5、自己都不知道的密码才是最安全的密码

千万防火墙，毁于abc123。互联网上最大的漏洞不是在于软件，而是在于人。复杂的密码记不住，简单的密码又容易被破解。2017年，密码枚举可以算作十大网络安全问题之一。为了解决这个问题，IDaaS(身份即服务)诞生了，非常可惜的是，洋葱IDaaS在前不久因为资金问题，宣布解散。目前的安全市场，做IDaaS缺的不是方向，也不是技术，而是时间和成熟的“土壤”，而IDaaS市场的春天预计是在三年后。除了IDaaS以外，还有各式各样的认证模式也在发展当中，比如二维码认证，指纹认证，人脸认证等。

 

　　6、Flash？算了吧

每年Flash都会给我们各种0day大礼包。2015年，Hacking Team泄露了三个flash的漏洞，2016年，又爆出了CVE-2016-1019和CVE-2016-4117。这两年来，Flash的漏洞总是被CVSS定义为高危漏洞。特别是前几个月，方程式小组被Shadow Brokers 入侵，不知道里面的0day会不会有Flash的。 2017年，估计还会有新的Flash漏洞爆出来。

感谢Adobe给我们提供Flash那么多年，但是它真的老了，可以退休了。 2017年，弃Flash，保平安。

 

　　7、日防夜防，家贼难防

现有的安全产品，主要是针对外部的网络攻击，但是针对内部威胁的安全产品却非常少。早在2007年，就有人提出内部威胁成跨国公司网络安全最大挑战。 2016年，中国某科研人员偷卖90项国家绝密情报被判死缓。随着安全市场的飞速发展，目前外部入侵需要花费很大的成本和精力，从内部攻击则有很大的优势。内部威胁，有些是随机性的，有些是计划性的，有些是远程性的。要对内部威胁做防护，最大的痛点不是在于系统，而是在于人，管理人比管理系统还要复杂得多。因此，2017年，内部威胁将是安全市场的一大挑战。

 

　　8、安全人才缺口巨大

2016年，中国网络安全人才缺口在50万左右，预计到2020年这个数字会增长到140万。但是近三年来，全国高校只输出了3万左右的安全人员。现有的安全人才数量远远跟不上市场的需求量。没有人，任何安全维护都是空谈。安全人才短缺是一个全球性的问题，美国也是如此。2015年开始，美国各大企业已经和众多高校合作，建立人才培养基地，培养持续网络教育的环境，并且针对安全人才提供稳定就业机会和发展空间。根据Security Intelligence的调查，在硅谷网络安全人才的失业率目前保持在百分之零。2017年，中国安全市场最大的挑战不在于技术，而是在于安全人才的培养。

 

　　总结

2016年很危险，2017年会更危险。

网络安全，任重道远。

祝大家新的一年，继续加油！

(责任编辑：安博涛)