淺談網際網路安全從業者的自我保護

寫這篇文章其實想了很久，結合最近行業內發生的一系列事件，筆者先丟擲幾方面的問題與大家共同探討一下，網際網路安全從業者如何在這個“高危行業”中不觸碰底線，並且“安全”健康的成長。

近兩個月公開了好些個資訊洩露事件，我就不一一列舉，也暴露了現在很多企業存在的問題和不足，結合今天的熱點安全事件引發了行業內的廣泛關注，但是更反應出了一些問題，試問：每個人工作和生活過程中接觸安全行業相關聯的東西是否合法合規？安全從業者如何保護自己？是否真正實現了自我安全？回顧到這些年安全領域發生的大大小小的各類事件，想必大家已經見怪不怪了，但是為什麼還會持續有類似的問題出現？核心的問題是什麼？很少看到有人公開討論這個話題，希望本文的一些思考能對資訊保安從業者給出一些參考的建議。

安全技術是一把雙刃劍，有人會利用它去犯罪牟利，有些人會它來幫助企業和有關部門解決安全問題，打擊犯罪。當然有不少安全從業者在工作和學習過程中，能接觸到更多核心資料、核心業務，與資料和金錢走得太近的人，受到身邊環境氛圍和一些不法分子的誘惑，而迷失的案例不在少數。如何去面對這些利益的誘惑，如何在安全道路上，如何保護自己，作為資訊保安從業者如何去明確安全責任邊界，法律邊界，這也是我們今天要探討的話題。

沒有網路安全就沒有國家安全，安全人才的價值體現更應該在合理、合法，滿足法律合規的情況下進行的。隨著近幾年大家對資訊保安專業熱衷，更多安全新人瘋狂湧入到安全行業當中，很多安全新人在安全意識和自律上相比之下，瞭解的相對偏少。但是，問題來了，如果一個安全從業者缺乏安全認知，缺乏法律意識，甚至沒有最基本的自律，職業道德，再談什麼安全人才的價值？對於廣大已經走過早期安全新人階段的從業者、已在各個領域有一定建樹的行業專家，資深大拿更應該有責任和義務站出來去給行業新人、從業者去引導，避免“類似事件”的發生，明確風險邊界，哪些有明顯的問題，哪些是法律界限，相對模糊。

從個人經驗和經歷給大家分享一些心得和可操作性的建議。首先，儘可能的多瞭解國內的法律法規的，包括行業政策的規定，推薦瞭解下：刑法直接跟計算機相關的罪名和條款《非法侵入計算機資訊系統》、《非法獲取計算機資訊系統罪》、《非法控制計算機資訊系統罪》、《非法獲取個人公民資訊罪》、《敲詐勒索罪》、《提供專門用於侵入、非法控制計算機資訊系統的程式、工具罪》 等罪名，間接使用網際網路資訊科技犯罪的種類就多了，再次不一一列舉，有條件的情況下，可以買本《刑法修正案十 》和網路安全法學習一下。在工作和生活當中，希望從業者注意以下幾個事項，真愛自己請重點關注：

1、沒有授權的前提 下，不要觸碰各類網站（包含企業網站），特別是國家事務、國防建設、尖端科學，政府相關網站 ，不要觸碰ZF與國家背景企業的網站。

2、不要在不明確業務邊界和責任邊界的前提下，突破原有的系統許可權和資料許可權。

3、不要持有公民資訊 ，不要搭建社工庫 ，雲盤、電腦、手機不要儲存公民資訊資料。

4、專案授權範圍內做的相關工作，獲取到的專案檔案、商業檔案、公民資料、“shell”等結果及時刪除和清除 。

5、寫技術文章的過程中，不要過於披露涉及漏洞與通用型問題細節 ，不要提供工具 ！！文章內容該模糊化的地方，要做二次處理避免被二次利用。

6、不要做漏洞、資料交易 ，不要在不瞭解對方背景情況下給“犯罪分子”提供技術思路 。

7、多學習法律、不要過度炫技 ，低調求發展。

另外，針對這個話題，剛好得到了網安專家 的看法和建議，與之共勉：

“我對這個行業和群體比較熟悉，看到這個新聞甚是惋惜，請業內高管，成名大神，行業從業者警醒，談談我的三點意見：

一、不要無知，做法盲。網路安全行業被無知媒體和無法律意識從業者，強化包裝成極客，為所欲為的極客，這是無知法盲的包裝！

二、不要無畏，知法犯法。網路安全行業技術人員要強化法律風險，重點去學學《刑法》《網路安全法》。會計做假賬都知道有可能要取消從業資格，甚至坐牢。網路安全從業者更甚！

三、不要僥倖，害人終害己。小黑入行的導師和網路安全行業管理者，要嚴肅告誡從業人員，網路安全行業是高危職業。不僅強調技術門檻高，技術難度高，更要強調入罪風險高！切記，傳授犯罪方法也是犯罪！”

最後，不要在自己年輕的時候為自己的無知，買單。你有什麼疑問？歡迎評論互動，評論必回。