微慑信息网

浅谈互联网安全从业者的自我保护

写这篇文章其实想了很久,结合最近行业内发生的一系列事件,笔者先抛出几方面的问题与大家共同探讨一下,互网安全从者如何在这个“高危行业”中不触碰底线,并且“安全”健康的成

 

近两个月公开了好些个信息泄露事件,我就不一一列举,也暴露了现在很多企业存在的问题和不足,结合今天的热点安全事件引发了行业内的广泛关注,但是更反出了一些问题,试问:每个人工作和生活过程中接触安全行业相关联的东西是否合法合规?安全从者如何保自己?是否真正实现了自我安全?回些年安全生的大大小小的各事件,想必大家已经见怪不怪了,但是什么会持似的问题现?核心的问题是什么?很少看到有人公开讨论这话题,希望本文的一些思考能对信息安全出一些参考的建

 

安全技是一把双刃,有人会利用它去犯罪牟利,有些人会它来帮助企和有关部解决安全问题,打犯罪。当然有不少安全从者在工作和学习过程中,能接触到更多核心数据、核心业务,与数据和金钱走得太近的人,受到身边环境氛和一些不法分子的惑,而迷失的案例不在少数。如何去面对这些利益的惑,如何在安全道路上,如何保自己,作为信息安全者如何去明确安全界,法律界,也是我今天要探话题

 

没有网安全就没有国家安全,安全人才的价应该在合理合法,足法律合的情况下行的。随着近几年大家信息安全专业热衷,更多安全新人狂涌入到安全行业当中,很多安全新人在安全意识和自律上相比之下,了解的相对偏少。但是,问题来了,如果一个安全从者缺乏安全认知,缺乏法律意识,甚至没有最基本的自律,职业道德,再什么安全人才的价对于广大已经走过早期安全新人阶段的从业者、已在各个领域有一定建树的行业专家,资深大拿更应该有责任和义务站出来去给行业新人、从业者去引导,避免类似事件生,明确风险边界,哪些有明显的问题,哪些是法律界限,相对模糊。

 

从个人经验经历给大家分享一些心得和可操作性的建。首先,尽可能的多了解国内的法律法的,包括行政策的定,推荐了解下:刑法直接跟计算机相关的罪名和条款《非法侵入计算机信息系统》、《非法获取计算机信息系统罪》、《非法控制计算机信息系统罪》、《非法获取个人公民信息罪》、《敲诈勒索罪》、《提供专门用于侵入、非法控制计算机信息系统的程序、工具罪》等罪名,间接使用互联网信息技术犯罪的种类就多了,再次不一一列举,有条件的情况下,可以买本《刑法修正案十》和网络安全法学习一下。在工作和生活当中,希望从业者注意以下几个事项,真爱自己请重点关注:

1没有授的前提下,不要触碰各网站(包含企业网站),特国家事、国防建、尖端科学,政府相关网站,不要触碰ZF与国家背景企业的网站。

2、不要在不明确业务边界和界的前提下,突破原有的系统权限和数据限。

3不要持有公民信息,不要搭建社工库,云盘、电脑、手机不要存储公民信息数据。

4、项目授权范围内做的相关工作,获取到的项目文件、商业文件、公民数据、“shell”等结果及时删除和清除

5、写技术文章的过程中,不要过于披露涉及漏洞与通用型问题细节不要提供工具!!文章内容该模糊化的地方,要做二次处理避免被二次利用。

6不要做漏洞、数据交易,不要在不了解对方背景情况下给“犯罪分子”提供技术思路

7、多学习法律、不要过度炫技,低调求发展。

 

另外,针对这话题好得到了网安的看法和建,与之共勉:

对这个行和群体比熟悉,看到个新甚是惋惜,请业内高管,成名大神,行者警醒,谈谈我的三点意

一、不要无知,做法盲。网安全行被无知媒体和无法律意者,化包装成极客,所欲的极客,是无知法盲的包装!

二、不要无畏,知法犯法。网安全行化法律风险,重点去学学《刑法》《网安全法》。会做假都知道有可能要取消从业资格,甚至坐牢。网安全从者更甚!

三、不要幸,害人害己。小黑入行的导师和网安全行管理者,要严肃,网安全行是高危职业。不仅强调术门槛高,技术难度高,更要强调入罪风险高!切授犯罪方法也是犯罪!”

 

最后,不要在自己年自己的无知,买单。

原文始发于微信公众号(301在路上):浅谈互联网安全从业者的自我保护

本文标题:浅谈互联网安全从业者的自我保护
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2018/0925_8665.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 浅谈互联网安全从业者的自我保护
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们