11 月 20 日,网信办发布了《网络安全威胁信息发布管理办法(征求意见稿)》。
为规范发布网络安全威胁信息的行为,有效应对网络安全威胁和风险,保障网络运行安全,国家互联网信息办公室会同公安部等有关部门向社会公开征求意见。
数据统计显示,2019 年上半年,我国境内受计算机恶意程序攻击的 IP 地址约 3,762 万个,约占我国活跃 IP 地址总数的 12.4%。也就是说每 10 个 IP 地址,就会有一个受到过网络恶意程序的攻击。
今天之前,你可能觉得网络攻击离你很远;看完这篇文章,你就知道网信办推出的这个管理办法,真的已经刻不容缓了 …
啥是网络安全?
安全有一个通用的基本含义:客观上不存在威胁,主观上不存在恐惧。
所以行业内对网络安全有一个定义:
一个网络系统不受任何威胁与侵害,能正常地实现资源共享功能。要使网络能正常地实现资源共享功能,首先要保证网络的硬件、软件能正常运行,然后要保证数据信息交换的安全。
网络安全还有一个描述的更详尽的含义,是指网络空间 意识形态安全、数据安全、技术安全、应用安全、资本安全、渠道安全 的总称。
一言以蔽之,对个人而言,就是保证自己的信息权益不受到侵犯;对国家而言,就是依法掌握制网权。
名词解析:制网权
制网权,指对互联网的控制权,包括网络的使用权、以及控制网络舆论导向等方面。制网权已经成为在制海权、制空权之后,政府和国家争夺的又一控制权。
网络安全的现状?
互联网的本质是连接,以「人」为中心,通过互联网建立并丰富人与人、人与服务、人与商品、人与信息的连接。
正因如此,互联网的发展催生了很多新产品、新行业、新的生活方式,不断的改变着我们的生活。
但与此同时,网络攻击窃密、技术漏洞隐患等问题引发的网络安全威胁也日益凸显,目前网络安全威胁的趋势和难题主要表现在以下几个方面:
1. 传统网络安全威胁迅速向各新兴领域蔓延,让网络安全问题变得更加复杂;
2. 网络数据资源的海量增长,用户信息的隐私安全难以保障;
3. 传统安全保护手段,难以应对新兴安全威胁和新的保护需求;
4. 安全管理和规范遇到新的挑战,管理模式和对应的法律法规需要调整完善。
2013 年的「棱镜门事件」被称为是互联网信息安全的里程碑,激起了全球社会震惊与极大关注。
在 CNCERT(国家互联网应急中心)最新发布的《2019 年上半年我国互联网网络安全态势》中的数据显示,2019 年上半年新增捕获计算机恶意程序样本数量约 3,200 万个,计算机恶意程序传播次数日均达约 998 万次。
按照受恶意程序攻击的 IP 统计,我国境内受计算机恶意程序攻击的 IP 地址约 3,762 万个,约占我国活跃 IP 地址总数的 12.4%。
这还只是个人层面,企业和国家层面收到的网络攻击一点儿都不比个人少,并且后果更为严重:
- 2019 年 1 月,澳大利亚维多利亚州政府 3 万名雇员个人信息遭窃,包含工作电邮、职称以及工作电话号码。
- 2 月初,举办的澳大利亚议会遭受网络攻击,黑客使用暴力攻击获得议员的个人数据,总共窃取包括姓名、电子邮件、出生日期的数千条记录。据研究人员表示,该黑客组织的真正目的是从事「战略信息收集」;
- 还是 2 月份,包含以色列总理办公室在内的多家政府网站受到攻击,致使全面瘫痪,其中至少有两部分内容提及绝密机制或系统;
- 3 月,Facebook 被曝泄露 6 亿用户密码;之后在 9 月,Facebook 又被曝泄露 4.19 亿条记录,包含用户唯一的 Facebook ID 和电话号码;
就连美国总统大选,都逃不开网络安全的威胁。
10 月 4 日微软公司声称:伊朗黑客已经瞄准了 2020 年的总统大选,有消息人士透露,本次的黑客攻击主要针对于特朗普选举团队。
同时,FBI 也称俄罗斯黑客可能会在 2020 年的大选中再次对佛罗里达州出黑手,可能会改变最终的计票结果,从而引发其他问题。
对于这个声明,普京在一次大会中也当众告诉美国记者,戏称这次的大选,“我们肯定会干涉的。”
之前,一群白帽在美国华盛顿分享了他们在 Def Con 上对美国 2020 年大选将使用的投票机进行测试的细节。
做测试的白帽子表示,在一些情况下黑客可以远程渗透到这些机器,使用许多漏洞来控制投票机。
其实从 2010 年开始,有很多非国家组织也开始通过网络攻击,来威胁和挑战国家安全,比如匿名者(Anonymous)、ISIS 等。
可见,针对政府部门设施、行业领域设施及社会民用生活的大量网络攻击行为,已呈现出肆无忌惮、泛滥成灾的特点,克服网络安全威胁,已成为各国政府的重要任务和国家战略。
去年四月份的全国网络安全和信息化工作会上,也明确提出了“没有网络安全就没有国家安全,就没有经济社会稳定运行。”
个人网络安全的一些常识
国家层面的网络安全非常复杂,我们下次单独来讲,今天先来和大家分享一下关于我们个人的一些网络安全常识。
网络上的各种报道给我们了一种错觉,让我们觉得泄露我们个人信息的大多是我们注册的各种网站和 App,但其实,泄露我们信息最多的是银行、快递这种传统渠道,不仅信息更加准确有效,获取成本也相对更低。
还有一种看似非常 low,但非常实用的黑客技术,叫做「社会工程学」。该类技术包括但不限于:策反和利诱目标公司员工、伪装目标身份的客户,甚至翻垃圾桶、偷拆目标人员快递、伪装外卖小哥送餐这些骚操作 …
名词解析:社会工程学
在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。历史上,社会工程学是隶属于社会学,不过其影响他人心理的效果随着互联网的发展引起了计算机安全专家的注意。
越高端的黑客攻击,社会工程学的作用就越大,很多时候甚至是决定性的。
总之,防不胜防。
网上有很多教我们如何防止信息泄露的,基础的我们就不再赘述,但其中有一项可以和大家单独说一下,就是密码越长越安全。
我们都知道有一些密码是单向的,加密之后拿到密文理论上无法还原。但是这难不倒黑客,既然不能逆向,不如索性把所有的字符串都加密一遍存起来,拿到密文直接去里面找就好。
由于字符串总数随着字符串长度呈指数型增长,黑客们的文件一般无法存储特别长的密码,所以密码越长越安全是有道理的。
从事网络安全相关的工作,有前途么?
Long Long Ago,黑客是合法并且非常 Geek 的存在,在 2011 年之前,我国甚至还有专门写黑客技术的杂志,比如《黑客防线》《非安全·黑客手册》《黑客 X 档案》,他们帮助了一代网络安全爱好者的成长。
当时的这些杂志甚至有专门的栏目内容教大家如何盗 QQ 号,做钓鱼软件和刷钻。但更有趣的一点是,据说这些杂志并不是因为政策问题被停刊停印,而是因为纸质刊物和报社因为互联网的冲击,才办不下去的 …
但近些年因为政策和网络环境的变化,很多叱咤风云的黑客纷纷洗白,比如前一阵微博热搜中的 sunwear(日娃),通过技术手段帮助一位脑瘫患者破解了一款专用的打字输入法,获得了各界人士的 respect。
但大家不知道的是,日娃曾经有过「国内第一黑客」的称号,现在已经被阿里巴巴「招安」。
随着互联网公司越来越重视网络安全以及法律监管趋严,促使越来越多黑客转型白帽,有记者曾采访过知名黑客「深灰色」,他坦言:“现在「黑客」一词属于贬义,算是骂人的话,大家更喜欢白帽、网络安全工程师等称呼,为所欲为的时代一去不复返了。”
很多大牛的加入也让安全行业多了一份神秘的色彩,增加了网络从业者对这个行业的关注。
近一两年都在宣传安全人才缺口数额巨大,从业人员供不应求。首先不说他们提供的数据是否准确,但缺口大是真的,可预见的几年内,找相关的工作应该不成多大问题。
只不过这个行业在我国还处于鱼龙混杂的阶段。就目前来看,我国网络安全发展落后于国外,我国的安全行业现在基本是:上层人才极度匮乏(几乎都是黑转白),下层人才极度饱和。一线互联网公司的安全岗位就业竞争比较大,二线公司很缺人。
据说现在市场上没有二三十万元的年薪基本招不到有点儿经验的安全专家,高手的话年入百万元也是可能的 —— 2019 年 2 月 9 日,入职了阿里巴巴的 sunwear 在微博发了一个招聘信息,大致意思也是说安全渗透做得好,年入百万问题不大。
不过很多想从事安全相关工作的人,对这个职业存在误解。
很多人对安全感兴趣,是因为觉得研究漏洞和攻击手法很酷,很有成就感。但是怎么把这些攻击能力转化到安全建设中关注的人就比较少了,这也是这个行业目前普遍存在的问题。
说到底,安全行业从业者应该把精力回归到安全的本质上,毕竟安全行业存在的意义在于让网络变得更安全。
当然,强调防御不是说攻防能力不重要,攻防能力也是衡量企业安全做得怎样的一个指标,最好的防守就是进攻,想要做好安全防范,不懂有哪些攻击方式最后也只会是亡羊补牢。
还有一个误解,就是搞技术的人气质都像黑客帝国里的基努·里维斯一样。
在去年的 PWN2OWN 上,一个中国的安全团队拿走了“世界破解大师”冠军奖杯,代号「mj0011」的黑客率领团队以总积分 63 分排名官方积分榜榜首,成功加冕「Master of Pwn」总冠军。
这个故事的主人公 MJ 是 360 的首席工程师,反木马专家,曾经发现微软视频开发包的漏洞并被微软官方公开致谢,在国内有「驱动神童」的称号,号称国内内核第一人。
猜猜哪个是 MJ?
公布答案:第一排穿黑色 T 恤、面带微笑、发量密集、和蔼可亲的胖子(手动狗头
图中还有一个 360 Vulcan 团队的核心成员,曾经和 360 Vulcan 一起在各种世界级大赛中攻破包含 IE、Chrome、Windows 10 等多个目标,国内最高产的桌面软件漏洞研究者之一,2017 年微软发布 TOP100 安全贡献榜,表彰为微软系统和软件安全做出杰出贡献的全球 100 名安全专家,这个人名列全球第三,是排名最高的华人。
此人就是 MJ 身后高举双拳的那位少年郎 —— 古河。
是不是和电影里的不太一样?但转念一想,是不是平凡如你我,只要有一颗改变世界创造未知未来的心,也能成为一名出色的白帽黑客,或者网络安全工程师?
后话:网络安全产业“意难平”
安全产业其实有一个很悲哀的的地方,和我们的天气预报一样,哪怕你报对了 365 天的天气,有一天预报的和实际天气不准,都会被大家诟病,地震局也是如此。
虽然天气和地震这些自然现象难以精准预测是科学界共识,但普通人不管这些,你地震局就是要准确预报地震,气象局就是要准确的告诉我们明天下不下雨刮多大的风,不能实现就是你们能力的问题了。
还是用 360 来举例。360 的安全业务成立以来,发现了多少漏洞、拦截率多少 APT,对大多数人来说是无感的,大家想知道的是,当 WannaCry、熊猫烧香这种上升到社会事件的安全问题发生之后,能不能马上给出应对措施及时止损。
现实情况下,这基本是不可能的任务,否则 WannaCry 也不会收到那么多来全世界很多政府机构给的比特币了。
随着时代的发展,物联网、人工智能、工业互联网等这些价值巨大的目标越来越多地出现,一次成功的入侵就有可能产生连锁反应,造成非常大的社会影响,更别说国家层面面临的危机与风险。但如果没发生,我们就不会提前考虑这件事,不会预料到给我们带来的影响。
在唤醒安全意识方面,可能国家网信办这次发布的《网络安全威胁信息发布管理办法(征求意见稿)》的公开意见征求并没有什么用,可能整天渲染网络战多么可怕也没有什么用,难不成真的要来一次损失巨大的网络战,才能让我们意识到这当中的巨大风险?
有奖征集
对于这次国家互联网信息办公室关于《网络安全威胁信息发布管理办法(征求意见稿)》的公开意见征求,你有什么想反馈的么?
欢迎大家在下方留言区留言或者加我微信私信我,我会在截止日期前汇总一份建议通过电子邮件的形式发送给国家网信办网安协调局,建议入选了的朋友可以获得一份思否官方提供的礼物哦(????:技术图书、谷歌周边、GitHub 公仔、思否官方周边等等等等等等等)。
扫码加好友,聊聊那些不能说的网络安全秘密~