信息安全，别为了芝麻丢了西瓜。

我之前写微博的时候，经常就有读者反馈说，你怎么用360浏览器啊，你不知道360流氓么。

当然，我并不是要给360做广告，但我应该用什么呢？360只是一种选择而已，未必是最好的，确是成本最低的。很多人说，甚至一些程序员说，高手都不用安全软件的，我不知道这是怎样的高手？

到今天，还有人坚持认为，只要不乱点链接，不打开奇怪的附件，不上奇怪的网站，电脑就不会中招，这是怎样的无知，从2001年起主动感染性的电脑病毒就已经肆虐互联网了，都16年了，居然还有人认为只要自己不操作，就不会出事。无知如此，还振振有词，遇到这种，我也是无语了。

我以前说过这么一段话，很多人，每天各种自拍发朋友圈发Qzone发微博，我今天去哪里了，昨天去哪里了，明天要去哪里；我都见了谁还要去见谁，家住哪里，孩子在哪读书，全都写出来，甚至见过有人把信用卡拍照发陌生人的大群里完全不打码；然而突然有一天，看了一下网络新闻，恍然大悟的说，我靠，原来百度/360/腾讯 偷了我的cookie。

我知道很多人会说，自己暴露是一回事，别人窃取是另一回事；但我要说的是，很多人对自己的隐私安全意识极为淡薄，却被某些舆论诱导的神经兮兮，该做的防护不做，犯不着操心的事情却操心的不亦乐乎，自以为很懂，但事实上却根本分不清利害。

最近互联网勒索事件很热，暴露几个问题，我也想跟读者分享一下我的观点。

1、流行的蠕虫都具有主动攻击性，防护软件必不可少。

所以很多银行，电信，车站的服务机构电脑，只提供最基本的特定服务，从来没有人用来上网的那种，也都纷纷中招。

安全工具和防护软件必须安装，裸奔是非常愚蠢的行为。

选择安全软件最好选择流行的，主流的，并不是说技术好坏，样本库全，出问题升级的速度最快，只要你不是第一波中招的，你有很大的机会躲过去。

我会要求我的员工务必安装主流的安全工具，当然，你用腾讯的也行，用360的也行，自己花钱买趋势的也行，这个我不会过度要求，反正，裸奔绝对不行，小众的也不行。

2、操作系统能用最新版本升最新版本，不能用最新版本打最新补丁。

99%以上的安全问题都是因为升级不及时造成的。

当然，我们知道有0day攻击，有升级到顶也难逃一劫的时候，不过请你放心，除非你是国防科学领域的顶尖专家，或者是掌握数千亿资产管理的金融大鳄，否则，你要明白，0day是一次性消耗品，很贵的，通常不会用在你身上。

日常的版本检查和升级不能偷懒，怎么强调都不过份。

3、不要求全责备，要抓大放小

啥叫大，啥叫小。

你电脑中毒，中木马，中蠕虫，被黑客窃取账号叫大；你cookie被人偷窥叫小。

我在中国最好的安全公司工作过两年，实话说，我水平不咋地，也不敢说自己有多懂安全，但我明白了一个事情，在互联网上，别以为别人不知道你是谁，别以为自己能掩盖的多好，所以我秉承一个原则，不去瞎操心那些不用我操心的事情，做好最基本的防范就可以了。

比如说，不要把不雅或者不适宜公开的内容放在网上，任何所谓加密空间，所谓私人空间都不可信。

比如说，个人行程和隐私，尽量不要过度公开，这个风险在哪里呢？诈骗者会利用相关信息诈骗你的亲人和朋友，这样的案例我也碰到过。比如你在飞机上电话已经关机，骗子诈称是你同事，跟你一起去哪里，说你在机场突然晕倒，送医院急救，你说你亲人如何核实？