每 10 個 IP 地址，就有一個受過網絡攻擊，網上衝浪這麼危險了麼？

11 月 20 日，網信辦發佈了《網絡安全威脅信息發佈管理辦法(徵求意見稿)》。

爲規範發佈網絡安全威脅信息的行爲，有效應對網絡安全威脅和風險，保障網絡運行安全，國家互聯網信息辦公室會同公安部等有關部門向社會公開徵求意見。

數據統計顯示，2019 年上半年，我國境內受計算機惡意程序攻擊的 IP 地址約 3,762 萬個，約佔我國活躍 IP 地址總數的 12.4%。也就是說每 10 個 IP 地址，就會有一個受到過網絡惡意程序的攻擊。

今天以前，你可能以爲網絡攻擊離你很遠；看完這篇文章，你就知道網信辦推出的這個管理辦法，真的已經刻不容緩了...

啥是網絡安全？

安全有一個通用的基本含義：客觀上不存在威脅，主觀上不存在恐懼。

因此行業內對網絡安全有一個定義：

一個網絡系統不受任何威脅與侵害，能正常地實現資源共享功能。要使網絡能正常地實現資源共享功能，首先要保證網絡的硬件、軟件能正常運行，而後要保證數據信息交換的安全。

網絡安全還有一個描述的更詳盡的含義，是指網絡空間意識形態安全、數據安全、技術安全、應用安全、資本安全、渠道安全的總稱。

一言以蔽之，對我的而言，就是保證本身的信息權益不受到侵犯；對國家而言，就是依法掌握制網權。

名詞解析：制網權

制網權，指對互聯網的控制權，包括網絡的使用權、以及控制網絡輿論導向等方面。制網權已經成爲在制海權、制空權以後，政府和國家爭奪的又一控制權。

網絡安全的現狀？

互聯網的本質是鏈接，以「人」爲中心，經過互聯網創建並豐富人與人、人與服務、人與商品、人與信息的鏈接。

正因如此，互聯網的發展催生了不少新產品、新行業、新的生活方式，不斷的改變着咱們的生活。

但與此同時，網絡攻擊竊密、技術漏洞隱患等問題引起的網絡安全威脅也日益凸顯，目前網絡安全威脅的趨勢和難題主要表如今如下幾個方面：

1.傳統網絡安全威脅迅速向各新興領域蔓延，讓網絡安全問題變得更加複雜；
2.網絡數據資源的海量增加，用戶信息的隱私安全難以保障；
3.傳統安全保護手段，難以應對新興安全威脅和新的保護需求；
4.安全管理和規範遇到新的挑戰，管理模式和對應的法律法規須要調整完善。

2013 年的「棱鏡門事件」被稱爲是互聯網信息安全的里程碑，激起了全球社會震驚與極大關注。

在 CNCERT（國家互聯網應急中心）最新發布的《2019 年上半年我國互聯網網絡安全態勢》中的數據顯示，2019 年上半年新增捕獲計算機惡意程序樣本數量約 3,200 萬個，計算機惡意程序傳播次很多天均達約 998 萬次。

按照受惡意程序攻擊的 IP 統計，我國境內受計算機惡意程序攻擊的 IP 地址約 3,762 萬個，約佔我國活躍 IP 地址總數的 12.4%。

這還只是我的層面，企業和國家層面收到的網絡攻擊一點兒都不比我的少，而且後果更爲嚴重：

• 2019 年 1 月，澳大利亞維多利亞州政府 3 萬名僱員我的信息遭竊，包含工做電郵、職稱以及工做電話號碼。
• 2 月初，舉辦的澳大利亞議會遭受網絡攻擊，黑客使用暴力攻擊得到議員的我的數據，總共竊取包括姓名、電子郵件、出生日期的數千條記錄。據研究人員表示，該黑客組織的真正目的是從事「戰略信息收集」；
• 仍是 2 月份，包含以色列總理辦公室在內的多家政府網站受到攻擊，導致全面癱瘓，其中至少有兩部份內容說起絕密機制或系統；
• 3 月，Facebook 被曝泄露 6 億用戶密碼；以後在 9 月，Facebook又被曝泄露 4.19 億條記錄，包含用戶惟一的 Facebook ID 和電話號碼；

就連美國總統大選，都逃不開網絡安全的威脅。

10 月 4 日微軟公司聲稱：伊朗黑客已經瞄準了 2020 年的總統大選，有消息人士透露，本次的黑客攻擊主要針對於特朗普選舉團隊。

同時，FBI 也稱俄羅斯黑客可能會在 2020 年的大選中再次對佛羅里達州出黑手，可能會改變最終的計票結果，從而引起其餘問題。

對於這個聲明，普京在一次大會中也當衆告訴美國記者，戲稱此次的大選，「咱們確定會干涉的。」

以前，一羣白帽在美國華盛頓分享了他們在 Def Con 上對美國 2020 年大選將使用的投票機進行測試的細節。

作測試的白帽子表示，在一些狀況下黑客能夠遠程滲透到這些機器，使用許多漏洞來控制投票機。

其實從 2010 年開始，有不少非國家組織也開始經過網絡攻擊，來威脅和挑戰國家安全，好比匿名者（Anonymous）、ISIS 等。

可見，針對政府部門設施、行業領域設施及社會民用生活的大量網絡攻擊行爲，已呈現出肆無忌憚、氾濫成災的特色，克服網絡安全威脅，已成爲各國政府的重要任務和國家戰略。

去年四月份的全國網絡安全和信息化工做會上，也明確提出了「沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行。」

我的網絡安全的一些常識

國家層面的網絡安全很是複雜，咱們下次單獨來說，今天先來和你們分享一下關於咱們我的的一些網絡安全常識。

網絡上的各類報道給咱們了一種錯覺，讓咱們以爲泄露咱們我的信息的大可能是咱們註冊的各類網站和 App，但其實，泄露咱們信息最多的是銀行、快遞這種傳統渠道，不只信息更加準確有效，獲取成本也相對更低。

還有一種看似很是 low，但很是實用的黑客技術，叫作「社會工程學」。該類技術包括但不限於：策反和利誘目標公司員工、假裝目標身份的客戶，甚至翻垃圾桶、偷拆目標人員快遞、假裝外賣小哥送餐這些騷操做...

名詞解析：社會工程學

在計算機科學中，社會工程學指的是經過與他人的合法地交流，來使其心理受到影響，作出某些動做或者是透露一些機密信息的方式。這一般被認爲是一種欺詐他人以收集信息、行騙和入侵計算機系統的行爲。歷史上，社會工程學是隸屬於社會學，不過其影響他人心理的效果隨着互聯網的發展引發了計算機安全專家的注意。

越高端的黑客攻擊，社會工程學的做用就越大，不少時候甚至是決定性的。

總之，防不勝防。

網上有不少教咱們如何防止信息泄露的，基礎的咱們就再也不贅述，但其中有一項能夠和你們單獨說一下，就是密碼越長越安全。

咱們都知道有一些密碼是單向的，加密以後拿到密文理論上沒法還原。可是這難不倒黑客，既然不能逆向，不如索性把全部的字符串都加密一遍存起來，拿到密文直接去裏面找就好。

因爲字符串總數隨着字符串長度呈指數型增加，黑客們的文件通常沒法存儲特別長的密碼，因此密碼越長越安全是有道理的。

從事網絡安全相關的工做，有前途麼？

Long Long Ago，黑客是合法而且很是 Geek 的存在，在 2011 年以前，我國甚至還有專門寫黑客技術的雜誌，好比《黑客防線》《非安全·黑客手冊》《黑客X檔案》，他們幫助了一代網絡安全愛好者的成長。

當時的這些雜誌甚至有專門的欄目內容教你們如何盜 QQ 號，作釣魚軟件和刷鑽。但更有趣的一點是，聽說這些雜誌並非由於政策問題被停刊停印，而是由於紙質刊物和報社由於互聯網的衝擊，才辦不下去的...

但近些年由於政策和網絡環境的變化，不少叱吒風雲的黑客紛紛洗白，好比前一陣微博熱搜中的 sunwear（日娃），經過技術手段幫助一位腦癱患者破解了一款專用的打字輸入法，得到了各界人士的 respect。

但你們不知道的是，日娃曾經有過「國內第一黑客」的稱號，如今已經被阿里巴巴「招安」。

隨着互聯網公司愈來愈重視網絡安全以及法律監管趨嚴，促使愈來愈多黑客轉型白帽，有記者曾採訪過知名黑客「深灰色」，他坦言：「如今「黑客」一詞屬於貶義，算是罵人的話，你們更喜歡白帽、網絡安全工程師等稱呼，隨心所欲的時代一去不復返了。」

不少大牛的加入也讓安全行業多了一份神祕的色彩，增長了網絡從業者對這個行業的關注。

近一兩年都在宣傳安全人才缺口數額巨大，從業人員供不該求。首先不說他們提供的數據是否準確，但缺口大是真的，可預見的幾年內，找相關的工做應該不成多大問題。

只不過這個行業在我國還處於魚龍混雜的階段。就目前來看，我國網絡安全發展落後於國外，我國的安全行業如今基本是：上層人才極度匱乏（幾乎都是黑轉白），下層人才極度飽和。一線互聯網公司的安全崗位就業競爭比較大，二線公司很缺人。

聽說如今市場上沒有二三十萬元的年薪基本招不到有點兒經驗的安全專家，高手的話年入百萬元也是可能的 —— 2019 年 2 月 9 日，入職了阿里巴巴的 sunwear 在微博發了一個招聘信息，大體意思也是說安全滲透作得好，年入百萬問題不大。

不過不少想從事安全相關工做的人，對這個職業存在誤解。

不少人對安全感興趣，是由於以爲研究漏洞和攻擊手法很酷，頗有成就感。可是怎麼把這些攻擊能力轉化到安全建設中關注的人就比較少了，這也是這個行業目前廣泛存在的問題。

說到底，安全行業從業者應該把精力迴歸到安全的本質上，畢竟安全行業存在的意義在於讓網絡變得更安全。

固然，強調防護不是說攻防能力不重要，攻防能力也是衡量企業安全作得怎樣的一個指標，最好的防守就是進攻，想要作好安全防範，不懂有哪些攻擊方式最後也只會是亡羊補牢。

還有一個誤解，就是搞技術的人氣質都像黑客帝國裏的基努·裏維斯同樣。

在去年的 PWN2OWN 上，一箇中國的安全團隊拿走了「世界破解大師」冠軍獎盃，代號「mj0011」的黑客率領團隊以總積分 63 分排名官方積分榜榜首，成功加冕「Master of Pwn」總冠軍。

這個故事的主人公 MJ 是 360 的首席工程師，反木馬專家，曾經發現微軟視頻開發包的漏洞並被微軟官方公開致謝，在國內有「驅動神童」的稱號，號稱國內內核第一人。

猜猜哪一個是 MJ ？

公佈答案：第一排穿黑色 T 恤、面帶微笑、髮量密集、和善可親的胖子（手動狗頭

圖中還有一個 360 Vulcan 團隊的核心成員，曾經和 360 Vulcan 一塊兒在各類世界級大賽中攻破包含 IE、 Chrome、Windows 10 等多個目標，國內最高產的桌面軟件漏洞研究者之一，2017年微軟發佈TOP100安全貢獻榜，表彰爲微軟系統和軟件安全作出傑出貢獻的全球100名安全專家，這我的名列全球第三，是排名最高的華人。

此人就是 MJ 身後高舉雙拳的那位少年郎 —— 古河。

是否是和電影裏的不太同樣？但轉念一想， 是否是平凡如你我，只要有一顆改變世界創造未知將來的心，也能成爲一名出色的白帽黑客，或者網絡安全工程師？

後話：網絡安全產業「意難平」

安全產業其實有一個很悲哀的的地方，和咱們的天氣預報同樣，哪怕你報對了 365 天的天氣，有一天預報的和實際天氣不許，都會被你們詬病，地震局也是如此。

雖然天氣和地震這些天然現象難以精準預測是科學界共識，但普通人無論這些，你地震局就是要準確預報地震，氣象局就是要準確的告訴咱們明天下不下雨刮多大的風，不能實現就是大家能力的問題了。

仍是用 360 來舉例。360 的安全業務成立以來，發現了多少漏洞、攔截率多少 APT，對大多數人來講是無感的，你們想知道的是，當 WannaCry 、熊貓燒香這種上升到社會事件的安全問題發生以後，能不能立刻給出應對措施及時止損。

現實狀況下，這基本是不可能的任務，不然 WannaCry 也不會收到那麼多來全世界不少政府機構給的比特幣了。

隨着時代的發展，物聯網、人工智能、工業互聯網等這些價值巨大的目標愈來愈多地出現，一次成功的入侵就有可能產生連鎖反應，形成很是大的社會影響，更別說國家層面面臨的危機與風險。但若是沒發生，咱們就不會提早考慮這件事，不會預料到給咱們帶來的影響。

在喚醒安全意識方面，可能國家網信辦此次發佈的《網絡安全威脅信息發佈管理辦法（徵求意見稿）》的公開意見徵求並無什麼用，可能成天渲染網絡戰多麼可怕也沒有什麼用，難不成真的要來一次損失巨大的網絡戰，才能讓咱們意識到這當中的巨大風險？

有獎徵集

對於此次國家互聯網信息辦公室關於《網絡安全威脅信息發佈管理辦法（徵求意見稿）》的公開意見徵求，你有什麼想反饋的麼？

歡迎你們在下方留言區留言或者加我微信私信我，我會在截止日期前彙總一份建議經過電子郵件的形式發送給國家網信辦網安協調局，建議入選了的朋友能夠得到一份思否官方提供的禮物哦（ 🎁：技術圖書、谷歌周邊、GitHub 公仔、思否官方周邊等等等等等等等）。

掃碼加好友，聊聊那些不能說的網絡安全祕密~