最近朋友圈一直在讨论一件大事。6月10日,第十??三届全国人民代表大会常务委员会第二十九次会议将于2021年9月1日起施行。数据安全法是基石法,非常重要。关注互联网行业,尤其??是安全行业的同学,一定看过这部重要法律的规定和背景解读。这些解读很专业,但过于专业容易导致另一个困境:搞技术的不熟悉法律,搞法律的不熟悉技术。而更多从事管理等行业的同学认为,数字安全是技术圈的,甚至有点少,是安全圈的内行,与自己无关。今天我想从另一个方面分享我对数据安全的理解。01我身边的黑客和安全我自己是搞数据安全的。当然,对于数据安全,业界并没有一个准确的定义。可能同一个工作的人可以说“我是搞数据安全的”或者“我不是搞数据安全的”。这就是为什么数据安全法非常重要,因为它是第一部针对数据安全的专门立法。业界对数据安全的功能和内容还处于反复探索的阶段。立法已经出台,影响很大。具有前瞻性和指导意义。不过,我的工作既需要数据,也需要安全,把“数据安全”放在一起说应该不会有太大的错误。安防行业总给人一种神秘、疏离的感觉。大家应该都听说过,但是很多人都说不清这个行业是做什么的。娱乐的东西。这是一种误解。近年来,安防行业不断推广。主要目的是告诉大家,安全并不遥远,就在身边。数据安全也是如此。数据安全这个词我们并不陌生,但在过去,这个词往往挂在另一个词的下面,这个词叫做“网络安全”,进而导致数据安全受到威胁,就是这样一个逻辑关系。这种理解是否正确?这要从一个传奇人物开始:黑客。黑客并不遥远,他们也在身边。黑客也是一个大家耳熟能详但不太了解的词。曾经有一部很火的电影,叫做《黑客帝国》,里面的黑客个个披着斗篷,戴着墨镜,我感觉更像刺客。然而,人们每天与黑客群体接触的机会并不多。再加上各种文学作品的夸张,很容易给黑客贴上各种奇怪的标签。说到黑客,大多数人的印象是身份神秘,技术高超,独居,喜欢呆在小房间里,除了吃饭睡觉,每天都对着电脑。刻板印象还是很多的。例如,黑客破解一个目标时,字符必须像雨点一样从屏幕上掉到底部,手指必须按在键盘上。无论是打指令还是打电竞,这些纯艺术的想象就不一一列举了。当然,这些印象不能说全错,但也不能说全对。为什么?因为虽然黑客是一个小团体,但他们仍然是一个团体。有各种背景和个性的人。哔哩哔哩,喜欢玩Switch的,喜欢逛街的,喜欢喝奶茶的,都有。黑客也是人,同样热爱生活,很多爱好和大家一样。接下来,我想讲一些关于黑客的故事。安全不仅仅是关于黑客,但也许如果你了解黑客,你就会更好地理解安全。要了解黑客,我觉得首先不要把黑客想象成生活在月球上的怪人。黑客和我们熟悉的每一个人都一样。没有常人无法理解的独特逻辑来支撑黑客的精神世界。02黑客与网络安全现在说到黑客,我们喜欢用一个更大的术语,网络安全。网络安全现已发展成为一个庞大的产业。工业化意味着有很多农民工。称其为“白帽黑客”倒是不错。就算是996,也是一份普通而严肃的工作,和大家只有分工的不一样。很多高校都瞄准了这个工作机会,专门开设网络安全相关专业,系统地向网络安全行业输送人才。在工业化的背景下,不仅黑客不那么神秘了,就连如何成为一名黑客也变得不那么神秘了。培养人才,首先要有教材。很多网络安全的教科书开篇就说,在互联网时代刚刚兴起的时候,安全问题一直存在。持续改进是唯一的关注方式。教材的开头一定要强调这门课的重要性。应该没有书会说这门课程内容很多,但是外面关注它的人却不多。影响其他同学睡觉。但是,公司、企业真的有自己的天然属性,是不是以后要意识到的?我的观点是,安全是一门技术,也是一门生意。网络安全固然很重要,但书中所列关于安全的事后诸葛亮可能是深思熟虑的结果。现在网络安全或者说更大的安全行业已经细分了很多工种,包括渗透,漏洞挖掘,还有web类和二进制类的漏洞挖掘,还是大方向。但在早期,大约20年前,互联网刚刚兴起,大家对黑客的认识还比较单纯。他们觉得自己是技术高手,想成为黑客。可惜,刚才我帮它修复了两个漏洞。但是如何成为一名黑客呢?很简单,黑客有两个速成法宝:弱口令和木马。记得时不时会有新闻报道,大概是说某个地方诞生了一个电脑天才少年。他不是在上中学,就是刚中学毕业。网站。那时候的媒体似乎认为,要想黑进一个网站,就必须掌握先进的技术。当然,这种认识也不能说是完全错误的,只是当时人们的网络安全防范意识薄弱。很多人把网络安全理解为加了防火墙,但是再强大的防火墙也抵挡不住弱口令。什么是弱密码?注册一个账号,需要填写两个东西,一个用户名和一个密码。无论是你还是黑客,如果你想登录你的账户,你必须知道这两项的内容。对于很多人来说,用户名想起来容易,而密码却很难想。密码通常至少是一串6位数字。在日常生活中,能达到如此长度且保持不变的数字并不多见。想一个6位数的数字很容易,但三五天后你可能很难记住当时的想法。那我们该怎么办呢?偷懒的方法就是选择一些好记的有规律的数字串作为密码,比如123456,比如六个1,比如生日,欧美特别喜欢用passwd,就是英文“密码”(password)的简写。虽然说人有奇思妙想,但是大家还是想到一起设置密码。你知道黑客也知道这是一个弱密码。你的弱密码被别人猜到,别人就可以像你一样登录你的账户为所欲为。你认为这是黑客吗?当然重要。但是你说这东西需要很高的技术含量?不同的人有不同的看法。一些黑客担心弱密码的猜测门槛还是太高,于是好心将大家常用的弱密码收集起来保存为TXT文件,并命名为“弱密码字典”。也美其名曰“弱口令字典扫描”,外行直呼内行。不过,话虽如此,弱密码虽然看似没什么技术含量,但其实并没有什么作用。那时候你以admin为用户名,123456为密码,在网上随便转一转就可以登录到很多网站的管理员账号。在这里,您是一名合格的黑客。说完弱口令,再来说说木马。木马听起来很有技术含量,其实见仁见智。先说木马吧。木马的英文名称是Trojan。早些年大家应该经常在杀毒记录中看到这个东西。木马的直译应该是“特洛伊”。它是一个地名,它涉及希腊神话中的一个故事。这里长话短说,总之就是雅典和特洛伊这两个希腊城邦大打出手。进攻方雅典十年不能战进入特洛伊城后,他想了个办法,造了一匹大木马,把士兵藏在木马里,假装撤退。木马们看得脑筋抽搐,拖着木马进城。好家伙,我自己把敌人请进来了。用我们的话来说,这叫引狼入室。不用说,抵抗了十年的特洛伊,当晚就GG了。这就是著名的特洛伊战役,这匹特洛伊木马也被称为特洛伊木马。说完木马,我们再来说说黑客的木马。功能大同小异,都属于引狼入室的范畴。很多网络安全教科书都讲木马,好像是黑客的专用工具。不是,从技术角度来说,木马是一种远程控制软件,是网管必备的工具。不要一听名字就觉得它很厉害。再说一个大家比较熟悉的场景。一天晚上,你老家的父母打电话给你,说家里的电脑出问题了,问你怎么办。问题很简单,一听就能想到解决办法,难的是不知道怎么跟父母解释操作方法。怎么做?QQ有个功能叫远程协助。爸爸妈妈们请点击它,您就可以像操作自己的电脑一样远程操作家里的电脑了。QQ远程协助是一款远程控制软件。特洛伊木马也是一回事。制作木马有一些技术门槛,但使用木马的门槛要低得多。以前有一个木马,叫“灰鸽子”,功能很强大,但是非常好用。比如远程控制和QQ的远程协助不是很像,但是一模一样。但是,黑客的木马和普通的遥控器总是有区别的,主要有两点。一是避杀,就是不要被软杀所杀。那时,有一种世界著名的杀毒软件,叫做卡巴斯基。其成名的原因之一是,每当卡巴斯基检测到恶意软件时,它都会播放一种通知声音,就像在莫斯科中央屠宰场宰杀的猪一样。狠角色。没有黑客希望这里的木马一安装,对面的卡巴斯基就发出猪叫声,所以要避免被杀。当时的反杀手段主要有加壳和反弹端口两种,听起来都很复杂,但实际操作起来非常简单,鼠标点几下就可以了。如果第一点听起来有点技术性,那么第二点更重要但技术性较低,即要求受害者点击特洛伊木马。所谓木马,其实就是一个电脑程序,必须在机器上点击运行才会有效果。你永远不能告诉受害者,你好,我是黑客,我想在你的机器上安装木马,请点击。那么该怎么办?我们得想办法让受害人看到木马的时候像木马一样思考。比如你把文件名改成“X教室的监控录像”,现在可能很多人都想点,更何况当时。03从网络安全到数据安全当然,黑客的本事远不止这些。鄙视链大家都听说过,黑客圈也有鄙视链。前面介绍过弱口令和木马,是不是很简单?简单,不简单。使用的简单往往意味着开发的不简单。这有点像我们的智能手机,操作早就傻了,但这背后是无数设计师和工程师投入大量时间和精力不断改进和优化。黑客界也深知这个道理。有人认为这些只知道使用工具的黑客玷污了这个象征高超技术的名词,于是想到了另一个词作为区别,叫做“脚本小子”。在黑客圈子里,处于蔑视链条底部的是脚本小子。不过,我认为这种鄙视链是有失偏颇的,如果在安防行业产业化的今天重新审视它,我们会发现更多不一样的东西。黑客曾经是技术的代名词,但技术永远不是黑客的终点。先不说太抽象的东西,先从身边的故事说起。说起脚本小子,脚本小子也有自己说不出的痛,别人也很难理解,很无聊。近两年有两款火爆的游戏,一款叫《塞尔达传说》,一款叫《动物森友会》。不幸的是,我从来没有玩过它们。不过,听说这两款游戏很受欢迎。很多本来不玩游戏的朋友,都是因为被朋友圈刷屏才买来玩的。起初我觉得这很有趣,但渐渐地我遇到了同样的问题:无聊。清完主线,建岛,一开始的目标达成之后,似乎接下来就没有什么可做的了,也找不到新的乐趣,但是感觉很痛苦。游戏本身我就不多说了,没有Switch我也没有发言权,但是对于脚本小子的“痛苦无聊”我可以多说几句。前面说过黑客有两个快速上手的法宝,弱口令和木马。你接下来要做什么?没事做。现在经常听到有人抱怨保安行业的风气大不如从前了。过去,每个人都喜欢分享。当他们发现了什么时,他们想用扩音器让全世界知道。现在变成了氪金游戏,大家的技术都被隐藏起来了。塞进去,发现漏洞就得想一想,哪个src给的bonus多。我觉得这种说法和以前的教科书一样,过去的企业都是顺其自然,忽视了时代的发展变化。网络安全之所以能够成为一个产业,是因为现在网络的价值在增加。说通俗一点,网络变现的渠道很多。与现在相比,过去的互联网只是一座空荡荡的大房子。门虽然开着,但破门而入后发现里面并没有什么可偷的,只好在墙上留下了“到此一游”。在别人知道你来过之前四个字。这就是脚本小子的痛苦。无论你是使用弱密码还是木马,登录网站后台,或者控制某台电脑,你能做什么?要么挂个黑页,告诉网管你的网站被黑了,要么告诉别人你的网站被黑了,要么在电脑桌面留下一个TXT,告诉主人这里有人访问过。后来有一种说法,这个阶段的黑客叫“炫技”。说白了就是无事可做,得找点东西提升存在感。下一步是什么?要么继续日复一日地用同样的方法“炫技”,陷入越玩越无聊的困境,要么爬上科技树,尝试发现新的东西。黑客技术也在螺旋上升,不断发展,但真正将黑客的作用带入一个新阶段的是互联网的发展。互联网资产是有价值的。无论是上面提到的网络安全,还是后面要讲的数据安全,安全不仅仅是一种技术,更是一种业务。如果是做生意,就要计算投入产出比。前面我们介绍过,早期的网络普遍缺乏安全意识,账号密码简单到弱智,但背后的原因是什么?是成本。这里的成本不仅仅是金钱。就拿密码来说吧,为什么我们都喜欢简单的密码呢?因为内存成本低。当前的密码往往是8位、10位和12位,再加上大小写字母和特殊字符。每个网站最好有不同的密码。安全系数提高了,但是内存开销也增加了。我经历过几次。由于忘记密码,帐户被锁定。安防是需要在成本上投入的,没有人会在房子空着的时候有安装5A防盗门的动力。而在大家开始安装防盗门的时候,肯定有一些东西是需要保护的,而这种东西的价值远高于安装防盗门的成本。这个原理很简单,但背后的思想却不简单。如今,许多安全策略不再认为必须对其进行全面防护。相反,它们应该按照资产价值分区进行管理,将必要但不重要的资产放在某些安全级别相对较低的区域。从而平衡安全与效率的矛盾。一开始,互联网就像现在的加密货币一样,是一个小众的极客玩具,新潮有趣但毫无用处。随着互联网时代的到来,网络资产的价值上升到一个更高的层次,黑客或网络安全也进入了一个新的阶段。这个阶段的标志,我认为是出现了两种专门的木马,QQ木马和网游木马。QQ木马和网络游戏木马的技术含量低于遥控木马,但比后者出现的时间晚一些。QQ木马顾名思义就是用来盗取Q号的木马,而网游木马就是用来盗取网络游戏账号的木马。根据网络游戏的不同,开发了特殊或通用的木马,如专门盗取传奇账号的传奇木马。从技术角度看,QQ木马、网游木马的“玩法”远不及灰鸽子等远程控制木马。一般配置界面只有一项。填写用于接收号码的电子邮件地址。盗取帐??号和密码后,相关信息会发送到邮箱。不过QQ和网游账号是可以卖钱的。“黑客”一下子从单纯的“炫耀”变成了可以变现的渠道,群体的数量也扩大了。大家开始意识到缺乏网络安全实际上会造成资产损失,对安全的需求也随之增加。与黑客相反,安全人员的数量也增加了。安防行业开始从个人英雄主义向产业化转向的趋势。这就是黑客的故事。关于黑客还有许多其他有趣的事情,但都与本文的主题没有太大关系。如果你有兴趣,找其他机会和你聊天。我想分享一个观点。“黑客”听起来像是“技术”一词。确实有一种技术叫黑客技术,但是我觉得要真正了解黑客和黑客技术的发展,可能还得跳出技术的束缚。以更广阔的视野去学习。数据安全也是如此。04技术之外的数据安全话题如今,数据时代已经到来。大家谈论得越来越多的一个话题叫做“数据资产”。现在很多企业都在讨论数字化转型,说要建数据中心。事实上,业界对数据的研究一直在进行,也衍生出了很多概念,比如数据金块、大数据等等。但这一次不同。数据资产是一个很大的概念。以前我们讨论数据的时候,其实讨论的是如何利用数据做好某项业务,优化某项产品,重点是后者。现在不同了。当我们讨论数据时,我们是在谈论数据本身。数据就是业务,数据就是产品,可以直接变现。数据资产概念的引入,意味着数据从其他业务的附属品变成了独立的企业资源。有机会再写一篇再说吧。数据资产的独立性也意味着,数据安全不再只是附属于网络安全的一个子概念,而成为需要自主研究和管理的对象。这个话题很大,我们不妨从黑客术语上讲一下。有一个黑客术语叫“拖库”,也有人称之为“脱库”或“脱裤”。反正黑客不需要期末考试,也没有标准答案。简而言之,它们的意思都是一样的。拖拽数据库本来是DBA的一个词。数据库管理有时需要导出数据,例如数据备份或数据迁移。黑客们盯上了这一点,并试图将数据库“备份”到自己手中。这是在拖数据库。数据库存储了很多内容。以论坛为例,数据库至少包括用户列表、文章列表、关注列表、评论列表等。黑客的存储空间也是有限的。就算他想办法拖图书馆,他也只会挑有价值的。一开始,他只是拖着用户列表。有什么作用?破解账户对应的密码,然后“撞毁数据库”。简单的说,就是知道A网站用户的用户名和密码后,尝试去B网站登录,算是高端的“弱密码”,这也是为什么现在提倡一个密码不要到处使用,特别是重要的在线应用程序,例如网上银行,必须使用不同的密码,否则真的会损坏所有。不过,拖库的内容也在发生变化。一些黑客开始对密码以外的基本信息感兴趣,例如联系电话、家庭住址等。账号密码的重要性比较容易理解,但是对于电话号码、住址等基本信息,很多人一开始并不了解其重要性。记得之前有朋友反驳过我,说黑客窃取电话和地址问题不大。黑客会提供凌晨叫醒服务吗?还是按照地址寄刀片?现在大家应该比较明白了。有一次接到一个电信诈骗电话,对方提供了我极其详细准确的个人信息。如果不是我入行久了的安全本能,对方犯了一个明显的错误,我就叫一个南方闽南口音扮北方人的帮凶,我可能要做一些对不起安全从业者品牌的事情。现在大家对“拖库”的态度越来越严重,尤其是大型网站和知名企业,一旦被“拖库”,我们就会用一个更严重的词来形容,那就是“数据泄露””。“漏”是一个很沉重的词。我们过去常说“核泄漏”和“漏油”。一次泄密就是一场危机,相关人员、企业乃至国家都可能遭受严重损失,甚至被灭亡。不过,这句话说的恰到好处,移动支付被称为新四大发明,我们不妨想象一下,一旦某个移动支付提供商出现数据泄露,哪怕只是一小部分的清白,震撼和信任危机会给各方带来一定不亚于传统的泄密。更可怕的是,数据泄露远比传统泄露更难发现,等到被发现时,可能已经造成了可怕的后果。但我们是否可以一刀切地切断数据的使用?做不到,做不到,就算一心一意宅在家里,只要点了外卖,手机号和家庭住址也得给别人。对于企业来说尤其如此。既然是数据时代,即使有办法把数据牢牢握在手里,也无法体现数据的价值。怎么做?对于刚刚颁布的《数字安全法》,网上出现了很多专业解读,也有很多建议。比如,完成了重要环节,提高了监管水平。看问题的高度和深度。过去,很多人认为数据的问题是技术的问题。因为黑客,数据会变得不安全,会发生数据泄露。对策是向技术部门想办法。我不是技术部门。数据安全与我无关。我认为这种观点是错误的。怎么了?未能正确理解“数据资产”的概念,与数据时代格格不入。我们说安全是一门技术也是一门生意,因为数据资产的价值越来越高,黑客窃取数据资产造成的损失会越来越高,数据安全也会越来越重要。而且,数据安全远不止是简单的黑客攻防问题。新的《数据安全法》不仅是一部法律,而且提供了一个新的视角,告诉我们要重视数据安全,不仅仅是要防止数据泄露造成的损失,还要看能产生什么样的数据资产。的价值。在数据时代,如何最大限度地发挥数据资产的价值,同时最大限度地减少损失,是数据安全的重中之重。这个问题显然远不止是技术问题。我看到一些解读认为《数据安全法》强调数据存储安全,这也是以往一些惯性认识造成的局限。我从《数据安全法》中读到的是另一种信息:数据安全不再只是如何处理数据的问题,而是如何管理数据的问题。完善的管理框架还必须明确数据使用各方的权利和义务,协调、共同参与数据安全管理。我认为随着数据时代的到来,数据资产变得越来越重要,我们对数据安全的认识和讨论也应该提升到一个更高的层次,成为整个企业、整个社会、乃至整个社会共同关注的话题。甚至整个国家都参与进来。作者简介:莫凡,网络昵称沐阳。娱乐机器学习评论员,公众号作者,前沿技术发展观察者,擅长高冷技术“白菜化”评论,微信公众号“睡前机器学习”,个人知乎账号“木羊”.
