每 10 个 IP 地址，就有一个受过网络攻击，网上冲浪这么危险了么？

昨天（11月20日），网信办发布了 《网络安全威胁信息发布管理办法(征求意见稿)》。

为规范发布网络安全威胁信息的行为，有效应对网络安全威胁和风险，保障网络运行安全，国家互联网信息办公室会同公安部等有关部门向社会公开征求意见。

数据统计显示，2019 年上半年，我国境内受计算机恶意程序攻击的 IP 地址约 3,762 万个，约占我国活跃 IP 地址总数的 12.4%。 也就是说每 10 个 IP 地址，就会有一个受到过网络恶意程序的攻击。

今天之前，你可能觉得网络攻击离你很远；看完这篇文章，你就知道网信办推出的这个管理办法，真的已经刻不容缓了...

---

啥是网络安全？

安全有一个通用的基本含义： 客观上不存在威胁，主观上不存在恐惧。

所以行业内对网络安全有一个定义：

一个网络系统不受任何威胁与侵害，能正常地实现资源共享功能。 要使网络能正常地实现资源共享功能，首先要保证网络的硬件、软件能正常运行，然后要保证数据信息交换的安全。

网络安全还有一个描述的更详尽的含义，是指网络空间 意识形态安全、数据安全、技术安全、应用安全、资本安全、渠道安全 的总称。

一言以蔽之，对个人而言，就是保证自己的信息权益不受到侵犯；对国家而言，就是依法掌握制网权。

名词解析：制网权

制网权，指对互联网的控制权，包括网络的使用权、以及控制网络舆论导向等方面。制网权已经成为在制海权、制空权之后，政府和国家争夺的又一控制权。

---

网络安全的现状？

互联网的本质是连接， 以「人」为中心，通过互联网建立并丰富人与人、人与服务、人与商品、人与信息的连接。

正因如此，互联网的发展催生了很多新产品、新行业、新的生活方式，不 断 的改变着我们的生活。

但与此同时，网络攻击窃密、技术漏洞隐患等问题引发的网络安全威胁也日益凸显， 目前网络安全威胁的趋势和难题主要表现在以下几个方面：

1. 传统网络安全威胁迅速向各新兴领域蔓延，让网络安全问题变得更加复杂；

2. 网络数据资源的海量增长，用户信息的隐私安全难以保障；

3. 传统安全保护手段，难以应对新兴安全威胁和新的保护需求；

4. 安全管理和规范遇到新的挑战，管理模式和对应的法律法规需要调整完善。

2013 年的「棱镜门事件」被称为是互联网信息安全的里程碑， 激起了全球社会震惊与极大关注。

在 CNCERT （国家互联网应急中心） 最新发布的《2019 年上半年我国互联网网络安全态势》中的数据显示，2019 年上半年新增捕获计算机恶意程序样本数量约 3,200 万个，计算机恶意程序传播次数日均达约 998 万次。

按照受恶意程序攻击的 IP 统计， 我国境内受计算机恶意程序攻击的 IP 地址约 3,762 万个，约占我国活跃 IP 地址总数的 12.4%。

这还只是个人层面，企业和国家层面收到的网络攻击一点儿都不比个人少，并且后果更为 严重 ：

- 2019 年 1 月，澳大利亚维多利亚州政府 3 万名雇员个人信息遭窃，包含工作电邮、职称以及工作电话号码。

- 2 月初，举办的澳大利亚议会遭受网络攻击，黑客使用暴力攻击获得议员的个人数据，总共窃取包括姓名、电子邮件、出生日期的数千条记录。据研究人员表示，该黑客组织的真正目的是从事「战略信息收集」；

- 还是 2 月份，包含 以色列总理办公室在内的多家政府网站受到攻击，致使全面瘫痪，其中至少有两部分内容提及绝密机制或系统；

- 3 月，Facebook 被曝泄露 6 亿用户密码； 之后在 9 月，Facebook又被曝泄露 4.19 亿条记录，包含用户唯一的 Facebook ID 和电话号码；

就连美国总统大选，都逃不开网络安全的威胁。

10 月 4 日微软公司声称：伊朗黑客已经瞄准了 2020 年的总统大选，有消息人士透露，本次的黑客攻击主要针对于特朗普选举团队。

同时，FBI 也称俄罗斯黑客可能会在 2020 年的大选中再次对佛罗里达州出黑手，可能会改变最终的计票结果，从而引发其他问题。

对于这个声明，普京在一次大会中也当众告诉美国记者，戏称这次的大选，“我们肯定会干涉的。”

之前，一群白帽在美国华盛顿分享了他们在 Def Con 上对美国 2020 年大选将使用的投票机进行测试的细节。

做测试的白帽子表示，在一些情况下黑客可以远程渗透到这些机器， 使用 许多 漏洞 来控 制投 票机。

其实从 2010 年开始，有很多非国家组织也开始通过网络攻击，来威胁和挑战国家安全，比如匿名者（Anonymous）、ISIS 等。

可见，针对政府部门设施、行业领域设施及社会民用生活的大量网络攻击行为，已呈现出肆无忌惮、泛滥成灾的特点，克服网络安全威胁，已成为各国政府的重要任务和国家战略。

去年四月份的全国网络安全和信息化工作会上，也明确提出了 “没有网络安全就没有国家安全，就没有经济社会稳定运行。 ”

---

个人网络安全的一些常识

国家层面的网络安全非常复杂，我们下次单独来讲，今天先来和大家分享一下 关于我们个人的一些网络安全常识 。

网络上的各种报道给我们了一种错觉，让我们觉得泄露我们个人信息的大多是我们注册的各种网站和 App，但其实，泄露我们信息最多的是银行、快递这种传统渠道，不仅信息更加准确有效，获取成本也相对更低。

还有一种看似非常 low，但非常实用的黑客技术，叫做「社会工程学」。该类技术包括但不限于：策反和利诱目标公司员工、伪装目标身份的客户，甚至翻垃圾桶、偷拆目标人员快递、伪装外卖小哥送餐这些骚操作...

名词解析： 社会工程学

在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。历史上，社会工程学是隶属于社会学，不过其影响他人心理的效果随着互联网的发展引起了计算机安全专家的注意。

越高端的黑客攻击，社会工程学的作用就越大，很多时候甚至是决定性的。

总之，防不胜防。

网上有很多教我们如何防止信息泄露的，基础的我们就不再赘述，但其中有一项可以和大家单独说一下，就是 密码越长越安全 。

我们都知道有一些密码是单向的，加密之后拿到密文理论上无法还原。但是这难不倒黑客，既然不能逆向，不如索性把所有的字符串都加密一遍存起来，拿到密文直接去里面找就好。

由于字符串总数随着字符串长度呈指数型增长，黑客们的文件一般无法存储特别长的密码，所以密码越长越安全是有道理的。

---

从事网络安全相关的工作，有前途么？

Long Long Ago，黑客是合法并且非常 Geek 的存在，在 2011 年之前，我国甚至还有专门写黑客技术的杂志，比如 《黑客防线》《非安全·黑客手册》《黑客X档案》，他们帮助了一代网络安全爱好者的成长。

当时的这些杂志甚至有专门的栏目内容教大家如何盗 QQ 号，做钓鱼软件和刷钻。但更有趣的一点是，据说这些杂志并不是因为政策问题被停刊停印，而是因为纸质刊物和报社因为互联网的冲击，才办不下去的...

但近些年因为政策和网络环境的变化，很多叱咤风云的黑客纷纷洗白，比如前一阵微博热搜中的 sunwear（日娃），通过技术手段帮助一位脑瘫患者破解了一款专用的打字输入法，获得了各界人士的 respect。

但大家不知道的是，日娃曾经有过 「国内第一黑客」 的称号，现在已经被阿里巴巴「招安」。

随着互联网公司越来越重视网络安全以及法律监管趋严，促使越来越多黑客转型白帽，有记者曾采访过知名黑客「深灰色」，他坦言： “现在「黑客」一词属于贬义，算是骂人的话，大家更喜欢白帽、网络安全工程师等称呼，为所欲为的时代一去不复返了。 ”

很多大牛的加入也让安全行业多了一份神秘的色彩，增加了网络从业者对这个行业的关注。

近一两年都在宣传安全人才缺口数额巨大，从业人员供不应求。首先不说他们提供的数据是否准确，但缺口大是真的，可预见的几年内，找相关的工作应该不成多大问题。

只不过这个行业在我国还处于鱼龙混杂的阶段。就目前来看，我国网络安全发展落后于国外，我国的安全行业现在基本是： 上层人才极度匮乏 （几乎都是黑转白） ，下层人才极度饱和。 一线互联网公司的安全岗位就业竞争比较大，二线公司很缺人。

据说现在市场上没有二三十万元的年薪基本招不到有点儿经验的安全专家，高手的话年入百万元也是可能的 —— 2019 年 2 月 9 日，入职了阿里巴巴的 sunwear 在微博发了一个招聘信息，大致意思也是说安全渗透做得好，年入百万问题不大。

不过很多想从事安全相关工作的人，对这个职业存在误解。

很多人对安全感兴趣，是因为觉得研究漏洞和攻击手法很酷，很有成就感。但是怎么把这些攻击能力转化到安全建设中关注的人就比较少了，这也是这个行业目前普遍存在的问题。

说到底，安全行业从业者应该把精力回归到安全的本质上，