企业网站安全知识科普

什么是网络钓鱼诈骗? 一般来说，网络钓鱼诈骗是一种网络攻击，是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、账号 ID 、ATM PIN码或信用卡详细信息)的一种攻击方式。 如何防止网络钓鱼诈骗? 首先，用户对邮箱中的链接和附件要谨慎对待，不要盲目打开或者点击。钓鱼邮件的诈骗方法不会仅拘泥于一种，除了会造成经济损失外，也可能造成严重政治危机。因此，我们要时刻保持对邮件的甄别，对被隔离或者警告的邮件谨慎操作。一旦发现有被攻击迹象，立即断开本机网络，第一时间修改个人账户信息，并请专业人员检查计算机系统。 当然，把网站升级成HTTPS加密也是一种避免钓鱼攻击很好的方式。目前，大部分正规大型网站为了得到更多用户的信任，保护用户隐私信息不被泄露，防止被钓鱼网站仿冒，防止流量被劫持和满足等保合规的标准，都已经部署了SSL证书，保护数据传输过程的网络安全。部署更高级别的SSL证书还会显示企业名称。 HTTPS 如何避免钓鱼攻击? HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。网站会向浏览器发送SSL证书，SSL证书和我们日常用的身份证类似，是一个支持HTTPS网站的身份证明，SSL证书里面包含了网站的域名、证书有效期、证书的颁发机构以及用于加密传输密码的公钥等信息。由于公钥加密的密码只能被在申请证书时生成的私钥解密，因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致，同时还要对证书的颁发机构进行验证，如果验证失败浏览器会给出证书错误的提示。 服务器部署了 SSL 证书后可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息从用户电脑到服务器之间的传输链路上是高强度加密传输的，是不可能被非法篡改和窃取的。同时向网站访问者证明了服务器的真实身份，此真实身份是通过第三方权威机构验证的。