浅谈互联网安全从业者的自我保护

写这篇文章其实想了很久，结合最近行业内发生的一系列事件，笔者先抛出几方面的问题与大家共同探讨一下，互联网安全从业者如何在这个“高危行业”中不触碰底线，并且“安全”健康的成长。

 

近两个月公开了好些个信息泄露事件，我就不一一列举，也暴露了现在很多企业存在的问题和不足，结合今天的热点安全事件引发了行业内的广泛关注，但是更反应出了一些问题，试问：每个人工作和生活过程中接触安全行业相关联的东西是否合法合规？安全从业者如何保护自己？是否真正实现了自我安全？回顾到这些年安全领域发生的大大小小的各类事件，想必大家已经见怪不怪了，但是为什么还会持续有类似的问题出现？核心的问题是什么？很少看到有人公开讨论这个话题，希望本文的一些思考能对信息安全从业者给出一些参考的建议。

 

安全技术是一把双刃剑，有人会利用它去犯罪牟利，有些人会它来帮助企业和有关部门解决安全问题，打击犯罪。当然有不少安全从业者在工作和学习过程中，能接触到更多核心数据、核心业务，与数据和金钱走得太近的人，受到身边环境氛围和一些不法分子的诱惑，而迷失的案例不在少数。如何去面对这些利益的诱惑，如何在安全道路上，如何保护自己，作为信息安全从业者如何去明确安全责任边界，法律边界，这也是我们今天要探讨的话题。

 

没有网络安全就没有国家安全，安全人才的价值体现更应该在合理、合法，满足法律合规的情况下进行的。随着近几年大家对信息安全专业热衷，更多安全新人疯狂涌入到安全行业当中，很多安全新人在安全意识和自律上相比之下，了解的相对偏少。但是，问题来了，如果一个安全从业者缺乏安全认知，缺乏法律意识，甚至没有最基本的自律，职业道德，再谈什么安全人才的价值？对于广大已经走过早期安全新人阶段的从业者、已在各个领域有一定建树的行业专家，资深大拿更应该有责任和义务站出来去给行业新人、从业者去引导，避免“类似事件”的发生，明确风险边界，哪些有明显的问题，哪些是法律界限，相对模糊。

 

从个人经验和经历给大家分享一些心得和可操作性的建议。首先，尽可能的多了解国内的法律法规的，包括行业政策的规定，推荐了解下：刑法直接跟计算机相关的罪名和条款《非法侵入计算机信息系统》、《非法获取计算机信息系统罪》、《非法控制计算机信息系统罪》、《非法获取个人公民信息罪》、《敲诈勒索罪》、《提供专门用于侵入、非法控制计算机信息系统的程序、工具罪》等罪名，间接使用互联网信息技术犯罪的种类就多了，再次不一一列举，有条件的情况下，可以买本《刑法修正案十》和网络安全法学习一下。在工作和生活当中，希望从业者注意以下几个事项，真爱自己请重点关注：

1、没有授权的前提下，不要触碰各类网站（包含企业网站），特别是国家事务、国防建设、尖端科学，政府相关网站，不要触碰ZF与国家背景企业的网站。

2、不要在不明确业务边界和责任边界的前提下，突破原有的系统权限和数据权限。

3、不要持有公民信息，不要搭建社工库，云盘、电脑、手机不要存储公民信息数据。

4、项目授权范围内做的相关工作，获取到的项目文件、商业文件、公民数据、“shell”等结果及时删除和清除。

5、写技术文章的过程中，不要过于披露涉及漏洞与通用型问题细节，不要提供工具！！文章内容该模糊化的地方，要做二次处理避免被二次利用。

6、不要做漏洞、数据交易，不要在不了解对方背景情况下给“犯罪分子”提供技术思路。

7、多学习法律、不要过度炫技，低调求发展。

 

另外，针对这个话题，刚好得到了网安专家的看法和建议，与之共勉：

“我对这个行业和群体比较熟悉，看到这个新闻甚是惋惜，请业内高管，成名大神，行业从业者警醒，谈谈我的三点意见：

一、不要无知，做法盲。网络安全行业被无知媒体和无法律意识从业者，强化包装成极客，为所欲为的极客，这是无知法盲的包装！

二、不要无畏，知法犯法。网络安全行业技术人员要强化法律风险，重点去学学《刑法》《网络安全法》。会计做假账都知道有可能要取消从业资格，甚至坐牢。网络安全从业者更甚！

三、不要侥幸，害人终害己。小黑入行的导师和网络安全行业管理者，要严肃告诫从业人员，网络安全行业是高危职业。不仅强调技术门槛高，技术难度高，更要强调入罪风险高！切记，传授犯罪方法也是犯罪！”

 

最后，不要在自己年轻的时候为自己的无知，买单。

原文始发于微信公众号（301在路上）：浅谈互联网安全从业者的自我保护