洋葱式防御 - 网络空间安全篇 (最新篇）

网络空间安全防御有如洋葱一样，层层包裹着核心的设施。外来的攻击或入侵者必须要过五关斩六将，工程非常之浩大，目的是要增加其入侵的成本。

(一) 流动装置篇

第一层

避免使用非自家架设的虚拟私人网络 (Virtual Private Network, VPN) 进行金融活动或豋入各类账号。

第二层

大多数的中国产的「安卓」(Android) 手机或平板都预装杀毒软件，当然都是只能够阻挡已知的病毒和恶意软件。

最好就是取消「谷歌」(Google) 的广告设定了，因为它实在非常烦忧和会因你个人的使用习惯而提供广告和资讯推送，故有追踪功能和令到使用者接收资讯单一化及不全面。

第三层

「安卓」(Android) 用户可以考虑安装「卡巴斯基」杀毒软件，实测防毒效果不错。当然又是只可以对付已知的威胁。

另一个要安装的是 Malwarebytes，它可以免费使用的恶意软件扫描器，但就需要人手每次进行扫描了。经常更新其资料库，并进行扫描整部手机或平板。但若果阁下的手机是华为品牌的话，暂时未有提供下载安装。

第四层

如果是使用「火狐」(Firefox) 或 Chrome 浏览器版本的话，可以安装以下组件 (Add-on)：uBlock Origin 和 Ghostery。这两个组件能够阻挡一些网页中的不受欢迎或恶意的脚本，例如 JavaScript 或广告。尽量避免使用浏览器。uBlock Origin 经过适当的配置后，是能够拦截一些钓鱼网址和恶意程序网址的。

如遇可疑连结或档案可以利用 VirusTotal 来扫描，连结扫描和档案扫描。

第五层

不连接公共无綫网络，不论是否需要密码与否，尤以无需密码的为更甚，利用 4G 或 5G 网络相对比较安全。

第六层

经常更新所有应用软件和系统软件，如果系统软件在半年至一年时间都不获更新，恳请阁下立即购买最新版本的手机。因为其所有漏洞 (Vulnerability) 都不会被修正，漏洞一旦被恶意黑客利用 (Exploit) 就会损失惨重。

第七层

不要点击来历不明的超连结 (Hyperlink)，更不要好奇地浏览一些可疑的网站，因为有可能在你点击后，对方已经传递了其恶意软件；色情网站、侵犯版权网站、声称能提供优惠或折扣的网站或网址可疑的网站等都不应该浏览。

尽可能减少使用浏览器，在搜寻器找到的资料要看清楚其网址超连结是否有可疑，因为网络上已经充斥着很多恶意网站了，这亦称为「搜索引擎优化中毒」 (Search Engine Optimization (SEO) Poisoning)，恶意网站会刻意伪冒阁下搜寻的内容及骗过搜寻器而令其恶意网站的排名在十名之内，一不留神就会中招！

不要安装不明功能和来历的应用软件，须知道「应用市场」(Google Play Store) 内的软件未必全部都是安全的，绝大部份都是其后开发者将其转为恶意的。

最后，不要随便相信任何来电者或发短讯、电邮者，应该必先核实才行动。尤以「保安码」(Security Code)、「认证码」(2FA, MFA)，一旦将有关「保安码」、「认证码」交与他人，阁下将会损失浩大。

(二) 桌面电脑篇

第一层

避免使用非自家架设的虚拟私人网络 (Virtual Private Network, VPN) 进行金融活动或豋入各类账号。

安装及使用「威龙」(Weilong) 防御入侵系统 (Intrusion Detection and Prevention System)。这个系统由我独力开发，是提供给每一个人使用。它安装后是基本上不需要再理会或维护的设备。它是「随插即用，并且可以忘记之」的高效产品。

它的特点是有效阻挡已知的恶意行为和有效阻挡已知的恶意软件，并且具有极低的延迟性能，可以播放 4K 多媒体和玩要求速度的网络游戏；它更会自动更新，并且兼容现有通用的所有作业系统 (Operating System)。

第二层

购买一台具有防御入侵系统和杀毒软件的「路由器」(Router)。经常更新其固件 (Firmware) 和杀毒资料库，并且确保其操作介面不会暴露于互联网 (Internet) 中，更加要更改预设的密码。如果是无綫路由器的话，一定要确保无綫密码要有足够的复杂和长度。

再者，任何网络装置，例如「网络储存装置」（Network Attached Storage, NAS）、摄影机等，如果要向互联网开放的话，应该通过自家的「私人虚拟网络」（Virtual Private Network, VPN）进行操作。

第三层

桌面电脑必须安装或启动防火墙和安装防毒软件。不要使用侵权的杀毒软件，这是会有一定的风险的。如果是微软视窗系统的话，可以使用其预载的杀毒软件。更加要经常更新杀毒资料库。

如果是 Ubuntu 系统，可以安装由我独力开发的「荔枝」(Lychee) ClamAV 开源杀毒软件，它能够实时侦测恶意软件。

第四层

如果是使用「火狐」(Firefox) 或 Chrome 浏览器的话，建议安装以下组件 (Add-on)：uBlock Origin、Ghostery、Malwarebytes Browser Guard、Avast Online Security & Privacy、MalwareAI Browser Security 和 VT4Browsers。这些组件都是能够减少浏览网页时的风险。

uBlock Origin 及 Ghostery 是可以阻挡已知有恶意的 JavaScript 程序和广告。uBlock Origin 经过适当的配置后，是能够拦截一些钓鱼网址和恶意程序网址的。Malwarebytes Browser Guard 经过适当的配置后，是可以阻挡已知有恶意的程序。Avast Online Security & Privacy 经过适当的配置后，是可以在使用搜索器 (Search Engine) 搜索时进行恶意程序扫描，有问题的连结会作出标识及提示。MalwareAI Browser Security 是可以扫描有恶意的 PDF 档案。VT4Browsers 经过适当的配置后，是可以在下载档案时上载该档案到 VirusTotal 扫描，当然在下载时会慢一点，但小心个人或敏感的文件被上传到 VirusTotal，亦可以扫描网址等功能；如果你有 VirusTotal API Key 的话，亦可以提示有关网站或网址是否已被入侵。

第五层

经常更新所有应用软件、硬体固件和作业系统，一旦漏洞被利用就后果不敢想像了。紧记请不要使用侵权软件。

第六层

不要点击来历不明的超连结 (Hyperlink)，更不要好奇地浏览一些可疑的网站，因为有可能在你点击后，对方已经传递了其恶意软件；色情网站、侵犯版权网站、声称能提供优惠或折扣的网站或网址可疑的网站等都应该不要浏览。

在搜寻器找到的资料要看清楚其网址超连结是否有可疑，因为网络上已经充斥着很多恶意网站了，这亦称为「搜索引擎优化中毒」 (Search Engine Optimization (SEO) Poisoning)，恶意网站会刻意伪冒阁下搜寻的内容及骗过搜寻器而令其恶意网站的排名在十名之内，一不留神就会中招！

第七层

最后，不要随便相信任何来电者或发短讯、电邮者，应该必先核实才行动。尤以「保安码」(Security Code)、「认证码」(2FA, MFA)，一旦将有关「保安码」、「认证码」交与他人，阁下将会损失浩大。基本上与使用流动装置的行为和习惯一样。

(三) 结论

最重要的和要紧记的是，以上的设定和策略未必可以或不能防御未知的恶意程序和软件或具有恶意程序的 U 盘。再者，以上的设施或设定是可以浏览西方「认为」不安全的，但绝对没有问题的网站，例如中国、俄罗斯、朝鲜等地区。

希望各位能够安心、安全和畅快地冲浪！

Samiux
OSCE OSCP OSWP
二零二一年六月廿六日，中国香港
更新二零二二年二月九日，中国香港
更新二零二二年三月十二日，中国香港
更新二零二二年十月十七日，中国香港
更新二零二二年十二月廿一日，中国香港
更新二零二三年一月六日，中国香港
更新二零二三年一月七日，中国香港
更新二零二三年四月十一日，中国香港
更新二零二三年五月四日，中国香港
更新二零二三年六月七日，中国香港
更新二零二三年九月七日，中国香港

参考连结：