淺談網際網路安全從業者的自我保護
寫這篇文章其實想了很久,結合最近行業內發生的一系列事件,筆者先丟擲幾方面的問題與大家共同探討一下,網際網路安全從業者如何在這個“高危行業”中不觸碰底線,並且“安全”健康的成長。
近兩個月公開了好些個資訊洩露事件,我就不一一列舉,也暴露了現在很多企業存在的問題和不足,結合今天的熱點安全事件引發了行業內的廣泛關注,但是更反應出了一些問題,試問:每個人工作和生活過程中接觸安全行業相關聯的東西是否合法合規?安全從業者如何保護自己?是否真正實現了自我安全?回顧到這些年安全領域發生的大大小小的各類事件,想必大家已經見怪不怪了,但是為什麼還會持續有類似的問題出現?核心的問題是什麼?很少看到有人公開討論這個話題,希望本文的一些思考能對資訊保安從業者給出一些參考的建議。
安全技術是一把雙刃劍,有人會利用它去犯罪牟利,有些人會它來幫助企業和有關部門解決安全問題,打擊犯罪。當然有不少安全從業者在工作和學習過程中,能接觸到更多核心資料、核心業務,與資料和金錢走得太近的人,受到身邊環境氛圍和一些不法分子的誘惑,而迷失的案例不在少數。如何去面對這些利益的誘惑,如何在安全道路上,如何保護自己,作為資訊保安從業者如何去明確安全責任邊界,法律邊界,這也是我們今天要探討的話題。
沒有網路安全就沒有國家安全,安全人才的價值體現更應該在合理、合法,滿足法律合規的情況下進行的。隨著近幾年大家對資訊保安專業熱衷,更多安全新人瘋狂湧入到安全行業當中,很多安全新人在安全意識和自律上相比之下,瞭解的相對偏少。但是,問題來了,如果一個安全從業者缺乏安全認知,缺乏法律意識,甚至沒有最基本的自律,職業道德,再談什麼安全人才的價值?對於廣大已經走過早期安全新人階段的從業者、已在各個領域有一定建樹的行業專家,資深大拿更應該有責任和義務站出來去給行業新人、從業者去引導,避免“類似事件”的發生,明確風險邊界,哪些有明顯的問題,哪些是法律界限,相對模糊。
從個人經驗和經歷給大家分享一些心得和可操作性的建議。首先,儘可能的多瞭解國內的法律法規的,包括行業政策的規定,推薦瞭解下:刑法直接跟計算機相關的罪名和條款《非法侵入計算機資訊系統》、《非法獲取計算機資訊系統罪》、《非法控制計算機資訊系統罪》、《非法獲取個人公民資訊罪》、《敲詐勒索罪》、《提供專門用於侵入、非法控制計算機資訊系統的程式、工具罪》 等罪名,間接使用網際網路資訊科技犯罪的種類就多了,再次不一一列舉,有條件的情況下,可以買本《刑法修正案十 》和網路安全法學習一下。在工作和生活當中,希望從業者注意以下幾個事項,真愛自己請重點關注:
1、沒有授權的前提 下,不要觸碰各類網站(包含企業網站),特別是國家事務、國防建設、尖端科學,政府相關網站 ,不要觸碰ZF與國家背景企業的網站。
2、不要在不明確業務邊界和責任邊界的前提下,突破原有的系統許可權和資料許可權。
3、不要持有公民資訊 ,不要搭建社工庫 ,雲盤、電腦、手機不要儲存公民資訊資料。
4、專案授權範圍內做的相關工作,獲取到的專案檔案、商業檔案、公民資料、“shell”等結果及時刪除和清除 。
5、寫技術文章的過程中,不要過於披露涉及漏洞與通用型問題細節 ,不要提供工具 !!文章內容該模糊化的地方,要做二次處理避免被二次利用。
6、不要做漏洞、資料交易 ,不要在不瞭解對方背景情況下給“犯罪分子”提供技術思路 。
7、多學習法律、不要過度炫技 ,低調求發展。
另外,針對這個話題,剛好得到了網安專家 的看法和建議,與之共勉:
“我對這個行業和群體比較熟悉,看到這個新聞甚是惋惜,請業內高管,成名大神,行業從業者警醒,談談我的三點意見:
一、不要無知,做法盲。網路安全行業被無知媒體和無法律意識從業者,強化包裝成極客,為所欲為的極客,這是無知法盲的包裝!
二、不要無畏,知法犯法。網路安全行業技術人員要強化法律風險,重點去學學《刑法》《網路安全法》。會計做假賬都知道有可能要取消從業資格,甚至坐牢。網路安全從業者更甚!
三、不要僥倖,害人終害己。小黑入行的導師和網路安全行業管理者,要嚴肅告誡從業人員,網路安全行業是高危職業。不僅強調技術門檻高,技術難度高,更要強調入罪風險高!切記,傳授犯罪方法也是犯罪!”
最後,不要在自己年輕的時候為自己的無知,買單。你有什麼疑問?歡迎評論互動,評論必回。