关注 | 全国医疗机构网络信息安全管理办法将出台 云安全

关注 | 全国医疗机构网络信息安全管理办法将出台

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786“全国医疗机构网络信息安全管理办法正在起草中,不久将会出台。”一消息人士近日在中国互联网大会上透露,新冠疫情暴发后,全球医疗健康数据频繁受到黑客攻击,国内开始重视医疗健康数据的价值,希望通过立法、加强监管等多维度方式提升医疗健康数据的整体安全水平。医疗健康数据被广泛应用医疗健康数据广泛应用在日常生活的多种场景中。比如,通过大数据高效分析用药成分、剂量时间等情况,寻找合理用药的最佳组合;通过大量临床数据进行科学分析找到病因,并进行临床病因分析和慢病监测;通过对基因序列大量分析,快速筛查和预测疾病和潜在基因缺陷的基因组学分析;对患者进行远程疾病数据采集后,结合大量临床病因数据分析,实现远程医学诊疗;通过智能可穿戴设备收集数据,实现人体生命体征检测,预警潜在健康风险,进行健康管理;应用大数据等算法,制定医保支付标准,并基于此进行精准的医保决策分析等等。卫健委医院管理研究所副所长王凯表示,医疗行业关系国计民生,医疗数据一旦遭到篡改、破坏和泄露,势必对医疗机构的声誉、医患双方的隐私及健康安全构成严重威胁,甚至影响社会的和谐稳定。中国信通院云计算与大数据研究所副所长魏凯告诉记者,基于医疗大健康数据的敏感性,2016年至今,国家相继出台了不少医疗健康数据安全政策进行规范,包括《关于促进和规范健康医疗大数据应用发展的指导意见》、《互联网诊疗管理办法》、《互联网医院管理办法》、《远程医疗服务管理规范》、《国家健康医疗大数据标准、安全和服务管理办法》、《人类遗传资源管理条例》、《数据安全法》等法律法规。“即使有如此多法规,医疗健康数据安全事件频发,数据安全形势非常严峻。”他说,尤其是疫情后,数据安全的风险进一步加剧了。疫情后健康数据安全风险加剧2020年4月,世界卫生组织发表声明称,疫情期间遭受网络攻击数量同比增长5倍。奇安信集团发布网络安全系列报告指出,2020年疫情暴发后,医疗卫生行业史上首次超过政府、金融、国防、能源、电信等领域,成为全球APT(黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为)活动关注的首要目标。全球23.7%的APT活动事件与医疗卫生行业相关。中国首次超过美国、韩国、中东等国家和地区,成为全球APT活动的首要地区性目标。安天科技集团董事长肖新光透露,抗击疫情期间,我国的卫生医疗系统、疫苗研究机构、科研院所等曾频繁遭遇网络入侵攻击。2020年4月,中国医疗公司AI检测新冠病毒技术实验数据源代码被黑客窃取并出售。在疫情期间,医疗机构个人和患者信息泄露事件更是频发。2020年1月,某市区卫生管理部门领导通过微信转发新冠病人报告。2020年11月,某市区卫生管理部门领导为提醒辖区内某单位做好防疫工作,将“疑似密接调查情况简介”微信转发,造成该辖区内单位将此信息大规模群发。此外,远程网络诊疗方式在疫情后被人们普遍接受,全国不少医院都在申请互联网医院、智慧医院。业内人士指出,由于使用网络传递诊断数据、照片等信息,医疗健康数据的不安全风险可能会进一步加剧。据悉,目前医疗健康不安全风险主要体现在八个方面,一是在线医疗数据:检验报告、诊断结果、既往病史等健康医疗数据存在因漏洞攻击、病毒感染等,导致的非法访问、窃取篡改和恶意上传等风险;二是医联体访问数据:医联体以及第三方服务机构人员在对敏感数据进行访问浏览的过程中,均可能导致医患隐私等重要信息面临泄露风险;三是临床科研数据:临床科研数据涉及人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例以及患者报告,传输过程中一旦发生泄露,后果非常严重;四是医保数据:医保数据涉及与第三方机构对接,在系统对接、数据传输、数据使用、数据存储、数据销毁等环节面临安全风险;五是医疗设备维保数据:医疗器械厂商在进行远程医疗设备维护保养时,数据将面临非授权访问、不安全链接、隐私数据泄露、维护记录保存不当等安全风险;六是健康大数据中心数据:分类分级机制缺失导致将非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据安全隐患;七是可穿戴健康设备数据:可穿戴设备数据在采集、存储、使用阶段均存在着不同程度的安全隐患;八是医疗健康APP数据:移动应用涉及众多在线健康医疗服务、存在泄露个人健康状况数据、支付数据、卫生资源数据以及公共卫生信息的隐患。多维度提升数据安全整体水平“还有一些健康敏感数据也在非法出境。国内某知名医院领导与国外公司达成合作协议,非法启动某敏感数据科研项目,国外这家公司对该科研项目样本数据具有远程不受限制的访问权。”一位业内人士指出,面对复杂的形势,医疗机构等相关部门需要多维度提升医疗健康数据安全整体水平。魏凯指出,一方面加强监管,推动制定、完善卫生健康行业数据安全管理办法出台。另一方面,制定完善医疗健康数据安全配套标准体系,建立行业合作机制,协同创新、开放共享。“北京卫生健康委制定了北京互联网医院监管平台,要求北京市开展互联网诊疗服务的医疗机构均需与监管平台对接,接受平台监督。”北京卫生健康委信息中心副主任郑攀说,截至今年6月,北京市共审批了19家互联网医院,已全部对接监管平台。据悉,互联网医院监管平台内容包括,升级已建的医政医管电子化注册平台,实现机构、医师、护士电子证明、救护车以及医疗广告等医疗资源的管理;建设医疗服务与执业监管平台,实现互联网医院审批及互联网诊疗的实时动态监管;建设医疗服务与执业监管平台,建设医疗服务、诊疗行为等信息的采集系统以及数据展示系统,实现对实体医疗机构医疗资源与医疗服务的监管。(来源:经济参考报)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | 全国医疗机构网络信息安全管理办法将出台
阅读全文
关注 | 《2021年汽车标准化工作要点》发布 加快推进智能网联汽车信息安全相关工作 云安全

关注 | 《2021年汽车标准化工作要点》发布 加快推进智能网联汽车信息安全相关工作

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786据工信部网站消息,6月28日,工信部发布《2021年汽车标准化工作要点》。文中强调,在智能网联汽车领域要加快推进整车信息安全、软件升级、自动驾驶数据记录系统等强制性国家标准的立项和制定工作;强化基础性标准支撑,完成智能网联汽车术语定义推荐性国家标准征求意见,启动并持续推进信息安全工程、操作系统等基础类标准制定工作。2021年汽车标准化工作要点2021年汽车标准化工作,将深入贯彻落实《新能源汽车产业发展规划(2021-2035年)》《国家车联网产业标准体系建设指南(智能网联汽车)》等要求,进一步聚焦重点领域、注重协同创新、强化应用牵引,持续健全完善汽车标准体系,为汽车产业高质量发展提供坚实支撑。一、强化规划引领,注重顶层设计1.加快“十四五”标准体系建设。按照国家战略规划和汽车专项规划要求,完成汽车行业“十四五”标准体系建设方案,建立新能源汽车和智能网联汽车“十四五”标准体系,并明确分阶段具体建设目标。2.完善汽车标准化工作路线图。发布《中国电动汽车标准化工作路线图》(第三版),并做好宣贯和实施工作;结合自动驾驶技术应用情况,启动先进驾驶辅助系统标准制定路线图(第二版)修订工作。3.研究建立汽车行业智能制造标准体系。贯彻落实国家智能制造总体建设规划部署,构建涵盖基础共性、关键技术和细分应用等具体领域的汽车行业智能制造标准体系。二、聚焦重点领域,优化标准供给(一)加快战略性新兴领域汽车标准研制1.新能源汽车领域。强化电动汽车安全保障,开展电动汽车整车、动力电池及换电等安全标准实施效果评估,推动传导充电安全要求、碰撞后安全要求等标准发布实施。注重电动汽车整车综合性能提升,加快电动汽车动力性、远程服务与管理、纯电动乘用车技术条件等标准制修订。聚焦燃料电池电动汽车使用环节,推动燃料电池电动汽车能耗及续驶里程、低温冷启动、动力性能、车载氢系统、加氢枪等标准制修订。加快关键部件创新突破,开展动力蓄电池、超级电容器、驱动电机系统、绝缘栅双极型晶体管(IGBT)模块等标准制修订。支撑换电模式创新发展,推动换电车辆车载换电系统互换性、换电通用平台、换电电池包及其附件、电池包与车辆和换电站通信等标准预研。支撑电动汽车绿色发展,开展动力电池回收利用通用要求、可梯次利用设计指南等标准预研,完成动力电池回收服务网点标准制定。2.智能网联汽车领域。适应新技术发展趋势,加快推进整车信息安全、软件升级、自动驾驶数据记录系统等强制性国家标准的立项和制定工作;强化基础性标准支撑,完成智能网联汽车术语定义推荐性国家标准征求意见,启动并持续推进信息安全工程、操作系统等基础类标准制定工作;紧跟行业技术应用情况,完成驾驶员注意力监测、车门开启提醒等辅助驾驶系统的审查和报批工作,推动组合驾驶辅助、自动泊车等重点功能标准制定工作;围绕智能网联汽车多场景应用,加快自动驾驶应用功能要求和场地、道路试验方法等标准的制定出台,研究港口、配送等特定应用需求相关标准;针对自动驾驶功能使用差异性,开展自动驾驶功能产品说明书、自动驾驶使用者培训等方面的标准化需求探索与研究。3.汽车电子领域。重点推进车载事故紧急呼叫、车载卫星定位系统、免提通话及语音交互等标准的立项及研制工作,加快无线通信终端、毫米波雷达、激光雷达、主/被动红外探测系统等关键通信及感知部件标准的制修订进程,深入开展车用芯片、车用存储器、车用传感器等核心半导体和元器件标准研究;统筹推进基础通用类电磁兼容标准制修订工作,启动电磁兼容性要求和试验方法、整车天线系统性能评价等标准的制修订预研;有序推进功能安全、预期功能安全、功能安全审核评估方法、ASIL等级确定方法等基础支撑类标准的制修订工作;加快车载以太网标准体系建设及标准项目研究工作;开展电驱动系统车规环境评价、48V供电系统电气要求等国际标准转化工作。(二)持续完善传统汽车与基础领域标准4.汽车节能领域。启动下一阶段乘用车燃料消耗量评价方法及指标标准、电动汽车能量消耗率限值标准的预研及立项;持续推进轻型、重型商用车辆燃料消耗量限值标准的修订,完成重型商用车辆电动汽车能量消耗量和续驶里程试验方法标准的审查和报批;开展高效电机、停缸技术等乘用车循环外技术装置评价方法标准的预研;完成轻型汽柴油车、可外接充电式混合动力电动汽车和纯电动汽车能源消耗量标识标准的制定。5.传统整车领域。协调推进整车定义、分类相关标准研究,完成汽车和挂车类型的术语和定义标准修订。对标国际标准相关要求,组织开展整车性能测试、参数测量、驾乘操控舒适性等标准预研。立足汽车车外噪声污染控制,积极推进整车异响、主动降噪、倒车提示音等标准研究。围绕货运设备和运输模式转型发展,修订完善半挂车、主挂连接互换性等相关标准。加强高压压缩天然气汽车(CNGV)标准研究,做好相关标准制修订。6.汽车安全领域。重点开展行人保护、汽车前后端保护、乘用车顶部抗压强度、侧面碰撞保护、后碰撞安全要求、安全带和约束系统、儿童约束系统、外部凸出物、客/校车座椅强度等整车及零部件强制性国家标准的修订完善,推进被动安全标准要求升级。开展驾驶员前方视野、防盗装置、乘用车外部防护、车辆事故救援指南等标准预研及制修订,提升一般安全标准要求。聚焦行业痛点和管理需要,推动车辆外廓尺寸、轴荷及质量限值标准评估修订,开展牵引车和汽车列车匹配性相关标准预研,稳步推进危险货物运输车辆安全标准修订,加快乘用车制动系统标准修订,开展悬架V形推力杆、高度控制阀、乘用车空气悬架等关键部件标准研究。(三)开展绿色低碳及智能制造相关标准研究7.绿色低碳领域。完善汽车生产过程清洁化、生命周期能源低碳化、产品设计绿色化标准子体系,汽车再制造及再利用标准子体系,车用动力电池综合利用标准子体系,开展车辆生产企业及产品全生命周期碳排放及核算办法系列标准的研究,推动汽车清洁化生产和使用。8.智能制造领域。以推进智能化技术在汽车研发设计、生产制造、仓储物流、经营管理、售后服务等关键环节深度应用为重点,研究制定汽车行业智能制造领域的术语和定义、智能制造能力成熟度评估要求、汽车行业标识应用指南等基础标准,以及大规模个性化定制、新能源汽车数字化车间、汽车行业工业控制系统安全管理要求等关键技术相关标准;考虑标准化工厂和数字化工厂建设需求,开展数据采集流转和分析、生产工艺及工序、虚拟仿真、数字化系统、规模化定制等相关标准研究。(四)研究制定摩托车领域技术标准9.摩托车领域。根据摩托车行业技术发展趋势及产业发展需求,开展摩托车联网及电子防盗相关标准研究;完善摩托车轮毂电机标准体系,开展高速电机系统标准研制;加快电动摩托车与外部电源传导连接安全要求标准制定立项;组织电动摩托车充换电系统系列标准研究。三、深化国际合作,加强标准法规协调1.发挥多双边合作机制作用。充分利用已经建立的多双边合作机制平台,聚焦新能源汽车、智能网联汽车等领域,组织标准化路线图合作研究,共同提出国际标准法规提案,联合开展相关测试验证活动。贯彻落实“一带一路”国家战略,通过与相关国家和地区组建专家组、开展系列培训等方式,促进国内外标准化机构间的对话合作,积极推动中国标准“走出去”。2.深度参与全球技术法规制定。切实履行联合国世界车辆协调论坛(WP.29)框架下自动驾驶与网联车辆工作组副主席以及自动驾驶功能要求、电动汽车安全、电动汽车与环境、燃料电池电动汽车、噪声等非正式工作组联合主席及副主席职责,深入参与各工作组框架下技术法规的制定与协调,推动电动汽车安全第二阶段全球法规发布实施,全面参与动力电池耐久性、燃料电池安全等全球技术法规的研究制定;持续推进智能网联汽车法规框架完善和具体技术法规制定,深入参与自动驾驶验证方法(VMAD)、数据记录系统(EDR/DSSAD)、信息安全和软件升级 (TFCS/OTA)、自动转向功能(ACSF)等国际法规协调;深度参与联合国法规UN R117(轮胎滚动噪声、滚阻和湿抓地)修订工作,积极贡献“中国方案”。3.加强国际国外标准协同。密切跟踪国际标准化组织道路车辆委员会(ISO/TC22)和国际电工委员会电动车辆电能传输系统委员会(IEC/TC69)及其下属工作组的标准化工作进展情况,完成IEC/SMB/SEG11未来可持续交通系统评估组研究任务。履行ISO自动驾驶测试场景工作组召集人职责,推动自动驾驶测试场景系列标准制定工作,明确测试场景标准后续工作计划,与其他国家和地区共同推动标准立项和制定工作。加快汽车外部灯具防雾涂层应用和安全玻璃材料透光度确定方法两项国际标准工作进程,重点推进整车及零部件EMC测试、乘用车外部保护、负压救护车等中国牵头的国际标准制修订项目立项。(来源:工信部网站)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | 《2021年汽车标准化工作要点》发布 加快推进智能网联汽车信息安全相关工作
阅读全文
关注 | 工信部就《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》公开征求意见 云安全

关注 | 工信部就《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》公开征求意见

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786公开征求对《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》的意见为贯彻《中华人民共和国网络安全法》,落实《新能源汽车产业发展规划(2021-2035年)》《智能汽车创新发展战略》《车联网(智能网联汽车)产业行动计划》,加强车联网(智能网联汽车)网络安全管理工作,提升网络安全保障能力,促进车联网(智能网联汽车)产业规范健康发展,工业和信息化部起草了《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》(见附件),拟以规范性文件形式印发,现面向社会公开征求意见。如有意见或建议,请于2021年7月2日前反馈。传    真:010-66022774邮    箱:[email protected]地    址:北京市西城区西长安街13号工业和信息化部网络安全管理局(邮编:100804)。请在信封上注明“《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》意见反馈”。附件:关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿).wps工业和信息化部2021年6月22日关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)各省、自治区、直辖市工业和信息化主管部门、通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司,有关车联网运营企业、智能网联汽车生产企业:为贯彻《中华人民共和国网络安全法》,落实《新能源汽车产业发展规划(2021-2035年)》《智能汽车创新发展战略》《车联网(智能网联汽车)产业行动计划》,指导基础电信企业、车联网运营企业、智能网联汽车生产企业加强车联网(智能网联汽车)网络安全管理工作,加快提升网络安全保障能力,促进车联网(智能网联汽车)产业规范健康发展。现将有关事项通知如下。一、加强车联网网络安全防护(一)保护车联网网络设施和系统安全。落实企业网络安全主体责任,建立车联网网络安全管理制度和操作规程,确定网络安全负责人,定期开展符合性评测和风险评估,及时消除网络安全风险隐患。严格落实分级防护要求,加强网络设施和系统资产管理,合理划分网络安全域,加强访问控制管理,做好网络边界安全防护,采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。(二)保障车联网通信安全。建立企业车联网身份认证和安全信任机制,强化车与车、车与路、车与云、车与设备等场景安全通信能力建设,推动跨车型、跨设施、跨企业互联互认互通。加强商用密码应用,开展商用密码应用安全性评估。(三)开展车联网安全监测预警。建立网络安全监测预警机制和技术手段,面向智能网联汽车、联网系统等,开展运行安全监测、流量与行为监测分析,及时发现预警安全状态异常、恶意软件传播、网络通信异常、网络攻击等网络安全事件或异常行为,并按照规定留存相关的网络日志不少于6个月。(四)做好车联网安全应急处置。建立网络安全应急响应机制,制定网络安全事件应急预案。定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照《公共互联网网络安全突发事件应急预案》向有关主管部门报告。(五)做好车联网网络安全防护定级备案。按照车联网网络安全防护相关标准,对所属网络设施和系统开展网络安全防护定级工作,并向省级电信主管部门备案。对新建网络设施和系统,应当在规划设计阶段确定网络安全防护等级。各省级电信主管部门会同工业和信息化主管部门做好定级备案审核工作。二、加强平台安全防护(一)加强平台网络安全管理。采取必要的安全技术措施,加强智能网联汽车、边缘侧设备等平台接入安全,主机、数据存储系统等平台设施安全,以及微服务、资源管理、应用程序编程接口(API)访问等平台应用安全防护能力,防范网络侵入、数据窃取、远程控制安全风险。涉及在线数据处理与交易处理、信息服务业务等电信业务的,应依法取得电信业务经营许可。认定为关键信息基础设施的,要落实国家关于关键信息基础设施安全保护有关规定。(二)加强OTA服务安全和漏洞检测评估。开展OTA服务及软件包网络安全检测,及时发现服务和产品安全漏洞。加强OTA服务安全校验能力,采取身份认证、加密传输等技术措施,保障传输环境和执行环境的网络安全。加强OTA服务全过程网络安全监测和应急响应,及时评估网络安全状况,防范软件被篡改、损毁、泄露和病毒感染等网络安全风险。(三)强化应用程序安全管理。建立车联网(智能网联汽车)应用程序开发、上线、使用、升级等安全管理制度,提升应用程序身份鉴别、通信安全、关键数据保护等安全能力。加强车联网(智能网联汽车)应用程序安全检测,及时处置安全风险,防范恶意应用程序攻击和传播。三、保障数据安全(一)加强数据安全管理。建立健全数据安全管理制度,建立完善权限管理、监测预警、应急响应、投诉受理等保障措施,明确责任部门和责任人,加强人员教育培训。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。定期开展数据安全风险评估,强化隐患排查整改。(二)提升数据安全技术保障能力。坚持“最小必要”原则采集数据,针对数据全生命周期采取有效技术保护措施,防范数据泄露、毁损、丢失、篡改、误用、滥用等风险。强化数据安全监测预警能力建设,提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平。及时处置数据安全事件,向省级电信主管部门、工业和信息化主管部门报告,并配合开展相关监督检查,提供必要技术支持。(三)规范数据开发利用和共享使用。合理开发利用数据资源,防范在使用自动化决策技术处理数据时,侵犯用户隐私权和知情权。明确数据共享和开发利用的安全管理和责任要求,对数据合作方的资质和能力进行审核评估,对数据共享使用情况进行监督管理。(四)强化数据出境安全管理。在中华人民共和国境内收集和产生的个人信息和重要数据应当依法在境内存储。因业务需要确需向境外提供数据的,应当通过数据出境安全评估并向省级电信、工业和信息化等有关主管部门报备。各省级电信主管部门会同工业和信息化主管部门做好数据出境备案、安全评估、监督检查等工作。四、强化安全漏洞管理(一)建立安全漏洞管理机制。落实国家关于网络产品安全漏洞管理有关规定,建立车联网(智能网联汽车)安全漏洞管理机制,明确漏洞发现、分析、修补等工作程序,加强漏洞管理资源保障投入,确保漏洞得到及时修补和合理披露。(二)加强安全漏洞发现收集。加强漏洞风险的主动监测、风险评估、技术验证等能力建设。建立漏洞信息接收渠道并保持畅通,主动收集用户、上下游供应商、网络安全企业、研究机构等发现的漏洞信息,加强与漏洞收集平台的协同联动。鼓励建立漏洞奖励机制。(三)强化安全漏洞协同处置。发现或获知本企业网络设施和业务系统、智能网联汽车产品存在漏洞后,应当立即采取补救措施,并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。加强上下游产品或组件存在漏洞的协同处置。对需要用户采取软件、固件升级等措施修补漏洞的,应当及时将漏洞风险及修补方式告知可能受影响的用户,并提供必要的技术支持。(来源:工信部网站)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | 工信部就《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》公开征求意见
阅读全文
关注 | “净网”集中行动启动!6部门合力整治网上有害信息 云安全

关注 | “净网”集中行动启动!6部门合力整治网上有害信息

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786近日,全国“扫黄打非”工作小组作出安排,中央宣传部、中央网信办、工业和信息化部、公安部、文化和旅游部、国家广播电视总局即日起至国庆节前,开展“净网”集中行动,专项整治网上有害信息和不良内容。全国“扫黄打非”办公室通报指出,此次“净网”集中行动由中央有关部门依据监管职责、任务分工分别开展,将通力配合、集中力量、迅速行动,重点整治网上涉历史虚无主义、涉黄涉非、涉低俗等有害信息,深度清理有悖社会主义核心价值观的网络内容。据统计,今年以来,“扫黄打非”部门组织开展“净网2021”等专项行动,深化对网络直播、社交、论坛社区、网络漫画等领域的清查工作,取得阶段性成效。截至5月底,监管部门累计处置网络有害信息155万余条,取缔关闭非法网站6400余个,查办涉网“扫黄打非”案件960起,全国“扫黄打非”办联合公安部、文化和旅游部等挂牌督办重大涉网案件70起。全国“扫黄打非”办通报了“净网2021”专项行动查办的首批典型案件。——江苏灌南查办某团伙利用微信公众号传播淫秽物品牟利案。今年3月,根据群众举报,灌南县公安局成立专案组进行侦办。警方分赴5省市同步收网,成功打掉一个利用微信公众号传播淫秽物品牟利犯罪团伙,抓获犯罪嫌疑人18名,查获淫秽电子书刊200余部,关停非法微信公众号3000余个。该团伙自2020年以来采取散布“疫情补贴”“节假日补贴”“海底捞红包”等谣言方式非法引流,引导网民关注其控制的微信公众号,再通过微信公众号传播淫秽色情小说,诱导用户充值进行非法牟利,涉案金额2000余万元。——上海查办“8·31”传播淫秽物品牟利案。去年8月,对工作中发现的数个名为“色×”“绝×”的App可下载观看色情短视频情况,上海警方迅速成立专案组进行侦办。经查,嫌疑人黄某、郭某等自2019年6月起,合谋开发色情App和网站,在多地招募技术团队,先后开发上线多款色情软件,存储在境外资源服务器上的淫秽视频多达10万余部。警方已依法逮捕嫌疑人13名,关闭涉黄App6个,查冻非法资金700余万元。——山东莱西查办贺某等利用色情直播平台传播淫秽物品牟利案。今年1月,青岛莱西市公安机关破获该案。经查,姜某、张某某等12名女性,先后在“盘丝洞”“撕夜”等数个直播平台注册账户,以每分钟1至2元的价格开展直播,并以淫秽表演、裸聊等手段非法牟利。该网络直播团伙注册会员1万余人,资金流水100余万元。公安机关抓获主要犯罪嫌疑人贺某等14人。——湖南绥宁查办“11·10”传播淫秽物品牟利案。绥宁县公安局对群众举报的“茄子短视频App涉嫌传播淫秽物品牟利”线索立案侦查,今年2月,抓获涉案人员38名。经查,“茄子短视频”App为境外某公司创建并运营,平台注册色情主播1084人、“家族长”30余人,营收近10亿元,净利润2.7亿余元。公安机关查处为该色情平台提供支付服务的4家境内公司,抓获犯罪嫌疑人40名,追缴非法所得1700余万元。——湖北麻城查办“8·06”利用色情App帮助信息网络犯罪活动案。麻城市公安局接到报警称,有一款App冒充某短视频从事色情、赌博等非法活动。专案组在多地开展收网,抓获犯罪嫌疑人7名,扣押冻结资金300余万元。经查,犯罪嫌疑人张某伙同贾某、马某、刘某等注册公司,联系帮助多家境外赌博、色情平台及诈骗团伙进行支付资金结算,从中获利。目前,5人被逮捕,2人被刑拘,案件在进一步查办中。——江苏无锡查办张某某涉嫌传播淫秽物品牟利案。今年2月,无锡市公安局梁溪分局核查线索,发现张某某开设网站发布大量汉化后的境外色情动漫游戏,并以充值会员换积分兑换游戏的方式进行牟利。4月20日,公安机关将其抓获,查获境外色情动漫游戏100余部。经查,张某某在网上搭建“心愿屋商城”网站,并组织22名翻译人员对境外色情动漫游戏进行汉化工作,将汉化的游戏发布在网站内供会员充值下载。该网站累计注册会员6507名,充值140余万元,网站内发布170部境外色情动漫游戏,下载量7万余次。——福建建瓯办结蔡某某等人传播淫秽物品牟利案。建瓯市公安机关破获该案,查明犯罪嫌疑人蔡某某伙同徐某某、罗某某,通过网络代理一款名为“如钥”的淫秽视频观看网络平台,在微信群发布平台链接,引导网民观看淫秽视频,获取该平台返还的代理费用;同时,利用微信以每部淫秽视频4至10元不等的价格,贩卖牟利。(来源:新华网)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | “净网”集中行动启动!6部门合力整治网上有害信息
阅读全文
关注 | 最高法召开网络安全和信息化领导小组2021年第一次全体会议 云安全

关注 | 最高法召开网络安全和信息化领导小组2021年第一次全体会议

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786周强主持召开最高人民法院网络安全和信息化领导小组2021年第一次全体会议强调全面深化智慧法院建设 推动人民法院工作高质量发展5月13日上午,最高人民法院党组书记、院长周强主持召开最高人民法院网络安全和信息化领导小组2021年第一次全体会议。周强强调,要坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻习近平法治思想,认真学习贯彻习近平总书记关于网络强国的重要论述精神,全面深化智慧法院建设,以司法数据中台、智慧法院大脑、在线法院建设为牵引,推进人民法院信息化4.0版建设,促进审判体系和审判能力现代化,推动新时代人民法院工作高质量发展。会议审议通过《最高人民法院网络安全和信息化领导小组工作报告和下一步工作安排》《最高人民法院信息化建设五年发展规划(2021-2025)》等内容,听取了关于司法数据中台和智慧法院大脑建设以及最高人民法院知识产权法庭电子诉讼探索与实践的汇报等。周强指出,“十三五”时期,在以习近平同志为核心的党中央坚强领导下,在中央政法委领导下,各级法院开拓进取、攻坚克难,建成人民法院信息化3.0版,推动实现全业务网上办理、全流程依法公开、全方位智能服务。五年来,人民法院诉讼服务、审判执行、司法公开、办公平台等信息化业务应用全面发展,数据管理和服务能力大幅提升,“五网三云”一体化信息基础设施基本建成,全国法院信息安全体系基本形成,质效型运维保障体系实现落地应用,顶层设计不断健全,信息化建设取得新成效、迈上新台阶,展现了人民法院贯彻落实习近平法治思想的生动实践。周强指出,2021年是“十四五”开局之年,也是全面建设社会主义现代化国家新征程开启之年,智慧法院建设面临前所未有的重大历史机遇。人民法院要坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻习近平法治思想,完整、准确、全面贯彻新发展理念,以司法数据中台、智慧法院大脑、在线法院建设为牵引,推进人民法院信息化4.0版建设,建立健全在线诉讼规则、在线调解规则,努力构建中国特色、世界领先的互联网司法新模式,全面建设在线法院,创造更高水平的数字正义。周强强调,要全面深化智慧法院建设,加快推进审判体系和审判能力现代化。要坚持以习近平法治思想为科学指引,强化理论武装,切实破解难题、推动工作。要坚持以人民为中心,健全完善中国特色一站式多元纠纷解决和诉讼服务体系,推动人民法院在线调解平台应用,全面推广电子诉讼,提供更加优质高效司法服务,让智慧法院建设成果更多更好惠及人民。要坚持问题导向、目标导向,坚决克服形式主义、官僚主义,以智慧法院建设成果推动解决审判执行中的问题,务求取得实效。要坚持系统观念,加强统筹协调、一体推进,促进智能协同、融合集成,有效整合完善各类应用系统,促进信息化建设整体效能的发挥。要统筹发展与安全,加强网络安全建设,层层压实责任,补短板、强弱项,及时整改问题,确保信息和数据安全。要加强保障,认真梳理信息化项目需求,立足全局、聚焦重点,全力保障重点工程建设,确保信息系统安全可靠运行。要结合深入开展队伍教育整顿,加强党风廉政建设,强化监督执纪,健全制度机制,确保建设廉洁工程。要树立互联网思维,综合运用信息论、控制论、博弈论等,准确把握信息化时代要求,推进人民法院工作高质量发展。要加强智慧法院建设理论研究和宣传阐释,进一步加强司法大数据应用,服务国家治理体系和治理能力现代化。最高人民法院院领导贺荣、李少平、陶凯元、高憬宏、刘海泉、杨临萍、沈亮出席会议。最高人民法院网络安全和信息化领导小组成员单位有关负责同志参加会议。(来源:人民法院报)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | 最高法召开网络安全和信息化领导小组2021年第一次全体会议
阅读全文
企业很关注的实施零信任访问的六个步骤 云安全

企业很关注的实施零信任访问的六个步骤

现代组织不再受固定范围的约束。实际上,在用户从任何地方都在自己的设备上工作,敏感的公司数据存储在多个云服务中的世界中,基于边界的安全模型正在瓦解。组织不能再依赖于专注于让好人进入并把坏人拒之门外的二进制安全模型。他们的最大挑战是弄清楚如何为用户提供所需的访问权限,同时减少设置和维护成本,同时又不损害安全性。为了应对这一挑战,精明的组织正在放弃传统的“信任但验证”的网络访问方法,而采用零信任访问,其根源于“永不信任,始终验证”的原则。根据Forrester Research的研究,零信任架构消除了在定义的公司范围内建立可信网络的想法。相反,该公司建议围绕敏感数据资产创建微边界控制。这是实现零信任访问体系结构的六个步骤。使用多重身份验证(MFA)MFA是网络安全智能方法的基本构建块。正确使用它可以反映零信任的指导原则:“永远不要信任,永远要再次验证。”MFA需要提供两个或多个身份验证因素:知识因素(只有用户知道的东西,例如密码,PIN或模式),占有因素(只有用户才知道的东西,例如ATM卡,智能卡,或移动电话)和固有因子(包含生物特征(例如指纹,视网膜扫描或面部扫描)的东西)。在展示时,必须验证每个因素以进行身份验证。验证所有端点设备验证用户而不验证其设备是潜在灾难的良方,因为攻击者经常使用受损的计算机来破坏公司网络。设备验证应使组织能够确定寻求访问内部资源的端点是否满足其安全要求。最好的解决方案包含跟踪和强制执行所有设备状态的功能,同时使用户易于上手和下手。实施最低特权原则(PoLP)每个零信任架构都应包含PoLP,该概念基于以下概念:应仅向单个用户授予足够的特权以允许他们完成特定任务。例如,不应允许应用程序开发人员访问财务记录。为了获得最大的有效性,PoLP应该扩展为“及时”访问,这将用户的特权限制在特定的时间段内。监控和审计一切除了验证和分配特权外,监视和检查网络中的所有用户活动也至关重要。这有助于组织实时识别任何可疑活动。深度可见性对于有权访问各种敏感数据的管理员帐户尤为重要。采用基于属性的控件这些控件基于基于策略的访问,通过组合属性的策略授权访问。这些策略可以组合任意数量的用户属性,资源属性,对象属性等。这些控件可以在整个安全堆栈中起作用,从内部部署到云,再到API,再到数据,再到网络基础架构。它们使网络和安全管理员可以自动化和实施可以实时阻止可疑事件的访问策略。涉及整个最终用户社区自上而下的方法注定会失败。成功取决于组织寻求所有用户和部门的意见,以实施尽可能无摩擦的安全策略和过程。实施零信任访问具有几个重要的安全优势。由于可以连续地主动管理访问,因此可以改善控制。这也减少了组织的攻击面,并通过使未经授权的资源无法访问甚至看不见来防止横向攻击。最后,零信任访问体系结构通过活动监视来提高可见性,这对于事件响应,审核和法医分析至关重要。 本文始发于微信公众号(飓风网络安全):企业很关注的实施零信任访问的六个步骤
阅读全文
近期一些我关注的浏览器漏洞 安全文章

近期一些我关注的浏览器漏洞

IE远程命令执行-CVE-2014-6332这个也不用多介绍了,yuange在去年发布的一个IE通用远程命令执行漏洞,通杀IE3~IE11。作为一个传统的远程漏洞,影响极广,暴露了IE浏览器的很多弱点。作为镇楼漏洞,学习的话可以阅读百度攻防实验室当时的分析文章:http://xteam.baidu.com/?p=104 ,反正我是看不懂。Chrome远程命令执行这个漏洞在2014年的Pwn2Own上被geohot发布的远程命令执行漏洞,影响chrome 33版本。在这里可以看到详细的说明与测试代码:http://researchcenter.paloaltonetworks.com/2014/12/google-chrome-exploitation-case-study/ Firefox远程命令执行-CVE-2014-8638Firefox31~34中,由于es6造成的特权域检查被绕过,导致javascript可以执行特权域的代码,造成任意命令执行。我也对此进行过一定测试:http://www.leavesongs.com/PENETRATION/firefox-remote-command-execute.html 。IE11跨域漏洞IE11在今年2月爆出的一个跨域漏洞(UXSS),被炒得比较火。/fd曾对其做出过详细的分析:http://innerht.ml/blog/ie-uxss.html Safari跨域漏洞前几天apple更新中修复的safari跨域漏洞,只需通过一个“畸形URL”,让safari认为的域和所执行的代码的域不同,造成了跨域漏洞,影响很广。分析如下:http://klikki.fi/adv/safari.html 百度浏览器7发远程命令执行多个漏洞造成的一批由特权域API导致的远程命令执行漏洞。分别为:http://www.wooyun.org/bugs/wooyun-2010-080158 、http://www.wooyun.org/bugs/wooyun-2010-080438 、http://www.wooyun.org/bugs/wooyun-2010-080910 、http://www.wooyun.org/bugs/wooyun-2010-081309 、http://www.wooyun.org/bugs/wooyun-2010-083294 、http://www.wooyun.org/bugs/wooyun-2015-095664 、http://www.wooyun.org/bugs/wooyun-2010-096413 搜狗浏览器5发远程命令执行多个漏洞造成的远程命令执行,同样出自二哥的神来之笔。将特权域+API+一些BUG组合成威力很大的远程命令执行漏洞。分别为:http://www.wooyun.org/bugs/wooyun-2010-083537 、http://www.wooyun.org/bugs/wooyun-2010-084110 、http://www.wooyun.org/bugs/wooyun-2010-085567 、http://www.wooyun.org/bugs/wooyun-2010-089575 、http://www.wooyun.org/bugs/wooyun-2010-097380 遨游浏览器N发远程命令执行等漏洞遨游浏览器的权限控制的比较松,比如特权域很广,特权API权限很大等问题,导致出现漏洞的概率很大。收集了一下:http://www.wooyun.org/bugs/wooyun-2010-081919 、http://www.wooyun.org/bugs/wooyun-2010-082043 、http://www.wooyun.org/bugs/wooyun-2010-082227 、http://www.wooyun.org/bugs/wooyun-2010-0102497 、http://www.wooyun.org/bugs/wooyun-2010-093544 、http://www.wooyun.org/bugs/wooyun-2010-093779 、http://www.wooyun.org/bugs/wooyun-2010-0108027 、http://www.wooyun.org/bugs/wooyun-2010-089801 、http://www.wooyun.org/bugs/wooyun-2010-094814 、http://www.wooyun.org/bugs/wooyun-2010-0105477 、http://www.wooyun.org/bugs/wooyun-2010-0108019 猎豹安全浏览器漏洞合集猎豹也不能幸免于难,虽然其自称“安全浏览器”。不过猎豹多半是由于插件出现的问题,属于躺枪的性质比较多,收集如下:http://www.wooyun.org/bugs/wooyun-2010-097654 、http://www.wooyun.org/bugs/wooyun-2010-0107690 、http://www.wooyun.org/bugs/wooyun-2015-0102031 、http://www.wooyun.org/bugs/wooyun-2015-096656 QQ浏览器远程命令执行未公开:http://www.wooyun.org/bugs/wooyun-2015-095664 、UC浏览器漏洞合集思路很广的Lyleaks、瘦蛟舞等提出的一些UC浏览器的跨域问题与其他一些漏洞,也是在手机上影响比较广的问题:http://www.wooyun.org/bugs/wooyun-2014-075143 、 http://www.wooyun.org/bugs/wooyun-2010-093214 、http://www.wooyun.org/bugs/wooyun-2010-0105578 、http://www.wooyun.org/bugs/wooyun-2010-0106283 、安卓浏览器webkit跨域漏洞去年被提过很多次的跨域问题,主要存在于安卓早期一些版本(4.3等之前)。一些资料:http://drops.wooyun.org/tools/3186 、http://www.rafayhackingarticles.net/2014/08/android-browser-same-origin-policy.html 等360极速浏览器低版本获得浏览器保存密码漏洞也是今日被发出来并公开的,感觉思路非常赞。据说是chrome低版本的问题,也许其他浏览器存在同样问题。地址:http://wooyun.org/bugs/wooyun-2015-0107637 以上,归纳了一些浏览器安全问题作为本期笔记,都比较有意思也很值得学习。 本文始发于微信公众号(代码审计):近期一些我关注的浏览器漏洞
阅读全文
关注 | 工信部就《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)公开征求意见 云安全

关注 | 工信部就《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)公开征求意见

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786公开征求对《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)的意见为落实《中华人民共和国网络安全法》等法律法规要求,加强车联网(智能网联汽车)网络安全标准化工作顶层设计,我们组织编制了《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)(见附件1)及《编制说明》(见附件2)。为进一步听取社会各界意见,现予以公示,公示截止日期2021年7月20日。如有意见或建议,请在公示期间填写《公示意见反馈信息表》(见附件3)并反馈至工业和信息化部科技司,电子邮件发送至[email protected](邮件主题标明:车联网(智能网联汽车)网络安全标准体系建设指南公示反馈)。地址:北京市西长安街13号工业和信息化部科技司邮编:100804联系电话:010-68205241公示时间:2021年6月21日-2021年7月20日附件:1.《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)2.《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)编制说明3. 公示意见反馈信息表工业和信息化部科技司2021年6月21日(来源:工信部网站)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | 工信部就《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)公开征求意见
阅读全文
关注 | 国家网信办通报84款违法违规收集使用个人信息App 云安全

关注 | 国家网信办通报84款违法违规收集使用个人信息App

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报近期,针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象,国家互联网信息办公室依据《中华人民共和国网络安全法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定,组织对安全管理、网络借贷等常见类型公众大量使用的部分App的个人信息收集使用情况进行了检测。现将有关情况通报如下:一、安全管理类App情况二、网络借贷类App情况三、工作要求针对检测发现的问题,相关App运营者应当于本通报发布之日起15个工作日内完成整改,并将整改情况报我办,逾期未完成整改的我办将依法予以处置。联系电话:010-55635853电子邮箱:[email protected]国家互联网信息办公室2021年5月10日(来源:中国网信网)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | 国家网信办通报84款违法违规收集使用个人信息App
阅读全文
关注 | 中央网信办启动“清朗·暑期未成年人网络环境整治”专项行动 云安全

关注 | 中央网信办启动“清朗·暑期未成年人网络环境整治”专项行动

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786为营造未成年人良好上网环境,有效解决网络生态突出问题,中央网信办决定即日起启动“清朗·暑期未成年人网络环境整治”专项行动。中央网信办有关负责人表示,此次专项行动聚焦解决7类网上危害未成年人身心健康的突出问题。一是直播、短视频平台涉未成年人问题。严禁16岁以下未成年人出镜直播,严肃查处炒作“网红儿童”行为,禁止诱导未成年人打赏行为,防止炫富拜金、奢靡享乐、卖惨“审丑”等现象对未成年人形成不良导向。二是未成年人在线教育平台问题。全面清理在线课程中色情低俗、血腥暴力及其他导向不良内容,严禁推送网络游戏、低俗小说、娱乐直播等与学习无关的广告信息,及时处置互动评论区攻击谩骂、教唆不良交友等内容。三是儿童不良动漫动画作品问题。坚决清理散布暴力血腥、暗黑恐怖、教唆犯罪等内容的“邪典”视频,认真核处存在角色着装暴露、情节色情低俗、场面血腥恐怖以及其他易引发未成年人模仿的危险行为等问题的儿童动漫动画作品。四是论坛社区、群圈等环节危害未成年人问题。深入清理利用儿童形象制作的软色情表情包,严查教唆诱导未成年人自杀约死、拍摄交易色情低俗视频的群组账号。五是网络“饭圈”乱象问题。持续推进“清朗·‘饭圈’乱象整治”专项行动,深入整治诱导未成年人应援集资、高额消费、投票打榜、互撕谩骂、拉踩引战、刷量控评等行为。六是不良社交行为和不良文化问题。严防网上不良社交行为和不良文化现象形成不良导向、扭曲青少年价值观,坚决查处人肉搜索、人身攻击、恶意举报等网络欺凌和暴力行为。七是防沉迷系统和“青少年模式”效能发挥不足问题。重点排查解决网站平台防沉迷系统问题漏洞,解决“青少年模式”入口不显著、识别不精准、专属内容不够丰富、应用效果不佳等问题,进一步优化模式效能,着力防止未成年人沉迷网络。近期,针对快手、腾讯QQ、淘宝、新浪微博、小红书等平台传播儿童软色情表情包、利用未成年人性暗示短视频引流等问题,网信部门依法约谈平台负责人,责令限期整改,全面清理处置相关违法违规信息和账号,并对平台实施罚款处罚。中央网信办有关负责人强调,专项行动期间,将进一步加大对违法违规行为的处置处罚力度,对于侵害未成年人合法权益的问题,保持“零容忍”态度,坚持露头就打、从严从重,大力整治网上危害未成年人身心健康问题乱象。各网站平台要积极履行主体责任,主动发声、深入自查、堵塞漏洞,确保专项行动取得实效,切实为未成年人营造文明、健康、向上的网络环境。(来源:中国网信网)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | 中央网信办启动“清朗·暑期未成年人网络环境整治”专项行动
阅读全文
“太舒服”的事情是危险的,如何有效应对? 安全闲碎

“太舒服”的事情是危险的,如何有效应对?

上周我做了一个小小的实验。我平时刷知乎,都是默认选择「关注」页,看我关注的用户。但这次,我试着调成了「推荐」页,看算法给我推荐的内容。然后,我大致估算了一下自己在那几天里,刷知乎的时间。结果很有意思:尽管我有意识地控制时间,尽管算法推荐的内容质量不如我关注的用户,但前者所消耗的时间,仍然要比后者多。原因是什么呢?一个最重要的原因是:我关注的用户不多,所以很容易刷到末尾 —— 亦即发现:「啊,这个内容,我之前是看过的」。理论上来说,哪怕我刷到了末尾,我也可以去看看别的东西 —— 比如同一个问题下其他回答、相关问题,等等 —— 但这个进入意识的念头,就会给我一个信号:已经刷了很久了,该去做点别的事情了。作家 Adam Alter 把它叫做「停止信号」。你也可以理解为,它是一种「心理边界」,会提醒你「该停下了」。不要小看这个东西,很多时候,它的影响是超乎想象的。你一定有过这样的体验:本来只是想查个资料,但一发不可收拾,一个个链接点击过去,一个个页面不断跳转,醒悟过来时,已经花费了大量时间。但究竟都看了什么内容?却说不出来。这就是互联网所带来的「时间黑洞」。原因就是因为,它屏蔽了给你的「停止信号」。再往后,Pinterest 发明了瀑布流,社交网站发明了信息流,连跳转链接也省去了:你只需要往下滑动,新的信息就会源源不断地送到你面前。信息流的模式,进一步降低了获取信息的阻力。除非像文章最开头一样,刷到「上一次开始的地方」,否则人们很少能触碰到「边界」。而算法的崛起,又将这种模式推到了极致:通过你的行为,算法可以找到对你最具吸引力的内容,省去人工推荐的成本和时间线的不可控性,源源不断地分发内容。更有趣的是:你的每一个行为,都在为算法贡献素材,成为它的养分。它会依据你的行为壮大自己,完善自己,更好地掌握你的喜好。2015 年,剑桥大学和斯坦福大学做过一项实验。他们邀请参与者A的一系列亲朋好友,回答一份针对A的测试问卷,来测试他们对A的了解程度。与此同时,他们根据A在社交网络上的行为数据,让算法同步来回答问题。结果是什么呢?只需要10个「喜欢」,算法就会超过你的同事。而一旦有了300个「喜欢」,算法对你的了解,就可以超过你的伴侣。甚至,在一些情况下,算法比参与者更了解他们自己 —— 在一些对未来行为和决策的预测中,算法的准确性比本人更高。在这种情况下,你是在主动吸取信息,还是在被算法饲养?回答可能会令人忧虑。这种对于边界的模糊和淡化,在心理学上,就叫做「沉浸感」。具体来说,就是当你进入某个情境时,尽可能减少其他因素对你的干扰,降低你认知负荷和注意力负担,让你无需去反复思考,得以全身心投入这种情境之中。它的目的是什么?就是让你舒服。这种做法,其实非常常见。比如:你在商场里购物,是永远看不到时钟的,也看不到能够望到天空的窗户,目的就是让你注意不到时间的流逝,能够多逛一会,多贡献下单数。媒介内容不断走向多媒体化,从文字,到图文、音频、视听……也是一种提高沉浸感的方式。通过全方位刺激你的感官和脑区,让你感到舒服,降低获取和理解信息的成本,从而让你「留下来」。电子产品不断走向智能、大屏、便携,不停推出适配的APP,打造和营造生态,就是为了能够让你更轻松、更舒服地使用它们。以及,各种「游戏化」的教育软件、学习软件,各种把内容不断切割、打碎、故事化的内容产品,也全都有同一个目的:降低你的使用和触及成本。这些行为都很好,只是有一个问题:这些努力为我们营造沉浸感,让你的体验更加舒服的人,他们自己真的会需要 —— 或者说喜欢 —— 这种感觉吗?也许不一定。2014 年,纽约时报的一篇文章指出:许多科技行业的领袖、高管和投资人,在家里都会限制子女对电子设备的使用。比如:在 iPad 刚面世的时候,乔布斯告诉记者:他的孩子们没有用过 iPad,他会限制他们对科技产品的使用。《连线》杂志前主编、长尾理论的提出者克里斯·安德森,在家中所有数码设备都启用了家长控制,并严格限制了时间。Blogger、Twitter 和 Medium的创始人埃文·威廉姆斯表示,他不允许孩子们使用iPad,而是向他们提供了大量纸质书,供他们随时阅读。诸如此类。作者指出:非科技行业的家长可能会在8岁就给孩子提供数码设备,而这些科技行业的家长,通常要到14岁才给孩子手机,16岁才允许孩子开通手机上网。为什么呢?原因很简单:越方便、越舒服的事物,往往就意味着「边界」的缺失,也就越容易使你沉迷。我想强调一下「上瘾」和「沉迷」的区别:上瘾是说,你明知它不好,但无法控制自己伸出手,去接近它、靠近它。而沉迷是指,你在使用它的过程中,如此投入,乃至于忘记了周围的一切,更不用说离开、退出、返回。这跟心流非常相似。不同之处在于:心流是一个创造的过程,它伴随的是幸福感、成就感。而沉迷是一个消费的过程,它往往伴随的是失落、沮丧和懊恼 —— 「我怎么又浪费了这么多时间。」但这不能怪你。消费社会有一个特征,就是让你卸下防备,放弃警惕,沉浸在外部的一切为你营造的「满足的幻觉」之中。然后,老老实实去投入你的时间,注意力,以及金钱。换言之:你周围的一切,几乎都是被精心设计好的。2014年,New Scientist 的一篇文章指出,美国每人每年平均消耗40千克的糖,相当于每天109克。这个数据是什么概念呢?世卫组织的建议是:每天游离糖的摄入,尽量控制在25-50克之间。而你随便拿起一瓶饮料(比如500毫升可乐),它的糖含量就在50克出头。这就是食品工业为我们设计的幻觉:把高糖分藏在食物里,通过刺激你的奖赏回路,让你意识不到这一点,舒服地把它们吃下去,进而不断购买和消费。再举一个例子。2011 年,研究者 Chartterjee 和 Rose 的实验表明:使用现金和信用卡的人,在消费时有一个差别:前者会更多地关注「成本」,而后者会更多地关注「收益」。这带来的直接结果是什么呢?使用信用卡的消费者,会更容易进行冲动消费和透支消费。2018 年的一份报告指出:几乎所有关于信用卡的研究,都得出了一个结论:信用卡会令我们消费更高的金额。在某些研究中,这个差距甚至达到了 82%。而最低的情况下,哪怕仅仅是出现信用卡的标识,也会令我们多支付 10% 的金钱。原因非常简单:使用信用卡时,你整个付款流程是非常舒服的 —— 不需要碰到纸币,不需要数,不需要找零……金钱被抽象成一个数字和符号,那么,从心理上,你对账户的「警惕程度」就降低了。当然,这些研究都针对信用卡用得多的欧美国家。在国内,大家可以自行转换成「手机支付」,本质也是一样的,甚至还要更简单:你连钱包都不必拿出来了。更常见的还有各种会员卡、储值卡、礼品卡……当你的消费完全跟「付款」分离时,你几乎就不会有任何「边界意识」。你甚至可能都不知道每次消费了多少钱,上一次充值是多久,平均下来消费了多少,「额外」付出了多少。当你放弃掌控自己的心智时,别人就会来占据它。所以,我有一个习惯:下意识警惕一切试图让我「沉浸」的事物。除了创作,我不喜欢一切沉浸。因为沉浸,往往就意味着,它试图卸下你的防备,松弛你的控制,掌握你的情绪、行为和心智。对我来说,这是无法接受的。无论是电影,还是小说、游戏,或是其他娱乐形式,我都有两条基本的评判标准:    1)它是否需要我去动脑。    2)它是否有明确的边界,不会让我不知不觉投入过多情绪、注意力和精力。遵照这两条准则,你可能会觉得不舒服,会觉得很麻烦、很累 —— 但这是一种让自己时刻保持警醒和「手感」的标准。如果说舒服就是放下警惕,那你要做的,就是让自己随时保持「重拾警惕」的能力。我有一个基本的判断:当你阅读一篇文章、或者一本书时,如果作者不断试图挑动你的情绪,让你愤慨,激动,焦虑,兴奋,那你可能需要留心 —— 作者的内容可能并不那么站得住脚,所以才需要用情绪来弥补。众所周知,我们的情绪大脑和理性大脑是互相抑制的。所以,如果作者试图让你沉浸在某种情绪之中,那必然会削弱我们的思考力和判断力。像很多人奉为圭臬的《乌合之众》(勒庞著),其实在学界是有不少争议的。为什么呢?因为其内容观点、断言过多,容易引起大众的情绪,却缺乏严谨的论证和数据。哪怕是我很喜欢的史蒂芬·平克,也曾被人指出过:他在几本著作中,犯了主观挑选数据、忽略负面论据的问题。给大脑做一个按摩,让情绪进行一次翻腾和释放,固然会很舒服 —— 但它真正能给你的是什么?这是需要去警惕的。同样,如果吸收一个信息时,你感到特别舒服、流畅,那多少也要留心:你很可能只是获得了一种「沉浸的体验」,但事后却什么都留不下来。为什么呢?我在 不破除这种认知,读再多书都没用 中提到过:我们的记忆和理解效果,是跟付出的精力呈正相关的。你花费多少脑力,能够获得和巩固的知识就有多少。很多时候,沉浸于舒服之中,未必是一种好事 —— 它也许意味着,你对自身的掌控能力,正在被取代。看到这里,你应该也能理解:我所希望你警惕的,实质上就是「自主性」的反面。它导向的往往是一种异化 —— 你以为你的行为是出自你的意愿,但其实,有可能是被外在信息所影响、干预和操纵的结果。这可能有点严重,但并非危言耸听。传播学这几十年里,有一个重要的研究论题,就是传媒对受众潜在的影响力。「魔弹」「议程设置」「拟态世界」「把关人效应」……再到如今社交媒体、新媒体时代的意见领袖、传播节点、舆论造势……许许多多我们「自认为」自己的观点,其实只不过是别人灌输给我们的而已。行为经济学作为经济学和心理学的交叉学科,这几十年来的成就,就是发现人是非理性的。我们极其容易被外在的种种线索和内在的固有思维所影响,作出种种有迹可循的判断。科幻小说也有一个永恒的母题,那就是未来社会中,人被机器所豢养。我们失去了对外界的感知,对自我的掌控,而将一切交给机器和流程,在这种舒服之中逐渐麻痹、弱化。……所以,在许多文章里,你都能看到我对这种现象的忧虑,以及我反复不断对「以我为主,为我所用」的呼吁 —— 只有当自己的行为完全出自「自主性」和「主体性」时,我们才是自己的主人。那么,面对这种情形,我们能做些什么呢?我想跟你分享几点想法。1. 保持距离如何让自己避免「被沉浸」?最直接的解决方式,就是保持距离。不仅仅是跟外界事物、情境保持距离,也包括跟自己的内心。换言之,也就是这么一个过程:抽离,觉察,以及控制。它是一套有效的工具箱,可以帮你提高对外界的感知能力和干预能力。具体而言:抽离:从所处的情境中跳出来,从第三方旁观者的角度观察自己。觉察:意识到自我的状态,意识到自己在做什么、产生了什么反应、与外界在进行什么样的交互。控制:有意识地控制自我的行为,约束自己的注意力,干预自己的思维。你会发现,它们其实就是「元认知」的一部分 —— 亦即对认知的审视和控制。不妨从这几个简单的场景入手,来试着跟自我和外界「保持距离」:1)当你产生任何情绪时,问自己:我产生了什么样的情绪?它是因为什么事情而产生的?这种反应合理吗?2)当自己「自然而然」地得出某个结论、作出某个推理时,问自己:这个推理一定成立吗?是否有反例和其他可能性?3)当你听到、看到某个观点时,审视:这个观点可靠吗?来源是什么?我在多大程度上可以相信它?4)当你观察到某种现象时,不妨先退后一步思考:它的背后有没有什么深层原因?有没有什么因素是我可能看不到的?试着把这种思考方式变成本能,在需要的时候随时调用。它可以有效地提升你对思维的掌控能力。但是,它当然也是有缺点的 —— 你可能会跟我一样,再也很难「沉浸」「投入」一部电影、小说、游戏里面,不得不牺牲这种乐趣。2. 建立“边界意识”边界的重要性,在前文已经讲过了。但是,依靠外部给予「边界」,是不可靠的,也非常弱。我们要做的,是在大脑之中,始终保持着这么一种「边界意识」。可以参考这几个例子:1)在执行任何行动时,都先给自己设定一段时间,作为边界。让自己始终保持对时间的主动权。比如:我要查一个术语,那么会给自己设定15分钟,时间到了立刻停止,避免自己无休止地卷入「时间黑洞」之中。我突然产生了一个灵感,那么我会设定半小时,在这半小时里去发散思维、头脑风暴,时间到了就停下,避免在它上面花费太多时间。2)针对每天接收到的海量信息、任务、事件……不妨划定一个边界,问自己:它们对我的目标而言,有没有价值?尽量不去做那些低价值的、别人「要我做」的、短期的事情。同样,也不要执着于外部的信息和知识 —— 不能对你的行为起到指导作用、不能帮助你接近目标的信息,就是无效的。3)购买任何事物时,不妨问问自己:我是真的需要它,还是别人让我觉得我需要它?知乎上有人提出过一个办法,很有意思:问自己,如果我得到一笔与之等值的钱,以及得到该事物,哪一种会令我更开心?如果是后者,再去买。这就是一种「欲望边界」,可以参考。3. 适当的“不舒服”塔勒布在《反脆弱》中,提出过一个例子:自从自动驾驶出现后,飞行员的注意力和技能逐渐钝化了,一旦发生意外,往往机毁人亡。所以,即使有了自动驾驶,飞行员仍然需要接受一定强度的训练。这看起来是多余的,但却能帮助他们应对各种意外。这就是一种「不舒服」,但却是一种「必要的冗余」。再举一个例子:我自己有一整套工作的流程和模式,但只要出现一种新的生产力工具,我都会去尝试用一下,试着去打造一套新的流程。这也是一种冗余和「不舒服」,但却可以使我始终保持对业界的洞察,和对自己的「手感」。为了保持敏锐,试试去做一些「不舒服」的事情。它可以帮助你保持精进。很多读者跟我说过:您的文章太复杂了,一篇文章读下来、加上做笔记,有时要一个小时,感觉吃不消……我是可以把文章写得更简单啦,这样自己也轻松,但这么一来,也就失去了它本身的意义了。我希望,这种不是很「舒服」的阅读和思考过程,能够慢慢锻炼你的思辨能力,帮助你更好地咀嚼、吸收信息。思维就像利剑,要经常磨砺,才能保持锋芒。也欢迎你留下你的想法喔。来源:本文转自公众号 L先生说,点击查看原文。GOPS 全球运维大会 2021 · 深圳站已经开启,7折优惠倒计时1天,快抓紧啦~扫描二维码,立即大会进入官网 ⬇️近期好文推荐:相见恨晚的 18 个 Linux 趣味命令,最后一个千万要尝试~运维趣味成语歪解,最后一个也太好笑了!“高效运维”公众号诚邀广大技术人员投稿,投稿邮箱:[email protected],或添加联系人微信:135 2116 9787.点个“在看”,一年不宕机 本文始发于微信公众号(高效运维):“太舒服”的事情是危险的,如何有效应对?
阅读全文
有哪些情报收集的工具? 安全工具

有哪些情报收集的工具?

情报分析师全国警务人员和情报人员都在关注关注整理了一些常用的数据查找渠道一、行业信息二、用户数据查询三、运营层面除了上面这些分块的内容外,有几点共性的东西可以学习使用:1、发动人脉,找朋友了解情况;2、充分利用各种社交资源,在职场社交软件等渠道找途径。请平时多浏览和熟悉,不然关键时候到网站或者app上不知从哪里开始来源:竞品分析思维数据统计,优秀的人99%都会关注后设为星标本期编辑:HNE如有侵权,请联系管理员删除普及情报思维 传播情报文化长 按 关 注【投稿邮箱】[email protected] 本文始发于微信公众号(情报分析师):有哪些情报收集的工具?
阅读全文