12月10日,有媒体曝出京东12GB的个人信息数据被疯狂转卖销售,包含用户名、密码、邮箱、QQ号、电话号码和身份证号等多个维度,多达数千万条,一些地下渠道开始对数据进行明码标价,价格从“10万到70万”不等。
这已经不是第一次用户信息被泄露事件了,2013年7月,Struts2漏洞爆发,国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露,某易邮箱数据疑似泄露过亿用户,连带用户绑定的其他账号等,2015年社保系统泄露千万用户信息,波及30余省市……
解决网络安全问题,刻不容缓!大家对于网络安全的关注使得更多的人进去这个圈子,关注这个圈子,于是有很多潜藏的问题被揭露出来,浮出水面。
事实上很多漏洞在被披露出来之前,很可能早就在地下黑客圈子里疯狂流传,只是在市面上不流通。业内人士常常笑谈,互联网有两种网站,一种是已经知道被黑的,一种是被黑了还不知道的。
回头想想,平台各种实名认证强制化,而相对应的安全防护却做的渣到不行,对于很大一部分企业来说,没被暴露出来的安全事件不叫事件,不是问题,存在漏洞没关系,但是不被公布出来就行。
究其根本,国内程序员不懂安全,不论前端H5、后端PHP,他们的主要职责是用代码建设一个新的网站,在写代码的过程中是没有安全意识的,所以有极大可能导致代码存在安全风险,而Web安全工程师(俗称白帽子)可轻松发现代码里的漏洞,找到代码中潜藏的利用价值。
企业知道这个事实,出于运营成本等其它各方面因素考虑,大多不愿意花高价聘请白帽子,而是聘请薪资相对较低的“运维”人员,承担起保护公司网络安全信息的重要责任。一旦公司信息被黑客入侵,运维没有任何反抗能力,白帽子便如超人一般登场,拯救整个公司业务,当然要价不菲。
现在,国家终于出台强制政策了。
全国人民代表大会常务委员会于2016年11月7日发布通过《中华人民共和国网络安全法》,该法案明确规定:
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并留存网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务
简单粗暴的“确定网络安全负责人”,直击企业痛点,企业必须花高价保护消费者信息安全,换言之,花高价聘请白帽子,成为企业必须要做的一件事情。作为消费者自然要拍手叫好,某东密码信息可以改,身份证号怎么办?逼人造假吗!
如果网络安全法正式实施,京东这次信息泄露面临的可能是倒闭的政策危机,还抱有侥幸心理的企业真的需要警醒了。
仅12月份,Web安全攻防工程师职位在各家招聘网站上的薪资呈直线上升。以北京为例,最低月薪为15K+。
摘自职友薪资统计
用户信息隐私化,网站建设安全化,已成为2017年企业必须要走的一条路,Web安全攻防工程师的获取与培养,开发更安全的网站数据库,建立新的用户路径,加固信息安全性,必将成为新的竞争重点。
然而国内市场环境颇为尴尬,学生或缺乏从业经历的安全爱好者,不仅在人数上,还在工作经验和技能上达不到企业的真正要求。因此,拥有一定从业经验和计算机技能的IT人员,向安全人员转型,不失为一个弥补安全人才短缺的好机会。
据了解,目前网络安全技术的关注人群占全体IT技术人员体比例的百分之三十左右。在“京东信息泄露事件门”当天,关注人群一度接近百分之九十。然并卵,许多程序员面临的问题是,公司要求快速迭代,产品明天要上线,你今天还要写框架,费时费力,索性就直接借助开源框架。
程序员不懂安全,转型还是继续走?
曾就职与华硕电脑、中国一汽等技术发展中心,持有CCIE R&S CCIE Security CISP等认证的乔宇老师,根据自身对银行、电力、公安等事业单位的多次安全培训经验,对各种协议/网络安全技术深入研究的丰富经验,带来一场《黑客大曝光之安全事件浅析及安全行业形势》,给各个年龄段准备转型的程序员,说几句过来人经验。
一起来看一下课程精彩内容:
1、你的个人才值5毛钱!!
2、国内外“网络空间安全”形势。
3、网络安全要防护什么。
4、“黑客”的犯罪心理学。
5、企业信息安全现状分析。
观看地址:http://ok.lanou3g.com/course/117/notes
PS: 乔宇老师的公开课每期都是爆满,想听的小伙伴记得提前拿好小板凳去现场!
PPS: 幽默不幽默我不知道,反正听课的小伙儿和小美女都乐得直拍桌子,爆屏的+1.
PPPS: 好多人要乔宇老师的联系方式?今天仍你一个技术交流群体:5-7-2-6-0-7-8-2-5,里面可能有本尊驾到,听说可劲儿的技术勾搭会特别容易成功呢~~
最后的最后。人生不应该被界定,技术也不是唯一的衡量标准,对于网络空间捍卫者来说,提供解决办法才是关键!