以下是現場速記。

安全意識重于泰山

 

李學慶：大家好，我剛才聽了專家說，一下午腦袋聽木了。我來之前，因為我很少參加CIO聯盟的會議，以前也參加過一些公司級的，來之前必須要穿的正式一些，所以我昨天專門準備了一個正裝，準備了一套西服，今天早上發現腰帶沒了，那就算了，還是穿的屌絲一些，今天還是跟以前一樣。今天我也看了，來的都是大咖，我也班門弄斧跟大家簡單聊聊，聊聊安全。

 

這個是我的經歷。首先做一個小調查，飛信誰用過?都是那個年代的人。第二個，京東都用過吧。第三，誰騎過摩拜?有騎過ofo的嗎?騎過的可以出去了。這個就是我的經歷，從最開始做安全，后來到京東，我在京東是京東第一號開始做安全的，我從2011年開始在京東做安全，所以京東的很多安全都經歷了。在前年摩拜需要找一個做感覺的人，他們那邊一個高管跟我聊了很長時間，聊了幾個月，最后就說過來吧，這就是我的一個經歷。

 

簡單給大家看一下。這個女孩認識嗎?我們叫天總，她叫章澤天。在京東六年授勛的時候會有這樣一個儀式。這是我們當時的一個團隊，后面是參加的一些會議。這三個人認識嗎?(胡煒)，我們的創始人之一，最左邊是和ofo的老板差不多，叫(王小峰)，摩拜的CEO。因為摩拜非常重視，我直接去當創始人之一。

 

今天我也看起來了，雖然我來的晚了點，但很多議題還是和安全有關系的，大家覺得安全非常重要，這一塊我覺得大家也不陌生，包括Facebook、順風等等，這其實衍生出來一個點，在今年年初的時候就開始了，其實有一個趨勢就是數據安全非常重視，每家每戶都非常重視，我發現有一些阿里的朋友都直接出來進行創業了，就專門做數據安全。其中有一家叫做(春芝)，就是阿里的幾個朋友出來創業的，做的都比較不錯。為什么泄露呢?在工作當中會遇到的一些問題，在哪方面需要注意哪些地方，將來安全相對來說做的到位一些。

 

安全需要從點滴開始。在這里我會提到一個點，最初做信息的時候，我當時想把這個意識和文化拆開，其實今天想講文化的，后來和范總聊了一下，我就把這兩塊揉在一起了。

 

首談一下我的經驗。弱口令有一個定義，什么叫弱口令，除了123還有什么弱口令?其實弱口令的定義很寬泛，而不是大家想的123，或者1-8、8個0，2012年大家都經歷了(CS)事件，那個事件泄露了很多數據。它會把所有網站當中的密碼放在一起撞戶，當時我們就是把所有戶中的Top100找出來了這批也是弱口令。第二，不同王渣中的口令大家一定要有一個想法，大家有沒有一個想法，如果一個密碼泄露了就知道是哪個網站，這個大家有沒有想過，怎么去設置這個密碼。我給大家舉個例子，我在京東設置網絡的時候都會加一個GD，或者在唯品會注冊的時候肯定會有一個WPH，如果哪個網站泄露就立刻知道哪個網站出問題了，而且還不一樣。第三個是口令長度，大家覺得多長是正常的。

 

嘉賓：6位。

 

李學慶：我個人電腦的密碼是22位，為什么我能記住呢?而不是說很多亂七八糟的東西都不明白，沒有邏輯的東西拿出來之后都能記住，我也記不住。首先有一點，這里面我提到的第一個就是長度，12位是比較安全的，第二個是長度。我給大家舉個例子，現場測試一下，我給大家出一個密碼，今天是1112，比如說CIO1112鋤禾日當午的拼音，大家再給我重復一下，有一個組合之后就立刻能記住，或者自己老婆的名字。我愛你，520，英文大小寫。第一個是滿足復雜性;第二個是一定要保證長度，復雜度也提到一點，字母數字下劃線。不要覺得密碼很復雜別人破解不了，不可能的，別人會用各種方法去竊取密碼。前兩天在京東做安全的時候，也是運維人員說系統，密碼非常復雜，不能告訴你，通過這個軟件我們拿到了密碼，很容易就拿到了。以前在飛信的時候，因為租房很多人住一起，很多人都會用同一個局域網，當我去釣對面的妹子都會用無線網，當時無線網還不多，通過這種方式就認識了，原來是一個院子，再一說原來是對門，就非常熟了。做安全確實有很多有趣的，這種事情多了之后大家會覺得，你的密碼已經在不經意間被泄露了。

 

萬能鑰匙有人用過嗎?有人聽過嗎?

 

嘉賓：知道。

 

李學慶：萬能鑰匙的原理知道嗎?萬能鑰匙就是去任何地方都不需要裝密碼，密碼就可以直接用了，在家里面的密碼也會丟，在公司也會丟。京東在2013、2014年的時候，別人把京東的密碼上傳到萬能鑰匙上去了，導致別人只要一進來不需要知道任何密碼直接就可以聯網，所以被別人入侵了，萬能鑰匙的創始人我也比較熟悉，做這個干嗎用，就是為了賺廣告費，其實有很多企業，現在貼一張紙往墻上一放密碼是什么，現在還有這樣的。當時我去摩拜的時候就有這種情況，我做的第一件事把各個層所有的密碼紙全部撕掉，太危險了。暴露在紙上是最LOW的方式，大家可以上手機上去搜搜，有些APP上專門管理密碼的，這個可以用一用。

 

再往下是無線。連接WiFi的習慣是什么樣的。提到這個想起了今天早上的事情，大家應該知道海底撈。海底撈的新聞大家都看了嗎?在等的時候大屏上別人播放黃色錄像，但是我們不關注內容，到底是怎么去規避這個問題。當時我們就想，最后這個新聞出來說播放視頻的人被抓住了，它是怎么能抓住這個人的呢?最后看新聞的具體內容，說是這個人通過手機連接WiFi，WiFi又和大屏電視是同一個局域網，因為大家同一個局域網可以無線投屏，把手機上直接投上去了。手機用什么方式可以，電視上怎么能夠識別出來手機呢?最后我們想肯定是無線投屏的時候是可以進入手機號的，要么是手機號，要么是(MEI)號，非常有意思。隨意連接WiFi這個習慣大家要小心一點，在行業當中會覺得處處都有風險，包括跟360聊，去西站人特別多釋放一個WiFi，沒有密碼，去調取所有信息，調取所有內容，家庭住址全部調過來了。大家應該知道，前兩天“3·15”晚會的時候通過連接無線可以把你的信息給抓住，這個就是360搞的，這個就是隨意連接無線的風險。

 

還有一個就是辦公WiFi，大家也要小心，有一些釣魚的，不知道大家遇到過沒有，以前在京東就會釋放一些WiFi，連上之后就會獲取一些信息。給官方的管理員說，WiFi一定要有雙認證，保證不會出現，連上一次還需要再校驗一次才可以。

 

存儲設備，一定要做到一個點定期查殺。我一直建議，系統當中不需要所有的，但是要定期查殺。第二個，BitLocker，Window10上已經有了。舉個例子，首先電腦上的數據別人拿到了，知道你的登陸密碼了，下一步就是所有的數據丟失，但是BitLocker是直接把硬盤加密，比如C盤、D盤，你選的C盤取用加密，每次開機的時候必須要輸入這個密碼硬盤才可以打開。我覺得大家可以回去看看，這個還是比較不錯的。

 

還有一個是隨意使用U盤，大家也不要太相信了，一定要小心一些。隨意插U盤的時候是帶病毒的，比如說木馬可以遠控，只要U盤插了，黑客就可以直接調用電腦，電腦上的數據都可以提取。

 

勿存重要文件，特別重要的東西最好放在一個地方，不要說C盤有，D盤有，那就亂了。還提到一個，因為大家現在勒索病毒特別多，我在京東的時候就處理過一次，太艱辛了。當時是在“6·18”的第二天，6·19出現的問題，我當時正在睡覺，CTO給我打電話，一說這個情況肯定是(英文)，最后當天幾個人直接跑京東總部應急，所有人全部都在這兒，IT的人也去看。單說這個問題的責任不是我們，因為我們前段時間就已經發現了(英文)問題，(英文)其實用的是一個永恒漏洞，說需要下發打補丁，他們沒有及時去做，最后在6·19爆發了。為了解決這個問題，大家一定要有一個習慣，我現在就有這個習慣，現在云存儲不是特別流行嗎，把一些重要的文件保存，如果大家用微軟的一套東西可以用(玩轉)，企業版的我都在用，有什么文件點一下就上傳上去了。百度這幾年比較規矩一點了，不會隨意翻東西了。第一個是百度，第二個是微云，這兩個產品還是比較不錯的，對標(玩轉)這樣一個產品。

 

郵件。第一個是未知郵件，不要去隨意去點，隨意去看，大家應該能分辨出來哪個郵件是自己的，哪個郵件是外面的，這個是沒有問題的。第二個是釣魚郵件，冒充管理員說密碼過期了，需要去修改密碼，給你一個鏈接，你點這個鏈接需要輸入原密碼、新密碼、確認新密碼，可能會模擬的很像，但是唯一不一樣的地方是，釣魚郵件和正常官網的重要區別在域名上，肯定是不一樣的。釣魚網站還是大家需要小心的，企業經常會遇到，因為在郵件服務器上去攔截的話只能攔截一部分，還有一部分是攔截不到的。模擬系統郵件，剛才提到了，這個就不多說了。郵箱密碼復雜度，大家想一想，后面會講到VPN，我也會提到這個，能進入企業當中的第一是郵箱，第二是VPN，還有一個是WiFi，能夠迅速的觸碰到內部的信息，所以一定要把大門的鎖用的更加結實一些，強一些，每家企業都有一個習慣，當我第一次去的時候配一個初始密碼，他是希望修改，但是很多人不愿意修改了，摩拜123456，所有人都是這個，如果有一個人泄露，就立刻全部癱了。我給大家舉一個例子，黑客去搞的時候也有一個模式，我在摩拜猜我的密碼，比如摩拜123456，或者李學慶摩拜，它會組合相近的關健詞，所以大家一定要做好不要跟自己相關。公司的郵箱我發現很多人拿出瞎注冊別的網站，不要干個事。以前在京東也發現了，外來的說這是什么郵件，最后發現他在這個網站注冊了，拿自己官方郵件注冊了，在企業當中大家也需要有一個意識，需要給他們培訓。還有一點是郵件組權限，為什么提這個呢?也是有一個小案例。就不說哪個公司了，高管被舉報了，郵箱是外部的，最后就說怎么回事，為什么IT沒有把外部的郵箱直接給攔截掉，外部郵箱是不允許發內部郵件組的權限的，這個是需要定義好的。為什么公司外部的可以發公司內部的，這是不對的，在這方面我們要非常強。

 

VPN，第一個是強密碼，這個不多說了。第二個是賬號共用，一個VPN，當時應該是客服的VPN，一個VPN賬號10個人用，最后出問題就不知道是誰，這個問題是非常嚴峻的，一個要保證一人一個VPN，二次驗證也是，昨天跟亞馬遜的哥們吃飯的時候也提到了，現在不是有UK嗎，現在有一個和UK差不多的，要不然登不上去。我說這個和UK什么區別?如果UK要用的話，沒帶在家里面，老婆你在家里幫我截一下圖，遠程還可以登陸。剛才提到的這套設備就不一樣了，必須要帶到身邊，必須要插到電腦上去，而且還要有摁一下的行為，這是VPN需要去保護的。公共場合盡量不要用VPN，除非大家知道，比如酒店或者是倆手機，另外一個手機當熱點，讓它上網。賬號在工段中盡量不要去用，大家一定要小心。只要讓我抓到，我肯定會丟失，很多很多有心人都會這么考慮。

 

個人隱私?，F在少了，以前會有活動問卷，這個小女孩不錯，必須填家庭住址、姓名、手機號亂七八糟的才給你，有這種活動的時候會騙取個人信息，把個人信息騙取之后再賣給營銷的人。第二，微信測試大家應該經歷過，比如測2019年運勢，他和我之間有沒有緣分，大家覺得這個很OK，它會讓你填很多信息，大家需要注意了。怎么拿個人信息，他們會在淘寶里面開一個小商家去賣一個商品，這個商品特別便宜，幾毛錢或者什么的，比如10塊錢賣1塊錢，那就會有很多人搶，比如賣女同胞的面膜，很便宜的商品最后把定向這幫人的信息就全部拿到了，他再去倒賣。大家一定要小心，有很多很多辦法。我經常參加一些會議或者去其他地方，有些真實的信息不會填寫的，因為我是不能保障的。BAT這種公司都不能保證它的安全性，更別說一些剛剛起步的公司，特別是收購識別，立刻把你最美麗的標識拿走了，指紋、虹膜、聲波，這些大家要小心了。網站注冊大家盡量填一些特別真實的東西，除非支付寶需要認真的，其他的就無所謂了。手機號大家也要小心，為什么會有很多來電，也會有很多騙子。人身安全，我記得哪次會議，為什么這個人突然找到我家了，他都不清楚，其實你在某個平臺上已經被泄露了，這個也是大家需要小心的，不要把個人信息隨意給別人。

 

辦公電腦。我的建議是，第一個，定期查殺，我今天講的東西都是和大家密切相關的，而不是給大家提一些沒落地的，這些都是經歷過的。定期升級、定期查殺。為什么呢?不經常升級的話可能會有最新的殺毒引擎盜取能力。第三，定期重裝系統，現在利用沒有對外公開的漏洞做一些壞事。為了避免這些事情的發生，定期把電腦重裝一次。還有一種遮蓋攝像頭，為什么這么說，其實有很多可以喚醒電腦上的攝像頭，所以就會有很多視頻。大家知道，電腦攝像頭被喚醒之后有一個明顯的標識，會有一個小燈亮起，所以他做了這樣一個版本，打開攝像頭燈是不亮的。我那個電腦上會永遠貼一個簽，如果不需要進行視頻會議，還是盡量把它給蓋住。大家知道以前攝像頭“小水滴”出來的時候，360出來的攝像頭，大家覺得攝像頭有什么風險?它的安全有很多問題，很多人會拿它說要拿這個看孩子，要拿它看家里的小偷，但反向來說黑客多了，如果你是一個壞人的話你會用它嗎?很多人怎么用?比如說他去監控孩子的時候，他會在一個屏幕上顯示各個地方監控孩子的攝像頭，在網上去販賣小孩，當時因為攝像頭是有漏洞的，現在沒問題了。第二是看家，你覺得看小偷，小偷也要看家里有沒有人，沒人就可以入室盜竊了。所以大家也要小心，攝像頭要正常使用，小心一些。還提到了惡意軟件，大家不要隨便找個地方下載一個軟件，可能蹦毒等等，這個也是風險比較大的。還有就是瀏覽器，為什么提到瀏覽器呢?在前幾年的時候，360剛出來的時候會直接把你訪問的很多信息傳到服務器上去，所以現在很多瀏覽器做的比較好了看不出來。最早以前傳的時候會發一個包，直接傳上去，以前在京東讓IT直接干掉了。大家要用比較官方的瀏覽器。

 

軟件下載。大家都知道官方是不會出太大問題的。第二是破解版，在座的不說都不缺錢，也差不多。如果不去用，破解版是會有問題的。比如行業中用破解版，如果你不確定在里面插了一個什么東西，沒準兒你損失會很大。我現在的Office都跟幾個人共享一個家庭賬號。還有就是不校驗Hash安裝，官方的是ABC，從另一個渠道下載之后不是ABC，那可能是不行的，那就不裝了。還有一個是老版本，老版本盡量不去用，因為老版本可能會有很多問題。

 

最后有一個分享。大家說我通過微信、QQ傳給你，我建議大家多用網盤。這個是不安全的，大家要小心。特別是程序員可以用GitHub，把我寫的給別人看，你給別人看，別人也可以下載下來做這種事情，所以很多企業都開始做GitHub監控，不要傳到這個地方傳到那個地方，時不時可能就出現問題了。大家知道脈脈曝光，很多企業員工在里面發一些不太好的信息出來，但是這個東西首先是大家需要去關注這個系統，第二需要知曉，如果有這樣的情況可以立案，直接找到脈脈，因為這個是實名的，注冊就知道這個人是誰了，就可以找到這個人。剛才提到了IM互的事，這個大家也要小心。給大家提到的點，第一，高管在工作當中需要注意哪些點。第二，員工在工作當中需要注意哪些點。我提到每個點之后，怎么把每個點串起來，這就是后面的內容，我們需要給公司賦能安全，有一個安全文化，這里加了一個點，我們需要做的就是企業的安全文化，后續公司怎么做安全，應該去分幾步驟。感受、互動、考核，我們當時在京東做的時候CTO都說了，所有人都必須達到80分，達不到80分繼續考，當時出了三套題，全部都是混的，每個人的題都是不一樣的，可以通過這幾塊去做。具體的怎么做大家可以回去看看。在公司當中形成一個文化，這個文化要讓全員有一個儀式感，比如說安全周、安全月，有這樣的節日才是OK的。大家可以回去看一下，這是整體的架構，怎么去把安全做到位，體系在那里，因為我也是從這個彎路走過來的。當我真正走到現在之后，發現很多做安全的東西是一個體系，大家做的時候一定要保證每一塊都包含進來了，都是沒有問題的。這是相對比較垂直的，每個垂直的點都需要做什么事，這個大家去掌握。每個公司不一樣，因為大家知道做安全有個點，大家都說木桶原理，木桶能盛多少水取決于板，板是不能缺的。

 

我自己沒事經常會總結，做安全或者信息化的朋友都知道SDLC，這個東西當時在京東落地了，做的相對來說還是可以的，很多部門說我們也要參與進來，我們要做這個部門的No.1，除了開發要做這個，還有要做一個SELC，這個是我自己創的，就是人的意識教育。從的入職、實習、轉正、異動、離職，每一個情況是需要知曉的，而且需要教育、需要混合的。大家有這樣一個想法，就知道后面怎么去做了。企業文化剛才提了，怎么樣在公司當中貫穿一個東西出來。當我們發起安全月之后，緊跟著有安全周、安全月，都覺得這個東西是OK的，都希望貫穿下去。安全融入業務。而且安全的角度要有一個東西，一定要占有一個位置，我們的安全一定是要為業務服務的。業務永遠是野蠻的往前生長的，保證它不能出去。外部有一些狼群來了能夠抵擋住，我們做的是這個事情，這是我們的職責，這是我們的使命，但是我們不能去影響它。因為業務在野蠻生長的時候需要去快速發展，不能影響它。最后提到合規、等保、安全法、GDPR，這個就是大家怎么去用了。

 

最后一頁提到一個點，大家每個人都說安全不好做。以前大家用一個想法，一定要有一個東西讓業務部門或者什么部門往前走?！毒W絡安全法》沒有出來之前借助監察搞，監察說你們違規了。但是現在大家知道，《網絡安全法》出來了，如果不去做就違法了，你是要背刑事責任的。不做行，OK老板簽字畫押，出任何問題你來扛。GDPR最高罰款是2000萬歐元，全球營收4%，非常高。還是那句話，如果這個東西不做，這個責任要承擔，跟我們沒有任何關系，大家要把責任分好，所有的就都OK了。還有一點，包括老板也要做事，有一點要提到，做安全一定要給老板看的是價值，而不是發現多少漏洞，我也不愛看這些東西。我在京東的時候，當時給老劉看的時候，間接給京東挽回的損失是3.6億，半年給京東挽回0.4億，其他的沒有用。

 

這是我的微信，如果下面的老板有什么需求可以多聯系。安全做了這幾年跟大家匯報一下，如果后續有需要可以多交流。