當你剛開始做程序員的時候，你太忙了，沒有時間去關注任何與你的核心能力無關的事情。學習新的技術和語言，執(zhí)行項目，你的手都在忙著。

雖然這可能很難擠進去，但重要的是你要找到時間學習網(wǎng)絡安全。

不安全的代碼在糾正它所需的時間方面可能代價高昂，或者更糟的是，如果問題沒有被發(fā)現(xiàn)，則會帶來金錢和業(yè)務影響。

在這篇文章中，我將向你展示網(wǎng)絡安全的基本原理，讓你在一個地方掌握所有的基本信息。我們首先來看看常見的攻擊和最佳實踐，然后我將分享一些關于網(wǎng)絡安全技能和技術的提示和建議。

什么是網(wǎng)絡安全？你為什么要費心？

網(wǎng)絡安全是指保護數(shù)據(jù)、網(wǎng)絡和設備不被黑客濫用的過程。

數(shù)據(jù)非常有價值，范圍從信用卡的詳細信息到社會保險號碼和醫(yī)療記錄。當你為一家公司或一個自由職業(yè)者客戶工作時，你可以處理客戶的敏感數(shù)據(jù)，而這些數(shù)據(jù)是你無法承受的。

2019年上半年，數(shù)據(jù)泄露暴露了超過41億條記錄。更重要的是，最近的一項研究發(fā)現(xiàn)，黑客每39秒攻擊一次連接互聯(lián)網(wǎng)的電腦，平均每天攻擊2244次。

一個成功的破綻就是把你的信譽或你的生意燒成灰燼。例如，2016年末，兩名黑客獲得了超過5700萬優(yōu)步應用程序用戶的姓名、電子郵件地址和聯(lián)系電話。

這導致優(yōu)步估值下降200億美元，首席安全官（CSO）被解職，公司聲譽受損。此外，他們還必須向黑客支付10萬美元才能刪除這些數(shù)據(jù)并保持緘默。

顯然，作為一個新的程序員，學習網(wǎng)絡安全的基礎知識并沒有什么壞處。

在我們討論您應該了解的網(wǎng)絡安全最佳實踐之前，讓我們先看看一些常見的網(wǎng)絡攻擊類型。

網(wǎng)絡攻擊類型

網(wǎng)絡攻擊是一種有目的的、通常是惡意的試圖捕獲、修改或刪除私人數(shù)據(jù)的行為。網(wǎng)絡攻擊有多種原因，但大多數(shù)都是出于勒索。

以下是四種最常見的影響用戶（包括程序員）的網(wǎng)絡攻擊。

蠻力攻擊

暴力攻擊（或稱“密碼猜測”）是指攻擊者試圖手動猜測用戶名和密碼，或使用以極快速度進行猜測的軟件。

此攻擊通常會嘗試已知的用戶名和密碼組合，從過去的數(shù)據(jù)泄露。當人們在不同的應用程序中使用較弱或通用的密碼時（例如，當您的社交媒體和工作密碼相同時），攻擊就會成功。

針對暴力攻擊的最佳防御措施是使用強密碼，避免對不同的應用程序使用相同的密碼，以及使用雙因素身份驗證。我們將在后面的文章中更仔細地研究這個和其他網(wǎng)絡安全選項。

分布式拒絕服務攻擊

分布式拒絕服務（DDoS）攻擊是指攻擊者通過大量的活動（如消息、請求或流量）涌入網(wǎng)絡或系統(tǒng)，試圖使其癱瘓。

成功的DDoS攻擊可作為敲詐和勒索的手段。例如，可以要求網(wǎng)站所有者向攻擊者支付贖金，以阻止DDoS攻擊。

這種攻擊通常是通過使用僵尸網(wǎng)絡來完成的，僵尸網(wǎng)絡是一組與互聯(lián)網(wǎng)相連的設備，例如筆記本電腦、智能揚聲器、游戲機或受病毒感染的服務器，黑客可以利用這些設備來執(zhí)行這種攻擊。

DDoS防御技術包括使用防火墻、VPN、反垃圾郵件、內(nèi)容過濾和負載平衡。

惡意軟件攻擊

惡意軟件是指黑客利用惡意軟件和技術侵入計算機和網(wǎng)絡，竊取易受攻擊的私有數(shù)據(jù)。以下是幾種常見的惡意軟件：

• 鍵盤記錄者跟蹤一個人在鍵盤上鍵入的內(nèi)容。鍵盤記錄程序通常用于獲取密碼和其他私人信息，如社會安全號碼。

• 勒索軟件對您的數(shù)據(jù)進行加密并將其作為人質，如果您希望解鎖并重新獲得對數(shù)據(jù)的訪問權，則迫使您支付贖金。

• 間諜軟件在您的網(wǎng)站上跟蹤和“間諜”代表黑客。

  惡意軟件可以通過多種途徑傳播，常見的有：

• 特洛伊木馬，通過看似無害的入口點感染計算機或網(wǎng)絡，通常偽裝成合法的應用程序。

• 病毒，破壞、擦除或修改數(shù)據(jù)。當粗心的用戶無意中安裝時，這些病毒會在計算機之間傳播。

• 蠕蟲，設計用于自我復制并通過具有相同漏洞的所有連接設備自主傳播。

網(wǎng)絡釣魚攻擊

網(wǎng)絡釣魚攻擊是指黑客試圖誘使人們做一些看似緊急或有益的事情，比如提交個人信息以獲得有限的時間獎勵。

這些都是非常常見的，可以嘗試通過下載鏈接，電子郵件，假冒網(wǎng)站，或形式，看起來合法的表面。

此外，魚叉式網(wǎng)絡釣魚指的是當攻擊者針對特定的人或公司，而不是大規(guī)模垃圾郵件。

網(wǎng)絡安全最佳實踐

網(wǎng)絡安全不是你可以通過遵循一成不變的規(guī)則來完全保證的。在網(wǎng)絡世界中，沒有簡單的方法來保護您或您的企業(yè)的安全。

然而，有一些最佳實踐和網(wǎng)絡安全技術，你可以用最好的方式來保護自己。

創(chuàng)建近乎無法穿透的登錄憑據(jù)

這聽起來似乎非常明顯，但許多人，包括精通技術的程序員，都會使用帶有附加含義的可預測密碼，比如愛人姓名、首字母縮寫或出生日期的略微修改版本。

這樣的密碼很容易記住，因此很容易被破解。

使用隨機密碼生成器來創(chuàng)建一個無法猜測的超強密碼，而不是一個容易記住的密碼。也要設置允許的登錄嘗試次數(shù)限制。這是一個簡單而強大的方式來挫敗暴力攻擊。

另外，為了防止錯誤的人輕松訪問您所有敏感的個人或業(yè)務數(shù)據(jù)，請讓您的登錄在幾個小時不活動后過期，即使這是一個小的不便。

此外，要注意共享登錄權限。理想情況下，根本不要分享它們。但是，如果你經(jīng)營一家企業(yè)，而且絕對必須這樣做，那么只有少數(shù)你完全信任的精選員工才應該擁有登錄權限。如果具有憑據(jù)的員工不再與您的業(yè)務關聯(lián)，請確保及時重置憑據(jù)。

保持你的CMS最新

你可能會在你的個人網(wǎng)站或工作場所使用內(nèi)容管理系統(tǒng)（CMS）。雖然使用像WordPress或Magento這樣的CMS是一種更有效地管理網(wǎng)站的好方法，但它也有可能被黑客利用的漏洞。

以WordPress為例：它為超過35%的互聯(lián)網(wǎng)提供動力，而且仍在不斷普及。但隨著WordPress的流行和廣泛的可定制性（使用無數(shù)的插件和主題）的出現(xiàn)，它的弱點和簡單的入門點使得WordPress成為黑客的主要目標。

盡管WordPress本身就是一個安全的CMS，但每年仍有成千上萬的WordPress網(wǎng)站成為網(wǎng)絡攻擊的受害者。

你所安裝的所有插件和主題形式的使生活更輕松的擴展，都是賽博朋克的潛在入口。這些插件中的許多都不那么安全，雖然漏洞通常由開發(fā)人員修復，但您可能無法及時應用補丁。

所以，確保你的CMS，它的主題，和它的插件總是最新的版本。

警惕社會工程詐騙

你可能會覺得自己很聰明，能夠區(qū)分合法郵件和可疑郵件，而且很可能是這樣，但每個人都會時不時地失去判斷。

時刻注意釣魚電子郵件和欺詐網(wǎng)站與陰暗的下載或提供。畢竟，網(wǎng)絡釣魚是黑客獲取敏感信息（如信用卡詳細信息）的有效、高回報和最低投資策略。因此，它總是會成為一種威脅。

以下是一些預防措施，以保護自己免受社會工程攻擊：

• 提防那些不知名的發(fā)件人，甚至是熟悉的人（比如你公司的首席執(zhí)行官或你的醫(yī)生）發(fā)來的郵件，他們通常不會直接與你溝通。不要單擊這些發(fā)件人的鏈接或打開附件。

• 請檢查發(fā)件人的電子郵件地址，確保其來自真實的帳戶。將鼠標懸停在鏈接上，可以在“收件人”和“發(fā)件人”字段中查看關聯(lián)的網(wǎng)址。另外，要注意一些細微的字符變化，這些變化會使不合法的電子郵件地址在視覺上看起來是合法的，比如說，應該是.gov的.com域。

• 注意電子郵件內(nèi)容中的語法錯誤，因為它們幾乎都是騙局的標志。

• 檢查徽標：它們看起來合法嗎？字體匹配嗎？它們的分辨率高嗎？

• 在瀏覽器和電子郵件上使用反釣魚過濾器，并使用防病毒軟件掃描附件。

啟用雙因素身份驗證（2FA）

最強大的密碼仍然可以被破解。而且你的登錄憑證總是有可能落入壞人之手。

因此，與其只需要密碼就可以成功登錄到你的個人資料或網(wǎng)站，不如使用雙因素身份驗證，即向你的注冊手機或電子郵件發(fā)送驗證碼，以驗證登錄的人確實是你。

啟用雙因素身份驗證（2FA）可以在每次有人試圖使用您的憑據(jù)登錄時為您提供一個附加的安全層。像googleauthenticator或Authy這樣的工具就可以做到這一點。

使用虛擬專用網(wǎng)（VPN）

公共Wi-Fi熱點很棒。它們是免費的，不需要密碼。它們使您不必耗盡移動數(shù)據(jù)。

然而，還有一個附加的網(wǎng)絡安全成本。無論是您友好的鄰里咖啡館還是機場，公共Wi-Fi點都是黑客竊取您的數(shù)據(jù)或侵犯您隱私的最佳場所。

黑客利用這些開放的網(wǎng)絡試圖進行中間人攻擊，將自己置于你和網(wǎng)絡路由器之間。然后，他們可以創(chuàng)建假登錄頁來竊取您的憑據(jù)或從您的設備發(fā)送的數(shù)據(jù)。

您可以通過使用虛擬專用網(wǎng)（VPN）來保護自己免受這些攻擊。VPN創(chuàng)建了一個“隧道”，當您進入和退出web服務器時，您的數(shù)據(jù)將通過它進行傳輸。這個隧道會加密你的數(shù)據(jù)并隱藏你的位置，這樣黑客或惡意軟件就無法讀取。

因此，無論你是在公共網(wǎng)絡上上網(wǎng)，還是打算使用PrimeWire之類的流媒體服務，都可以考慮使用VPN來提高安全性。

執(zhí)行頻繁的備份和惡意軟件掃描

你可能聽膩了，但經(jīng)常備份重要數(shù)據(jù)是必不可少的。就像吃你的蔬菜你知道這是一件好事，但并不真的想這樣做。

假設你的商業(yè)網(wǎng)站被黑了。停機時間的每一秒都會讓你付出沉重的代價。

在這種情況下，最快的回退是恢復上一次備份。雖然有些托管服務提供商為您執(zhí)行自動備份，但幾乎沒有一家以理想的頻率（每天或最多每周）執(zhí)行。所以，你要自己安排頻繁的備份。

下一步，使用防病毒工具，定期進行惡意軟件掃描，跟蹤并刪除可能被黑客利用的病毒和過時的軟件或擴展。使用漏洞掃描工具進行漏洞測試，以揭示web應用的弱點。

新的漏洞不斷出現(xiàn)，上個月安全的東西今天可能不安全。注意提前安排備份、掃描和測試。

要學習的技能和技術

網(wǎng)絡安全是一條有回報的職業(yè)道路，每年平均工資60萬元左右。

但是，即使你不想在網(wǎng)絡安全領域開始職業(yè)生涯，了解成為一名精明的程序員所需的技能和技術也是一個好主意。

雖然精通網(wǎng)絡安全不一定要有編程知識，但你對編程語言的了解肯定會給你一個先機。讓我們來看看專家們對你需要知道什么來保護你自己有什么看法。

你不需要成為專家，但能夠閱讀和理解一門語言是（網(wǎng)絡安全）一項很好的技能。只有對系統(tǒng)的脆弱性有了堅定的理解，才能預測和防止網(wǎng)絡攻擊。

具體的技術技能因專業(yè)領域而異，但從廣義上講，建議程序員具備以下網(wǎng)絡安全技能：

• 安全和網(wǎng)絡基礎

• 記錄和監(jiān)控程序

• 網(wǎng)絡防御策略

• 密碼學和訪問管理實踐

• Web應用程序安全技術

不管你在做什么，你的重點應該是了解系統(tǒng)幕后發(fā)生了什么，什么數(shù)據(jù)對系統(tǒng)的運行很重要，系統(tǒng)所有者的目標，以及黑客可能試圖利用的弱點。

例如，如果您正在查看工資單系統(tǒng)，請先問以下問題：

• 員工如何獲得報酬？

• 他們的數(shù)據(jù)存放在哪里？

• 這個系統(tǒng)怎么會出故障？

在技術方面，最好了解網(wǎng)絡體系結構、管理和操作系統(tǒng)（如各種Linux發(fā)行版或Windows）、網(wǎng)絡和虛擬化軟件的管理。了解并喜歡防火墻和網(wǎng)絡負載均衡器。

除此之外，軟技能——清晰表達復雜概念的能力、出色的表達和傾聽能力、團隊合作等，當然是成功的先決條件。

例如，您可能需要向毫無戒心的員工介紹社會工程的概念，或者向可能沒有技術背景的C-suite高管傳達復雜的主題或策略。

網(wǎng)絡安全認證對于顯示網(wǎng)絡安全專業(yè)人員的知識水平至關重要。然而，他們不應該是唯一的參考，認證應該與堅實的行業(yè)經(jīng)驗相結合，以獲得所需的適當水平的技能。

確保數(shù)據(jù)安全

現(xiàn)在你知道了網(wǎng)絡安全的基本原理什么，為什么，如何以及技能，技術和證書，你需要作為一個新的程序員想要學習更多關于這個令人興奮的領域。所以，黑客可能會說是時候破解了！