什么是家庭網絡安全，為什么要關心它?

家庭網絡安全是指保護將設備(例如路由器、計算機、智能手機和支持 Wi-Fi 的嬰兒監視器和相機)相互連接并連接到家中互聯網的網絡。

許多家庭用戶對其網絡安全有兩個常見的誤解：

• 他們的家庭網絡太小，不會面臨網絡攻擊的風險。
• 他們的設備開箱即用“足夠安全”。

大多數攻擊本質上都不是針對具體哪個人的，并且可能發生在任何類型的網絡上——無論大小、家庭還是企業。如果網絡連接到 Internet，本質上就更容易受到攻擊，并且容易受到外部威脅的影響。

如何提高家庭網絡的安全性?

通過遵循以下一些簡單但有效的技術，可以明顯減少家庭網絡的攻擊面，并使惡意網絡攻擊者更難發起成功的攻擊。

(1) 定期更新軟件。

定期軟件更新是可以采取的最有效步驟之一，以改善家庭網絡和系統的整體網絡安全狀況，對于安全從業人員來說，這已經是老生常談了。除了添加新特性和功能外，軟件更新通常還包括針對新發現的威脅和漏洞的關鍵補丁和安全修復程序。大多數現代軟件應用程序會自動檢查新發布的更新。如果自動更新不可用，請考慮購買識別和集中管理所有已安裝軟件更新的軟件程序。

(2) 刪除不必要的服務和軟件。

禁用所有不必要的服務以減少網絡和設備(包括路由器)的攻擊面。未使用或不需要的服務和軟件可能會在設備系統上產生安全漏洞，這可能會導致網絡環境的攻擊面增加。對于新的計算機系統來說尤其如此，供應商通常會在這些系統上預安裝大量用戶可能認為沒有用的試用軟件和應用程序(稱為“膨脹軟件”)。美國網絡安全和基礎設施安全局 (CISA) 建議研究并刪除任何不經常使用的軟件或服務。這點在網絡安全等級保護基本要求里也有明確，對于家庭用戶同樣適用。

(3) 調整軟件和硬件的出廠默認配置。

許多軟件和硬件產品都是“開箱即用”的，出廠默認配置過于寬松，旨在使其易于使用并減少客戶服務的故障排除時間。不幸的是，默認配置并不面向安全。在安裝后默認啟用設備可能會為攻擊者創造更多的利用途徑。用戶應采取措施強化默認配置參數，以減少漏洞并防止入侵。

(4) 更改默認登錄密碼和用戶名。

大多數網絡設備都預先配置了默認管理員密碼以簡化設置，默認憑據并不安全，可能很容易在 Internet 上獲得，或者甚至可能在設備本身上進行物理標記。保持這些不變為惡意網絡參與者創造了未經授權訪問信息、安裝惡意軟件和導致其他問題的機會。

(5) 使用強而獨特的密碼。

選擇強密碼以幫助保護我們的設備。此外，不要對多個賬戶使用相同的密碼。如果我們的一個賬戶遭到入侵，攻擊者將無法破壞我們的任何其他賬戶。

(6) 運行最新的防病毒軟件。

信譽良好的防病毒軟件應用程序是抵御已知惡意威脅的重要保護措施，可以自動檢測、隔離和刪除各種類型的惡意軟件，例如病毒、蠕蟲和勒索軟件。許多防病毒解決方案非常易于安裝且使用直觀。建議家庭網絡上的所有計算機和移動設備都運行防病毒軟件。此外，請務必啟用自動病毒定義更新，以確保最大限度地抵御最新威脅。注意：因為檢測依賴于簽名——可以將代碼識別為惡意軟件的已知模式——即使是最好的防病毒軟件也無法提供足夠的保護來抵御新的和高級威脅，例如零日漏洞和多態病毒。

(7) 安裝網絡防火墻。

在家庭網絡的邊界安裝防火墻以抵御外部威脅。防火墻可以阻止惡意流量進入家庭網絡，并提醒我們注意潛在的危險活動。正確配置后，還可以作為內部威脅的屏障，防止不需要的或惡意軟件訪問互聯網。大多數無線路由器都帶有一個可配置的內置網絡防火墻，其中包括額外的功能——例如訪問控制、網絡過濾和拒絕服務 (DoS) 防御，可以根據自己的網絡環境進行定制。切記!默認情況下可能會關閉某些防火墻功能，包括防火墻本身。確保防火墻已打開并且所有設置都已正確配置將加強我們網絡的網絡安全。注意：Internet 服務提供商 (ISP) 可能能夠幫助我們確定防火墻是否具有最適合特定設備和環境的設置。

(8) 在網絡設備上安裝防火墻。

除了網絡防火墻之外，請考慮在連接到網絡的所有計算機上安裝防火墻，通常被稱為基于主機或基于軟件的防火墻，根據預先確定的策略或規則集檢查和過濾計算機的入站和出站網絡流量。大多數現代 Windows 和 Linux 操作系統都帶有內置、可定制且功能豐富的防火墻。此外，大多數供應商將其防病毒軟件與額外的安全功能捆綁在一起，例如家長控制、電子郵件保護和惡意網站攔截。

(9) 定期備份數據。

使用外部媒體或基于云的服務制作和存儲設備上所有有價值信息的定期備份副本?？紤]使用第三方備份應用程序，可以簡化和自動化該過程。務必加密備份以保護信息的機密性和完整性。如果數據丟失、損壞、感染或被盜，數據備份對于最大限度地減少影響至關重要。

(10) 提高無線安全性。

按照以下步驟提高無線路由器的安全性。注意：有關如何更改設備上的特定設置的具體說明，請參閱路由器的說明手冊或聯系ISP。

• 使用最強大的加密協議。建議使用 Wi-Fi Protected Access 3 (WPA3) 個人高級加密標準 (AES) 和臨時密鑰完整性協議 (TKIP)，這是目前可供家庭使用的最安全的路由器配置。包含 AES 并能夠使用 128、192 和 256 位的加密密鑰。該標準已獲得美國國家標準與技術研究院 (NIST) 的批準。

• 更改路由器的默認管理員密碼。更改路由器的管理員密碼以幫助保護設備免受使用默認憑據的攻擊。

• 更改默認服務集標識符 (SSID)。有時也稱為“網絡名稱”，SSID 是標識特定無線局域網 (WLAN) 的唯一名稱。無線局域網 (WLAN) 上的所有無線設備必須使用相同的 SSID 才能相互通信。由于設備的默認 SSID 通常標識制造商或實際設備，攻擊者可以使用它來識別設備并利用其任何已知漏洞。使我們的 SSID 唯一且與我們的身份或位置無關，這將使攻擊者更容易識別我們的家庭網絡。

• 禁用 Wi-Fi 保護設置 (WPS)。WPS 為無線設備加入 Wi-Fi 網絡提供了簡化機制，無需輸入無線網絡密碼。但是，WPS PIN 身份驗證規范中的一個設計缺陷大大減少了網絡攻擊者強行破解整個 PIN 所需的時間，因為它會在八位數 PIN 的前半部分正確時通知他們。許多路由器在嘗試猜測 PIN 失敗一定次數后缺乏適當的鎖定策略，這使得暴力攻擊更有可能發生。

• 降低無線信號強度。Wi-Fi 信號經常會傳播到我們家的范圍之外。這種擴展的發射允許網絡邊界外的入侵者竊聽。因此，請仔細考慮天線放置、天線類型和傳輸功率水平。通過試驗路由器放置和信號強度水平，可以減少 Wi-Fi 網絡的傳輸覆蓋范圍，從而降低這種攻擊風險。注意：雖然這會降低我們的風險，但有動機的攻擊者可能仍然能夠攔截覆蓋范圍有限的信號。

• 不使用時關閉網絡。雖然頻繁關閉和打開 Wi-Fi 信號可能不切實際，但請考慮在旅行期間或長時間不需要在線時禁用它。此外，許多路由器提供配置無線計劃的選項，該計劃將在指定時間自動禁用 Wi-Fi。當我們的 Wi-Fi 被禁用時，我們可以防止外部攻擊者利用我們的家庭網絡。

• 不需要時禁用通用即插即用 (UPnP)。UPnP 是一項方便的功能，允許聯網設備在網絡上無縫地發現和建立彼此之間的通信。然而，雖然 UPnP 功能簡化了初始網絡配置，但它也存在安全風險。最近的大規模網絡攻擊證明，網絡中的惡意軟件可以使用 UPnP 繞過路由器的防火墻，允許攻擊者遠程控制我們的設備，并將惡意軟件傳播到其他設備。因此，除非我們有特殊需要，否則我們應該禁用 UPnP。

• 升級固件。檢查我們的路由器制造商的網站，以確保運行的是最新的固件版本。固件更新可增強產品性能、修復缺陷并解決安全漏洞。注意：有些路由器可以選擇開啟自動更新。

• 禁用遠程管理。大多數路由器都提供通過互聯網查看和修改其設置的選項。關閉此功能以防止未經授權的個人訪問和更改路由器配置。

• 監控未知設備連接。使用路由器制造商的網站來監控是否有未經授權的設備加入或試圖加入我們的網絡。

(11) 降低電子郵件威脅。網絡釣魚電子郵件仍然是惡意軟件傳送和憑據收集所采用的最常見的初始攻擊媒介之一。攻擊人為因素，被認為是每個網絡中最薄弱的部分，仍然非常有效。要感染系統，攻擊者只需說服用戶單擊鏈接或打開附件即可。好消息是，可以使用許多指標來快速識別網絡釣魚電子郵件。抵御這些攻擊的最佳方法是成為受過教育且謹慎的用戶，并熟悉網絡釣魚攻擊的最常見元素。