caoz的梦呓：信息安全，别为了芝麻丢了西瓜

猫宁！！！

参考链接：https://mp.weixin.qq.com/s/z6UI-tdhN1CGdqQQuglLVQ

对方公众号：caoz的梦呓

我之前写微博的时候，经常就有读者反馈说，你怎么用360浏览器啊，你不知道360流氓么。

当然，我并不是要给360做广告，但我应该用什么呢？360只是一种选择而已，未必是最好的，确是成本最低的。很多人说，甚至一些程序员说，高手都不用安全软件的，我不知道这是怎样的高手？

到今天，还有人坚持认为，只要不乱点链接，不打开奇怪的附件，不上奇怪的网站，电脑就不会中招，这是怎样的无知，从2001年起主动感染性的电脑病毒就已经肆虐互联网了，都16年了，居然还有人认为只要自己不操作，就不会出事。无知如此，还振振有词，遇到这种，我也是无语了。

我以前说过这么一段话，很多人，每天各种自拍发朋友圈发Qzone发微博，我今天去哪里了，昨天去哪里了，明天要去哪里；我都见了谁还要去见谁，家住哪里，孩子在哪读书，全都写出来，甚至见过有人把信用卡拍照发陌生人的大群里完全不打码；然而突然有一天，看了一下网络新闻，恍然大悟的说，我靠，原来百度/360/腾讯 偷了我的cookie。

我知道很多人会说，自己暴露是一回事，别人窃取是另一回事；但我要说的是，很多人对自己的隐私安全意识极为淡薄，却被某些舆论诱导的神经兮兮，该做的防护不做，犯不着操心的事情却操心的不亦乐乎，自以为很懂，但事实上却根本分不清利害。

最近互联网勒索事件很热，暴露几个问题，我也想跟读者分享一下我的观点。

1、流行的蠕虫都具有主动攻击性，防护软件必不可少。

所以很多银行，电信，车站的服务机构电脑，只提供最基本的特定服务，从来没有人用来上网的那种，也都纷纷中招。

安全工具和防护软件必须安装，裸奔是非常愚蠢的行为。

选择安全软件最好选择流行的，主流的，并不是说技术好坏，样本库全，出问题升级的速度最快，只要你不是第一波中招的，你有很大的机会躲过去。

我会要求我的员工务必安装主流的安全工具，当然，你用腾讯的也行，用360的也行，自己花钱买趋势的也行，这个我不会过度要求，反正，裸奔绝对不行，小众的也不行。

2、操作系统能用最新版本升最新版本，不能用最新版本打最新补丁。

99%以上的安全问题都是因为升级不及时造成的。

当然，我们知道有0day攻击，有升级到顶也难逃一劫的时候，不过请你放心，除非你是国防科学领域的顶尖专家，或者是掌握数千亿资产管理的金融大鳄，否则，你要明白，0day是一次性消耗品，很贵的，通常不会用在你身上。

日常的版本检查和升级不能偷懒，怎么强调都不过份。

3、不要求全责备，要抓大放小

啥叫大，啥叫小。

你电脑中毒，中木马，中蠕虫，被黑客窃取账号叫大；你cookie被人偷窥叫小。

我在中国最好的安全公司工作过两年，实话说，我水平不咋地，也不敢说自己有多懂安全，但我明白了一个事情，在互联网上，别以为别人不知道你是谁，别以为自己能掩盖的多好，所以我秉承一个原则，不去瞎操心那些不用我操心的事情，做好最基本的防范就可以了。

比如说，不要把不雅或者不适宜公开的内容放在网上，任何所谓加密空间，所谓私人空间都不可信。

比如说，个人行程和隐私，尽量不要过度公开，这个风险在哪里呢？诈骗者会利用相关信息诈骗你的亲人和朋友，这样的案例我也碰到过。比如你在飞机上电话已经关机，骗子诈称是你同事，跟你一起去哪里，说你在机场突然晕倒，送医院急救，你说你亲人如何核实？

再比如，如果你不是百度和腾讯高管，就别担心360会拿你什么隐私；如果你不是百度和360高管，就别担心腾讯会拿你什么隐私。你放心，在中国互联网，老大哥随时都在看着你，你那点隐私，用不用什么软件其实没区别。其实不仅中国，互联网无隐私，棱镜计划都爆出来几年了，你只要不去整暗网你就别操心这个。

那有人担心，我约炮了咋办，我看黄网了咋办，我低级趣味了咋办，你放心，大家都很忙，别做大V别乱放炮，谣言和种子都别群发，朝阳人民群众没功夫搭理你。

4、机构，教育和政府机关，也应该长点教训

不需要多高大上的安全服务，随时安全检测一下，随时打个补丁还是要的。去年底这些工具网上就透出来了，说实话中间这时间不短了，到现在都不去补是不是有点懈怠。

很多缺省的系统，软件是windows的，然后使用者和购买者觉得就是个盒子，甚至使用者都不知道里面是windows。这种情况下，遇到蠕虫基本上就是团灭。找一个相对靠谱的安全公司，定期检查一下，这种问题早就发现了；更不用说重大漏洞的紧急升级。

5、重要的数据和信息做一下备份，网上备份是可以的。

当然，如果你担心比如不雅照片，或者不适宜内容，你自己做个加密再备份。你说加密会不会破解，如果你加密的不是核反应堆，生化武器材料分子式，或其他足以让各大情报机构动心的玩意，此外加密算法不要太low，应该不会有人有兴趣破解。（嗯，量子计算机理论上能破解成熟加密算法，但估计还有不少年才能成熟呢）

6、如果你是相关机构，公司与IT运维有关的负责人，多关心一下安全行业新闻和信息，每次出了相关报道尽早跟进核实处理。

唉，唏嘘一下，乌云仍无法重生，我都不知道该推荐哪个平台来关心这些东西了。