每 10 个 IP 地址，就有一个受过网络攻击，网上冲浪这么危险了么？

11 月 20 日，网信办发布了《网络安全威胁信息发布管理办法(征求意见稿)》。

为规范发布网络安全威胁信息的行为，有效应对网络安全威胁和风险，保障网络运行安全，国家互联网信息办公室会同公安部等有关部门向社会公开征求意见。

数据统计显示，2019 年上半年，我国境内受计算机恶意程序攻击的 IP 地址约 3,762 万个，约占我国活跃 IP 地址总数的 12.4%。也就是说每 10 个 IP 地址，就会有一个受到过网络恶意程序的攻击。

今天以前，你可能以为网络攻击离你很远；看完这篇文章，你就知道网信办推出的这个管理办法，真的已经刻不容缓了...

啥是网络安全？

安全有一个通用的基本含义：客观上不存在威胁，主观上不存在恐惧。

因此行业内对网络安全有一个定义：

一个网络系统不受任何威胁与侵害，能正常地实现资源共享功能。要使网络能正常地实现资源共享功能，首先要保证网络的硬件、软件能正常运行，而后要保证数据信息交换的安全。

网络安全还有一个描述的更详尽的含义，是指网络空间意识形态安全、数据安全、技术安全、应用安全、资本安全、渠道安全的总称。

一言以蔽之，对我的而言，就是保证本身的信息权益不受到侵犯；对国家而言，就是依法掌握制网权。

名词解析：制网权

制网权，指对互联网的控制权，包括网络的使用权、以及控制网络舆论导向等方面。制网权已经成为在制海权、制空权以后，政府和国家争夺的又一控制权。

网络安全的现状？

互联网的本质是链接，以「人」为中心，经过互联网创建并丰富人与人、人与服务、人与商品、人与信息的链接。

正因如此，互联网的发展催生了不少新产品、新行业、新的生活方式，不断的改变着咱们的生活。

但与此同时，网络攻击窃密、技术漏洞隐患等问题引起的网络安全威胁也日益凸显，目前网络安全威胁的趋势和难题主要表如今如下几个方面：

1.传统网络安全威胁迅速向各新兴领域蔓延，让网络安全问题变得更加复杂；
2.网络数据资源的海量增加，用户信息的隐私安全难以保障；
3.传统安全保护手段，难以应对新兴安全威胁和新的保护需求；
4.安全管理和规范遇到新的挑战，管理模式和对应的法律法规须要调整完善。

2013 年的「棱镜门事件」被称为是互联网信息安全的里程碑，激起了全球社会震惊与极大关注。

在 CNCERT（国家互联网应急中心）最新发布的《2019 年上半年我国互联网网络安全态势》中的数据显示，2019 年上半年新增捕获计算机恶意程序样本数量约 3,200 万个，计算机恶意程序传播次很多天均达约 998 万次。

按照受恶意程序攻击的 IP 统计，我国境内受计算机恶意程序攻击的 IP 地址约 3,762 万个，约占我国活跃 IP 地址总数的 12.4%。

这还只是我的层面，企业和国家层面收到的网络攻击一点儿都不比我的少，而且后果更为严重：

• 2019 年 1 月，澳大利亚维多利亚州政府 3 万名雇员我的信息遭窃，包含工做电邮、职称以及工做电话号码。
• 2 月初，举办的澳大利亚议会遭受网络攻击，黑客使用暴力攻击得到议员的我的数据，总共窃取包括姓名、电子邮件、出生日期的数千条记录。据研究人员表示，该黑客组织的真正目的是从事「战略信息收集」；
• 仍是 2 月份，包含以色列总理办公室在内的多家政府网站受到攻击，导致全面瘫痪，其中至少有两部份内容说起绝密机制或系统；
• 3 月，Facebook 被曝泄露 6 亿用户密码；以后在 9 月，Facebook又被曝泄露 4.19 亿条记录，包含用户惟一的 Facebook ID 和电话号码；

就连美国总统大选，都逃不开网络安全的威胁。

10 月 4 日微软公司声称：伊朗黑客已经瞄准了 2020 年的总统大选，有消息人士透露，本次的黑客攻击主要针对于特朗普选举团队。

同时，FBI 也称俄罗斯黑客可能会在 2020 年的大选中再次对佛罗里达州出黑手，可能会改变最终的计票结果，从而引起其余问题。

对于这个声明，普京在一次大会中也当众告诉美国记者，戏称此次的大选，“咱们确定会干涉的。”

以前，一群白帽在美国华盛顿分享了他们在 Def Con 上对美国 2020 年大选将使用的投票机进行测试的细节。

作测试的白帽子表示，在一些状况下黑客能够远程渗透到这些机器，使用许多漏洞来控制投票机。

其实从 2010 年开始，有不少非国家组织也开始经过网络攻击，来威胁和挑战国家安全，好比匿名者（Anonymous）、ISIS 等。

可见，针对政府部门设施、行业领域设施及社会民用生活的大量网络攻击行为，已呈现出肆无忌惮、泛滥成灾的特色，克服网络安全威胁，已成为各国政府的重要任务和国家战略。

去年四月份的全国网络安全和信息化工做会上，也明确提出了“没有网络安全就没有国家安全，就没有经济社会稳定运行。”

我的网络安全的一些常识

国家层面的网络安全很是复杂，咱们下次单独来说，今天先来和你们分享一下关于咱们我的的一些网络安全常识。

网络上的各类报道给咱们了一种错觉，让咱们以为泄露咱们我的信息的大可能是咱们注册的各类网站和 App，但其实，泄露咱们信息最多的是银行、快递这种传统渠道，不只信息更加准确有效，获取成本也相对更低。

还有一种看似很是 low，但很是实用的黑客技术，叫作「社会工程学」。该类技术包括但不限于：策反和利诱目标公司员工、假装目标身份的客户，甚至翻垃圾桶、偷拆目标人员快递、假装外卖小哥送餐这些骚操做...

名词解析：社会工程学

在计算机科学中，社会工程学指的是经过与他人的合法地交流，来使其心理受到影响，作出某些动做或者是透露一些机密信息的方式。这一般被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。历史上，社会工程学是隶属于社会学，不过其影响他人心理的效果随着互联网的发展引发了计算机安全专家的注意。

越高端的黑客攻击，社会工程学的做用就越大，不少时候甚至是决定性的。

总之，防不胜防。

网上有不少教咱们如何防止信息泄露的，基础的咱们就再也不赘述，但其中有一项能够和你们单独说一下，就是密码越长越安全。

咱们都知道有一些密码是单向的，加密以后拿到密文理论上没法还原。可是这难不倒黑客，既然不能逆向，不如索性把全部的字符串都加密一遍存起来，拿到密文直接去里面找就好。

因为字符串总数随着字符串长度呈指数型增加，黑客们的文件通常没法存储特别长的密码，因此密码越长越安全是有道理的。

从事网络安全相关的工做，有前途么？

Long Long Ago，黑客是合法而且很是 Geek 的存在，在 2011 年以前，我国甚至还有专门写黑客技术的杂志，好比《黑客防线》《非安全·黑客手册》《黑客X档案》，他们帮助了一代网络安全爱好者的成长。

当时的这些杂志甚至有专门的栏目内容教你们如何盗 QQ 号，作钓鱼软件和刷钻。但更有趣的一点是，听说这些杂志并非由于政策问题被停刊停印，而是由于纸质刊物和报社由于互联网的冲击，才办不下去的...

但近些年由于政策和网络环境的变化，不少叱咤风云的黑客纷纷洗白，好比前一阵微博热搜中的 sunwear（日娃），经过技术手段帮助一位脑瘫患者破解了一款专用的打字输入法，得到了各界人士的 respect。

但你们不知道的是，日娃曾经有过「国内第一黑客」的称号，如今已经被阿里巴巴「招安」。

随着互联网公司愈来愈重视网络安全以及法律监管趋严，促使愈来愈多黑客转型白帽，有记者曾采访过知名黑客「深灰色」，他坦言：“如今「黑客」一词属于贬义，算是骂人的话，你们更喜欢白帽、网络安全工程师等称呼，随心所欲的时代一去不复返了。”

不少大牛的加入也让安全行业多了一份神秘的色彩，增长了网络从业者对这个行业的关注。

近一两年都在宣传安全人才缺口数额巨大，从业人员供不该求。首先不说他们提供的数据是否准确，但缺口大是真的，可预见的几年内，找相关的工做应该不成多大问题。

只不过这个行业在我国还处于鱼龙混杂的阶段。就目前来看，我国网络安全发展落后于国外，我国的安全行业如今基本是：上层人才极度匮乏（几乎都是黑转白），下层人才极度饱和。一线互联网公司的安全岗位就业竞争比较大，二线公司很缺人。

听说如今市场上没有二三十万元的年薪基本招不到有点儿经验的安全专家，高手的话年入百万元也是可能的 —— 2019 年 2 月 9 日，入职了阿里巴巴的 sunwear 在微博发了一个招聘信息，大体意思也是说安全渗透作得好，年入百万问题不大。

不过不少想从事安全相关工做的人，对这个职业存在误解。

不少人对安全感兴趣，是由于以为研究漏洞和攻击手法很酷，颇有成就感。可是怎么把这些攻击能力转化到安全建设中关注的人就比较少了，这也是这个行业目前广泛存在的问题。

说到底，安全行业从业者应该把精力回归到安全的本质上，毕竟安全行业存在的意义在于让网络变得更安全。

固然，强调防护不是说攻防能力不重要，攻防能力也是衡量企业安全作得怎样的一个指标，最好的防守就是进攻，想要作好安全防范，不懂有哪些攻击方式最后也只会是亡羊补牢。

还有一个误解，就是搞技术的人气质都像黑客帝国里的基努·里维斯同样。

在去年的 PWN2OWN 上，一个中国的安全团队拿走了“世界破解大师”冠军奖杯，代号「mj0011」的黑客率领团队以总积分 63 分排名官方积分榜榜首，成功加冕「Master of Pwn」总冠军。

这个故事的主人公 MJ 是 360 的首席工程师，反木马专家，曾经发现微软视频开发包的漏洞并被微软官方公开致谢，在国内有「驱动神童」的称号，号称国内内核第一人。

猜猜哪一个是 MJ ？

公布答案：第一排穿黑色 T 恤、面带微笑、发量密集、和善可亲的胖子（手动狗头

图中还有一个 360 Vulcan 团队的核心成员，曾经和 360 Vulcan 一块儿在各类世界级大赛中攻破包含 IE、 Chrome、Windows 10 等多个目标，国内最高产的桌面软件漏洞研究者之一，2017年微软发布TOP100安全贡献榜，表彰为微软系统和软件安全作出杰出贡献的全球100名安全专家，这我的名列全球第三，是排名最高的华人。

此人就是 MJ 身后高举双拳的那位少年郎 —— 古河。

是否是和电影里的不太同样？但转念一想， 是否是平凡如你我，只要有一颗改变世界创造未知将来的心，也能成为一名出色的白帽黑客，或者网络安全工程师？

后话：网络安全产业“意难平”

安全产业其实有一个很悲哀的的地方，和咱们的天气预报同样，哪怕你报对了 365 天的天气，有一天预报的和实际天气不许，都会被你们诟病，地震局也是如此。

虽然天气和地震这些天然现象难以精准预测是科学界共识，但普通人无论这些，你地震局就是要准确预报地震，气象局就是要准确的告诉咱们明天下不下雨刮多大的风，不能实现就是大家能力的问题了。

仍是用 360 来举例。360 的安全业务成立以来，发现了多少漏洞、拦截率多少 APT，对大多数人来讲是无感的，你们想知道的是，当 WannaCry 、熊猫烧香这种上升到社会事件的安全问题发生以后，能不能立刻给出应对措施及时止损。

现实状况下，这基本是不可能的任务，不然 WannaCry 也不会收到那么多来全世界不少政府机构给的比特币了。

随着时代的发展，物联网、人工智能、工业互联网等这些价值巨大的目标愈来愈多地出现，一次成功的入侵就有可能产生连锁反应，形成很是大的社会影响，更别说国家层面面临的危机与风险。但若是没发生，咱们就不会提早考虑这件事，不会预料到给咱们带来的影响。

在唤醒安全意识方面，可能国家网信办此次发布的《网络安全威胁信息发布管理办法（征求意见稿）》的公开意见征求并无什么用，可能成天渲染网络战多么可怕也没有什么用，难不成真的要来一次损失巨大的网络战，才能让咱们意识到这当中的巨大风险？

有奖征集

对于此次国家互联网信息办公室关于《网络安全威胁信息发布管理办法（征求意见稿）》的公开意见征求，你有什么想反馈的么？

欢迎你们在下方留言区留言或者加我微信私信我，我会在截止日期前汇总一份建议经过电子邮件的形式发送给国家网信办网安协调局，建议入选了的朋友能够得到一份思否官方提供的礼物哦（ 🎁：技术图书、谷歌周边、GitHub 公仔、思否官方周边等等等等等等等）。

扫码加好友，聊聊那些不能说的网络安全秘密~