雷鋒網(wǎng)按：本文作者趙武，白帽匯創(chuàng)始人。

（圖片來自中國信息安全博士網(wǎng)）

還是先來看一些“點評”吧：

“為了保護網(wǎng)民的信息安全，蘋果要求年底前所有的app都要使用https；

為了保護網(wǎng)民的信息安全，網(wǎng)信辦發(fā)布app管理規(guī)定，要求你用真實身份在各個不靠譜的app注冊”；

“聽網(wǎng)信辦的肯定不會錯，這個單位背景硬得狠，出了問題有法律給咱扛著?！?nbsp;

鑒于看懂這些調(diào)侃需要一定的行業(yè)背景，我先翻譯一下，就是安全資深人士覺得“不靠譜”。

（注：為了保護各位段子手的隱私，這里不帶ID，如有疑問，請?zhí)峁┱鎸嵭彰謾C號碼及身份證號，在確認身份后給你補上版權(quán)說明。）

國家網(wǎng)信辦今天發(fā)布了《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，定于8月1日開始實施。本意是解決“少數(shù)應(yīng)用程序被不法分子利用，傳播暴力恐怖、淫穢色情及謠言等違法違規(guī)信息，有的還存在竊取隱私、惡意扣費、誘騙欺詐等損害用戶合法權(quán)益的行為，社會反映強烈”的問題。同時提出六大義務(wù)，簡單來說圍繞兩大塊：

一是為了抓捕傳播非法信息的違法分子，你們需要配合收集用戶準(zhǔn)確身份信息（網(wǎng)絡(luò)ID到真實身份的對應(yīng)關(guān)系）；

二是你們在用戶不明確同意的情況下，禁止收集敏感信息和捆綁安裝。當(dāng)從這兩點來看，有沒有問題？我認為是沒有任何問題的，沒毛病，切實解決老百姓的實際問題。既然沒毛病，那么大家又在吐槽什么呢？

之前在很多次的采訪中，記者都會讓我提建議，如何解決現(xiàn)有互聯(lián)網(wǎng)的網(wǎng)民安全問題。我的答案其實很無奈，沒有辦法根本上解決問題，只能通過類似注冊馬甲的方式減緩危害。去年我寫了《糊涂比清醒更幸?！反笠饩褪潜硎隽诉@種無奈感。信息泄露問題無處不在，快遞，送餐，電商，教育，買車買房貸款等等。你生活的各個方面都有可能被泄露了信息，所以，一些資深的安全技術(shù)人員在萬不得已的情況下，不會用真實身份注冊，跟財產(chǎn)相關(guān)的操作在隔離網(wǎng)絡(luò)運行。另外一般都會選擇對應(yīng)不上真實身份的方法讓自己淹沒在大量泄漏的數(shù)據(jù)當(dāng)中，因為針對性的攻擊危害遠比泛泛的攻擊危害大得多，所以這種偽裝無法不讓信息泄漏，而是即使泄漏了你也不知道是我。

安全人員兩大特性：

一是馬甲特別多；

二是金融相關(guān)的網(wǎng)絡(luò)操作特別少。

《規(guī)定》一出臺，這種馬甲的可能性就大大降低了。打擊犯罪大家都支持，只不過為了打擊萬分之一的犯罪情況，順帶把網(wǎng)民被攻擊的可能性放大了100倍。這種結(jié)果就是大家不愿意見到，但是這種結(jié)果基本上又是可以預(yù)料到的。

為什么這么說？如果如下幾點國內(nèi)的互聯(lián)網(wǎng)形式具備了，那么我覺得風(fēng)險就能減低：

• 企業(yè)方重視安全，在安全能力建設(shè)上持續(xù)投入，有專業(yè)的安全團隊，以及每年的投入占比不能低于1%。

只有這樣才能滿足跟黑客對抗的最起碼基礎(chǔ)：做好業(yè)務(wù)系統(tǒng)的安全加固和防護；用戶信息進行隔離存儲和加密存儲；有應(yīng)急響應(yīng)的能力。前期的無數(shù)次大企業(yè)漏洞披露和數(shù)據(jù)泄漏的血淋淋的事實都證明了：安全事故是無法杜絕的，在利益驅(qū)使下，黑客的力量產(chǎn)生的沖擊力絕大多數(shù)企業(yè)根本無法抵抗。目前國內(nèi)有超過5個專業(yè)安全技術(shù)人員的獨立部門的企業(yè)都屈指可數(shù)，尤其是初創(chuàng)企業(yè)，在業(yè)務(wù)發(fā)展的初期太不可能投入安全了。而不投入就等于把數(shù)據(jù)送給了黑客。

• 嚴(yán)格立法要求企業(yè)對安全事故負責(zé)，尤其是跟隱私相關(guān)的數(shù)據(jù)泄露必須有懲罰和賠償機制，并且執(zhí)法必嚴(yán)。

只有這樣才能將安全由表面工程落地到實處。不允許企業(yè)增加“黑客攻擊導(dǎo)致的數(shù)據(jù)泄漏不承擔(dān)責(zé)任”類似的霸王免責(zé)條款。同時，嚴(yán)格管束企業(yè)方對數(shù)據(jù)的利用情況，出一次事處罰一次。

• 嚴(yán)格立法定義黑客行為，加大黑產(chǎn)打擊和處罰力度。

黑客一直猖獗的原因就在于產(chǎn)出高風(fēng)險小，網(wǎng)絡(luò)的便利性可以讓他們隨時“活躍”于全球各地，跨越地域的執(zhí)法成本很高，執(zhí)法部門疲于拼命。相關(guān)部門投入很大，也產(chǎn)出了很多成績，客觀上來講，跟黑產(chǎn)的發(fā)展成正比，你追我趕的形式一定時間內(nèi)看不到本質(zhì)上的變化。

能力越大，責(zé)任越大。老百姓的敏感數(shù)據(jù)不是任何一個級別的數(shù)據(jù)庫都能存的，我們接受身份證號存儲在公安系統(tǒng)，我們也被動接受了身份信息財務(wù)信息存在銀行。我們之所以接受公安或金融，是因為他們的執(zhí)法機關(guān)，或者有著相對而言最嚴(yán)格的安全防護體系。但是讓我們接受一個只有幾個人的公司，明天能不能活都不知道，尤其是他們還有可能為了幾百塊錢把數(shù)據(jù)主動販賣的情況，那難度就很大了。不只是我們不敢接受，假如加上了存儲不當(dāng)?shù)倪B帶責(zé)任并且處罰嚴(yán)格，連企業(yè)自身都不愿意去接受這種風(fēng)險，他們知道自己是防不住也沒有賠償能力的。行業(yè)內(nèi)有相關(guān)的標(biāo)準(zhǔn)產(chǎn)品和服務(wù)能一定程度上提升企業(yè)的安全性，但是成本在初期一下拉高。

理想是遠大的，夢想是美好的，我們?yōu)榱送七M目標(biāo)的達成，還是要適當(dāng)考慮到背景現(xiàn)狀，比如我們的互聯(lián)網(wǎng)企業(yè)的安全能力不足以很好的保護數(shù)據(jù)是現(xiàn)實情況，企業(yè)自律和信用機制跟發(fā)達國家相比存在差距是現(xiàn)實情況，執(zhí)法部門暫時沒準(zhǔn)備好對應(yīng)的處罰措施是現(xiàn)實情況，甚至是連數(shù)據(jù)保護的標(biāo)準(zhǔn)都還沒有也是現(xiàn)實情況。我們沒有準(zhǔn)備好，而黑客隨時準(zhǔn)備著竊取數(shù)據(jù)，以前黑客只能從大企業(yè)才能拿到網(wǎng)民數(shù)據(jù)，以后我擔(dān)心他們從任何小創(chuàng)業(yè)團隊千瘡百孔的業(yè)務(wù)系統(tǒng)中也能獲取大量的敏感數(shù)據(jù)。之前P2P金融有一段時間大批量的漏洞曝光已經(jīng)讓人大冒冷汗。

我們?yōu)闄?quán)威機關(guān)的嘗試喝彩，建議按照行業(yè)分級，按企業(yè)規(guī)模分級，中小型企業(yè)保護不了數(shù)據(jù)，業(yè)務(wù)也不需要，那就讓他們做可選項。

另外我們可以換一種思路：企業(yè)你要保護不好數(shù)據(jù)，那我就嚴(yán)令禁止你存儲用戶真實信息，這樣搞不好反而能推動企業(yè)的安全積極性（企業(yè)總是想盡可能收集大量數(shù)據(jù)，只是他們不愿意承擔(dān)對應(yīng)的責(zé)任）。等能力積累到一定階段，再開展后續(xù)的工作，就會安全可控很多。當(dāng)務(wù)之急，先限制企業(yè)收集隱私數(shù)據(jù)的亂象，嚴(yán)查嚴(yán)打，實名制落地可以逐步開展。

雷鋒網(wǎng)注：轉(zhuǎn)載請聯(lián)系授權(quán)，并保留作者和出處，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。