。如果其中的任何一個謊言或錯誤觀念能夠引起你的共鳴，那麼，你也許需要重新檢查一下自己的Web安全解決方案了。這兒的內容也許可幫助你找到解決方案呢。

　　謊言一：我們控制著Web的使用，而且我們的使用者也無法繞過我們的策略

　　借用匿名代理伺服器，僱員們可以很輕鬆地繞過Web過濾策略，從而訪問自己喜歡的任何網站。匿名代理伺服器很容易得到，大量的學生和僱員都在利用匿名伺服器。網際網路上每天都在釋出新的匿名代理伺服器，其目標就是為了領先於Web安全公司的步伐。現在，甚至有些“足智多謀”的使用者開始在家裡建立其自己的私人代理伺服器，以便於自由地訪問網站而無需經過檢查。如果你認為這不是一個問題，可用不同的搜尋引擎，如谷歌等，上網搜尋“繞過web過濾器”，你能夠找到大量的方法能夠繞過Web過濾器。

　　謊言二：我的使用者並沒有浪費時間瀏覽不適當的內容

　　如果沒有任何Web過濾，你確實不知道使用者們在用其網際網路連線幹什麼。事實是，公司網際網路的使用中，有超過40%是不恰當的和未經過檢查的，其數量可達平均每人每天1到2小時。更糟的是，暴露在不恰當的內容面前的僱員們，有可能給單位帶來潛在的法律後果。如果僱員從事網路賭博、瀏覽色情站點、訪問與工作無關的社交網路，都會給公司帶來極大的安全問題。而且，網際網路成癮事件日益增加，據估計，大約有5%到10%的網際網路使用者有著某種形式的Web依賴症。

　　謊言三：我們從來沒有被惡意軟體感染過，所以Web是安全的

　　你可能並不知道自己已被感染了。許多Web惡意軟體的設計目的是為了竊取個人資訊和口令，或者在使用者不知曉的情況下，使用其電腦釋出垃圾郵件、惡意軟體或不適當的內容。藉助於適當的Web安全閘道器，就可識別出自己的單位是否有可疑的網路行為。

　　謊言四：只有色情、賭博及其它欺詐網站有害

　　被劫持的可信任網站代表了被惡意軟體控制的絕大部分網站。被感染的網站主要是我們每天都訪問的並且信任的網站，只是這些網站已經被破解了，或者被“黑”了，並被用來發布惡意軟體。因為這些網站非常流行，而且訪問流量很大，因而能夠將惡意軟體悄悄地釋出給毫無戒備的訪問者。

　　謊言五：只有幼稚無知的使用者會感染惡意軟體和病毒

　　“偷渡式下載”之類的惡意軟體能夠自動下載，而無需任何使用者干預，只需使用者訪問網站。因而，你的專業技術水平與此無關。事實是，如果你正在訪問網站，你就面臨風險。國內外各大主要安全廠商及相關IT媒體經常釋出受感染的或釋出惡意軟體的網站名單，如果使用者訪問的是這類網站，就面臨著風險。

　　謊言六：只有在下載檔案時才會受到感染

　　多數惡意軟體感染都是通過“偷渡式下載”發生的。黑客們將惡意程式碼注入到實際的網頁內容中，在瀏覽器檢視網頁內容時，該程式碼便支自動下載並執行。惡意軟體程式碼基本上已經成為專業漏洞利用工具的一部分，並銷售給黑客，後者利用瀏覽器、作業系統或外掛中的已知漏洞，來感染訪問被劫持的網站的使用者電腦並下載更多的惡意軟體。

　　謊言七：Firefox比IE更安全

　　在風險面前，所有的瀏覽器都是平等的，因為所有的瀏覽器實際上都是JavaScript(這種典型的Web程式語言常被惡意軟體作者用來發動攻擊)的執行環境。此外，許多漏洞利用藉助Adobe Acrobat等在瀏覽器上執行的閱讀器，雖然更流行的瀏覽器可能會得到關於漏洞利用的更多宣傳，但你最應當關注的是那些沒有公開的漏洞利用。事實上，並沒有安全的瀏覽器。

　　謊言八：瀏覽器中出現“掛鎖”圖示時，該網站就是安全的

　　“掛鎖”圖示表明，在瀏覽器與伺服器之間有一個SSL加密連線，可以保護個人的敏感資訊防止被截獲。但它並不提供針對惡意軟體的任何安全保護。事實恰當相反，因為多數Web安全產品對於加密的連線“視而不見”：它們甚至成為惡意軟體感染、滲透一臺電腦的傳達工具。而且，有些惡意軟體可以利用漏洞，欺騙SSL證照，使使用者感覺到更安全，或者用虛假的連線來冒充銀行站點。如今，有太多的黑客正在精心制定釣魚機制，模仿銀行、信用卡或其它支付站點，它們擁有虛假的SSL證照。可以說，普通的使用者是極難發現其欺詐性的，而這正成為日益重要的安全風險。

　　謊言九：Web安全要求安全和自由之間的權衡

　　雖然網際網路已經成為許多工作和業務的關鍵工具，無論對於哪個領域，都完全沒有必要在訪問和安全之間謀求什麼平衡。適當的WEB安全解決方案向使用者提供了訪問網站的一定程度的自由，並保持單位的安全。工作組或個人的策略設定不必太複雜，關鍵是適合單位的需要。

　　在評估Web安全解決方案時，一定要重視你最常使用的監管任務，如為使用者或使用者組建立專門的策略等。這些任務的難易程度如何？需要花費多少時間？需要經過哪些步驟？多問類似的這些問題可以使你的決策更合理。

　　謊言十：端點安全解決方案不能防禦Web威脅

　　通常情況下，情況就是這樣。因為Web瀏覽器實際上擁有自己的執行環境：無論是下載內容、傳遞訊息或執行指令碼，都不需要瀏覽器外部的端點安全產品“看到”。然而，情況正在發生改變。最終，將會向Web安全開放全新的方式，特別是對於移動工作人員來說，他們的操作超過了公司網路的傳統意義上的邊界。公司需要一種動態保護產品，使其可以對端點進行實時的惡意站點過濾，用以保護離開公司網路的移動或遠端工作人員。

　　使用有效的Web安全解決方案

　　關於Web安全，需要關注的措施有很多，特別重要的方面包括但不限於：保持系統的最新，及時打補丁;實現Web軟體的標準化;確保瀏覽器的安全;強化一套強健的口令策略等。在此，筆者僅就如何使用有效的安全方案談幾點看法。

　　適當的Web安全解決方案可以保護單位免受現代的Web威脅，它能夠將使用者的瀏覽活動限制到與其工作相關的網站型別中，進而減少暴露在威脅面前的機會,或者至少可以幫助使用者避免訪問滋生惡意軟體的色情、賭博網站。當然，適當的Web安全方案還應當在使用者訪問可信任的網站時提供保護，使其可以避免由可信網站被劫持時所帶來的惡意軟體威脅。最後，適當的Web安全方案還應當幫助使用者保護網際網路資源，防止其被濫用。

　　一個Web安全和控制解決方案的關鍵元件有如下幾個方面：

　　1、工作效率和聲譽過濾建立可授受的使用者策略，限制來自臭名昭著的惡意網站的威脅暴露，過濾聲名狼藉的站點而不管其種類。

　　2、代理伺服器過濾防止使用者繞過Web過濾，從而防止其將自身及單位置於風險之中。

　　3、在惡意軟體被從可信網站上下載時，實時的惡意軟體過濾能夠實時地捕獲惡意軟體。

　　4、HTTPS過濾可以確保這種重要因素的安全，因為許多Web過濾方案對此就像“睜眼瞎”。

　　5、基於內容的過濾可以減少與惡意軟體有關聯的檔案型別所造成的威脅，並可以控制頻寬的耗用。

　　我們已經拆穿了幾個常見的謊言，並揭露了關於Web安全風險的真相，並且對可靠的Web安全解決方案提供了建議。在Web安全風險日新月異的今天，你真得需要有效的Web安全解決方案來保護自己的單位和使用者了。