在人们的生活已愈发离不开网络的当下，网络却似乎越来越不安全了。

近来，互联网安全问题一再爆发。弹幕网站AcFun、摩拜、优酷、前程无忧，甚至中國(guó)铁路总公司的12306，相继被传有(yǒu)上千万用(yòng)户数据泄露，包括用(yòng)户的邮箱、密码、真实姓名、身份证号码、電(diàn)话等被人瞬间摆上“货架”兜售。

更早些时候，暗网上甚至出现了一个高达41GB的数据文(wén)件，涉及Gmail、Hotmail、Sina、qq、163等共14亿个邮箱地址，堪称“暗网史上最大的数据库”。

也就是说，若有(yǒu)人想以此牟利，普通消费者在网上的一切信息都可(kě)能(néng)被瞬间曝光，你的手机、网络银行、股票账户随时都可(kě)能(néng)被入侵。

工具的使用(yòng)促进了人类的进化，為(wèi)人类提供了便利，互联网更是在彻底改变人类生活。然而，在另一面，网络安全正日益捉襟见肘，风险不断上升。相关数据显示，自2015年开始，全球的数据泄露规模便成几何式增長(cháng)。2015年，7.07亿条数据泄露；2016，14亿条；2017年，50亿条……

风险在上升，技术也会进化。如今，全新(xīn)的开放式网络安全理(lǐ)念正在悄然崛起，这能(néng)否成為(wèi)挽救网络安全的一剂良方？

“裸奔”时代

互联网，拉近了人与人之间的距离，也撕碎了人类的遮體(tǐ)布。在网上“裸奔”的网民(mín)，不仅被“画了像”，这些“画像”甚至还被出售牟利。

截自暗网的图片显示，近日被兜售的数据库除涉及AcFun网站外，还有(yǒu)优酷、摩拜、12306、前程无忧以及各大邮箱网站。其中AcFun数据的价格从7000元到12000元不等；摩拜单車(chē)的用(yòng)户数据整體(tǐ)标价40万，12306的3000多(duō)万条数据售价10个比特币（发稿时每比特币约6500美元），5000万条优酷数据则被黑客要价80个比特币。

算下来，一个普通消费者的全部信息，还不到1分(fēn)钱。我们所有(yǒu)的信息，似乎一文(wén)不值。可(kě)当这些数据落入违法者的手中，对个人造成的损失或以万计。

暗网出售的这些信息并没有(yǒu)被完全证实来源于其所宣称的各大网站或平台。即便如此，面对这些打着各自旗号的所谓泄露信息，各大网站的反应各不相同。

AcFun的态度最诚恳。该网站承认被泄露的用(yòng)户数据包括用(yòng)户ID、用(yòng)户昵称、加密存储的密码等。“根本原因在于我们没有(yǒu)把AcFun做得足够安全。”有(yǒu)意思的是，在AcFun发布公告后，有(yǒu)黑客即发帖表示，“出于A站客服态度诚恳”，他(tā)们将无条件删除这次数据库资料，也不会出售任何相关数据和漏洞。

同样被卷入数据泄露风波的摩拜则称，公司在收到情报后第一时间启动全量排查，暂未发现数据泄露和入侵的现象。中國(guó)铁路总公司官方微博则表示，网传“12306数据疑似泄露”，经核查，该网站未发生用(yòng)户信息泄露。

前程无忧在回应中说，样本数据中只有(yǒu)部分(fēn)账户密码能(néng)够成功登录，因此网站数据库被入侵或整體(tǐ)泄露的可(kě)能(néng)性不大。“释放出来的样本数据，都是在2013年之前注册，大部分(fēn)来自此前遭泄露的邮箱账户和密码。”

传言和回应，普通的网民(mín)真假难辨，但这种不安全的环境却越来越明显。普通消费者至少有(yǒu)权了解，自己在互联网上是如何被变成“裸奔者”的。

“裸奔者”的诞生

和进化中的人类一样，进化中的互联网也并不完美。从技术派黑客到安全从业者，从政治上的中心权威主义到去中心化的无政府主义，互联网几乎就是现实人性与社会的映射體(tǐ)。

“裸奔者”的诞生，正是这些矛盾的衍生品。比如，网站管理(lǐ)者认為(wèi)，用(yòng)户数据是隐私，必须严加保护。而著名的黑客埃里克·雷蒙德却认為(wèi)，所有(yǒu)的信息都应该是免费的，要打破電(diàn)脑特权，计算机才会使生活更美好。双方于是产生了进攻和防守，攻防之间，用(yòng)户数据的泄露在所难免。

在技术上，用(yòng)户数据的泄露并不神秘。网络安全专家、“漏洞银行”CTO张雪(xuě)松认為(wèi)，排除内鬼因素，黑客一般是利用(yòng)漏洞入侵网站服務(wù)器，直接将用(yòng)户数据库导出偷走，这叫“拖库”。

完成“拖库”之后，黑客还会进行“撞库”攻击，就是黑客在获得甲网站的用(yòng)户账户和密码之后，再用(yòng)这些账户密码尝试登录乙网站。“多(duō)数网民(mín)会在不同网站上注册相同的账号和密码，通过撞库，黑客无需入侵乙网站，就能(néng)获得一系列可(kě)以登录乙网站甚至更多(duō)网站的用(yòng)户数据，而且这一过程是通过程序自动批量来进行的。”

完成“撞库”后，部分(fēn)无效或者重复的数据将被剔除，只剩下有(yǒu)效的用(yòng)户数据。这些在不同网站上注册的用(yòng)户信息相互补充，可(kě)以形成更加丰满的“裸奔者画像”，然后再转卖黑产进行价值变现，这个过程就叫“洗库”。“比如传言被泄露的14亿邮箱数据，应该是在过去数年中不断地撞库、洗库而累积起来的。”

“冰山(shān)”底部的黑产

在信息即商(shāng)机的今天，围绕着网络用(yòng)户数据，已经形成了一个完整的、极其成熟的网络黑色产业链（简称“黑产”）。根据2017年的测算，中國(guó)“网络黑产”从业人员已超过150万，市场规模达千亿级别。

在这个黑产中，有(yǒu)单个的黑客，也有(yǒu)黑客组织，他(tā)们通过网络技术明确分(fēn)工。比如有(yǒu)人专门负责入侵网站，实施“拖库”，盗取用(yòng)户数据。有(yǒu)人负责“撞库”或者“洗库”，还有(yǒu)人专门做暗网兜售，将这些数据变现。

在黑产的下游，有(yǒu)政治或者商(shāng)业竞争对手，也有(yǒu)利用(yòng)这些数据进行電(diàn)信诈骗的团伙。2016年的“徐玉玉被诈骗案”，正是由于骗子掌握了徐玉玉完整的录取信息、手机号码等个人信息，才能(néng)够精准实施诈骗。

黑产离不开暗网。所谓暗网，是一个完全匿名的、不能(néng)被搜索引擎检索、IP地址很(hěn)难被跟踪的网络。黑产交易绝大部分(fēn)都是通过暗网完成的，而且使用(yòng)的是隐匿性很(hěn)强的数字货币。正是因為(wèi)有(yǒu)极强的隐蔽性，暗网成了犯罪者的天堂。

令人吃惊的是，在暗网上收購(gòu)用(yòng)户数据的，不仅有(yǒu)黑客、黄牛、诈骗犯以及政商(shāng)竞争对手，也有(yǒu)正规的网络安全公司和大数据公司。

“网络安全公司主要是購(gòu)买漏洞技术，為(wèi)客户提供补漏服務(wù)。大数据公司则需要原始数据，比如他(tā)们想做网購(gòu)行為(wèi)分(fēn)析，自己没有(yǒu)電(diàn)商(shāng)平台，又(yòu)无法从大的電(diàn)商(shāng)平台获取，那就只能(néng)从暗网購(gòu)买。这种購(gòu)买肯定不符合法规，但是因為(wèi)其隐蔽性，很(hěn)难被查处。”张雪(xuě)松还透露，现在暗网上卖得最火爆的，已经不是邮箱账号、密码之类的数据，而是外卖、快递、購(gòu)物(wù)、理(lǐ)财类的信息。这些信息不仅包含有(yǒu)个人的物(wù)理(lǐ)定位，还能(néng)反映出个人的消费和资金等情况。

在这些大数据面前，人人都是“裸奔者”，而这却是商(shāng)家实现精准营销所急需的。

漏洞的价值

暗网和表层网相互交织，加上黑色产业背后的巨大利益，导致要想彻底铲除黑产，几乎不大可(kě)能(néng)。

人类最美好的健康，是不生病、不吃药，不需要庞大的医疗产业。同样的，大家期待的网络安全，是“夜不闭户、路不拾遗”，不需要任何的防护。

“在纷繁复杂互联网世界里，这样的理(lǐ)想状态几乎就是幻想。就像木(mù桶存在短板一样，任何网站都无法做到固若金汤，肯定有(yǒu)薄弱之处和漏洞。所以，漏洞本身是非常有(yǒu)价值的。”张雪(xuě)松解释说，所有(yǒu)诈骗電(diàn)话、钓鱼邮件、欺诈短信，都和个人信息泄露有(yǒu)关。假如金融网站漏洞被黑客掌握，上亿资金瞬间就会被转走；如果城市電(diàn)力系统的漏洞被掌握，整座城市可(kě)能(néng)会陷入黑暗。在黑市上，微软的漏洞交易价格从1万美元到30万美元不等，而各國(guó)國(guó)防安全系统的漏洞，其价值更是无法预估。

“与其让恶意黑客掌握这些潜在漏洞，流入黑产市场，不如鼓励拥有(yǒu)黑客技术的人发现漏洞，提供给企业和机构，并帮助他(tā)们建设更安全的网站。”正是基于这样的理(lǐ)念，才有(yǒu)了漏洞平台的诞生，而这些发现漏洞帮助企业的“黑客”被称為(wèi)白帽子。白帽子和企业之间的有(yǒu)效合作，可(kě)以帮助企业将安全隐患扼杀在萌芽时期。”

“开放安全”的理(lǐ)想

道高一尺，魔高一丈，网络安全技术在提高，但黑客技术也在不断发展。特别是借助近年来出现的大数据、互联网、人工智能(néng)和區(qū)块链前沿技术，黑客和白帽子同样都在不断进化，双方对漏洞的争抢更加激烈。

面对如今恶劣的网络环境，企业又(yòu)该如何应对呢(ne)？“漏洞银行”CTO张雪(xuě)松表示，目前的网络环境复杂，安全事故无法避免，很(hěn)多(duō)企业还固守着传统的“防火墙”式的安全思维，只注重防御攻击和防护建设，却忽略了更重要的事故影响。一旦黑客入侵成功，企业和个人就损失惨重。

张雪(xuě)松认為(wèi)，转变观念是第一要义。首先，企业不应该执行“闭门造車(chē)”式的安全，而应对IT系统进行整體(tǐ)性的、开放式的、大范围的“黑客攻击”测试，从“黑客攻击”测试中发现问题进行及时修补。

其次，企业要构建动态免疫能(néng)力。因為(wèi)传统的规则式防护體(tǐ)系已经无法防御先进的黑客攻击，必须具备动态防护免疫能(néng)力，根据后果影响产生相应的防护策略，更多(duō)的抵御零时差攻击。

第三，企业应构建风险敞口管控机制。即使黑客入侵成功也无法获得核心数据和权限，把传统的风险管理(lǐ)思想升级為(wèi)风险敞口管控。

第四，构建关键行為(wèi)损失中断机制、購(gòu)买安全保险、建立反入侵追查、联动应急响应等措施，确保安全事故的范围在可(kě)控范围内并能(néng)从中不断升级形成免疫能(néng)力。

“如果有(yǒu)一天，漏洞变得毫无价值了，互联网也就真正安全了。”张雪(xuě)松说。