終于有人把數據安全講明白了

導讀：為什么說數據安全是一門生意？為什么說《數據安全法》不僅僅是一部法律，也提供了一種全新的視角？本文從另一個方面分享對數據安全的理解。最近我的朋友圈都在討論一件大事，6月10日，十三屆全國人大常委會第二十九次會議表決通過《中華人民共和國數據安全法》，該法將于2021年9月1日起施行。數安法是一部基石性質的法律，很重要，關注互聯(lián)網行業(yè)，尤其是關注安全行業(yè)的同學，一定早已經看過關于這部重要法律的條文和背景解讀。這些解讀都很專業(yè)，不過太專業(yè)也容易帶來另一個窘境：搞技術的不熟法律，搞法律的不熟技術，兩邊的解讀多少都有點讓對面看不懂的地方。而更多的做管理和其它行業(yè)的同學則認為數安法那是技術圈、甚至更小一點是安全圈的圈內事，和自己沒啥關系。今天我想從另一個方面分享對數據安全的理解。01就在身邊的黑客和安全我本身就是從事數據安全的。當然，現(xiàn)在業(yè)內對于數據安全還沒有一個很精確的定義，也許同一個人同一份工作，既可以說“我在從事數據安全”，也可以說“我沒從事數據安全”。這也是為什么說數安法很重要，因為這是第一部對數據安全的專門立法，業(yè)界還處在對數據安全的職能和內容進行反復探索的階段，立法就已經出來了，具有很強的前瞻性和指導意義。不過，我的工作既需要搞數據也需要搞安全，合在一起說搞“數據安全”，應該不算十分的錯。安全行業(yè)總是給人一種神秘而疏遠的感覺，大家應該都聽過，但很多人都說不清這個行業(yè)究竟在干什么，更像是一群不食人間煙火的怪人圍成一圈搞的自娛自樂的什么玩意。這是誤解，這幾年安全行業(yè)也在不斷宣傳，主旨就是告訴大家安全并不遙遠，安全就在身邊。數據安全也是這樣。數據安全這個詞我們并不陌生，不過在過去，這個詞往往是掛在另一個詞下面的，這個詞叫作“網絡安全”，在很多哪怕是行內人士的理解當中，是網絡安全遭到破壞，進而導致數據安全遭到威脅，是這么一種邏輯關系。這個理解正不正確呢？這就要從一個具有傳奇色彩的角色說起：黑客。黑客也不遙遠，也在身邊。黑客也是一個大家都很熟，但又理解不多的一個詞。曾經有一部很火的電影叫《黑客帝國》，里面的黑客個個穿披風戴墨鏡，我感覺倒更像是刺客。不過，大家日常對黑客這個群體接觸機會確實不多，加上各種文藝作品的渲染，很容易給黑客打上各種奇怪的標簽。說起黑客，大家多半會產生這樣的印象：身份神秘、技術了得、離群寡居、喜歡呆在小屋子里、每天除了吃和睡就是對著計算機。還有很多刻板印象，譬如說黑客在破解啥啥目標時，屏幕一定是像下雨一樣從上往下掉字符，手指一定是摁在鍵盤上一頓操作猛如虎，讓大家分不清楚這究竟是在輸命令還是在玩電競，這些純粹的藝術想象就不一一列舉了。這些印象當然不能說全錯，但也不能說都對，為什么呢？因為黑客雖然是個小眾群體，不過怎么說也是個群體，什么背景什么性格的人都有，有正兒八經985科班出身的、也有高中念不下去閉關成才的，愛好更是五花八門，喜歡刷B站、喜歡玩Switch、喜歡逛商場、喜歡喝奶茶的全都有，黑客也是人，也熱愛生活，很多興趣愛好還都和大家一個樣。下面我想講一些黑客的故事，安全并不只是黑客，但也許了解了黑客，會更了解安全。想了解黑客，我想首先是不要把黑客當成是生活在月球上的怪人，黑客和我們身邊熟悉的每一個人都一樣，并沒有一套常人無法理解的獨特邏輯支持著黑客的精神世界。02黑客和網絡安全現(xiàn)在我們聊到黑客，喜歡套一個大一點的詞，叫網絡安全。網絡安全現(xiàn)正已經發(fā)展成一個很大的產業(yè)，產業(yè)化就意味著有很多打工人，說的好聽一點叫“白帽黑客”，不過其實和其它工薪階層同樣，都需要面對早高峰、KPI甚至996，就是一份普通而正經的職業(yè)，和大家只有分工的不同，很多院校就盯著這塊的就業(yè)機會，專門開設有網絡安全的相關專業(yè)，體系化地給網絡安全產業(yè)輸送人才。在產業(yè)化的大背景下，不但黑客不怎么神秘，連怎么成為黑客也變得不怎么神秘了。要培養(yǎng)人才，首先得有教材。很多網絡安全的教材開篇就說，在網絡時代剛剛興起的時候，安全問題就一直存著，但是當時的公司企業(yè)只顧大興土木，沒怎么管這一塊，近幾年隨著網絡快速發(fā)展，管理制度也不斷完善，這才重視起來。教材的開篇肯定都是要強調一下這門課程的重要性的，應該沒哪本會說這門課內容不少，但外邊關注的人不多，大家沒興趣的打呼嚕聲盡量小點，別影響到其它同學睡覺。不過，公司和企業(yè)是不是真的自帶天然呆屬性，非得后知后覺呢？我的看法是，安全是一門技術，也是一門生意，網絡安全當然很重要，但書本上所列舉的這些對安全的后知后覺，我想也許卻是精心計較后的結果?，F(xiàn)在網絡安全或者更大一點的安全行業(yè)，已經細分出很多工種，有搞滲透的、有挖漏洞的，挖漏洞的還有分Web的和二進制的，這還都是大的方向。但是在早期，大概是二十來年前，網絡剛剛興起，大家對于黑客的理解還比較純粹，覺得就是技術大牛，都想成為黑客，沒事就凡爾賽一下，吹牛說美國國防部的安全防護做得太次了，剛才沒事我還幫它修了倆漏洞。但是，怎么才能成為黑客呢？非常簡單，黑客有兩個速成的法寶：弱口令和木馬。我記得當年不時就會出來一篇新聞報道，說的大概都是某地出了天才電腦少年某某，不是正在上中學就是剛中學肄業(yè)，然后一門心思專研電腦技術，于某某時候攻破某著名網站。當時的媒體好像都覺得能黑入網站都需要先掌握不得了的技術，這個理解當然也不能說全錯，但是當時人們的網絡安全防范意識缺失薄弱，很多人理解的網絡安全就是加防火墻，但是再強大的防火墻也架不住弱口令。什么是弱口令？注冊賬戶都需要填兩樣東西，用戶名和密碼，不管是你還是黑客，要登錄你的賬戶，都得知道這兩項的內容。對很多人來說，用戶名好想，可是密碼不好想，密碼一般至少是一串6位的數字，日常生活中能達到這樣長度而且還得一直不變的數字并不多見，要是隨便想個6位數字還挺容易，可是要你隔個三五天再想起來當時想的是啥，恐怕就很難了。那怎么辦呢？偷懶的辦法就是挑一些好記又有規(guī)律的數字串作為密碼，譬如說123456，譬如說6個1，譬如說生日，歐美那邊還特別喜歡用passwd，這是英文“密碼”（password）的簡寫。雖然說人的想法千奇百怪，但在設置密碼這方面大家都想到一起去了，你知道黑客也知道，這就是弱口令。你的弱口令讓別人猜到了，別人就能像你一樣登錄你的賬戶為所欲為。你說這算不算黑客？這當然得算。但是你說這玩意需要很高技術含量？見仁見智吧。有些黑客擔心猜弱口令門檻還是太高，好心地把常用的弱口令都收集起來存成TXT文件，起個名字叫“弱口令字典”，以后大家哪怕啥也不懂也可以打開文件挨個試，還美其名曰叫“弱口令字典掃描”，外行一聽直呼內行。不過，話說回來，弱口令雖然看著沒啥技術含量，但架不住效果好，當時你拿著admin作為用戶名和123456作為密碼，在網上轉一圈就能登上好多網站的管理員賬戶，在別人眼里你就是妥妥的大黑客了。說完弱口令再說木馬，木馬這玩意聽著挺有技術含量，其實吧也是見仁見智。先說什么是木馬，木馬英文叫Trojan，早幾年大家應該經?？吹綒④浀牟闅⒂涗浝锞陀薪羞@玩意的。Trojan直譯應該叫“特洛伊”，是一個地名，背后涉及到希臘神話的一個故事，這里就長話短說，總之就是希臘的兩個城邦雅典和特洛伊打起來了，進攻方雅典怎打了十年也打不進去特洛伊城，于是想了個辦法，造了個大木馬，把士兵藏在木馬里面然后假裝撤退。特洛伊人一看腦子犯抽，直接把木馬拖進城里。好家伙，自己把敵人請進門了，用我們的話叫引狼入室。結果不用說，抵抗了十年的特洛伊當天晚上就打出了GG，這就是有名的特洛伊之戰(zhàn)，這個木馬也被稱為特洛伊木馬。說完了特洛伊木馬，說說黑客的木馬。功能差不多，都屬于引狼入室的這一類。很多網絡安全的教材說到木馬，說的好像這是一種黑客專用的工具。不對，從技術的角度來說，木馬屬于遠程控制軟件，是網管的必備工具。別聽到名字覺得很厲害，我說一個大家更熟悉場景，某天晚上老家的爸媽給你打電話，說家里的電腦出了個啥啥啥問題，問你怎么辦。問題很簡單，你一聽就想到了辦法，可是難就難在不知道怎么才能和爸媽講清楚操作方法。怎么辦呢？QQ有個功能叫遠程協(xié)助，請爸媽點開，你就可以像操作自己的電腦一樣遠程操作家里的電腦，QQ遠程協(xié)助就是一種遠程控制軟件。木馬也是一回事。制作木馬是有一些技術門檻的，不過使用木馬門檻就是低得多。以前有一種叫“灰鴿子”的木馬，功能十分強大，但使用特別簡單，譬如說遠程控制這塊，和QQ的遠程協(xié)助不能說十分相像，只能說一模一樣。不過，黑客的木馬和普通的遠程控制總還是有不同之處，主要是兩點。首先是免殺，就是不要被殺軟殺掉。當年有一款聞名天下的殺軟叫卡巴斯基，聞名天下的原因之一是只要卡巴斯基檢測到了惡意軟件，就會播放一段莫斯科中央屠宰場的殺豬一般的提示音，一聽就知道是個狠角色。沒哪位黑客希望這邊剛裝好木馬，那邊的卡巴斯基就發(fā)出豬叫聲，所以要做免殺。那時免殺主要是加殼和反彈端口兩種，都屬于聽起來挺復雜，實際操作特別簡單，就是點幾下鼠標的事。如果第一點聽著還有些技術含量的話，那第二點則是更重要但更沒技術含量，這就是請受害人點擊木馬。所謂木馬，其實也是一個計算機程序，必須得本機點擊運行了才能有效果。你總不能和受害人說，你好我是黑客，我要在你的機器上安裝木馬，請你點擊一下。那怎么辦？得想辦法，讓受害人就像特洛伊人一樣，見了木馬就想點。譬如說改個文件名，叫“X大教室監(jiān)控錄像”，現(xiàn)在很多人沒準見了都想點，更別說當時了。03從網絡安全到數據安全當然，黑客的技術遠不止這些。大家都聽過鄙視鏈，黑客圈也有鄙視鏈。前面我介紹了弱口令和木馬，簡單嗎？簡單，也不簡單。使用起來的簡單，往往意味著研發(fā)的不簡單。這有點像我們的智能手機，操作早都傻瓜化，但是這背后是無數的設計師、工程師投入大量的時間精力不斷地去完善優(yōu)化。黑客圈也深明這個道理，有些人認為這些只知道用工具的黑客玷污了這個象征著技術高超的名詞，于是想了另一個詞作為區(qū)別，叫“腳本小子”。在黑客圈鄙視鏈的最底層，就是腳本小子。不過，我覺得這個鄙視鏈有失偏頗，而在安全行業(yè)產業(yè)化的今天再重新審視，會發(fā)現(xiàn)更多不同的東西。黑客曾經是技術的代名詞，但技術永遠不是黑客的盡頭。我們不說太抽象的東西，還是從身邊的故事說起。就說腳本小子，腳本小子也有自己難以言表的痛苦，而且別人很難理解，這就是無聊。前兩年有兩款火出圈的游戲，一個叫塞爾達一個叫動物之森，很不巧我都沒有玩過。不過我聽說，這兩款游戲非常火，很多原本不玩游戲的朋友，也因為被朋友圈刷屏而去買了來玩。剛開始也覺得確實有趣，但慢慢的都遇到了同一個問題：無聊。通了主線，建好了島，剛開始的目標都實現(xiàn)了，接下來好像沒事可干了，又找不到新的樂趣，反而覺得很痛苦。游戲本身不多說，沒有Switch沒有發(fā)言權，但是腳本小子的“痛苦的無聊”是可以多說兩句的。前面我說黑客有兩大速成法寶，弱口令和木馬，技術門檻不高，但不妨想象一下，假設你真的使用弱口令登錄了某個網站的后臺，或者使用木馬控制了某臺電腦，接下來你該做什么呢？沒事可干?，F(xiàn)在我常聽人抱怨，說現(xiàn)在安全行業(yè)的氛圍遠不如以前，以前大家特別熱愛分享，發(fā)現(xiàn)一點什么恨不得拿只大喇叭讓全世界知道，現(xiàn)在全都成了氪金游戲，大家的技術都藏著掖著，撿到個漏洞還得琢磨一番哪的SRC給得獎金多。我覺得這個說法和前面的課本認為過去的企業(yè)全是天然呆一樣，忽略的時代的發(fā)展變化。網絡安全能成為產業(yè)，是因為現(xiàn)在的網絡承載的價值提升了，說得庸俗一點，網絡現(xiàn)在能變現(xiàn)的渠道多多了。以前的網絡相比現(xiàn)在，就是一只空蕩蕩的大房子，雖然門戶洞開，但是闖進去一看，發(fā)現(xiàn)里面家徒四壁，也沒啥可偷的，還要在墻上留下“到此一游”四個字別人才知道你來過。這就是腳本小子的痛苦。你用弱口令也好，用木馬也好，登錄了網站后臺，或者控制了某臺電腦，能干什么呢？要么是掛黑頁，告訴網管你的網站被黑了，或者告訴別人你黑了網站，要么在電腦桌面上留個TXT，告訴機主有人到此一游。后來有個說法，把這個階段的黑客行為稱作“炫技”，說白了就是沒事可干，只好沒事找事刷存在感。接下來干什么呢？要么是繼續(xù)日復一日地用同一種方法“炫技”，陷入越玩越無聊的窘境，要么就爬爬科技樹，爭取發(fā)現(xiàn)一點新東西。黑客技術也螺旋上升不斷發(fā)展，但是，真正使得黑客這個角色進入新的階段的，還是因為網絡的發(fā)展。網絡資產值錢了。前面講的網絡安全也好，后面要講的數據安全也好，安全不單只是一門技術，也是一門生意，是生意，就要計算投入產出比。前面我們介紹，早期網絡普遍缺乏安全意識，賬戶密碼簡單得弱智，但是背后的原因是什么呢？是成本。這里的成本，說的不僅僅是錢。就拿密碼來說，為什么我們都喜歡簡單的密碼？因為記憶成本低?，F(xiàn)在的密碼動輒8位10位12位，還要大小寫字母加特殊字符，最好還每個網站密碼不一樣，安全系數是提升了，可是記憶成本同樣也提升了，我自己就經歷過好幾次因為忘記密碼而被鎖定賬號的事。安全是需要投入成本的，誰也不會在家徒四壁的時候，有動機去安裝一個5A級的防盜門。而當大家開始安裝防盜門的時候，一定是有了需要保護的東西，而這樣東西的價值遠高于安裝防盜門的成本。這個道理很簡單，但背后的思想并不簡單，現(xiàn)在很多安全策略不再認為必須全盤死守，而應該根據資產價值分區(qū)管理，在某些安全程度相比較低的區(qū)域放置必要但不重要的資產，從而平衡安全和效率二者之間的矛盾。在最開始的時候，互聯(lián)網和現(xiàn)在的加密貨幣一樣，屬于小眾的極客玩具，新潮有趣但是家徒四壁，而隨著網絡時代的來臨，網絡資產的價值上升了一個臺階，黑客或者說網絡安全也進入了新階段。這個階段的標志，我認為是出現(xiàn)兩種專門化的木馬，QQ木馬和網游木馬。QQ木馬和網游木馬的技術含量比遠控類木馬要低，但是出現(xiàn)的時間卻還后者還稍晚一點。顧名思義，QQ木馬就是用來盜Q號的木馬，而網游木馬則是盜取網游賬號的木馬，根據不同的網游發(fā)展出專門或者通用的木馬，譬如說專門盜取傳奇賬號的傳奇木馬。如果單從技術的角度說，QQ木馬和網游木馬的“玩法”要遠比灰鴿子之類的遠控木馬要少得多，配置界面一般就只有一項，填寫收號的郵箱地址，木馬在盜取了賬號和密碼之后，會把相關信息發(fā)到郵箱里。但是，QQ和網游賬號是能夠賣錢的，“黑客”一下子從純粹的“炫技”，變成了一種能夠變現(xiàn)的渠道，群體的數量一下也膨脹了。大家開始意識到，原來網絡安全的缺失會實實在在地造成資產損失，對安全的需求增加了，而作為黑客的對立面，安全人員的數量也因此增加，安全行業(yè)開始出現(xiàn)從個人英雄主義，向產業(yè)化轉向的趨勢。黑客的故事就講到這里，黑客有趣的事還有許多，不過都和本文的主題關系不大，大家感興趣再找其它機會和大家聊。我想分享一個觀點，“黑客”聽起來是一個“技術”的詞，也確實有一種技術叫黑客技術，但我覺得，要真正理解黑客和黑客技術的發(fā)展，可能必須要跳出技術的桎梏，用更為廣闊的視野來研究。數據安全同樣是這樣。04技術以外的數據安全話題現(xiàn)在，數據時代來臨了。大家聊得越來越多的一個話題，叫“數據資產”。現(xiàn)在很多企業(yè)都在討論數字化轉型，說要建數據中臺。業(yè)界對于數據的研究其實一直在進行，也搞出了很多概念，譬如說數據掘金、大數據等等。但這一次不一樣。數據資產是個很大的概念。以前我們討論數據，實際討論的是如何利用數據做好某某業(yè)務，優(yōu)化某某產品，著重點放在后者?，F(xiàn)在不同了，我們討論數據，說的就是數據本身，數據就是業(yè)務，數據就是產品，能夠直接變現(xiàn)。數據資產概念的提出，意味著數據已經從其它業(yè)務的附屬品，變成了一種獨立的企業(yè)資源。有機會我們另寫文章再聊。數據資產的獨立，也意味著數據安全不再僅僅只是依附于網絡安全的一個子概念，而變成一種需要獨立加以研究和管理的對象。這個話題很大，我們不妨從一個黑客術語來具體聊聊。有一個黑客術語叫“拖庫”，有人也稱之為“脫庫”或者“脫褲”，反正黑客不用期末考，沒什么標準答案，總之意思都是同一個意思。拖庫最早是一個DBA的詞，數據庫管理有時候需要對數據進行導出操作，譬如說做數據備份或者數據遷移。黑客盯上了這一點，想辦法把數據庫“備份”到了自己手上，這就是拖庫。數據庫存儲的內容很多，就拿論壇來說，數據庫至少就包括用戶列表、文章列表、關注列表、評論列表等等等等。黑客的存儲空間也是有限的，就算找到辦法拖庫，只會挑有價值的拖，最開始的時候，只拖用戶列表。有什么用呢？破解賬戶對應的密碼，然后“撞庫”，簡單來說就是知道了用戶在A網站的用戶名密碼后，試試能不能在B網站登錄，算是高端一點的“弱口令”，這也是為什么現(xiàn)在提倡盡量不要一個密碼走天下，尤其是重要的網上應用，譬如網銀，必須要用不同的密碼，不然真的是一損俱損了。不過，拖庫的內容也在變化。一些黑客開始對密碼之外的基本信息產生興趣，譬如說聯(lián)系電話、家庭住址等等。賬戶密碼的重要性大家比較好理解，可是對于電話和住址這類基本信息，很多人一開始并不理解有什么重要。我記得之前還有個朋友反駁我，說讓黑客偷了電話和地址能有啥大問題，黑客會挑凌晨提供叫醒服務？還是循著地址寄刀片？現(xiàn)在大家應該就好理解多了。有一次我接到電信詐騙電話，對方提供了我的巨細無比而且十分準確的個人信息，要不是在業(yè)內混久了多少帶有點安全本能，加上對方出現(xiàn)了一個明顯的失誤，找來一位滿嘴閩南口音的同伙扮演北方人，我可能就要做出一些對不起安全從業(yè)人員這塊牌子的事情了。現(xiàn)在大家對待“拖庫”的態(tài)度也越來越嚴肅，尤其是大網站名企業(yè)，一旦被人“拖庫”，我們就會用一個更為嚴肅的詞來形容，叫“數據泄露”?！靶孤丁笔莻€很重的詞，以前我們說“核泄漏”、“原油泄漏”，一次泄漏事件就是一次危機，相關的人員、企業(yè)乃至國家都很可能損失嚴重甚至遭到滅頂之災。但是，這個詞又恰到好處，移動支付被稱為新四大發(fā)明，我們不妨想象一下，一旦某家移動支付商出現(xiàn)數據泄露，哪怕只是無關痛癢的一小部分，對各方帶來的震撼和信任危機一定一點也不亞于一次傳統(tǒng)的泄露事件。而更可怕的是，數據泄露遠比傳統(tǒng)的泄露事件要難發(fā)現(xiàn)得多，等到發(fā)