10年前，智能手機還沒有廣泛普及，Windows 7才剛剛發布，而網絡安全更是一個小眾的圈子，遠非如今媒體記者筆下的常客。

從一個孤島到一個自行其道的小世界。網絡安全這10年，風雨有過，輝煌有過，曾谷底呆過，也曾見高樓起。一群白帽子，從獨行者，俠客，到歸于企業麾下或是走出創業的一條路，他們為網絡世界的安全而戰。還有一批人走散了，成了黑帽子，和黑產、暗網混跡，和安全世界捉迷藏。一批網絡安全企業，從0到1，見證網絡安全走向合規和產業化，而穿插其中的，是這10年來一個個或許你還依稀記得的安全事件……

2020年，網絡安全再啟程之際，筆者卻想和你，再走一遍這10年。

十

2010年的夏天，“震網”（Stuxnet）病毒首次被發現，9月,伊朗核設施突遭震網病毒攻擊，納坦茲離心濃縮廠的上千臺離心機報廢，由此，伊朗的核計劃進程直接倒退兩年。

迅速席卷全球工業界的“震網”，成為2010年網絡安全人揮之不去的陰影。截止2011年，“震網”感染全球超過45000個網絡，60%的個人電腦。在此之前，誰也想不到，一個病毒，會占領了全球頭條新聞。這個首個專門攻擊物理世界基礎設施的蠕蟲病毒，似乎為此后十年針對關鍵基礎設施的攻擊埋下了伏筆。

九

2011年的中國網游，新作云集，產業規模達到410億。與此同時，處于轉型中的網絡產業也開始走向網游、影視、網絡社區等多線發展經營模式。在整個網游產業有所起色的時候，6月15日，一個普通的星期三，可能你早就忘記了這一天，但對于黑客組織Lulz Sec來說，這幾乎是他們最忙的一天。

Lulz Sec攻擊了游戲雜志The Escapist網站、IT安全公司Finfisher以及網游《EVE Online》、《英雄聯盟》（星戰前夜）、《Minecraft》（我的世界）的登錄服務器，成功完成5殺。

這一天，LulzSec將其稱為“TitanicTakeoverTuesday”。多款游戲登錄服務器被攻擊，Minecraft游戲被徹底放倒。

黑客每一次成功，都是對企業安全的一次警鐘。

這一年，不僅是網游服務器被攻擊，還有著名的索尼PSN 2011黑客事件和DigiNotar滲透事件。

2011年的春天，黑客竊取了索尼7700萬PlayStation 網絡用戶的詳細信息。7700萬，放在如今動輒上億的數據泄露事件里，毫不起眼，但在9年前，這是世界上最大的黑客事件之一。

為了修復漏洞，索尼關閉PlayStation網絡，修復時長足足23天。索尼數據泄露事件帶來的企業損失，讓一些企業開始重視：必要的安全投資是應該做的。同樣，也幾乎從這時候開始，越來越多的企業新增服務條款讓用戶在發生類似安全事件后放棄其提起訴訟的權利。

間隔2個月，荷蘭CA安全證書提供商DigiNotar曝出8臺證書服務器都遭黑客入侵。黑客為包括 Google.com在內的531個網站發行了偽造的CA證書。這次攻擊，則掀起了頒發 SSL/TLS 證書的徹底改革，當時施行的許多程序直到今天仍在使用……

八

到了2012年，隨著智能手機普及、平板設備大量涌現、操作系統Windows 8發布，這一年還審議通過了《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，網絡IT行業的齒輪在不停地向前行。

3月，著名黑客組織Anonymous強烈反對美國反盜版法案”SOPA”，甚至揚言要干掉整個互聯網。8月，維基解密網站遭受持續的DDOS攻擊，在長達一周多的時間里，你都無法登陸維基解密網站或是網站響應非常慢。蠕蟲病毒火焰(Flame) 肆虐中東，連北非的一些地區也不可幸免。

七

2013年6月9日，美國中情局的前技術助理愛德華·斯諾登主動聯系媒體，公開了棱鏡計劃，給全球的網絡安全圈投下了一顆核彈，這項美國國家安全局（NSA）自2007年小布什時期起開始實施的絕密電子監聽計劃，幾乎刷新了我們對網絡信息安全的認知。包括微軟、雅虎、谷歌、蘋果等在內的9家國際網絡巨頭都被卷入其中。

用戶隱私保護和互聯網主權被各國提上案頭。我國外交部設立網絡事務辦公室、工業和信息化部制定的《互聯網接入服務規范》正式實施、首批4G牌照正式發放，這一年，我國開始加快自主可控的信息安全建設，提升防護能力。

六

2014年，又名一場電影引發的血戰。

日本索尼旗下在美國的索尼影業公司出品了一部電影《The Interview》（又名：刺殺金正恩），就是這部電影引發了一系列事件令美朝關系變得越發緊張。11月中旬，生產該片的索尼影業公司遭遇黑客襲擊，公司電腦被植入流氓軟件，軟件隨后破壞電腦中的數據，公司系統崩潰。朝鮮成為黑客事件主要嫌疑對象。當時的美國總統奧巴馬甚至表示：考慮把朝鮮重新列入“支持恐怖主義國家”名單。

屆時，朝核問題尚處于僵局之中，新的黑客問題又浮出水面，朝鮮半島局勢的發展每一步都走得膽戰心驚。

五

2015年12月23日，遙遠的烏克蘭西部伊萬諾-弗蘭科夫斯克地區的居民們結束了一天的工作，負責當地電力供應控制中心的運維人員也即將完成自己的輪班，突然，一個當值人員然發現自己的計算機屏幕上的光標開始四處游移，點擊對話框-斷開斷路器-確認。一個個設備中的惡意幽靈讓超過23萬名居民陷入無電可用的困境。

這是2015年烏克蘭電網入侵事件，也是首次針對電力網絡并成功實施的攻擊行為，可惜，并不是最后一次。此后，黑客們似乎進一步發現了攻擊關鍵基礎設施的威力，在2016年1月、2月，12月……，烏克蘭多次遭受針對電力設施的攻擊，再后來，受害目標從烏克蘭到委瑞內拉等國。

當然，如果說委瑞內拉離得太遠，那么9月份被蘋果iOS 病毒XGhost事件刷屏的恐懼你或許還記得？彼時，蘋果6S發布和iOS9系統的推送讓蘋果春風得意，用戶拿著新買到的蘋果6s正熱乎，結果不到半個月，蘋果在其中國市場官網上公布了大規模App遭遇病毒感染的事件，此次殃及近1億用戶。

各個安全團隊從不同角度分析了XGhost病毒行為、傳播方式、影響面積甚至還人肉到了作者信息。而塵囂過去，這場因為App開發者使用了第三方途徑下載的Xcode開發環境（非Apple正規途徑），而導致下載了被植入了惡意代碼的iOS應用開發工具Xcode所引發的病毒事件，也讓開發者在產品開發設計中對安全的重視程度提升。

四

2016年7月20日，烏云網站關閉。鄔迪說：烏云完成了使命。

這是一個互聯網爆炸式發展，但網絡安全卻沒人重視的年代。白帽子和黑客難以分辨，甚至還有一群“斑馬”混跡其中；白帽子提交世紀佳緣漏洞后卻被抓，是誰出了錯？可以說，隨著網絡犯罪行為越來越多，但沒人告訴大眾，他們究竟是如何被侵害的，沒人告訴白帽子，到底要怎么檢測公布漏洞。

烏云閉站，似乎昭示著這個網絡安全混亂的時代要結束了。漏洞的善與惡或許在等一個審判，而這個結果，在2020年，或許在看的你有了一個答案。

三

2017年，是屬于勒索病毒的。5月12日，WannaCry勒索病毒在全球范圍大爆發，迅速引爆互聯網行業的“生化危機”。

這波“方程組”和“暗影經紀人”battle帶來的結果是，幾個小時內，借助永恒之藍高危漏洞傳播的蠕蟲式勒索病毒軟件襲擊了150個國家，數十萬臺電腦。醫療系統、快遞公司、學校、銀行、大型石油石化公司都被感染，對于安全企業來說，驚恐、緊急預警、加急防護……同樣是忙得人仰馬翻，記憶深刻。

緊跟著的6月，類似“WannaCry”的新勒索病毒Petya，同樣利用永恒之藍漏洞傳播，導致多國多家大型企業被攻擊，政府、銀行、電力系統等都受到了影響。

2017年前后，勒索軟件有過短暫的大規模爆發期，如TeslaCrypt、Ryuk、BadRabbit等。也是在這一時期，永恒之藍引發的工控機安全問題開始引起國家相關部門的高度重視。

二

到了2018年上半年，卡巴斯基實驗室解決方案保護的所有工業控制系統（ICS）計算機中，超過40%遭到至少一次惡意軟件攻擊。隨著越來越多的APT攻擊被披露，工業控制系統計算機遭到網絡攻擊的比例同樣令人擔憂。此時，盡管勒索軟件攻擊已經大幅下降，但針對特定目標的定制化攻擊興起，加密劫持的比例也在快速增長。

提到2018年，一定也少不了劍橋分析丑聞。Facebook多達8700萬用戶數據泄露，美國大選被數據分析所引導，一家私營公司借助大數據卷入媒體風暴中心。數據的力量再一次淋漓盡致地展現。以數據為武器干擾時政，從這個時候開始成為國家間互相指責的手段。

不管是供應鏈攻擊愈發頻繁，包括ShadowPad、expertr 和 CCleaner等的后門，還是換臉App：ZAO引發隱私深入探討，亦或是ElasticSearch服務器數據泄露4200萬中國用戶簡歷、蘋果爆出永久性硬件漏洞，都是這一年的熱門事件，但2019年還是一個特殊的時間節點：5G來了。在我國經歷了1G空白、2G跟隨、3G突破、4G同步，如今終于迎來5G引領。

5G正式商用后，5G相關智能設備迅速鋪設開來，2019年11月，曝出研究人員發現了 5G 協議中的 11 個新漏洞的消息，迅速將大眾的視野拉到了5G安全上。可以說，這一年，網絡安全領域面臨的威脅多種多樣。

10年歸0，2020年網絡安全再啟程！回顧20世紀的第2個十年，會發現，網絡安全的一個個變革，似乎早就在10年間一個個看似普通的日子里埋下了伏筆。

1、從最早的“震網”開始，針對工業基礎設施的網絡攻擊走向針對性、定制化。 2、席卷全球的Wannacry打開了網絡攻擊的新時代，Petya、Ryuk等大量的勒索軟件進入大眾視野，并且攻擊對象從個人逐漸轉向企業。 3、從NSA棱鏡計劃到索尼數據泄露，再到劍橋分析丑聞，一個個歷史性的安全事件見證了數據泄露變得常態化、規模化，泄露數據量級呈幾何增長。 ……

如果說，10年前，白帽子不知何去何從，4G都還未實現，一個7700萬的數據泄露已經是頂天了的大事。那現在的我們，抽根煙，可以如常地談起APT，網絡戰，說起5G的網還行，最近哪個公司又搞出了幾億數據泄露……盡管我們無法預測新的一個10年具體會發生什么，但是，從眼前出發，我們能知道：

大數據發展下，隱私數據安全與合規依然會是網絡安全的熱門； 勒索軟件熱潮不退，高額的回報會讓攻擊者繼續瞄準特定目標； 人工智能進一步發展，黑客的攻擊技術和武器將變得更為復雜； 5G網絡快速普及，IOT設備或迎來爆發期； APT攻擊成常見的攻擊手段，工業控制系統（ICS）安全重中之重； ……

第2個十年已經過去，站住下一個十年的路口，我們將繼續前行，2020年代的網絡安全故事，剛剛開始。

### 如何入門網絡安全

#### 建議

多看書

閱讀永遠是最有效的方法，盡管書籍并不一定是最好的入門方式，但書籍的理解需要一定的基礎；但是就目前來看，書籍是比較靠譜的入門資料。

現在Web安全書籍比較多，因此大家在學習的過程中可以少走了不少的彎路。如果以上推薦書籍閱讀有困難，那就找自己能看得進的 Web 安全的書

當然紙上談兵終覺淺，最好還是實踐一下。

對于那些沒有學習方向和資料的同學，可以看下我整理的資源，這份資料經歷過社會的實踐，可以說是當下全網較全的網絡安全知識體系：

①網絡安全學習路線

②20份滲透測試電子書

③安全攻防357頁筆記

④50份安全攻防面試指南

⑤安全紅隊滲透工具包

⑥網絡安全必備書籍

⑦100個漏洞實戰案例

⑧安全大廠內部視頻資源

⑨歷年CTF奪旗賽題解析

總結

以上是生活随笔為你收集整理的网络安全这10年的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。