終于有人把數(shù)據(jù)安全講明白了

導(dǎo)讀：為什么說(shuō)數(shù)據(jù)安全是一門生意？為什么說(shuō)《數(shù)據(jù)安全法》不僅僅是一部法律，也提供了一種全新的視角？本文從另一個(gè)方面分享對(duì)數(shù)據(jù)安全的理解。最近我的朋友圈都在討論一件大事，6月10日，十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議表決通過(guò)《中華人民共和國(guó)數(shù)據(jù)安全法》，該法將于2021年9月1日起施行。數(shù)安法是一部基石性質(zhì)的法律，很重要，關(guān)注互聯(lián)網(wǎng)行業(yè)，尤其是關(guān)注安全行業(yè)的同學(xué)，一定早已經(jīng)看過(guò)關(guān)于這部重要法律的條文和背景解讀。這些解讀都很專業(yè)，不過(guò)太專業(yè)也容易帶來(lái)另一個(gè)窘境：搞技術(shù)的不熟法律，搞法律的不熟技術(shù)，兩邊的解讀多少都有點(diǎn)讓對(duì)面看不懂的地方。而更多的做管理和其它行業(yè)的同學(xué)則認(rèn)為數(shù)安法那是技術(shù)圈、甚至更小一點(diǎn)是安全圈的圈內(nèi)事，和自己沒(méi)啥關(guān)系。今天我想從另一個(gè)方面分享對(duì)數(shù)據(jù)安全的理解。01就在身邊的黑客和安全我本身就是從事數(shù)據(jù)安全的。當(dāng)然，現(xiàn)在業(yè)內(nèi)對(duì)于數(shù)據(jù)安全還沒(méi)有一個(gè)很精確的定義，也許同一個(gè)人同一份工作，既可以說(shuō)“我在從事數(shù)據(jù)安全”，也可以說(shuō)“我沒(méi)從事數(shù)據(jù)安全”。這也是為什么說(shuō)數(shù)安法很重要，因?yàn)檫@是第一部對(duì)數(shù)據(jù)安全的專門立法，業(yè)界還處在對(duì)數(shù)據(jù)安全的職能和內(nèi)容進(jìn)行反復(fù)探索的階段，立法就已經(jīng)出來(lái)了，具有很強(qiáng)的前瞻性和指導(dǎo)意義。不過(guò)，我的工作既需要搞數(shù)據(jù)也需要搞安全，合在一起說(shuō)搞“數(shù)據(jù)安全”，應(yīng)該不算十分的錯(cuò)。安全行業(yè)總是給人一種神秘而疏遠(yuǎn)的感覺(jué)，大家應(yīng)該都聽(tīng)過(guò)，但很多人都說(shuō)不清這個(gè)行業(yè)究竟在干什么，更像是一群不食人間煙火的怪人圍成一圈搞的自?shī)首詷?lè)的什么玩意。這是誤解，這幾年安全行業(yè)也在不斷宣傳，主旨就是告訴大家安全并不遙遠(yuǎn)，安全就在身邊。數(shù)據(jù)安全也是這樣。數(shù)據(jù)安全這個(gè)詞我們并不陌生，不過(guò)在過(guò)去，這個(gè)詞往往是掛在另一個(gè)詞下面的，這個(gè)詞叫作“網(wǎng)絡(luò)安全”，在很多哪怕是行內(nèi)人士的理解當(dāng)中，是網(wǎng)絡(luò)安全遭到破壞，進(jìn)而導(dǎo)致數(shù)據(jù)安全遭到威脅，是這么一種邏輯關(guān)系。這個(gè)理解正不正確呢？這就要從一個(gè)具有傳奇色彩的角色說(shuō)起：黑客。黑客也不遙遠(yuǎn)，也在身邊。黑客也是一個(gè)大家都很熟，但又理解不多的一個(gè)詞。曾經(jīng)有一部很火的電影叫《黑客帝國(guó)》，里面的黑客個(gè)個(gè)穿披風(fēng)戴墨鏡，我感覺(jué)倒更像是刺客。不過(guò)，大家日常對(duì)黑客這個(gè)群體接觸機(jī)會(huì)確實(shí)不多，加上各種文藝作品的渲染，很容易給黑客打上各種奇怪的標(biāo)簽。說(shuō)起黑客，大家多半會(huì)產(chǎn)生這樣的印象：身份神秘、技術(shù)了得、離群寡居、喜歡呆在小屋子里、每天除了吃和睡就是對(duì)著計(jì)算機(jī)。還有很多刻板印象，譬如說(shuō)黑客在破解啥啥目標(biāo)時(shí)，屏幕一定是像下雨一樣從上往下掉字符，手指一定是摁在鍵盤上一頓操作猛如虎，讓大家分不清楚這究竟是在輸命令還是在玩電競(jìng)，這些純粹的藝術(shù)想象就不一一列舉了。這些印象當(dāng)然不能說(shuō)全錯(cuò)，但也不能說(shuō)都對(duì)，為什么呢？因?yàn)楹诳碗m然是個(gè)小眾群體，不過(guò)怎么說(shuō)也是個(gè)群體，什么背景什么性格的人都有，有正兒八經(jīng)985科班出身的、也有高中念不下去閉關(guān)成才的，愛(ài)好更是五花八門，喜歡刷B站、喜歡玩Switch、喜歡逛商場(chǎng)、喜歡喝奶茶的全都有，黑客也是人，也熱愛(ài)生活，很多興趣愛(ài)好還都和大家一個(gè)樣。下面我想講一些黑客的故事，安全并不只是黑客，但也許了解了黑客，會(huì)更了解安全。想了解黑客，我想首先是不要把黑客當(dāng)成是生活在月球上的怪人，黑客和我們身邊熟悉的每一個(gè)人都一樣，并沒(méi)有一套常人無(wú)法理解的獨(dú)特邏輯支持著黑客的精神世界。02黑客和網(wǎng)絡(luò)安全現(xiàn)在我們聊到黑客，喜歡套一個(gè)大一點(diǎn)的詞，叫網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全現(xiàn)正已經(jīng)發(fā)展成一個(gè)很大的產(chǎn)業(yè)，產(chǎn)業(yè)化就意味著有很多打工人，說(shuō)的好聽(tīng)一點(diǎn)叫“白帽黑客”，不過(guò)其實(shí)和其它工薪階層同樣，都需要面對(duì)早高峰、KPI甚至996，就是一份普通而正經(jīng)的職業(yè)，和大家只有分工的不同，很多院校就盯著這塊的就業(yè)機(jī)會(huì)，專門開(kāi)設(shè)有網(wǎng)絡(luò)安全的相關(guān)專業(yè)，體系化地給網(wǎng)絡(luò)安全產(chǎn)業(yè)輸送人才。在產(chǎn)業(yè)化的大背景下，不但黑客不怎么神秘，連怎么成為黑客也變得不怎么神秘了。要培養(yǎng)人才，首先得有教材。很多網(wǎng)絡(luò)安全的教材開(kāi)篇就說(shuō)，在網(wǎng)絡(luò)時(shí)代剛剛興起的時(shí)候，安全問(wèn)題就一直存著，但是當(dāng)時(shí)的公司企業(yè)只顧大興土木，沒(méi)怎么管這一塊，近幾年隨著網(wǎng)絡(luò)快速發(fā)展，管理制度也不斷完善，這才重視起來(lái)。教材的開(kāi)篇肯定都是要強(qiáng)調(diào)一下這門課程的重要性的，應(yīng)該沒(méi)哪本會(huì)說(shuō)這門課內(nèi)容不少，但外邊關(guān)注的人不多，大家沒(méi)興趣的打呼嚕聲盡量小點(diǎn)，別影響到其它同學(xué)睡覺(jué)。不過(guò)，公司和企業(yè)是不是真的自帶天然呆屬性，非得后知后覺(jué)呢？我的看法是，安全是一門技術(shù)，也是一門生意，網(wǎng)絡(luò)安全當(dāng)然很重要，但書本上所列舉的這些對(duì)安全的后知后覺(jué)，我想也許卻是精心計(jì)較后的結(jié)果?，F(xiàn)在網(wǎng)絡(luò)安全或者更大一點(diǎn)的安全行業(yè)，已經(jīng)細(xì)分出很多工種，有搞滲透的、有挖漏洞的，挖漏洞的還有分Web的和二進(jìn)制的，這還都是大的方向。但是在早期，大概是二十來(lái)年前，網(wǎng)絡(luò)剛剛興起，大家對(duì)于黑客的理解還比較純粹，覺(jué)得就是技術(shù)大牛，都想成為黑客，沒(méi)事就凡爾賽一下，吹牛說(shuō)美國(guó)國(guó)防部的安全防護(hù)做得太次了，剛才沒(méi)事我還幫它修了倆漏洞。但是，怎么才能成為黑客呢？非常簡(jiǎn)單，黑客有兩個(gè)速成的法寶：弱口令和木馬。我記得當(dāng)年不時(shí)就會(huì)出來(lái)一篇新聞報(bào)道，說(shuō)的大概都是某地出了天才電腦少年某某，不是正在上中學(xué)就是剛中學(xué)肄業(yè)，然后一門心思專研電腦技術(shù)，于某某時(shí)候攻破某著名網(wǎng)站。當(dāng)時(shí)的媒體好像都覺(jué)得能黑入網(wǎng)站都需要先掌握不得了的技術(shù)，這個(gè)理解當(dāng)然也不能說(shuō)全錯(cuò)，但是當(dāng)時(shí)人們的網(wǎng)絡(luò)安全防范意識(shí)缺失薄弱，很多人理解的網(wǎng)絡(luò)安全就是加防火墻，但是再?gòu)?qiáng)大的防火墻也架不住弱口令。什么是弱口令？注冊(cè)賬戶都需要填兩樣?xùn)|西，用戶名和密碼，不管是你還是黑客，要登錄你的賬戶，都得知道這兩項(xiàng)的內(nèi)容。對(duì)很多人來(lái)說(shuō)，用戶名好想，可是密碼不好想，密碼一般至少是一串6位的數(shù)字，日常生活中能達(dá)到這樣長(zhǎng)度而且還得一直不變的數(shù)字并不多見(jiàn)，要是隨便想個(gè)6位數(shù)字還挺容易，可是要你隔個(gè)三五天再想起來(lái)當(dāng)時(shí)想的是啥，恐怕就很難了。那怎么辦呢？偷懶的辦法就是挑一些好記又有規(guī)律的數(shù)字串作為密碼，譬如說(shuō)123456，譬如說(shuō)6個(gè)1，譬如說(shuō)生日，歐美那邊還特別喜歡用passwd，這是英文“密碼”（password）的簡(jiǎn)寫。雖然說(shuō)人的想法千奇百怪，但在設(shè)置密碼這方面大家都想到一起去了，你知道黑客也知道，這就是弱口令。你的弱口令讓別人猜到了，別人就能像你一樣登錄你的賬戶為所欲為。你說(shuō)這算不算黑客？這當(dāng)然得算。但是你說(shuō)這玩意需要很高技術(shù)含量？見(jiàn)仁見(jiàn)智吧。有些黑客擔(dān)心猜弱口令門檻還是太高，好心地把常用的弱口令都收集起來(lái)存成TXT文件，起個(gè)名字叫“弱口令字典”，以后大家哪怕啥也不懂也可以打開(kāi)文件挨個(gè)試，還美其名曰叫“弱口令字典掃描”，外行一聽(tīng)直呼內(nèi)行。不過(guò)，話說(shuō)回來(lái)，弱口令雖然看著沒(méi)啥技術(shù)含量，但架不住效果好，當(dāng)時(shí)你拿著admin作為用戶名和123456作為密碼，在網(wǎng)上轉(zhuǎn)一圈就能登上好多網(wǎng)站的管理員賬戶，在別人眼里你就是妥妥的大黑客了。說(shuō)完弱口令再說(shuō)木馬，木馬這玩意聽(tīng)著挺有技術(shù)含量，其實(shí)吧也是見(jiàn)仁見(jiàn)智。先說(shuō)什么是木馬，木馬英文叫Trojan，早幾年大家應(yīng)該經(jīng)常看到殺軟的查殺記錄里就有叫這玩意的。Trojan直譯應(yīng)該叫“特洛伊”，是一個(gè)地名，背后涉及到希臘神話的一個(gè)故事，這里就長(zhǎng)話短說(shuō)，總之就是希臘的兩個(gè)城邦雅典和特洛伊打起來(lái)了，進(jìn)攻方雅典怎打了十年也打不進(jìn)去特洛伊城，于是想了個(gè)辦法，造了個(gè)大木馬，把士兵藏在木馬里面然后假裝撤退。特洛伊人一看腦子犯抽，直接把木馬拖進(jìn)城里。好家伙，自己把敵人請(qǐng)進(jìn)門了，用我們的話叫引狼入室。結(jié)果不用說(shuō)，抵抗了十年的特洛伊當(dāng)天晚上就打出了GG，這就是有名的特洛伊之戰(zhàn)，這個(gè)木馬也被稱為特洛伊木馬。說(shuō)完了特洛伊木馬，說(shuō)說(shuō)黑客的木馬。功能差不多，都屬于引狼入室的這一類。很多網(wǎng)絡(luò)安全的教材說(shuō)到木馬，說(shuō)的好像這是一種黑客專用的工具。不對(duì)，從技術(shù)的角度來(lái)說(shuō)，木馬屬于遠(yuǎn)程控制軟件，是網(wǎng)管的必備工具。別聽(tīng)到名字覺(jué)得很厲害，我說(shuō)一個(gè)大家更熟悉場(chǎng)景，某天晚上老家的爸媽給你打電話，說(shuō)家里的電腦出了個(gè)啥啥啥問(wèn)題，問(wèn)你怎么辦。問(wèn)題很簡(jiǎn)單，你一聽(tīng)就想到了辦法，可是難就難在不知道怎么才能和爸媽講清楚操作方法。怎么辦呢？QQ有個(gè)功能叫遠(yuǎn)程協(xié)助，請(qǐng)爸媽點(diǎn)開(kāi)，你就可以像操作自己的電腦一樣遠(yuǎn)程操作家里的電腦，QQ遠(yuǎn)程協(xié)助就是一種遠(yuǎn)程控制軟件。木馬也是一回事。制作木馬是有一些技術(shù)門檻的，不過(guò)使用木馬門檻就是低得多。以前有一種叫“灰鴿子”的木馬，功能十分強(qiáng)大，但使用特別簡(jiǎn)單，譬如說(shuō)遠(yuǎn)程控制這塊，和QQ的遠(yuǎn)程協(xié)助不能說(shuō)十分相像，只能說(shuō)一模一樣。不過(guò)，黑客的木馬和普通的遠(yuǎn)程控制總還是有不同之處，主要是兩點(diǎn)。首先是免殺，就是不要被殺軟殺掉。當(dāng)年有一款聞名天下的殺軟叫卡巴斯基，聞名天下的原因之一是只要卡巴斯基檢測(cè)到了惡意軟件，就會(huì)播放一段莫斯科中央屠宰場(chǎng)的殺豬一般的提示音，一聽(tīng)就知道是個(gè)狠角色。沒(méi)哪位黑客希望這邊剛裝好木馬，那邊的卡巴斯基就發(fā)出豬叫聲，所以要做免殺。那時(shí)免殺主要是加殼和反彈端口兩種，都屬于聽(tīng)起來(lái)挺復(fù)雜，實(shí)際操作特別簡(jiǎn)單，就是點(diǎn)幾下鼠標(biāo)的事。如果第一點(diǎn)聽(tīng)著還有些技術(shù)含量的話，那第二點(diǎn)則是更重要但更沒(méi)技術(shù)含量，這就是請(qǐng)受害人點(diǎn)擊木馬。所謂木馬，其實(shí)也是一個(gè)計(jì)算機(jī)程序，必須得本機(jī)點(diǎn)擊運(yùn)行了才能有效果。你總不能和受害人說(shuō)，你好我是黑客，我要在你的機(jī)器上安裝木馬，請(qǐng)你點(diǎn)擊一下。那怎么辦？得想辦法，讓受害人就像特洛伊人一樣，見(jiàn)了木馬就想點(diǎn)。譬如說(shuō)改個(gè)文件名，叫“X大教室監(jiān)控錄像”，現(xiàn)在很多人沒(méi)準(zhǔn)見(jiàn)了都想點(diǎn)，更別說(shuō)當(dāng)時(shí)了。03從網(wǎng)絡(luò)安全到數(shù)據(jù)安全當(dāng)然，黑客的技術(shù)遠(yuǎn)不止這些。大家都聽(tīng)過(guò)鄙視鏈，黑客圈也有鄙視鏈。前面我介紹了弱口令和木馬，簡(jiǎn)單嗎？簡(jiǎn)單，也不簡(jiǎn)單。使用起來(lái)的簡(jiǎn)單，往往意味著研發(fā)的不簡(jiǎn)單。這有點(diǎn)像我們的智能手機(jī)，操作早都傻瓜化，但是這背后是無(wú)數(shù)的設(shè)計(jì)師、工程師投入大量的時(shí)間精力不斷地去完善優(yōu)化。黑客圈也深明這個(gè)道理，有些人認(rèn)為這些只知道用工具的黑客玷污了這個(gè)象征著技術(shù)高超的名詞，于是想了另一個(gè)詞作為區(qū)別，叫“腳本小子”。在黑客圈鄙視鏈的最底層，就是腳本小子。不過(guò)，我覺(jué)得這個(gè)鄙視鏈有失偏頗，而在安全行業(yè)產(chǎn)業(yè)化的今天再重新審視，會(huì)發(fā)現(xiàn)更多不同的東西。黑客曾經(jīng)是技術(shù)的代名詞，但技術(shù)永遠(yuǎn)不是黑客的盡頭。我們不說(shuō)太抽象的東西，還是從身邊的故事說(shuō)起。就說(shuō)腳本小子，腳本小子也有自己難以言表的痛苦，而且別人很難理解，這就是無(wú)聊。前兩年有兩款火出圈的游戲，一個(gè)叫塞爾達(dá)一個(gè)叫動(dòng)物之森，很不巧我都沒(méi)有玩過(guò)。不過(guò)我聽(tīng)說(shuō)，這兩款游戲非?；?，很多原本不玩游戲的朋友，也因?yàn)楸慌笥讶λ⑵炼ベI了來(lái)玩。剛開(kāi)始也覺(jué)得確實(shí)有趣，但慢慢的都遇到了同一個(gè)問(wèn)題：無(wú)聊。通了主線，建好了島，剛開(kāi)始的目標(biāo)都實(shí)現(xiàn)了，接下來(lái)好像沒(méi)事可干了，又找不到新的樂(lè)趣，反而覺(jué)得很痛苦。游戲本身不多說(shuō)，沒(méi)有Switch沒(méi)有發(fā)言權(quán)，但是腳本小子的“痛苦的無(wú)聊”是可以多說(shuō)兩句的。前面我說(shuō)黑客有兩大速成法寶，弱口令和木馬，技術(shù)門檻不高，但不妨想象一下，假設(shè)你真的使用弱口令登錄了某個(gè)網(wǎng)站的后臺(tái)，或者使用木馬控制了某臺(tái)電腦，接下來(lái)你該做什么呢？沒(méi)事可干?，F(xiàn)在我常聽(tīng)人抱怨，說(shuō)現(xiàn)在安全行業(yè)的氛圍遠(yuǎn)不如以前，以前大家特別熱愛(ài)分享，發(fā)現(xiàn)一點(diǎn)什么恨不得拿只大喇叭讓全世界知道，現(xiàn)在全都成了氪金游戲，大家的技術(shù)都藏著掖著，撿到個(gè)漏洞還得琢磨一番哪的SRC給得獎(jiǎng)金多。我覺(jué)得這個(gè)說(shuō)法和前面的課本認(rèn)為過(guò)去的企業(yè)全是天然呆一樣，忽略的時(shí)代的發(fā)展變化。網(wǎng)絡(luò)安全能成為產(chǎn)業(yè)，是因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)承載的價(jià)值提升了，說(shuō)得庸俗一點(diǎn)，網(wǎng)絡(luò)現(xiàn)在能變現(xiàn)的渠道多多了。以前的網(wǎng)絡(luò)相比現(xiàn)在，就是一只空蕩蕩的大房子，雖然門戶洞開(kāi)，但是闖進(jìn)去一看，發(fā)現(xiàn)里面家徒四壁，也沒(méi)啥可偷的，還要在墻上留下“到此一游”四個(gè)字別人才知道你來(lái)過(guò)。這就是腳本小子的痛苦。你用弱口令也好，用木馬也好，登錄了網(wǎng)站后臺(tái)，或者控制了某臺(tái)電腦，能干什么呢？要么是掛黑頁(yè)，告訴網(wǎng)管你的網(wǎng)站被黑了，或者告訴別人你黑了網(wǎng)站，要么在電腦桌面上留個(gè)TXT，告訴機(jī)主有人到此一游。后來(lái)有個(gè)說(shuō)法，把這個(gè)階段的黑客行為稱作“炫技”，說(shuō)白了就是沒(méi)事可干，只好沒(méi)事找事刷存在感。接下來(lái)干什么呢？要么是繼續(xù)日復(fù)一日地用同一種方法“炫技”，陷入越玩越無(wú)聊的窘境，要么就爬爬科技樹(shù)，爭(zhēng)取發(fā)現(xiàn)一點(diǎn)新東西。黑客技術(shù)也螺旋上升不斷發(fā)展，但是，真正使得黑客這個(gè)角色進(jìn)入新的階段的，還是因?yàn)榫W(wǎng)絡(luò)的發(fā)展。網(wǎng)絡(luò)資產(chǎn)值錢了。前面講的網(wǎng)絡(luò)安全也好，后面要講的數(shù)據(jù)安全也好，安全不單只是一門技術(shù)，也是一門生意，是生意，就要計(jì)算投入產(chǎn)出比。前面我們介紹，早期網(wǎng)絡(luò)普遍缺乏安全意識(shí)，賬戶密碼簡(jiǎn)單得弱智，但是背后的原因是什么呢？是成本。這里的成本，說(shuō)的不僅僅是錢。就拿密碼來(lái)說(shuō)，為什么我們都喜歡簡(jiǎn)單的密碼？因?yàn)橛洃洺杀镜汀，F(xiàn)在的密碼動(dòng)輒8位10位12位，還要大小寫字母加特殊字符，最好還每個(gè)網(wǎng)站密碼不一樣，安全系數(shù)是提升了，可是記憶成本同樣也提升了，我自己就經(jīng)歷過(guò)好幾次因?yàn)橥浢艽a而被鎖定賬號(hào)的事。安全是需要投入成本的，誰(shuí)也不會(huì)在家徒四壁的時(shí)候，有動(dòng)機(jī)去安裝一個(gè)5A級(jí)的防盜門。而當(dāng)大家開(kāi)始安裝防盜門的時(shí)候，一定是有了需要保護(hù)的東西，而這樣?xùn)|西的價(jià)值遠(yuǎn)高于安裝防盜門的成本。這個(gè)道理很簡(jiǎn)單，但背后的思想并不簡(jiǎn)單，現(xiàn)在很多安全策略不再認(rèn)為必須全盤死守，而應(yīng)該根據(jù)資產(chǎn)價(jià)值分區(qū)管理，在某些安全程度相比較低的區(qū)域放置必要但不重要的資產(chǎn)，從而平衡安全和效率二者之間的矛盾。在最開(kāi)始的時(shí)候，互聯(lián)網(wǎng)和現(xiàn)在的加密貨幣一樣，屬于小眾的極客玩具，新潮有趣但是家徒四壁，而隨著網(wǎng)絡(luò)時(shí)代的來(lái)臨，網(wǎng)絡(luò)資產(chǎn)的價(jià)值上升了一個(gè)臺(tái)階，黑客或者說(shuō)網(wǎng)絡(luò)安全也進(jìn)入了新階段。這個(gè)階段的標(biāo)志，我認(rèn)為是出現(xiàn)兩種專門化的木馬，QQ木馬和網(wǎng)游木馬。QQ木馬和網(wǎng)游木馬的技術(shù)含量比遠(yuǎn)控類木馬要低，但是出現(xiàn)的時(shí)間卻還后者還稍晚一點(diǎn)。顧名思義，QQ木馬就是用來(lái)盜Q號(hào)的木馬，而網(wǎng)游木馬則是盜取網(wǎng)游賬號(hào)的木馬，根據(jù)不同的網(wǎng)游發(fā)展出專門或者通用的木馬，譬如說(shuō)專門盜取傳奇賬號(hào)的傳奇木馬。如果單從技術(shù)的角度說(shuō)，QQ木馬和網(wǎng)游木馬的“玩法”要遠(yuǎn)比灰鴿子之類的遠(yuǎn)控木馬要少得多，配置界面一般就只有一項(xiàng)，填寫收號(hào)的郵箱地址，木馬在盜取了賬號(hào)和密碼之后，會(huì)把相關(guān)信息發(fā)到郵箱里。但是，QQ和網(wǎng)游賬號(hào)是能夠賣錢的，“黑客”一下子從純粹的“炫技”，變成了一種能夠變現(xiàn)的渠道，群體的數(shù)量一下也膨脹了。大家開(kāi)始意識(shí)到，原來(lái)網(wǎng)絡(luò)安全的缺失會(huì)實(shí)實(shí)在在地造成資產(chǎn)損失，對(duì)安全的需求增加了，而作為黑客的對(duì)立面，安全人員的數(shù)量也因此增加，安全行業(yè)開(kāi)始出現(xiàn)從個(gè)人英雄主義，向產(chǎn)業(yè)化轉(zhuǎn)向的趨勢(shì)。黑客的故事就講到這里，黑客有趣的事還有許多，不過(guò)都和本文的主題關(guān)系不大，大家感興趣再找其它機(jī)會(huì)和大家聊。我想分享一個(gè)觀點(diǎn)，“黑客”聽(tīng)起來(lái)是一個(gè)“技術(shù)”的詞，也確實(shí)有一種技術(shù)叫黑客技術(shù)，但我覺(jué)得，要真正理解黑客和黑客技術(shù)的發(fā)展，可能必須要跳出技術(shù)的桎梏，用更為廣闊的視野來(lái)研究。數(shù)據(jù)安全同樣是這樣。04技術(shù)以外的數(shù)據(jù)安全話題現(xiàn)在，數(shù)據(jù)時(shí)代來(lái)臨了。大家聊得越來(lái)越多的一個(gè)話題，叫“數(shù)據(jù)資產(chǎn)”?，F(xiàn)在很多企業(yè)都在討論數(shù)字化轉(zhuǎn)型，說(shuō)要建數(shù)據(jù)中臺(tái)。業(yè)界對(duì)于數(shù)據(jù)的研究其實(shí)一直在進(jìn)行，也搞出了很多概念，譬如說(shuō)數(shù)據(jù)掘金、大數(shù)據(jù)等等。但這一次不一樣。數(shù)據(jù)資產(chǎn)是個(gè)很大的概念。以前我們討論數(shù)據(jù)，實(shí)際討論的是如何利用數(shù)據(jù)做好某某業(yè)務(wù)，優(yōu)化某某產(chǎn)品，著重點(diǎn)放在后者?，F(xiàn)在不同了，我們討論數(shù)據(jù)，說(shuō)的就是數(shù)據(jù)本身，數(shù)據(jù)就是業(yè)務(wù)，數(shù)據(jù)就是產(chǎn)品，能夠直接變現(xiàn)。數(shù)據(jù)資產(chǎn)概念的提出，意味著數(shù)據(jù)已經(jīng)從其它業(yè)務(wù)的附屬品，變成了一種獨(dú)立的企業(yè)資源。有機(jī)會(huì)我們另寫文章再聊。數(shù)據(jù)資產(chǎn)的獨(dú)立，也意味著數(shù)據(jù)安全不再僅僅只是依附于網(wǎng)絡(luò)安全的一個(gè)子概念，而變成一種需要獨(dú)立加以研究和管理的對(duì)象。這個(gè)話題很大，我們不妨從一個(gè)黑客術(shù)語(yǔ)來(lái)具體聊聊。有一個(gè)黑客術(shù)語(yǔ)叫“拖庫(kù)”，有人也稱之為“脫庫(kù)”或者“脫褲”，反正黑客不用期末考，沒(méi)什么標(biāo)準(zhǔn)答案，總之意思都是同一個(gè)意思。拖庫(kù)最早是一個(gè)DBA的詞，數(shù)據(jù)庫(kù)管理有時(shí)候需要對(duì)數(shù)據(jù)進(jìn)行導(dǎo)出操作，譬如說(shuō)做數(shù)據(jù)備份或者數(shù)據(jù)遷移。黑客盯上了這一點(diǎn)，想辦法把數(shù)據(jù)庫(kù)“備份”到了自己手上，這就是拖庫(kù)。數(shù)據(jù)庫(kù)存儲(chǔ)的內(nèi)容很多，就拿論壇來(lái)說(shuō)，數(shù)據(jù)庫(kù)至少就包括用戶列表、文章列表、關(guān)注列表、評(píng)論列表等等等等。黑客的存儲(chǔ)空間也是有限的，就算找到辦法拖庫(kù)，只會(huì)挑有價(jià)值的拖，最開(kāi)始的時(shí)候，只拖用戶列表。有什么用呢？破解賬戶對(duì)應(yīng)的密碼，然后“撞庫(kù)”，簡(jiǎn)單來(lái)說(shuō)就是知道了用戶在A網(wǎng)站的用戶名密碼后，試試能不能在B網(wǎng)站登錄，算是高端一點(diǎn)的“弱口令”，這也是為什么現(xiàn)在提倡盡量不要一個(gè)密碼走天下，尤其是重要的網(wǎng)上應(yīng)用，譬如網(wǎng)銀，必須要用不同的密碼，不然真的是一損俱損了。不過(guò)，拖庫(kù)的內(nèi)容也在變化。一些黑客開(kāi)始對(duì)密碼之外的基本信息產(chǎn)生興趣，譬如說(shuō)聯(lián)系電話、家庭住址等等。賬戶密碼的重要性大家比較好理解，可是對(duì)于電話和住址這類基本信息，很多人一開(kāi)始并不理解有什么重要。我記得之前還有個(gè)朋友反駁我，說(shuō)讓黑客偷了電話和地址能有啥大問(wèn)題，黑客會(huì)挑凌晨提供叫醒服務(wù)？還是循著地址寄刀片？現(xiàn)在大家應(yīng)該就好理解多了。有一次我接到電信詐騙電話，對(duì)方提供了我的巨細(xì)無(wú)比而且十分準(zhǔn)確的個(gè)人信息，要不是在業(yè)內(nèi)混久了多少帶有點(diǎn)安全本能，加上對(duì)方出現(xiàn)了一個(gè)明顯的失誤，找來(lái)一位滿嘴閩南口音的同伙扮演北方人，我可能就要做出一些對(duì)不起安全從業(yè)人員這塊牌子的事情了。現(xiàn)在大家對(duì)待“拖庫(kù)”的態(tài)度也越來(lái)越嚴(yán)肅，尤其是大網(wǎng)站名企業(yè)，一旦被人“拖庫(kù)”，我們就會(huì)用一個(gè)更為嚴(yán)肅的詞來(lái)形容，叫“數(shù)據(jù)泄露”?！靶孤丁笔莻€(gè)很重的詞，以前我們說(shuō)“核泄漏”、“原油泄漏”，一次泄漏事件就是一次危機(jī)，相關(guān)的人員、企業(yè)乃至國(guó)家都很可能損失嚴(yán)重甚至遭到滅頂之災(zāi)。但是，這個(gè)詞又恰到好處，移動(dòng)支付被稱為新四大發(fā)明，我們不妨想象一下，一旦某家移動(dòng)支付商出現(xiàn)數(shù)據(jù)泄露，哪怕只是無(wú)關(guān)痛癢的一小部分，對(duì)各方帶來(lái)的震撼和信任危機(jī)一定一點(diǎn)也不亞于一次傳統(tǒng)的泄露事件。而更可怕的是，數(shù)據(jù)泄露遠(yuǎn)比傳統(tǒng)的泄露事件要難發(fā)現(xiàn)得多，等到發(fā)