當(dāng)你剛開始做程序員的時(shí)候，你太忙了，沒有時(shí)間去關(guān)注任何與你的核心能力無關(guān)的事情。學(xué)習(xí)新的技術(shù)和語言，執(zhí)行項(xiàng)目，你的手都在忙著。

雖然這可能很難擠進(jìn)去，但重要的是你要找到時(shí)間學(xué)習(xí)網(wǎng)絡(luò)安全。

不安全的代碼在糾正它所需的時(shí)間方面可能代價(jià)高昂，或者更糟的是，如果問題沒有被發(fā)現(xiàn)，則會(huì)帶來金錢和業(yè)務(wù)影響。

在這篇文章中，我將向你展示網(wǎng)絡(luò)安全的基本原理，讓你在一個(gè)地方掌握所有的基本信息。我們首先來看看常見的攻擊和最佳實(shí)踐，然后我將分享一些關(guān)于網(wǎng)絡(luò)安全技能和技術(shù)的提示和建議。

什么是網(wǎng)絡(luò)安全？你為什么要費(fèi)心？

網(wǎng)絡(luò)安全是指保護(hù)數(shù)據(jù)、網(wǎng)絡(luò)和設(shè)備不被黑客濫用的過程。

數(shù)據(jù)非常有價(jià)值，范圍從信用卡的詳細(xì)信息到社會(huì)保險(xiǎn)號(hào)碼和醫(yī)療記錄。當(dāng)你為一家公司或一個(gè)自由職業(yè)者客戶工作時(shí)，你可以處理客戶的敏感數(shù)據(jù)，而這些數(shù)據(jù)是你無法承受的。

2019年上半年，數(shù)據(jù)泄露暴露了超過41億條記錄。更重要的是，最近的一項(xiàng)研究發(fā)現(xiàn)，黑客每39秒攻擊一次連接互聯(lián)網(wǎng)的電腦，平均每天攻擊2244次。

一個(gè)成功的破綻就是把你的信譽(yù)或你的生意燒成灰燼。例如，2016年末，兩名黑客獲得了超過5700萬優(yōu)步應(yīng)用程序用戶的姓名、電子郵件地址和聯(lián)系電話。

這導(dǎo)致優(yōu)步估值下降200億美元，首席安全官（CSO）被解職，公司聲譽(yù)受損。此外，他們還必須向黑客支付10萬美元才能刪除這些數(shù)據(jù)并保持緘默。

顯然，作為一個(gè)新的程序員，學(xué)習(xí)網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)并沒有什么壞處。

在我們討論您應(yīng)該了解的網(wǎng)絡(luò)安全最佳實(shí)踐之前，讓我們先看看一些常見的網(wǎng)絡(luò)攻擊類型。

網(wǎng)絡(luò)攻擊類型

網(wǎng)絡(luò)攻擊是一種有目的的、通常是惡意的試圖捕獲、修改或刪除私人數(shù)據(jù)的行為。網(wǎng)絡(luò)攻擊有多種原因，但大多數(shù)都是出于勒索。

以下是四種最常見的影響用戶（包括程序員）的網(wǎng)絡(luò)攻擊。

蠻力攻擊

暴力攻擊（或稱“密碼猜測”）是指攻擊者試圖手動(dòng)猜測用戶名和密碼，或使用以極快速度進(jìn)行猜測的軟件。

此攻擊通常會(huì)嘗試已知的用戶名和密碼組合，從過去的數(shù)據(jù)泄露。當(dāng)人們?cè)诓煌膽?yīng)用程序中使用較弱或通用的密碼時(shí)（例如，當(dāng)您的社交媒體和工作密碼相同時(shí)），攻擊就會(huì)成功。

針對(duì)暴力攻擊的最佳防御措施是使用強(qiáng)密碼，避免對(duì)不同的應(yīng)用程序使用相同的密碼，以及使用雙因素身份驗(yàn)證。我們將在后面的文章中更仔細(xì)地研究這個(gè)和其他網(wǎng)絡(luò)安全選項(xiàng)。

分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)（DDoS）攻擊是指攻擊者通過大量的活動(dòng)（如消息、請(qǐng)求或流量）涌入網(wǎng)絡(luò)或系統(tǒng)，試圖使其癱瘓。

成功的DDoS攻擊可作為敲詐和勒索的手段。例如，可以要求網(wǎng)站所有者向攻擊者支付贖金，以阻止DDoS攻擊。

這種攻擊通常是通過使用僵尸網(wǎng)絡(luò)來完成的，僵尸網(wǎng)絡(luò)是一組與互聯(lián)網(wǎng)相連的設(shè)備，例如筆記本電腦、智能揚(yáng)聲器、游戲機(jī)或受病毒感染的服務(wù)器，黑客可以利用這些設(shè)備來執(zhí)行這種攻擊。

DDoS防御技術(shù)包括使用防火墻、VPN、反垃圾郵件、內(nèi)容過濾和負(fù)載平衡。

惡意軟件攻擊

惡意軟件是指黑客利用惡意軟件和技術(shù)侵入計(jì)算機(jī)和網(wǎng)絡(luò)，竊取易受攻擊的私有數(shù)據(jù)。以下是幾種常見的惡意軟件：

• 鍵盤記錄者跟蹤一個(gè)人在鍵盤上鍵入的內(nèi)容。鍵盤記錄程序通常用于獲取密碼和其他私人信息，如社會(huì)安全號(hào)碼。

• 勒索軟件對(duì)您的數(shù)據(jù)進(jìn)行加密并將其作為人質(zhì)，如果您希望解鎖并重新獲得對(duì)數(shù)據(jù)的訪問權(quán)，則迫使您支付贖金。

• 間諜軟件在您的網(wǎng)站上跟蹤和“間諜”代表黑客。

  惡意軟件可以通過多種途徑傳播，常見的有：

• 特洛伊木馬，通過看似無害的入口點(diǎn)感染計(jì)算機(jī)或網(wǎng)絡(luò)，通常偽裝成合法的應(yīng)用程序。

• 病毒，破壞、擦除或修改數(shù)據(jù)。當(dāng)粗心的用戶無意中安裝時(shí)，這些病毒會(huì)在計(jì)算機(jī)之間傳播。

• 蠕蟲，設(shè)計(jì)用于自我復(fù)制并通過具有相同漏洞的所有連接設(shè)備自主傳播。

網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚攻擊是指黑客試圖誘使人們做一些看似緊急或有益的事情，比如提交個(gè)人信息以獲得有限的時(shí)間獎(jiǎng)勵(lì)。

這些都是非常常見的，可以嘗試通過下載鏈接，電子郵件，假冒網(wǎng)站，或形式，看起來合法的表面。

此外，魚叉式網(wǎng)絡(luò)釣魚指的是當(dāng)攻擊者針對(duì)特定的人或公司，而不是大規(guī)模垃圾郵件。

網(wǎng)絡(luò)安全最佳實(shí)踐

網(wǎng)絡(luò)安全不是你可以通過遵循一成不變的規(guī)則來完全保證的。在網(wǎng)絡(luò)世界中，沒有簡單的方法來保護(hù)您或您的企業(yè)的安全。

然而，有一些最佳實(shí)踐和網(wǎng)絡(luò)安全技術(shù)，你可以用最好的方式來保護(hù)自己。

創(chuàng)建近乎無法穿透的登錄憑據(jù)

這聽起來似乎非常明顯，但許多人，包括精通技術(shù)的程序員，都會(huì)使用帶有附加含義的可預(yù)測密碼，比如愛人姓名、首字母縮寫或出生日期的略微修改版本。

這樣的密碼很容易記住，因此很容易被破解。

使用隨機(jī)密碼生成器來創(chuàng)建一個(gè)無法猜測的超強(qiáng)密碼，而不是一個(gè)容易記住的密碼。也要設(shè)置允許的登錄嘗試次數(shù)限制。這是一個(gè)簡單而強(qiáng)大的方式來挫敗暴力攻擊。

另外，為了防止錯(cuò)誤的人輕松訪問您所有敏感的個(gè)人或業(yè)務(wù)數(shù)據(jù)，請(qǐng)讓您的登錄在幾個(gè)小時(shí)不活動(dòng)后過期，即使這是一個(gè)小的不便。

此外，要注意共享登錄權(quán)限。理想情況下，根本不要分享它們。但是，如果你經(jīng)營一家企業(yè)，而且絕對(duì)必須這樣做，那么只有少數(shù)你完全信任的精選員工才應(yīng)該擁有登錄權(quán)限。如果具有憑據(jù)的員工不再與您的業(yè)務(wù)關(guān)聯(lián)，請(qǐng)確保及時(shí)重置憑據(jù)。

保持你的CMS最新

你可能會(huì)在你的個(gè)人網(wǎng)站或工作場所使用內(nèi)容管理系統(tǒng)（CMS）。雖然使用像WordPress或Magento這樣的CMS是一種更有效地管理網(wǎng)站的好方法，但它也有可能被黑客利用的漏洞。

以WordPress為例：它為超過35%的互聯(lián)網(wǎng)提供動(dòng)力，而且仍在不斷普及。但隨著WordPress的流行和廣泛的可定制性（使用無數(shù)的插件和主題）的出現(xiàn)，它的弱點(diǎn)和簡單的入門點(diǎn)使得WordPress成為黑客的主要目標(biāo)。

盡管WordPress本身就是一個(gè)安全的CMS，但每年仍有成千上萬的WordPress網(wǎng)站成為網(wǎng)絡(luò)攻擊的受害者。

你所安裝的所有插件和主題形式的使生活更輕松的擴(kuò)展，都是賽博朋克的潛在入口。這些插件中的許多都不那么安全，雖然漏洞通常由開發(fā)人員修復(fù)，但您可能無法及時(shí)應(yīng)用補(bǔ)丁。

所以，確保你的CMS，它的主題，和它的插件總是最新的版本。

警惕社會(huì)工程詐騙

你可能會(huì)覺得自己很聰明，能夠區(qū)分合法郵件和可疑郵件，而且很可能是這樣，但每個(gè)人都會(huì)時(shí)不時(shí)地失去判斷。

時(shí)刻注意釣魚電子郵件和欺詐網(wǎng)站與陰暗的下載或提供。畢竟，網(wǎng)絡(luò)釣魚是黑客獲取敏感信息（如信用卡詳細(xì)信息）的有效、高回報(bào)和最低投資策略。因此，它總是會(huì)成為一種威脅。

以下是一些預(yù)防措施，以保護(hù)自己免受社會(huì)工程攻擊：

• 提防那些不知名的發(fā)件人，甚至是熟悉的人（比如你公司的首席執(zhí)行官或你的醫(yī)生）發(fā)來的郵件，他們通常不會(huì)直接與你溝通。不要單擊這些發(fā)件人的鏈接或打開附件。

• 請(qǐng)檢查發(fā)件人的電子郵件地址，確保其來自真實(shí)的帳戶。將鼠標(biāo)懸停在鏈接上，可以在“收件人”和“發(fā)件人”字段中查看關(guān)聯(lián)的網(wǎng)址。另外，要注意一些細(xì)微的字符變化，這些變化會(huì)使不合法的電子郵件地址在視覺上看起來是合法的，比如說，應(yīng)該是.gov的.com域。

• 注意電子郵件內(nèi)容中的語法錯(cuò)誤，因?yàn)樗鼈儙缀醵际球_局的標(biāo)志。

• 檢查徽標(biāo)：它們看起來合法嗎？字體匹配嗎？它們的分辨率高嗎？

• 在瀏覽器和電子郵件上使用反釣魚過濾器，并使用防病毒軟件掃描附件。

啟用雙因素身份驗(yàn)證（2FA）

最強(qiáng)大的密碼仍然可以被破解。而且你的登錄憑證總是有可能落入壞人之手。

因此，與其只需要密碼就可以成功登錄到你的個(gè)人資料或網(wǎng)站，不如使用雙因素身份驗(yàn)證，即向你的注冊(cè)手機(jī)或電子郵件發(fā)送驗(yàn)證碼，以驗(yàn)證登錄的人確實(shí)是你。

啟用雙因素身份驗(yàn)證（2FA）可以在每次有人試圖使用您的憑據(jù)登錄時(shí)為您提供一個(gè)附加的安全層。像googleauthenticator或Authy這樣的工具就可以做到這一點(diǎn)。

使用虛擬專用網(wǎng)（VPN）

公共Wi-Fi熱點(diǎn)很棒。它們是免費(fèi)的，不需要密碼。它們使您不必耗盡移動(dòng)數(shù)據(jù)。

然而，還有一個(gè)附加的網(wǎng)絡(luò)安全成本。無論是您友好的鄰里咖啡館還是機(jī)場，公共Wi-Fi點(diǎn)都是黑客竊取您的數(shù)據(jù)或侵犯您隱私的最佳場所。

黑客利用這些開放的網(wǎng)絡(luò)試圖進(jìn)行中間人攻擊，將自己置于你和網(wǎng)絡(luò)路由器之間。然后，他們可以創(chuàng)建假登錄頁來竊取您的憑據(jù)或從您的設(shè)備發(fā)送的數(shù)據(jù)。

您可以通過使用虛擬專用網(wǎng)（VPN）來保護(hù)自己免受這些攻擊。VPN創(chuàng)建了一個(gè)“隧道”，當(dāng)您進(jìn)入和退出web服務(wù)器時(shí)，您的數(shù)據(jù)將通過它進(jìn)行傳輸。這個(gè)隧道會(huì)加密你的數(shù)據(jù)并隱藏你的位置，這樣黑客或惡意軟件就無法讀取。

因此，無論你是在公共網(wǎng)絡(luò)上上網(wǎng)，還是打算使用PrimeWire之類的流媒體服務(wù)，都可以考慮使用VPN來提高安全性。

執(zhí)行頻繁的備份和惡意軟件掃描

你可能聽膩了，但經(jīng)常備份重要數(shù)據(jù)是必不可少的。就像吃你的蔬菜你知道這是一件好事，但并不真的想這樣做。

假設(shè)你的商業(yè)網(wǎng)站被黑了。停機(jī)時(shí)間的每一秒都會(huì)讓你付出沉重的代價(jià)。

在這種情況下，最快的回退是恢復(fù)上一次備份。雖然有些托管服務(wù)提供商為您執(zhí)行自動(dòng)備份，但幾乎沒有一家以理想的頻率（每天或最多每周）執(zhí)行。所以，你要自己安排頻繁的備份。

下一步，使用防病毒工具，定期進(jìn)行惡意軟件掃描，跟蹤并刪除可能被黑客利用的病毒和過時(shí)的軟件或擴(kuò)展。使用漏洞掃描工具進(jìn)行漏洞測試，以揭示web應(yīng)用的弱點(diǎn)。

新的漏洞不斷出現(xiàn)，上個(gè)月安全的東西今天可能不安全。注意提前安排備份、掃描和測試。

要學(xué)習(xí)的技能和技術(shù)

網(wǎng)絡(luò)安全是一條有回報(bào)的職業(yè)道路，每年平均工資60萬元左右。

但是，即使你不想在網(wǎng)絡(luò)安全領(lǐng)域開始職業(yè)生涯，了解成為一名精明的程序員所需的技能和技術(shù)也是一個(gè)好主意。

雖然精通網(wǎng)絡(luò)安全不一定要有編程知識(shí)，但你對(duì)編程語言的了解肯定會(huì)給你一個(gè)先機(jī)。讓我們來看看專家們對(duì)你需要知道什么來保護(hù)你自己有什么看法。

你不需要成為專家，但能夠閱讀和理解一門語言是（網(wǎng)絡(luò)安全）一項(xiàng)很好的技能。只有對(duì)系統(tǒng)的脆弱性有了堅(jiān)定的理解，才能預(yù)測和防止網(wǎng)絡(luò)攻擊。

具體的技術(shù)技能因?qū)I(yè)領(lǐng)域而異，但從廣義上講，建議程序員具備以下網(wǎng)絡(luò)安全技能：

• 安全和網(wǎng)絡(luò)基礎(chǔ)

• 記錄和監(jiān)控程序

• 網(wǎng)絡(luò)防御策略

• 密碼學(xué)和訪問管理實(shí)踐

• Web應(yīng)用程序安全技術(shù)

不管你在做什么，你的重點(diǎn)應(yīng)該是了解系統(tǒng)幕后發(fā)生了什么，什么數(shù)據(jù)對(duì)系統(tǒng)的運(yùn)行很重要，系統(tǒng)所有者的目標(biāo)，以及黑客可能試圖利用的弱點(diǎn)。

例如，如果您正在查看工資單系統(tǒng)，請(qǐng)先問以下問題：

• 員工如何獲得報(bào)酬？

• 他們的數(shù)據(jù)存放在哪里？

• 這個(gè)系統(tǒng)怎么會(huì)出故障？

在技術(shù)方面，最好了解網(wǎng)絡(luò)體系結(jié)構(gòu)、管理和操作系統(tǒng)（如各種Linux發(fā)行版或Windows）、網(wǎng)絡(luò)和虛擬化軟件的管理。了解并喜歡防火墻和網(wǎng)絡(luò)負(fù)載均衡器。

除此之外，軟技能——清晰表達(dá)復(fù)雜概念的能力、出色的表達(dá)和傾聽能力、團(tuán)隊(duì)合作等，當(dāng)然是成功的先決條件。

例如，您可能需要向毫無戒心的員工介紹社會(huì)工程的概念，或者向可能沒有技術(shù)背景的C-suite高管傳達(dá)復(fù)雜的主題或策略。

網(wǎng)絡(luò)安全認(rèn)證對(duì)于顯示網(wǎng)絡(luò)安全專業(yè)人員的知識(shí)水平至關(guān)重要。然而，他們不應(yīng)該是唯一的參考，認(rèn)證應(yīng)該與堅(jiān)實(shí)的行業(yè)經(jīng)驗(yàn)相結(jié)合，以獲得所需的適當(dāng)水平的技能。

確保數(shù)據(jù)安全

現(xiàn)在你知道了網(wǎng)絡(luò)安全的基本原理什么，為什么，如何以及技能，技術(shù)和證書，你需要作為一個(gè)新的程序員想要學(xué)習(xí)更多關(guān)于這個(gè)令人興奮的領(lǐng)域。所以，黑客可能會(huì)說是時(shí)候破解了！