以下是前几天的某个集中分享实录，主要是网络安全知识的普及，提醒每个朋友重视数据安全，保护个人隐私。

大家好！我分享题目是：《互联网时代，我们如何保护好个人数据》。主要是个人在网络安全上的一点小见解，希望对咱们的工作和生活有所帮助，说的不好的地方请指正。谢谢！

故事从一则银行卡被复制的新闻说起

4月份，不知道大家是否注意过这样一则新闻：记者深入卧底银行卡盗刷黑幕调查发现，购买一个特定的复制设备和软件，就可以在十秒钟内复制出一张跟原卡一模一样的银行卡，能够直接在ATM机上取款。

这个事情其实挺可怕的，一张银行卡被不法分子直接复制，然后正大光明将自己的钱取走，哭都没地哭去。可怕的不仅是如此，更有安全专家说，除了直接复制卡片外，通过网络渠道还可以购买到上百万条银行卡信息，包括姓名、身份证、银行帐号、取款密码等详细的信息，利用这些泄露的银行卡帐号信息，也可以轻松在异地复制出一张一模一样的银行卡。

这是怎么做到的呢？原来：

1、大部分的磁条银行卡是M1卡，基本存在被复制风险的，不法分子购买一套M1卡复制器就能轻易复制；

2、如果在用户消费时（酒店、商店等）被不法分子盯上，就可能偷偷进行复制；

那么该如何防范呢？我们能做的是：

1、消费使用银行卡时，银行卡一定要在视线内；更不要把手机、银行卡交给陌生人；

2、把银行逐渐升级为IC芯片卡，这类银行卡的安全性比较高，不易被复制；

3、不要去一些不正规的网点、路边摊刷卡消费，以防止卡片被复制；

4、银行卡密码尽量设置复杂并定期修改；

5、账户分级管理，最重要的银行卡不要开通网银及第三方支付；

网络时代也是数据时代

回到原先的话题，这条新闻说的是银行卡被复制导致的资产损失，其实更直接暴露出了互联网时代最大的威胁——个人数据。

我们经常会收到各类诈骗短信、推销电话。例如猜猜我是谁、冒充公检法、假冒老师亲友发短信等，原因都是我们的个人数据泄露了。

这些被泄露的数据库又被黑客整合成巨大的社工库，通过社工库可以反查到用户注册登记的个人资料等完整信息。而在互联网“黑市”里，每天都进行着大量个人数据信息的买卖，只要几万甚至几千就可以买到上百万条银行卡、姓名、卡号、身份证号、电话和密码等隐私信息，这些数据全是真实的，不法分子拿着这些数据进行电信诈骗、网络诈骗等等。

所以说，互联网时代其实是一个数据时代，可以说只要上了网，在网上输入过隐私信息，个人数据已经有50%被泄露的可能了，之所以没受害是因为没轮到自己而已。

展开全文

那么问题来了，我们的数据是怎么泄露的呢？

个人数据被泄露主要是以下七种渠道

那么我们的数据是通过那里泄露的呢？综合来看，主要有七个渠道。

1、各类服务机构：例如学校、车管所、医院、证券公司、装修公司等公共平台和服务企业，很多都是内部人员利用管理上存在的漏洞，为一己私利主动卖出去的，俗话说：千防万防，家贼难防。

2、存在漏洞的网站和云平台：部分网站、APP等由于缺乏健全的安全管理机制存在各类接口漏洞、软件漏洞、系统漏洞、人为漏洞（管理人员权限设置、工作失误等等）等，都可以导致被黑客入侵，然后直接窃取下载数据。例如，12306、网易等都曾爆出数据泄露的消息。

3、各类钓鱼网站和木马软件：制作假冒的银行、电商、服务网站，诱导用户登录并输入关键信息，这类虚假网站和软件多如牛毛，有的甚至还在某些搜索引擎上做竞价广告。而病毒软件不仅是冒充正规软件出现在现在站或APP商城中，还会通过云盘、QQ等进行一对一的发送，一旦被下载安装，就可能导致个人数据丢失。

4、快递等以前不被注意的渠道：快递已经从成为人们不可获取的生活服务之一，是链接消费者与企业的重要渠道。由于快递公司掌握了寄收的关键信息，成为不法分子获取个人数据重要目标。2014年，杭州就判了几个专门倒卖快递数据的人。从意想不到的源头上窃取数据越来越成受到关注。新闻报道说，某次考研试题泄露就是有人买通了考卷印刷厂工人。

5、存在漏洞基础软件：2015年9月，多家安全企业都曝光了一起名为XcodeGhost的安全事件，病毒制造者通过感染苹果应用的开发工具Xcode，让AppStore中的正版应用带上了会上传信息的恶意程序。据估算，受到影响的用户数量会超过一亿。恶意程序能够直接读取用户的机密数据，如果基础软件都沦陷了，那么使用这些平台构建的软件都存在泄密威胁。

6、不安全的网络和网络硬件：公共WiFi不安全的报道CCTV做过很多次普及了，就不再累述，总之在公共场合使用网银、邮箱、支付等，尽量使用移动网络。同理，如果一个公司或用户的路由器、交换机硬件不安全了，数据也存在随时被窃取的可能。

7、操作系统漏洞：大家使用Windows系统的话会经常打补丁，之所以打补丁是因为系统有漏洞，一般病毒也是利用漏洞来运行的，如果不及时修复，病毒就会趁虚而入窃取用户数据甚至破坏电脑运行。Windows全球有几十亿人在用，像安卓、iOS也是这样，一旦出现漏洞就会影响全球几百亿移动设备。所以，有系统漏洞要及时修复。

8、伪基站：不法分子使用专业的设备，假冒运营商、银行、航空公司、保险等公共服务机构、企业，甚至他人手机号码，强行向用户手机发送诈骗、广告推销等短信息，以诱导网友相信从而转账、登录、窃取资金，并窃取到网友身份证、电话等隐私信息。

上面频繁出现了一个词——漏洞

漏洞是什么？漏洞就是缺陷，任何事物都有漏洞。打个比方，一艘船上如果出现重大漏洞会导致船沉人亡，那能够造出没有一个漏洞的船吗？基本不可能！

船的漏洞可能是船厂设计不合理，也可能是出制造工人干活不规范，也可能是用材不达标，也可能是可能是材质被虫蛀，甚至可能开船的人没经验。虽然船经常检修，发现漏洞后就用木板和钉子修不起来，但是在不同水域、不同天气、不同环境、不同驾驶者、不同载重等等，不同条件组合下，船会出现不同漏洞。

所以说世界上没有毫无漏洞的软件，因为软件是人做的，是人都会犯错，硬件也是。

面对网络威胁，我们该怎么防范？

上面说了数据泄露的七个主要渠道，其实也是网络威胁的常见方式。面对这些危害我们如何最大可能性保护自己的数据安全呢？以下是个人总结的几个有效方式，不能有效杜绝，但是比80%的网友强一点点。不是有句话说的好嘛：不一定跑得比狮子快，但跑的比身边人快就可以。所以，成为20%的人，那80%的人自然成为威胁的防火墙。

第一、账户密码尽量使用10位以上，数字+拼音的密码，更不要把账号密码信息告诉他人。

第二、不同网站、不同平台、不同APP注册时要使用不同的账号密码，避免“一套账号走天下”的情况。

第三、密码定期更换，并且设置密保邮箱或手机，并且密保邮箱不要对外使用。

第四、不要点击陌生人发来的网站更改密码的提醒短信，也不要点击陌生人发来的网站链接和文件，不要轻易扫陌生二维码。

第五、安装杀毒软件，并且定期进行扫描查杀；尤其使用Windwods系统的电脑要定期打补丁。

第六、尽量不使用公共WiFi，不使用来历不明的硬盘、U盘、智能手机等。

是不是很简单？那就抓紧行动起来吧！

其实，国家也很重视网络安全

2010年伊朗核计划失败在国际上引起发了强烈反响。为了破坏伊朗核实施，攻击者经过缜密分析和追踪，并利用“美女胭粉计”接近目标人员，并将其作为跳板成功入侵之伊朗核实施内网。然后把植入了病毒代码的U盘接入核心网络的电脑，病毒迅速交叉感染内网电脑，攻击目标服务器和主控设备，并最终报废掉五分之一的离心机，使伊朗的核计划功亏一篑，直到现在还没翻过身来。

这种攻击手段在网络安全上叫做APT，就是持续性不间断攻击。攻击者首先进行精确的数据分析，然后挖掘到任何可以利用的软件、应用和流程漏洞，然后组建攻击网络，最后利用已知漏洞或未知0day漏洞执行破坏。该事件被称为伊朗“震网”攻击。

如今的网络不只是生活工作的重要组成部分，更成为交通、金融、航天、航空等各个行业生产和管理的重要支撑，尤其随着移动互联网和智能硬件的普及，万物互联、分工智能、无人驾驶等新科技时代将来临。如果不重视网络安全，后果不堪设想。

尤其随着伊朗震网事件、“棱镜门”等网络事件的爆发，网络安全获得前所未有的关注。

2014年成立了以习近平总书记为组长的“中央网络安全和信息化领导小组”。在领导小组第一次会议上，习近平总书记以“没有网络安全就没有国家安全，没有信息化就没有现代化”的清晰战略，提出了建设网络强国的战略目标。同时，每年举办的“国家网络安全周”，CCTV、315晚会等各大媒体纷纷曝光网络安全事件，都在普及相关知识，让人们重视网络安全，重视个人数据的保护。

互联网企业也在努力

当然，作为数据主要生产和管理者的国内互联网企业也在不断加强自身的安全性，并通过自研、收购等多重方式提升自身网络安全性，尽最大努力保护用户的数据安全。

阿里巴巴拥有全球最大的电商平台，自成立以来就很重视数据安全，要不然怎么能保障淘宝、支付宝安全无虞的呢。不仅现在成立了国内最大的网络安全部门，吸纳了国内外的安全精英，还推出云盾、钱盾等领先的安全产品，并且不断通过收购和投资来增强安全实力。例如，2014年收购安全宝“破壳产品”业务线、2015年5月收购翰海源。特别说下翰海源公司，这个是被被誉为“中国的FireEye”，能够防御APT攻击的（就是防范类似伊朗“震网”攻击）。

腾讯不仅推出了管家系列软件，还挖来了安全大牛tombkeeper和袁哥，投资了上海碁震（拥有国内最顶尖的安全研究团队“Keen Team”，其中包括吴石——那个“全球发现苹果漏洞最多的中国黑客”），入股了知道创宇，还与启明星辰联手推出专门的企业安全产品。

百度推出了针对个人安全百度卫士等产品，推出针对企业安全的百度云安全服务，完成对安全宝产品的收购，吸引了知名安全专家韦韬加盟，并陆续与多家公司达成战略合作，用以补充自己的云防护体系。

此外，很多民间机构也在做安全防护和预警工作。例如乌云第三方漏洞平台通过奖励等机制鼓励白帽黑客去发现漏洞和潜在威胁，帮助平台、软件、机构和公司去做好数据安全的预防。

这些可能隐藏在后端，大家无法及时感知到，但是确实在保障使用者的数据安全。

写在最后

好了，一个小时了，该说结语了：在这个互通互联的网络时代，单个企业、单个人的安全是无法独善其身的，只有人人安全、合作伙伴都安全、整个环境都安全才能最大限度保障自己的网络安全，这也是网络安全的更高等级。毕竟，将威胁降到最低点的网络才是人人都感觉到安全的网络。谢谢！