[[408052]]

 最近我的朋友圈都在討論一件大事，6月10日，十三屆全國人大常委會第二十九次會議表決通過《中華人民共和國數(shù)據(jù)安全法》，該法將于2021年9月1日起施行。數(shù)安法是一部基石性質(zhì)的法律，很重要，關(guān)注互聯(lián)網(wǎng)行業(yè)，尤其是關(guān)注安全行業(yè)的同學(xué)，一定早已經(jīng)看過關(guān)于這部重要法律的條文和背景解讀。

這些解讀都很專業(yè)，不過太專業(yè)也容易帶來另一個窘境：搞技術(shù)的不熟法律，搞法律的不熟技術(shù)，兩邊的解讀多少都有點(diǎn)讓對面看不懂的地方。而更多的做管理和其它行業(yè)的同學(xué)則認(rèn)為數(shù)安法那是技術(shù)圈、甚至更小一點(diǎn)是安全圈的圈內(nèi)事，和自己沒啥關(guān)系。

今天我想從另一個方面分享對數(shù)據(jù)安全的理解。

01 就在身邊的黑客和安全

我本身就是從事數(shù)據(jù)安全的。當(dāng)然，現(xiàn)在業(yè)內(nèi)對于數(shù)據(jù)安全還沒有一個很精確的定義，也許同一個人同一份工作，既可以說“我在從事數(shù)據(jù)安全”，也可以說“我沒從事數(shù)據(jù)安全”。

這也是為什么說數(shù)安法很重要，因?yàn)檫@是第一部對數(shù)據(jù)安全的專門立法，業(yè)界還處在對數(shù)據(jù)安全的職能和內(nèi)容進(jìn)行反復(fù)探索的階段，立法就已經(jīng)出來了，具有很強(qiáng)的前瞻性和指導(dǎo)意義。不過，我的工作既需要搞數(shù)據(jù)也需要搞安全，合在一起說搞“數(shù)據(jù)安全”，應(yīng)該不算十分的錯。

安全行業(yè)總是給人一種神秘而疏遠(yuǎn)的感覺，大家應(yīng)該都聽過，但很多人都說不清這個行業(yè)究竟在干什么，更像是一群不食人間煙火的怪人圍成一圈搞的自娛自樂的什么玩意。這是誤解，這幾年安全行業(yè)也在不斷宣傳，主旨就是告訴大家安全并不遙遠(yuǎn)，安全就在身邊。

數(shù)據(jù)安全也是這樣。數(shù)據(jù)安全這個詞我們并不陌生，不過在過去，這個詞往往是掛在另一個詞下面的，這個詞叫作“網(wǎng)絡(luò)安全”，在很多哪怕是行內(nèi)人士的理解當(dāng)中，是網(wǎng)絡(luò)安全遭到破壞，進(jìn)而導(dǎo)致數(shù)據(jù)安全遭到威脅，是這么一種邏輯關(guān)系。

這個理解正不正確呢？這就要從一個具有傳奇色彩的角色說起：黑客。

黑客也不遙遠(yuǎn)，也在身邊。

黑客也是一個大家都很熟，但又理解不多的一個詞。曾經(jīng)有一部很火的電影叫《黑客帝國》，里面的黑客個個穿披風(fēng)戴墨鏡，我感覺倒更像是刺客。

不過，大家日常對黑客這個群體接觸機(jī)會確實(shí)不多，加上各種文藝作品的渲染，很容易給黑客打上各種奇怪的標(biāo)簽。說起黑客，大家多半會產(chǎn)生這樣的印象：身份神秘、技術(shù)了得、離群寡居、喜歡呆在小屋子里、每天除了吃和睡就是對著計(jì)算機(jī)。

還有很多刻板印象，譬如說黑客在破解啥啥目標(biāo)時，屏幕一定是像下雨一樣從上往下掉字符，手指一定是摁在鍵盤上一頓操作猛如虎，讓大家分不清楚這究竟是在輸命令還是在玩電競，這些純粹的藝術(shù)想象就不一一列舉了。

這些印象當(dāng)然不能說全錯，但也不能說都對，為什么呢？因?yàn)楹诳碗m然是個小眾群體，不過怎么說也是個群體，什么背景什么性格的人都有，有正兒八經(jīng)985科班出身的、也有高中念不下去閉關(guān)成才的，愛好更是五花八門，喜歡刷B站、喜歡玩Switch、喜歡逛商場、喜歡喝奶茶的全都有，黑客也是人，也熱愛生活，很多興趣愛好還都和大家一個樣。

下面我想講一些黑客的故事，安全并不只是黑客，但也許了解了黑客，會更了解安全。想了解黑客，我想首先是不要把黑客當(dāng)成是生活在月球上的怪人，黑客和我們身邊熟悉的每一個人都一樣，并沒有一套常人無法理解的獨(dú)特邏輯支持著黑客的精神世界。

[[408053]]

02 黑客和網(wǎng)絡(luò)安全

現(xiàn)在我們聊到黑客，喜歡套一個大一點(diǎn)的詞，叫網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全現(xiàn)正已經(jīng)發(fā)展成一個很大的產(chǎn)業(yè)，產(chǎn)業(yè)化就意味著有很多打工人，說的好聽一點(diǎn)叫“白帽黑客”，不過其實(shí)和其它工薪階層同樣，都需要面對早高峰、KPI甚至996，就是一份普通而正經(jīng)的職業(yè)，和大家只有分工的不同，很多院校就盯著這塊的就業(yè)機(jī)會，專門開設(shè)有網(wǎng)絡(luò)安全的相關(guān)專業(yè)，體系化地給網(wǎng)絡(luò)安全產(chǎn)業(yè)輸送人才。

在產(chǎn)業(yè)化的大背景下，不但黑客不怎么神秘，連怎么成為黑客也變得不怎么神秘了。

要培養(yǎng)人才，首先得有教材。很多網(wǎng)絡(luò)安全的教材開篇就說，在網(wǎng)絡(luò)時代剛剛興起的時候，安全問題就一直存著，但是當(dāng)時的公司企業(yè)只顧大興土木，沒怎么管這一塊，近幾年隨著網(wǎng)絡(luò)快速發(fā)展，管理制度也不斷完善，這才重視起來。

教材的開篇肯定都是要強(qiáng)調(diào)一下這門課程的重要性的，應(yīng)該沒哪本會說這門課內(nèi)容不少，但外邊關(guān)注的人不多，大家沒興趣的打呼嚕聲盡量小點(diǎn)，別影響到其它同學(xué)睡覺。不過，公司和企業(yè)是不是真的自帶天然呆屬性，非得后知后覺呢？

我的看法是，安全是一門技術(shù)，也是一門生意，網(wǎng)絡(luò)安全當(dāng)然很重要，但書本上所列舉的這些對安全的后知后覺，我想也許卻是精心計(jì)較后的結(jié)果。

現(xiàn)在網(wǎng)絡(luò)安全或者更大一點(diǎn)的安全行業(yè)，已經(jīng)細(xì)分出很多工種，有搞滲透的、有挖漏洞的，挖漏洞的還有分Web的和二進(jìn)制的，這還都是大的方向。

但是在早期，大概是二十來年前，網(wǎng)絡(luò)剛剛興起，大家對于黑客的理解還比較純粹，覺得就是技術(shù)大牛，都想成為黑客，沒事就凡爾賽一下，吹牛說美國國防部的安全防護(hù)做得太次了，剛才沒事我還幫它修了倆漏洞。

但是，怎么才能成為黑客呢？

非常簡單，黑客有兩個速成的法寶：弱口令和木馬。我記得當(dāng)年不時就會出來一篇新聞報(bào)道，說的大概都是某地出了天才電腦少年某某，不是正在上中學(xué)就是剛中學(xué)肄業(yè)，然后一門心思專研電腦技術(shù)，于某某時候攻破某著名網(wǎng)站。

當(dāng)時的媒體好像都覺得能黑入網(wǎng)站都需要先掌握不得了的技術(shù)，這個理解當(dāng)然也不能說全錯，但是當(dāng)時人們的網(wǎng)絡(luò)安全防范意識缺失薄弱，很多人理解的網(wǎng)絡(luò)安全就是加防火墻，但是再強(qiáng)大的防火墻也架不住弱口令。

什么是弱口令？注冊賬戶都需要填兩樣?xùn)|西，用戶名和密碼，不管是你還是黑客，要登錄你的賬戶，都得知道這兩項(xiàng)的內(nèi)容。

對很多人來說，用戶名好想，可是密碼不好想，密碼一般至少是一串6位的數(shù)字，日常生活中能達(dá)到這樣長度而且還得一直不變的數(shù)字并不多見，要是隨便想個6位數(shù)字還挺容易，可是要你隔個三五天再想起來當(dāng)時想的是啥，恐怕就很難了。

那怎么辦呢？偷懶的辦法就是挑一些好記又有規(guī)律的數(shù)字串作為密碼，譬如說123456，譬如說6個1，譬如說生日，歐美那邊還特別喜歡用passwd，這是英文“密碼”（password）的簡寫。雖然說人的想法千奇百怪，但在設(shè)置密碼這方面大家都想到一起去了，你知道黑客也知道，這就是弱口令。

你的弱口令讓別人猜到了，別人就能像你一樣登錄你的賬戶為所欲為。你說這算不算黑客？這當(dāng)然得算。但是你說這玩意需要很高技術(shù)含量？見仁見智吧。

有些黑客擔(dān)心猜弱口令門檻還是太高，好心地把常用的弱口令都收集起來存成TXT文件，起個名字叫“弱口令字典”，以后大家哪怕啥也不懂也可以打開文件挨個試，還美其名曰叫“弱口令字典掃描”，外行一聽直呼內(nèi)行。

不過，話說回來，弱口令雖然看著沒啥技術(shù)含量，但架不住效果好，當(dāng)時你拿著admin作為用戶名和123456作為密碼，在網(wǎng)上轉(zhuǎn)一圈就能登上好多網(wǎng)站的管理員賬戶，在別人眼里你就是妥妥的大黑客了。

說完弱口令再說木馬，木馬這玩意聽著挺有技術(shù)含量，其實(shí)吧也是見仁見智。先說什么是木馬，木馬英文叫Trojan，早幾年大家應(yīng)該經(jīng)?？吹綒④浀牟闅⒂涗浝锞陀薪羞@玩意的。

Trojan直譯應(yīng)該叫“特洛伊”，是一個地名，背后涉及到希臘神話的一個故事，這里就長話短說，總之就是希臘的兩個城邦雅典和特洛伊打起來了，進(jìn)攻方雅典怎打了十年也打不進(jìn)去特洛伊城，于是想了個辦法，造了個大木馬，把士兵藏在木馬里面然后假裝撤退。特洛伊人一看腦子犯抽，直接把木馬拖進(jìn)城里。

好家伙，自己把敵人請進(jìn)門了，用我們的話叫引狼入室。結(jié)果不用說，抵抗了十年的特洛伊當(dāng)天晚上就打出了GG，這就是有名的特洛伊之戰(zhàn)，這個木馬也被稱為特洛伊木馬。

說完了特洛伊木馬，說說黑客的木馬。功能差不多，都屬于引狼入室的這一類。很多網(wǎng)絡(luò)安全的教材說到木馬，說的好像這是一種黑客專用的工具。不對，從技術(shù)的角度來說，木馬屬于遠(yuǎn)程控制軟件，是網(wǎng)管的必備工具。

別聽到名字覺得很厲害，我說一個大家更熟悉場景，某天晚上老家的爸媽給你打電話，說家里的電腦出了個啥啥啥問題，問你怎么辦。

問題很簡單，你一聽就想到了辦法，可是難就難在不知道怎么才能和爸媽講清楚操作方法。怎么辦呢？QQ有個功能叫遠(yuǎn)程協(xié)助，請爸媽點(diǎn)開，你就可以像操作自己的電腦一樣遠(yuǎn)程操作家里的電腦，QQ遠(yuǎn)程協(xié)助就是一種遠(yuǎn)程控制軟件。

木馬也是一回事。制作木馬是有一些技術(shù)門檻的，不過使用木馬門檻就是低得多。以前有一種叫“灰鴿子”的木馬，功能十分強(qiáng)大，但使用特別簡單，譬如說遠(yuǎn)程控制這塊，和QQ的遠(yuǎn)程協(xié)助不能說十分相像，只能說一模一樣。

不過，黑客的木馬和普通的遠(yuǎn)程控制總還是有不同之處，主要是兩點(diǎn)。

首先是免殺，就是不要被殺軟殺掉。當(dāng)年有一款聞名天下的殺軟叫卡巴斯基，聞名天下的原因之一是只要卡巴斯基檢測到了惡意軟件，就會播放一段莫斯科中央屠宰場的殺豬一般的提示音，一聽就知道是個狠角色。

沒哪位黑客希望這邊剛裝好木馬，那邊的卡巴斯基就發(fā)出豬叫聲，所以要做免殺。那時免殺主要是加殼和反彈端口兩種，都屬于聽起來挺復(fù)雜，實(shí)際操作特別簡單，就是點(diǎn)幾下鼠標(biāo)的事。

如果第一點(diǎn)聽著還有些技術(shù)含量的話，那第二點(diǎn)則是更重要但更沒技術(shù)含量，這就是請受害人點(diǎn)擊木馬。所謂木馬，其實(shí)也是一個計(jì)算機(jī)程序，必須得本機(jī)點(diǎn)擊運(yùn)行了才能有效果。

你總不能和受害人說，你好我是黑客，我要在你的機(jī)器上安裝木馬，請你點(diǎn)擊一下。那怎么辦？得想辦法，讓受害人就像特洛伊人一樣，見了木馬就想點(diǎn)。譬如說改個文件名，叫“X大教室監(jiān)控錄像”，現(xiàn)在很多人沒準(zhǔn)見了都想點(diǎn)，更別說當(dāng)時了。

[[408054]]

03 從網(wǎng)絡(luò)安全到數(shù)據(jù)安全

當(dāng)然，黑客的技術(shù)遠(yuǎn)不止這些。大家都聽過鄙視鏈，黑客圈也有鄙視鏈。前面我介紹了弱口令和木馬，簡單嗎？簡單，也不簡單。使用起來的簡單，往往意味著研發(fā)的不簡單。這有點(diǎn)像我們的智能手機(jī)，操作早都傻瓜化，但是這背后是無數(shù)的設(shè)計(jì)師、工程師投入大量的時間精力不斷地去完善優(yōu)化。

黑客圈也深明這個道理，有些人認(rèn)為這些只知道用工具的黑客玷污了這個象征著技術(shù)高超的名詞，于是想了另一個詞作為區(qū)別，叫“腳本小子”。在黑客圈鄙視鏈的最底層，就是腳本小子。

不過，我覺得這個鄙視鏈有失偏頗，而在安全行業(yè)產(chǎn)業(yè)化的今天再重新審視，會發(fā)現(xiàn)更多不同的東西。黑客曾經(jīng)是技術(shù)的代名詞，但技術(shù)永遠(yuǎn)不是黑客的盡頭。我們不說太抽象的東西，還是從身邊的故事說起。

就說腳本小子，腳本小子也有自己難以言表的痛苦，而且別人很難理解，這就是無聊。

前兩年有兩款火出圈的游戲，一個叫塞爾達(dá)一個叫動物之森，很不巧我都沒有玩過。不過我聽說，這兩款游戲非?；穑芏嘣静煌嬗螒虻呐笥?，也因?yàn)楸慌笥讶λ⑵炼ベI了來玩。

剛開始也覺得確實(shí)有趣，但慢慢的都遇到了同一個問題：無聊。通了主線，建好了島，剛開始的目標(biāo)都實(shí)現(xiàn)了，接下來好像沒事可干了，又找不到新的樂趣，反而覺得很痛苦。

游戲本身不多說，沒有Switch沒有發(fā)言權(quán)，但是腳本小子的“痛苦的無聊”是可以多說兩句的。前面我說黑客有兩大速成法寶，弱口令和木馬，技術(shù)門檻不高，但不妨想象一下，假設(shè)你真的使用弱口令登錄了某個網(wǎng)站的后臺，或者使用木馬控制了某臺電腦，接下來你該做什么呢？

沒事可干。

現(xiàn)在我常聽人抱怨，說現(xiàn)在安全行業(yè)的氛圍遠(yuǎn)不如以前，以前大家特別熱愛分享，發(fā)現(xiàn)一點(diǎn)什么恨不得拿只大喇叭讓全世界知道，現(xiàn)在全都成了氪金游戲，大家的技術(shù)都藏著掖著，撿到個漏洞還得琢磨一番哪的SRC給得獎金多。

我覺得這個說法和前面的課本認(rèn)為過去的企業(yè)全是天然呆一樣，忽略的時代的發(fā)展變化。網(wǎng)絡(luò)安全能成為產(chǎn)業(yè)，是因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)承載的價值提升了，說得庸俗一點(diǎn)，網(wǎng)絡(luò)現(xiàn)在能變現(xiàn)的渠道多多了。

以前的網(wǎng)絡(luò)相比現(xiàn)在，就是一只空蕩蕩的大房子，雖然門戶洞開，但是闖進(jìn)去一看，發(fā)現(xiàn)里面家徒四壁，也沒啥可偷的，還要在墻上留下“到此一游”四個字別人才知道你來過。

這就是腳本小子的痛苦。你用弱口令也好，用木馬也好，登錄了網(wǎng)站后臺，或者控制了某臺電腦，能干什么呢？要么是掛黑頁，告訴網(wǎng)管你的網(wǎng)站被黑了，或者告訴別人你黑了網(wǎng)站，要么在電腦桌面上留個TXT，告訴機(jī)主有人到此一游。

后來有個說法，把這個階段的黑客行為稱作“炫技”，說白了就是沒事可干，只好沒事找事刷存在感。

接下來干什么呢？要么是繼續(xù)日復(fù)一日地用同一種方法“炫技”，陷入越玩越無聊的窘境，要么就爬爬科技樹，爭取發(fā)現(xiàn)一點(diǎn)新東西。黑客技術(shù)也螺旋上升不斷發(fā)展，但是，真正使得黑客這個角色進(jìn)入新的階段的，還是因?yàn)榫W(wǎng)絡(luò)的發(fā)展。

網(wǎng)絡(luò)資產(chǎn)值錢了。

前面講的網(wǎng)絡(luò)安全也好，后面要講的數(shù)據(jù)安全也好，安全不單只是一門技術(shù)，也是一門生意，是生意，就要計(jì)算投入產(chǎn)出比。前面我們介紹，早期網(wǎng)絡(luò)普遍缺乏安全意識，賬戶密碼簡單得弱智，但是背后的原因是什么呢？是成本。

這里的成本，說的不僅僅是錢。就拿密碼來說，為什么我們都喜歡簡單的密碼？因?yàn)橛洃洺杀镜汀，F(xiàn)在的密碼動輒8位10位12位，還要大小寫字母加特殊字符，最好還每個網(wǎng)站密碼不一樣，安全系數(shù)是提升了，可是記憶成本同樣也提升了，我自己就經(jīng)歷過好幾次因?yàn)橥浢艽a而被鎖定賬號的事。

安全是需要投入成本的，誰也不會在家徒四壁的時候，有動機(jī)去安裝一個5A級的防盜門。而當(dāng)大家開始安裝防盜門的時候，一定是有了需要保護(hù)的東西，而這樣?xùn)|西的價值遠(yuǎn)高于安裝防盜門的成本。

這個道理很簡單，但背后的思想并不簡單，現(xiàn)在很多安全策略不再認(rèn)為必須全盤死守，而應(yīng)該根據(jù)資產(chǎn)價值分區(qū)管理，在某些安全程度相比較低的區(qū)域放置必要但不重要的資產(chǎn)，從而平衡安全和效率二者之間的矛盾。

在最開始的時候，互聯(lián)網(wǎng)和現(xiàn)在的加密貨幣一樣，屬于小眾的極客玩具，新潮有趣但是家徒四壁，而隨著網(wǎng)絡(luò)時代的來臨，網(wǎng)絡(luò)資產(chǎn)的價值上升了一個臺階，黑客或者說網(wǎng)絡(luò)安全也進(jìn)入了新階段。這個階段的標(biāo)志，我認(rèn)為是出現(xiàn)兩種專門化的木馬，QQ木馬和網(wǎng)游木馬。

QQ木馬和網(wǎng)游木馬的技術(shù)含量比遠(yuǎn)控類木馬要低，但是出現(xiàn)的時間卻還后者還稍晚一點(diǎn)。顧名思義，QQ木馬就是用來盜Q號的木馬，而網(wǎng)游木馬則是盜取網(wǎng)游賬號的木馬，根據(jù)不同的網(wǎng)游發(fā)展出專門或者通用的木馬，譬如說專門盜取傳奇賬號的傳奇木馬。

如果單從技術(shù)的角度說，QQ木馬和網(wǎng)游木馬的“玩法”要遠(yuǎn)比灰鴿子之類的遠(yuǎn)控木馬要少得多，配置界面一般就只有一項(xiàng)，填寫收號的郵箱地址，木馬在盜取了賬號和密碼之后，會把相關(guān)信息發(fā)到郵箱里。但是，QQ和網(wǎng)游賬號是能夠賣錢的，“黑客”一下子從純粹的“炫技”，變成了一種能夠變現(xiàn)的渠道，群體的數(shù)量一下也膨脹了。

大家開始意識到，原來網(wǎng)絡(luò)安全的缺失會實(shí)實(shí)在在地造成資產(chǎn)損失，對安全的需求增加了，而作為黑客的對立面，安全人員的數(shù)量也因此增加，安全行業(yè)開始出現(xiàn)從個人英雄主義，向產(chǎn)業(yè)化轉(zhuǎn)向的趨勢。

黑客的故事就講到這里，黑客有趣的事還有許多，不過都和本文的主題關(guān)系不大，大家感興趣再找其它機(jī)會和大家聊。

我想分享一個觀點(diǎn)，“黑客”聽起來是一個“技術(shù)”的詞，也確實(shí)有一種技術(shù)叫黑客技術(shù)，但我覺得，要真正理解黑客和黑客技術(shù)的發(fā)展，可能必須要跳出技術(shù)的桎梏，用更為廣闊的視野來研究。

數(shù)據(jù)安全同樣是這樣。

[[408055]]

04 技術(shù)以外的數(shù)據(jù)安全話題

現(xiàn)在，數(shù)據(jù)時代來臨了。大家聊得越來越多的一個話題，叫“數(shù)據(jù)資產(chǎn)”。

現(xiàn)在很多企業(yè)都在討論數(shù)字化轉(zhuǎn)型，說要建數(shù)據(jù)中臺。業(yè)界對于數(shù)據(jù)的研究其實(shí)一直在進(jìn)行，也搞出了很多概念，譬如說數(shù)據(jù)掘金、大數(shù)據(jù)等等。

但這一次不一樣。數(shù)據(jù)資產(chǎn)是個很大的概念。以前我們討論數(shù)據(jù)，實(shí)際討論的是如何利用數(shù)據(jù)做好某某業(yè)務(wù)，優(yōu)化某某產(chǎn)品，著重點(diǎn)放在后者?，F(xiàn)在不同了，我們討論數(shù)據(jù)，說的就是數(shù)據(jù)本身，數(shù)據(jù)就是業(yè)務(wù)，數(shù)據(jù)就是產(chǎn)品，能夠直接變現(xiàn)。

數(shù)據(jù)資產(chǎn)概念的提出，意味著數(shù)據(jù)已經(jīng)從其它業(yè)務(wù)的附屬品，變成了一種獨(dú)立的企業(yè)資源。有機(jī)會我們另寫文章再聊。

數(shù)據(jù)資產(chǎn)的獨(dú)立，也意味著數(shù)據(jù)安全不再僅僅只是依附于網(wǎng)絡(luò)安全的一個子概念，而變成一種需要獨(dú)立加以研究和管理的對象。這個話題很大，我們不妨從一個黑客術(shù)語來具體聊聊。

有一個黑客術(shù)語叫“拖庫”，有人也稱之為“脫庫”或者“脫褲”，反正黑客不用期末考，沒什么標(biāo)準(zhǔn)答案，總之意思都是同一個意思。拖庫最早是一個DBA的詞，數(shù)據(jù)庫管理有時候需要對數(shù)據(jù)進(jìn)行導(dǎo)出操作，譬如說做數(shù)據(jù)備份或者數(shù)據(jù)遷移。黑客盯上了這一點(diǎn)，想辦法把數(shù)據(jù)庫“備份”到了自己手上，這就是拖庫。

數(shù)據(jù)庫存儲的內(nèi)容很多，就拿論壇來說，數(shù)據(jù)庫至少就包括用戶列表、文章列表、關(guān)注列表、評論列表等等等等。黑客的存儲空間也是有限的，就算找到辦法拖庫，只會挑有價值的拖，最開始的時候，只拖用戶列表。

有什么用呢？破解賬戶對應(yīng)的密碼，然后“撞庫”，簡單來說就是知道了用戶在A網(wǎng)站的用戶名密碼后，試試能不能在B網(wǎng)站登錄，算是高端一點(diǎn)的“弱口令”，這也是為什么現(xiàn)在提倡盡量不要一個密碼走天下，尤其是重要的網(wǎng)上應(yīng)用，譬如網(wǎng)銀，必須要用不同的密碼，不然真的是一損俱損了。

不過，拖庫的內(nèi)容也在變化。一些黑客開始對密碼之外的基本信息產(chǎn)生興趣，譬如說聯(lián)系電話、家庭住址等等。

賬戶密碼的重要性大家比較好理解，可是對于電話和住址這類基本信息，很多人一開始并不理解有什么重要。我記得之前還有個朋友反駁我，說讓黑客偷了電話和地址能有啥大問題，黑客會挑凌晨提供叫醒服務(wù)？還是循著地址寄刀片？

現(xiàn)在大家應(yīng)該就好理解多了。有一次我接到電信詐騙電話，對方提供了我的巨細(xì)無比而且十分準(zhǔn)確的個人信息，要不是在業(yè)內(nèi)混久了多少帶有點(diǎn)安全本能，加上對方出現(xiàn)了一個明顯的失誤，找來一位滿嘴閩南口音的同伙扮演北方人，我可能就要做出一些對不起安全從業(yè)人員這塊牌子的事情了。

現(xiàn)在大家對待“拖庫”的態(tài)度也越來越嚴(yán)肅，尤其是大網(wǎng)站名企業(yè)，一旦被人“拖庫”，我們就會用一個更為嚴(yán)肅的詞來形容，叫“數(shù)據(jù)泄露”。

“泄露”是個很重的詞，以前我們說“核泄漏”、“原油泄漏”，一次泄漏事件就是一次危機(jī)，相關(guān)的人員、企業(yè)乃至國家都很可能損失嚴(yán)重甚至遭到滅頂之災(zāi)。

但是，這個詞又恰到好處，移動支付被稱為新四大發(fā)明，我們不妨想象一下，一旦某家移動支付商出現(xiàn)數(shù)據(jù)泄露，哪怕只是無關(guān)痛癢的一小部分，對各方帶來的震撼和信任危機(jī)一定一點(diǎn)也不亞于一次傳統(tǒng)的泄露事件。

而更可怕的是，數(shù)據(jù)泄露遠(yuǎn)比傳統(tǒng)的泄露事件要難發(fā)現(xiàn)得多，等到發(fā)現(xiàn)的時候，很可能已經(jīng)造成了可怕的后果。

但是，我們統(tǒng)統(tǒng)一刀切，切斷對數(shù)據(jù)的使用行不行得通呢？

辦不到，不可能，小到個人來說，哪怕你一心宅在家里，只要點(diǎn)個外賣，手機(jī)號碼和家庭住址就必須得給到別人手里。對于企業(yè)來說更是這樣，既然是數(shù)據(jù)時代，哪怕真有辦法把數(shù)據(jù)死死捏在手里，數(shù)據(jù)的價值也是沒有辦法體現(xiàn)出來的。

怎么辦呢？

網(wǎng)上已經(jīng)出現(xiàn)了對于剛剛出臺的數(shù)安法的很多專業(yè)解讀，有很多提法，譬如說補(bǔ)全了重要一環(huán)，提升了監(jiān)管層面，我覺得都很有道理，而我感受最深的是立法者看問題的高度和深度。

以前很多人覺得，數(shù)據(jù)的問題就是技術(shù)的問題，因?yàn)橛辛撕诳退詳?shù)據(jù)才會變得不安全，才會出現(xiàn)數(shù)據(jù)泄露，那么對策辦法就是找技術(shù)部門上手段，我不是技術(shù)部門，數(shù)據(jù)安全與我無關(guān)。

我認(rèn)為這個觀點(diǎn)是不對的。錯在哪里呢？沒有正確理解“數(shù)據(jù)資產(chǎn)”這個概念，與數(shù)據(jù)時代已經(jīng)格格不入了。我們說，安全是一門技術(shù)也是一門生意，是因?yàn)閿?shù)據(jù)資產(chǎn)的價值越來越高了，黑客盜取數(shù)據(jù)資產(chǎn)所造成的損失才會越來越高，數(shù)據(jù)安全才越來越重要。

而且數(shù)據(jù)安全遠(yuǎn)遠(yuǎn)不只是簡單的黑客攻防問題。新的數(shù)安法不僅僅是一部法律，也提供了一種全新的視角，告訴我們關(guān)注數(shù)據(jù)安全，不要再只是盯著防止數(shù)據(jù)泄露所帶來的損害，還要看到數(shù)據(jù)資產(chǎn)所能產(chǎn)生的價值。在數(shù)據(jù)時代，如何讓數(shù)據(jù)資產(chǎn)的價值最大化，同時損失最小化，才是數(shù)據(jù)安全最需要關(guān)注的問題。

這個問題，顯然遠(yuǎn)不只是技術(shù)問題。

我看到一些解讀，說數(shù)安法強(qiáng)調(diào)數(shù)據(jù)存儲安全，這同樣也是過去的一些慣性認(rèn)識造成了局限。我從數(shù)安法中讀到的是另一種信息：

數(shù)據(jù)安全不再只是數(shù)據(jù)如何處理的問題，而是數(shù)據(jù)如何管理的問題，徹底跳出了“數(shù)據(jù)問題就是技術(shù)問題”的桎梏，不但需要構(gòu)建完善的管理框架，而且還必須厘清使用數(shù)據(jù)的各方的權(quán)力和義務(wù)，協(xié)調(diào)共同參與數(shù)據(jù)安全管理。

我想，隨著數(shù)據(jù)時代的來臨，數(shù)據(jù)資產(chǎn)越發(fā)的重要，我們對數(shù)據(jù)安全的認(rèn)識和討論也應(yīng)該提升一個層面，成為整個企業(yè)，整個社會，乃至整個國家共同參與的話題。

關(guān)于作者：莫凡，網(wǎng)名木羊同學(xué)。娛樂向機(jī)器學(xué)習(xí)解說選手，《機(jī)器學(xué)習(xí)算法的數(shù)學(xué)解析與Python實(shí)現(xiàn)》作者，前沿技術(shù)發(fā)展觀潮者，擅長高冷技術(shù)的“白菜化”解說，微信公眾號“睡前機(jī)器學(xué)習(xí)”，個人知乎號“木羊”。