麦洛科菲-从事IT安全行业前景分析报告

从事IT安全行业前景分析报告

近年来，国家统计局连续发布的统计数据表明，IT已经超越金融成为收入最高的行业。那么IT中热门的方向有哪些呢？可能大家会说：人工智能。实际上，人工智能也就是最近几年才火起来的而且还需要很多比较高深的数学基础。而IT安全这个方向，已经火了很久了。所以，现在我们给大家谈谈IT安全这个IT技术方向，仅供大家在选择IT方向时候参考。

央视报道，IT行业工资居首位

BOSS直聘发布的薪酬统计，信息安全排名第一

一，安全事故频发意味着安全至关重要

近年来，IT安全问题日益突出，安全事故频频发生。每隔一段时间就会爆一个严重漏洞或者爆出一个严重安全事件，搞得人心惶惶。各种系统漏洞，勒索木马、病毒和流氓软件等对个人、公司、学校、医院、企事业单位，甚至是政府部门造成重大损失。现在我们就来回顾一下从2010年到现在一些影响很大的安全攻击或事故：

2010年10月底360发现“长老”漏洞。 “长老”漏洞最早出现在1992年的早期Windows NT系统中，并影响到其后的所有Windows版本。利用“长老”漏洞，木马病毒可以获得电脑的最高权限，破坏杀毒软件、防火墙、还原系统、沙箱等各类安全软件，使电脑丧失对木马病毒的抵抗力。

2010年伊朗核电站遭遇病毒攻击，黑客夺取了核心生产设备的控制权，造成8000台离心机损坏。

2014年4月在OpenSSL的源代码中发现号称“网络核弹”的Heartbleed即“心脏流血”漏洞。黑客只要对存在这一漏洞的网站（包括支付宝淘宝等几乎所有网站）发起攻击，每次读取服务器内存中64K数据，不断的迭代获取，就能获取用户http原始请求、用户cookie甚至明文帐号密码等敏感信息。

2015年底，乌克兰遭遇了严重的网络攻击，造成首都基辅附近和乌克兰西部140万居民大面积停电。刚过一年，黑客又夺取了乌克兰电力系统的控制权，切断了近60个变电站的断路器。

2016年Linux内核9年高龄的“脏牛”0day漏洞。这个名叫Dirty COW，也就是脏牛的漏洞，存在Linux内核中已经有长达9年的时间，也就说2007年发布的Linux内核版本中就已经存在此漏洞。

2016年4月德国Gundremmingen核电站的计算机系统，在常规安全检测中发现了恶意程序。核电站的操作员RWE为防不测，关闭了发电厂。

2016年5月1.117亿LinkedIn账户登录信息泄露。

2016年6月俄罗斯社交网站VK.com1亿登录凭证被盗。

2016年8月美国国家安全局NSA大量黑客工具和漏洞利用包被盗。

2016年10月美国遭遇大规模DDOS攻击导致东海岸大面积瘫痪，受影响地区的互联网在周五早晨沦为鬼城，Twitter、Tumblr、Netflix、亚马逊、Shopify、 Reddit、Airbnb、PayPal和Yelp等诸多人气网站无一幸免。

2017年5月12日，WannaCry（永恒之蓝）蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。影响遍及全球近百国家，包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者，我国的校园网和多家能源企业、政府机构也中招，被勒索支付高额赎金才能解密恢复文件。

2017年6月，微软发布补丁修复编号为CVE-2017-8464的漏洞，攻击者可利用该漏洞生成特制快捷方式，并通过可移动设备或者远程共享方式导致远程代码执行，NSA就承认利用过相似漏洞且以“Olympic Game”为代号研发震网病毒，来阻止伊朗发展核武，因此该漏洞又被称作“震网三代”。

2017年7月以太坊平台Veritaseum被网络罪犯盗走超过15万枚以太币，价值近2亿元。

2017年10月：瑞典交通署信息系统遭黑客攻击，并导致列车延误；奥巴马政府公开指责俄罗斯政府，称其是今年总统竞选一系列黑客事件的主使。

2017年谷歌找到“史上最严重的”Windows RCE漏洞，攻击者可利用它在只要运行了Microsoft任何反恶意软件产品（如Windows Defender）的Windows计算机上执行任意代码。针对这个漏洞的攻击向量也非常多，例如通过电子邮件发送文件等。

2018 年 1 月，Google公司的Project Zero等安全团队披露出英特尔等处理器芯片存在非常严重的安全漏洞（Spectre&Meltdown），发布了A级漏洞风险通告，包括 Intel、高通、Apple、NVIDIA、ARM 均承认旗下处理器受到影响。 Intel 受伤最深，从 25 年前 Pentium 75MHz 开始全部中招，就连体系架构完全不同的 Itanium、Xeon Phi 都无法幸免。

2018年3月Facebook“泄露”几千万用户的信息事件，帮川普上位逼英国脱欧，市值已跌去20%多，小扎面临美国国会质询，甚至有报道说Facebook可能面临2万亿美元的罚款。

目前IT安全威胁主要体现在：毒传播、域名劫持、漏洞攻击、拒绝服务、APT攻击等，网络攻击正呈现的特点包括：组织性、目的性、逐利性、破坏性越来越强；攻击手段快速演变，攻击行为越来越隐蔽；攻击来源更加难以预测、不确定性显著增强；安全漏洞被利用的速度越来越快，攻击技术的发展使得反制和追踪攻击行为变得越来越难，网络信息安全呈现出易攻难守的局面。

原来电脑和网络中存在着这么多安全问题，潜伏着这么多黑客和恶意的攻击者。试想一下，如果你能投身在这样的安全工作中，与他们作斗争和对抗，守护一方平安，甚至为国效力，该是一件多么有意义的事。

二，国家对IT安全高度重视

通过上面近10年的安全历史事件的回顾可以看出，各种安全攻击和事故对个人，公司，企事业单位，甚至是国家都存在着巨大的威胁。 IT安全对国家的和平发展至关重要。因此，中国国家领导人曾说“没有网络安全，就没有国家安全”。于是中国先后成立了互联网安全小组和制定了《网络安全法》，并在第二章第二十条明确规定“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流”。四川大学等越来越多的知名985高校甚至对网络安全人才进行破格录取，不受高考分数限制。高校对信息安全人才的重视，也是国家意志的体现。

与传统战争不同，网络战不再限于军队之间的对决，而是国家和社会之间的整体对决。网络战不分民用和军用目标。

对IOT设备、工业互联网发起网络攻击，会直接导致生产线停转，控制失灵，停水停电，从而影响国家安全，社会稳定和人民生活。

随着人工智能时代的到来，无人系统，自动驾驶汽车，无人飞机，无人值守武器一旦被攻击，后患无穷。因此，美国非常重视网络安全的防护，会经常展开网络战演习，覆盖范围包括电力，银行，华尔街，电信等行业。

安全人才是国家最重要的技术性人才之一。美国的国家安全局（NSA），军方，国防部等为了获得漏洞攻击方法和发现安全人才，定期举办各种安全攻防大赛（如PWN2OWN）收购漏洞，为他所用。

这里有一个关于国家之间发生的网络战争的故事，主角就是超级工厂病毒：它是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控，并于2010-09-25进入中国。

传播途径：该病毒主要通过U盘和局域网进行传播。以通过微软MS10-046漏洞(lnk文件漏洞)， MS10-061(打印服务漏洞)，MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击，以获取其需要的信息。

历史功绩：成功破坏伊朗核电站。伊朗核电站是一个物理隔离的网络，因此美国和以色列利用APT攻击，首先获得了一些核电站工作人员和其家庭成员的信息，针对这些家庭成员的主机发起了攻击，成功控制了这些家庭用的主机，然后利用4个WINDOWS的0DAY漏洞，可以感染所有接入的USB移动介质以及通过USB移动介质可以攻击接入的主机。终于靠这种摆渡攻击渗透进了防护森严物理隔离的伊朗核电站内部网络，最后再利用了3个西门子的0DAY漏洞，成功控制了控制离心机的控制系统，修改了离心机参数，让其发电正常但生产不出制造核武器的物质，但在人工检测显示端显示一切正常。成功的将伊朗制造核武器的进程拖后了几年。

三，安全相关公司众多，生态完整

与大数据、人工智能等方向只能由大公司来带头做不同，IT安全的机会非常多。无论大中小公司，事业单位，甚至包括国家队，都可以找到安全的职位。因此，只要懂安全技术，选择余地就很大。腾讯，阿里，百度，360，金山，瑞星，COMODO，启明星辰，绿盟等等各大中小企业都在花高薪大量招聘安全人才。

更多国内安全公司大汇总
近年来IT安全市场规模逐渐增大，根据《行业研究报告》统计，2018年高达500多亿，并将继续增长下去：

四，BAT、360对安全的投入

2012-2013年，企业安全市场群雄割据。赵武领衔的诺赛科技，赵伟坐镇的知道创宇，马杰和道哥吴翰清率领的安全宝。但几乎是一夜之间，赵武被360纳入麾下，赵伟挥师归顺腾讯，马杰进入百度，道哥重回阿里。这些人，可能展露了网络安全史上最疯狂的执念和野望，也演绎了最可歌可泣的抉择和妥协。现在我们就主要给大家详细介绍一下， BAT，360等企业里面的安全团队建设。

（1）TENCENT：

1，科恩实验室 https://keenlab.tencent.com/zh/index.html

腾讯科恩实验室的渊源是Keen Team (碁震安全研究团队)，这是一支由在信息安全理论和技术研究方面全球领先的中国"白帽"安全专家组成的信息安全研究队伍。在2015年Pwn2Own世界黑客大赛中，Keen Team、腾讯电脑管家联合团队以IE的Flash和PDF插件作为主要攻击目标，最终夺冠。 Keen Team实现3年5个冠军的傲人战绩，成为Pwn2Own历史上获胜次数最多的亚洲团队，至今仍保持着纪录。

在安全研究方面，有了 KEEN 元老吴石创办的科恩实验室。腾讯科恩实验室针对特斯拉漏洞的成功入侵，可以将特斯拉的中控大屏和液晶仪表盘更换为实验室 Logo，此时用户任何触摸操作都会失效，并可以远程控制车辆停车状态和行进状态。

2，玄武实验室 https://xlab.tencent.com/cn

该实验室由TK（tombkeeper，本名于旸，信息安全研究人员。江湖人称“TK教主”。曾在绿盟科技任高级研究员，后加入腾讯，任玄武实验室负责人。tk 教主因在漏洞缓解技术绕过方面的贡献，获得微软 10 万美元奖励，2015年微软在缓解技术绕过方面只给过七次奖励，tk 教主分别于2013年和2015年获得过两次）组建，2015年7月，微软官网"漏洞缓解绕过挑战荣誉榜"上公布了腾讯安全旗下的玄武实验室获得微软4.5万美元高额奖金的消息。

此外，腾讯的其他五个实验室（反病毒实验室、反诈骗实验室、移动安全实验室、湛泸实验室、云鼎实验室）也在从事着网络安全方面的前沿探索。

（2）360：

360作为国内安全主力部队，旗下的IT安全研究机构包括15个安全团队和4个安全实验室（http://b.360.cn/threat/threatgroup ）它们分别是：

1，伏尔甘 360 Vulcan Team

360 Vulcan Team是MJ0011带领的360安全卫士的攻防研究团队，日常工作主要围绕挖掘软件的安全漏洞和漏洞威胁，帮助厂商修复漏洞和提升产品安全性，并通过在漏洞研究领域的经验，设计和提供更有效的安全解决方案。 2015的pwn2own世界顶级黑客大赛上，伏尔甘一举攻破了IE浏览器，结束了欧美战队在该项目上的统治。

2，阿尔法团队 360 Alpha Team

360Alpha Team致力于为移动安全搭建坚固壁垒，该团队不仅在漏洞研究方面成绩斐然，还是国际黑客大赛上的常胜将军，曾在一年之内完成Mobile Pwn2Own上全球首破Nexus6、PwnFest上全球首破Pixel、Pwn2Own比赛中与360Vulcan团队并肩作战，实现中国首次攻破Chrome浏览器等辉煌战绩，是目前世界上最快实现黑客比赛大满贯的团队。团队近两年来因发现20多个漏洞获得Google公开致谢。在今年年初，谷歌官方发文致谢360 Alpha Team，并给出了三年来最高的112500美金的奖金以感谢攻破Pixel手机“穿云箭”组合漏洞。

3，追日团队 360 Helios Team

360 Helios Team是360公司高级威胁研究团队，从事APT攻击发现与追踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。

4，威派克团队 360 Vulpecker Team

360 vulpecker team威派克团队是360公司安卓安全的研究团队，专注于研究安卓安全，研究方向重点为安卓APP安全和安卓系统安全。

5，独角兽团队 360 Unicorn Team

独角兽聚焦在无线通信和硬件安全领域，WiFi、RFID、 NFC、ZigBee、GPS、蜂窝网络、卫星通信等都是他们的研究的目标，此外也涵盖无人机、智能汽车及各类嵌入式硬件系统的安全研究。

6，天擎团队 360 Skylar Team

天擎团队解决企业用户内网安全与管理问题，保证内网安全问题看得见、防得住、查得清、搞得定。

7，涅槃团队 360 Nirvan Team

涅槃团队是360公司负责苹果系统安全的研究团队。2015年初成立至今，发现了多个苹果iOS和Mac OS漏洞，多次获得苹果公司官方致谢。

8，0kee团队 360 0kee Team

0Kee Team 隶属于360信息安全部，致力于保护360公司全线WEB业务的安全。

9，360 QVM

360QVM TEAM是人工智能反病毒引擎QVM的幕后技术团队。

10，360 Marvel Team

360Marvel Team 是国内首支虚拟化安全研究团队，致力于云安全领域的虚拟化平台攻防技术、脆弱性安全风险发现和防护能力的研究团队。

11，安全服务团队 360 Corpsec Team

360安全服务团队专注于探索安全服务发展新方向。

12，360GearTeam

360公司一支专注于云安全与互联网核心开源组件安全研究的新锐团队，2016年获QEMU、Xen、VirtualBox、Docker等虚拟化软件致谢67次。

13，天行者团队 360 Sky-Go Team

14，360Sky-Go Team ，是国内首支专注于汽车信息安全研究领域的顶级安全团队，曾全球首个发现特斯拉汽车安全漏洞。

15，冰刃实验室 360 IcesSword Lab

IceSword Lab（冰刃实验室）是PJF带领的PC与移动内核部的研发实验室，研究方向是PC与移动操作系统内核、安全技术以及虚拟化技术。

16，安卓生态安全实验室 360 Beacon Lab

安卓生态安全实验室是360移动安全技术在安卓手机系统、应用中的集中体现。

17，网络攻防实验室 360 AD Lab

360 AD Lab 360攻防实验室专注于物联网时代的网络攻击与防御防技术研究，擅长车联网、IOT等各类系统的漏洞挖掘、漏洞利用与攻防技术实践。360攻防实验室成功破解特斯拉汽车及市面上主流的智能硬件。

18，天眼实验室 SkyEye Labs

天眼实验室（SkyEye Labs）正式成立于2014年1月，是360公司旗下专门利用大数据技术研究未知威胁的技术团队。

（3）ALIBABA：

阿里拥有8个安全实验室，阿里聚安全的官网：http://jaq.alibaba.com

1，阿里安全图灵实验室（Alibaba Turing Lab）

图灵实验室专注于计算机视觉、自然语言处理、机器学习和深度学习图等领域的技术研发。

2，阿里安全猎户座实验室

猎户座实验室以通用系统平台、软件供应链、终端和设备为研究对象，以提升攻防对抗能力方法论为目标的实验室。

3，阿里安全双子座实验室（Alibaba Gemini Lab）

双子座实验室专注于数据安全及隐私保护领域的技术研究和能力输出，实验室研发的主要技术包括：密态数据处理、安全多方计算、隐私保护等。

4，阿里安全归零实验室

阿里安全归零实验室成致力于对黑灰产技术的研究。

5，阿里安全钱盾反诈实验室

钱盾实验室主要关注于移动端反病毒、反钓鱼、反诈骗技术研究，以保护和服务消费者。

6，阿里安全米诺斯实验室（Alibaba Minos Lab）

米诺斯实验室专注于应用防护技术，实验室致力于代码混淆、防逆向、防篡改等技术领域的研发，并通过工具化、产品化的方式向集团内外输出我们的端应用防护能力。

7，阿里安全潘多拉实验室（Pandora Lab of Ali Security）

主要聚焦于移动安全领域，包括对 iOS 和 Android 系统安全的攻击和防御技术研究。

8，蚂蚁金服光年实验室

专注于金融支付安全领域研究团队，有着丰富的黑灰产抗击经验和国内顶尖的技术能力。阿里巴巴上述八大安全实验室已经涵盖如 AI 前沿技术、IoT 安全、系统安全、应用安全、数据安全与隐私保护、反欺诈等技术，并建立了全面、纵深的安全矩阵，未来，阿里巴巴还将继续加大在安全方面的研究和投入。

值得一提的是阿里安全猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的漏洞，攻击者只需发一条消息就可以完整克隆受害者的微信账号及其聊天记录，并实现微信钱包支付和窃取隐私信息的操控，阿里安全实验室第一时间将漏洞信息上报给了国家相关部门和同步给了腾讯公司。

（4）BAIDU：

百度安全的团队介绍资料较少，但百度也有自己的安全官网：https://anquan.baidu.com，并提供了AI安全，云安全，业务安全，数据安全等相关的产品和技术服务。百度于2015年全资收购安全宝。安全宝是国内第一家完全基于SaaS模式为用户提供安全防护服务的公司。作为李开复先生创办的创新工场中唯一一个安全领域的投资项目。2015年4月15日，百度全资收购安全企业安全宝，融入百度云安全体系。

Google2017年漏洞致谢榜
这里只是主要列举了BAT 360等我国著名互联网公司的安全团队建设情况。实际上，除了BAT、360，世界上任何一家公司，随着业务的增长，都不可忽视安全团队的建设。包括Intel，GOOGLE，微软等世界级的跨国公司也有自己知名的安全团队。

五，待遇好，招聘需求众多，一将难求

英特尔公司安全研究团队发布的报告显示，美、英、法、德等8个国家的71%的企业表示，由于安全人才匮乏，每年都会因网络攻击而产生重大经济损失。权威数据显示，最近3年，我国高校学历教育培养的信息安全专业人才仅有3万余人，不足70万需求的5%。

根据大佬们目测，中国的安全人才缺口大概在100万左右，而现在每年培养的人数，尚不足1.5万人。所以一旦有合格的安全苗子，显然会被大公司哄抢。从腾讯的角度看，他们会给有潜力的安全人员安排一个“特殊通道”，提前进入鹅厂实习，并且还会给很多出国学习和交流的机会。当然在笼络人才方面，360也基本采用同样策略。腾讯举办了TCTF信息安全大赛，简单来说就是鼓励各个大学里的信息安全精英参加比赛，在比赛的过程中发掘高端人才。这给360更加精英化的WCTF施加了不小的压力。

物以稀为贵。看看BAT等公司对安全人才的招聘需求和给出的薪水待遇（月薪20K-50K是常见区间，优秀者更是上不封顶，百万千万都是有案例的）：

BAT,360等安全人才招聘更多的招聘需求请参考下面的一些网站：

看雪：http://bbs.pediy.com
52PJ：http://www.52pojie.cn
FreeBuf：http://www.freebuf.com
拉钩：http://www.lagou.com
猎聘：http://www.liepin.com
水木：http://www.newsmth.net
百度：http://talent.baidu.com
阿里：https://job.alibaba.com
腾讯：http://hr.tencent.com
360：http://hr.360.cn

六，安全技术壁垒

安全技术和职位对C语言，汇编，数据结构和算法，程序执行原理，编译理论，调试技术，逆向技术，内核技术，深入系统底层对系统底层运行机制都要求特别熟练。安全技术不像普通的IT技术（PHP,JAVA,.NET）等那么容易上手，单就一个C语言的掌握，就已经是一个很大的门槛了，因此安全技术需要不断的学习和经验的积累，有时候甚至自学都很困难。因此，学习安全技术可以提高自己的技术壁垒，形成自己的核心竞争力。

“虽然送外卖、O2O确实很火，但是做安全比这些业务逼格高太多了”--周鸿祎

安全对抗激烈，一攻一守，非常有挑战。普通人写完代码，交给测试没有BUG就发布了。但是，在安全工程师的眼里，到处都可能是漏洞。溢出，提权，注入，DOS攻击，一不小心就被人利用了。

七，如何入门

虽然安全技术有壁垒，但是与人工智能，深度学习，大数据处理，图形图像等领域需要很多高深的数学相比较，安全对人的数学要求却并不高，一般只需要中学数学基础，即可研究安全中的各种理论和技术。这无疑对那些数学薄弱的同学是个好消息。此外，安全对学历的要求也比其它方向更宽松，当然最好能有一定的英语水平，这样便于你阅读相关的英语技术文档。因此只要你有安全天赋，BAT的大门随时为你敞开。

上图是腾讯安全玄武实验室的TK（著名的黑客大师）发的一个招聘信息，里面就提到了不看学历，只看能力。

那么IT安全方向如何入门呢？首先最重要的还是先要打好学习安全技术的基础：C语言，数据结构和算法，汇编；还包括：网络协议，数据库，操作系统，编译原理，以及英语和数学。此外，我们还专门写了一篇文章，详细介绍了从零基础入门的方法并推荐了一些入门书籍，请参考我们为大家推荐的学习路线图： https://www.mallocfree.com/roadmap.htm

这里再给大家推荐一些网上的安全学习资源：

看雪:http://bbs.pediy.com
Freebuf:http://www.freebuf.com
STACKOVERFLOW:http://stackoverflow.com
CVE漏洞：http://cve.mitre.org
CERT:http://cert.org
360BLOG:http://blogs.360.cn
OSR:http://www.osronline.com
漏洞库：https://www.exploit-db.com
安全基础课：《周哥教IT》https://zyr.ke.qq.com

安全也有很多分支，比如内核安全，移动（IOS,ANDROID）安全，Web安全，业务安全，AI安全，数据安全，云安全，物联网安全等等。各个方向都有巨大潜力和挑战。一般很多安全专家都精通一到多个方向。可以结合自己的兴趣和爱好，精通1到2个方向

八，安全培训

学习安全技术，一是要有扎实的基础，二是要有兴趣和爱好，也就是真心喜欢IT和安全技术。自学有困难或者长时间学习无法入门的同学，可以选择通过培训快速入门。培训的好处在于少走弯路，有问必答，学习氛围。但是现在培训机构大部分都口碑不好，鱼目混杂，一不小心选择错误，不仅损失了金钱，还浪费了时间，因此必须慎之又慎。

最后，如果大家想学IT安全技术或者想在IT安全方面深造，给大家毛遂自荐推荐一下我们的安全培训：麦洛科菲(https://www.mallocfree.com) ，IT安全界黄埔军校，10年老品牌，长期专注于基于C和汇编的Windows安全， Linux安全，Android安全，WEB安全，漏洞分析与挖掘，逆向工程等教学和推广。众多学员已经成功就职阿里巴巴，360，腾讯，百度等一流互联网安全企业或部门。除此之外，我们还培养了多名世界知名安全大会Blackhat演讲者，甚至还培训了卡内基梅隆大学计算机专业在校学生。因此，我们还是值得大家信任的。

附录：参考来源

1,安全牛-网络安全行业全景图： http://www.aqniu.com/industry/30888.html
2,雪球-2017年中国网络信息安全产业概览： https://xueqiu.com/4230469122/90269405
3,人民日报-周鸿祎：网络安全亟待产出“批量专才”： https://mp.weixin.qq.com/s/alVyhJSPftVkhtqKIVof1Q
4,浅黑科技-腾讯安全的“进化战争” https://mp.weixin.qq.com/s/iB11g2eq_DEAEs5GGeO87Q
5,周鸿祎-《大安全时代，万物皆变，人是安全的尺度》