网络安全新京报

㈠ 该应用未上架,未经小米安全审核怎么解决

暗开敏感权限 小米华为“代用户审核”？
记者下载多款APP测试，不同手机隐私权限不同，华为、小米应用商店下载时默认开启多个敏感权限
新京报记者此前调查测试各类APP发现，安卓系统下，多个常用APP存在未经明示提醒就收集敏感信息的行为。近日，记者进一步调查发现，同一款APP在不同品牌手机的安卓系统下，读取敏感信息的行为也不同。
1月24日至2月8日，新京报记者在华为、小米、OPPO、vivo四款市面上常见手机的内置应用商店下载APP时发现，天猫、携程、58同城、优酷、今日头条、爱奇艺、赶集网七款APP在华为和小米应用商店下载时未经明示提醒就默认开启了定位或其他敏感权限，而在OPPO和vivo应用商店下载时则基本都对其权限进行了明示提醒。
“正常的APP下载时都会有授予权限的操作，个别APP没有只能说明和手机内置的应用市场有关系。”从事安卓系统开发的李宇（化名）告诉记者，“事实上，当APP处于手机厂商的白名单列表中时，应用商店就有可能替用户省略掉提示权限的操作。”
北京邮电大学移动互联网与大数据安全联合实验室主任马兆丰博士曾表示，一些APP产品厂商和软件商店有合作，以白名单模式放行本该提示用户知情的选择权，从而没有进行“明示同意”的提示，这并不符合个人信息安全使用规范和要求。
华为小米商店多款APP隐私提示不全
根据《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。
中国国家标准化管理委员会发布的《信息安全技术 个人信息安全规范》（下称《规范》）对个人敏感信息做出了定义，也明确了收集信息的原则。其中重要的一条是“选择同意原则”，即APP方需要向个人信息主体明示信息处理目的、方式、范围等，征求其授权同意。规范自2018年5月1日正式开始实施。
《规范》指出，收集个人敏感信息时，应取得个人信息主体的明示同意。明示同意则指个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。
“APP使用过程中，用户在看到权限要求弹窗时点击了同意，这就是肯定性动作。”李宇称，“具体来说，肯定性动作包括用户主动做出声明（电子或纸质形式）、主动勾选、主动点击同意、注册、发送、拨打等。”
但目前市面上并非所有APP都按规定对所要求的权限进行了明示提醒。此前江苏省消保委就曾以手机应用侵犯消费者个人信息，两次约谈无整改为由，向网络公司提起民事诉讼。手机网络高级经理田彪此前回应称，有的系统会授予它认为安全的APP一些权限，安卓系统的权限授予非常复杂，权限授予完全取决于手机系统本身，并非由APP自身判断和决定的。
为验证权限授予究竟是否会因手机系统的差异产生变化，1月24日至2月8日，新京报记者分别在华为、小米、OPPO、vivo四部安卓系统手机上安装了相同的十一款APP。这十一款APP分别是天猫、携程旅行、网络地图、腾讯视频、网络、京东、58同城、今日头条、优酷、爱奇艺和赶集网。
测试结果显示，同一款APP，在不同品牌手机应用市场下载时，所进行的明示提醒也不相同。其中，部分APP在vivo、OPPO手机安装后对敏感权限进行了明示提醒，在华为、小米手机安装后则并未对敏感权限索取进行明示提醒。
其中，网络、网络地图、京东、腾讯视频四款APP在上述4个品牌手机下载并首次打开时，都会对用户进行明示提醒，而其余七款APP所明示提醒的权限则根据手机品牌的不同产生了不同的结果。
以天猫为例，当记者通过华为、小米、OPPO手机的内置应用商店下载该APP时发现，首次安装使用时其并未出现任何明示提醒，而通过后台的权限设置则发现，天猫在小米手机安装后，默认开启了定位、相机、录音权限；在华为手机安装后，默认开启了定位、相机、读取通话记录权限；OPPO手机安装后，未开启任何权限；vivo手机安装后，明示提醒并开启了定位权限。
记者测试发现，天猫、携程、58同城、优酷、爱奇艺、今日头条、赶集网七款APP在华为和小米手机内置应用商店下载时均在没有明示提醒的条件下默认开启了定位等敏感权限，而在vivo和OPPO手机内置应用商店下载时，除优酷在OPPO安装时默认开启了摄像头和录音外，其余APP均做到了明示提醒。
从上述实例来看，11款APP中，网络、京东等4款APP在小米和华为做到了所有敏感权限的明示提醒，10款APP在OPPO上做到了所有敏感权限的明示提醒，11款APP都在vivo上做到了所有敏感权限的明示提醒。
手机应用商店“代”用户“审核”APP权限
“造成不同手机品牌上APP权限索取情况不一样的原因，是每家手机品牌应用市场上线APP的审核策略不同导致的。”李宇称，“作为APP方，肯定要老老实实的申请权限，再根据应用市场商家审核的要求有所改变。”
2月6日，新京报记者以开发者身份联系华为应用市场负责审核的相关人士，想要了解自身APP能否以默认开启通讯录权限的方式上架华为应用市场。得到的答复是，“权限是否选择默认开启，开发者可以在自己的SDK（软件开发工具包）中‘自行实现’。”但该人士同时表示，若应用索取权限过高，可能存在读取用户通话记录、读取用户通讯录、读取用户短信记录、获取用户手机号码、通知栏推送广告等情况，就不符合华为应用市场审核标准。
“应用市场一般执行最低权限策略，除非权限是刚需，比如读取通讯录是为了实现加通讯录好友。”李宇解释称，“至于APP具体能够开启哪些权限，要看应用商店的审核要求。如果应用商店觉得你索取的权限出于正当目的，就可以上架，至于默认开启权限的功能，只能是与应用商店有关。”
需要注意的是，应用商店本身就具备审核功能，如《小米应用商店应用审核规范》明确规定应用未提示用户或未经用户授权情况下不得搜集、传输或者使用用户的位置信息。而《OPPO应用市场审核规则》也规定未经用户授权，不得搜集、传输或者使用用户的位置信息。
根据华为发布的《华为应用市场2017年度安全报告》，华为应用市场2017年全年接纳了64.7万次应用上架申请，其中20.2万没有通过审核，通过率为68.8%。在没有通过审核的APP中，有15.4%的未通过原因是被华为判断“存在恶意行为”。
“从应用商店下载APP本身必须要经过安全监测，对用户的隐私保护是一则利好，但手机厂商赋予了内置应用市场一个更高的权限，从而绕过了原版安卓系统的权限提示，这本身也违反了《规范》中的选择同意原则，不符合相关规定。”李宇表示。
2月5日，记者在华为手机上使用浏览器下载了天猫APP安装包后发现，在安装过程中确实对索取的权限进行了明示。但当使用应用商店下载时，明示提醒就不见了。
“通过浏览器下载时，上面就列出了所有的权限提示。你如果在应用商店里边装的话，它就把这个过程给你省略掉了。因为应用商店本身是内置在这个系统里的，它的权限是叫厂商权限，基本上和root的权限差不多高，所以它有能力做这些事情。”梆梆安全研发中心副总裁方宁解释称。
在方宁看来，原版系统和应用市场上下载到的APP所采用的都是同一个程序，但当用户通过手机内置应用商店下载APP时，应用商店占主导地位，有话语权，APP方必须要通过应用商店的审核才能上架自己的应用。“这一点苹果和其他手机厂商都不一样，由于苹果的操作系统无法像安卓一样定制，所以就不会出现厂商权限的问题。”
不同品牌手机隐私权限判断不同
新京报记者测试发现，不同手机品牌对隐私权限的判定也不相同。
例如从小米和华为内置应用商店下载爱奇艺时，虽然没有任何明示提醒，但从后台权限系统观察，可以发现小米手机关闭了爱奇艺拨打电话权限，但开启了定位和录音权限；华为则相反，关闭了定位录音权限，却恰恰对拨打电话权限“网开一面”。
腾讯视频在四款品牌手机上都明示了隐私协议，这也意味着在法理上腾讯视频可以开启隐私权限。但记者查阅后台权限系统发现，腾讯视频在华为和小米手机上没有开启任何隐私权限，但在OPPO手机上则开启了摄像头和录音权限。
对此，一家APP负责开发定制的技术人员向新京报记者表示，虽然手机都是安卓的，但并非谷歌的纯原版系统，由于不同手机厂家对用户体验以及产品设计上的理念有区别，所以每个手机厂商都会对自己的系统做出些自己的优化。如OPPO可能会对一些权限没有设定默认使用，而另一些品牌手机可能就默认通过了。另一方面，开发者按照原型和产品需求，在软件设计中也可以设定不进行弹窗提示，但在上架不同应用商店时，也会有不同的规则要求，这个规则可能也会影响APP最终权限的表现方式。
不过，在猎豹安全专家李铁军看来，厂商对安卓系统进行的“优化”，从成本角度，一般不会改太多。因为“改动越大，之后的版本升级代价也就越大。”
实际上，手机厂商和APP对用户隐私数据的博弈，早就已经开始。
2017年8月，华为和腾讯曾就用户数据使用一事发生争执。事情的起因是华为荣耀Magic手机主打的高度识别用户场景，比如在聊天过程中提及“看电影”这样的文字时，手机会自动给出当前热门的电影推荐，并进一步推荐附近的影院甚至是选座买票。
但这一技术的实现需要进行相应的数据分析，腾讯因此指责华为“获取腾讯的数据，侵犯了微信用户的隐私。”
对此，腾讯副总裁丁珂曾在接受新京报记者采访时表示，微信的价值导向是从来不会涉及用户相互聊天，华为的AI技术可以更高效，但两家公司理念确实不一样。
在北京工作的任女士使用的是华为mate 10手机，她发现，该手机的“智能生活”提醒页面可以显示她的火车票预订信息、快递物流信息，有一天甚至精准显示了她的停车信息。“我很惊讶，为什么手机可以知道我有车，还知道我车停到哪。”
对此，猎豹安全专家李铁军表示，手机厂商为实现相关功能，可以专门设置自带的官方应用，再向这些官方应用开放权限访问接口。这样，订票信息、快递信息等就可以通过相应厂商的数据查询接口，得以查询用户生活相关的服务。
新京报记者 罗亦丹
(编辑：倪萍)

㈡ 导致阿里云被暂停合作的漏洞 究竟是什么

新京报贝壳 财经 讯（记者 罗亦丹）因发现安全漏洞后的处理问题，近日阿里云引发了一波舆论。

据媒体报道，11月24日，阿里云安全团队向美国开源社区Apache（阿帕奇）报告了其所开发的组件存在安全漏洞。12月22日，因发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。

12月23日，阿里云在官方微信公号表示，其一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助，“随后，该漏洞被外界证实为一个全球性的重大漏洞。阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。”

“之前发现这样的漏洞都是直接通知软件开发方，这确实属于行业惯例，但是《网络产品安全漏洞管理规定》出台后，要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长，我觉得漏洞的发现者，最开始也未必能评估到漏洞影响的范围这么大。所以严格来说，这个处理不算冤，但处罚其实也没有那么严格，一不罚钱，二不影响做业务。””某安全公司技术总监郑陆（化名）告诉贝壳 财经 记者。

漏洞影响有多大？

那么，如何理解Log4j2漏洞的严重程度呢？

安全公司奇安信将Apache Log4j2漏洞的CERT风险等级定为“高危”，奇安信描述称，Apache Log4j 是 Apache 的一个开源项目，通过定义每一条日志信息的级别，能够更加细致地控制日志生成过程，“Log4j2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。”

安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。据了解，该漏洞影响范围大，利用方式简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制受害者服务器，90%以上基于java开发的应用平台都会受到影响。

“Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注，不仅在于其易于利用，更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件，它所带来的危害就像多米诺骨牌一样，影响深远。”奇安信安全专家对贝壳 财经 记者表示。

“这个漏洞严重性在于两点，一是log4j作为java日志的基础组件使用相当广泛，Apache和90%以上的java应用受到影响。二是这个漏洞的利用入口非常多，几乎达到了（只要）是这个漏洞影响的范围，只要有输入的地方就受到影响。用户或者攻击者直接可以输入的地方比如登录用户名、查询信息、设备名称等等，以及一些其他来源的被攻击者污染的数据来源比如网上一些页面等等。”从事多年漏洞挖掘的安全行业老兵，网友“yuange1975”在微博发文称。

“简而言之，该漏洞算是这几年来最大的漏洞了。”郑陆表示。

在“yuange1975”看来，该漏洞出来后，因为影响太广泛，IT圈都在加班加点修补漏洞。不过，一些圈子里发文章为了说明这个漏洞的严重性，又有点用了过高评价这个漏洞的词语，“我不否认这个漏洞很严重，肯定是排名很靠前的漏洞，但是要说是有史以来最大的网络漏洞，就是说目前所有已经发现公布的漏洞里排第一，这显然有点夸大了。”

“log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足，这个应用的范围以及漏洞触发路径，我相信一直到阿里云上报完漏洞，恐怕漏洞发现者都没完全明白这个漏洞的真正严重性，有可能当成了Apache下一个普通插件的一个漏洞。”yuange1975表示。

9月1日起施行新规 专家：对于维护国家网络安全具有重大意义

据了解，业界的开源条例遵循的是《负责任的安全漏洞披露流程》，这份文件将漏洞披露分为5个阶段，依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商，是业内常见的程序漏洞披露的做法。

贝壳 财经 记者观察到，白帽黑客建立漏洞发现与收集的平台并告知企业的做法一度在圈内流行。根据《 财经 天下》的报道，把漏洞报给原厂商而不是平台方，也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励，“最高的能给到十几万美元”。更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体，都会公开致谢。“对于安全研究人员而言，这种名声也会让他们非常在意。

不过，今年9月1日后，这一行业“常见程序”就要发生变化。

7月13日，工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》，要求任何组织或者个人设立的网络产品安全漏洞收集平台，应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。

值得注意的是，《规定》中也有漏洞发现者需要向产品相关提供者通报的条款。如《规定》第七条第一款显示，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。第七条第七款则表示，不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳 财经 记者采访时表示，《网络产品安全漏洞管理规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪，实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下，《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。

张卓表示，《规定》第十条指出，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。同时在第六条中指出，鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的 社会 价值。

㈢ 人脸识别怎么了，专家为什么要极力反对发展人脸技术

人脸作为生物识别的一种，具备唯一性，一旦发生信息泄露风险很大。

当人脸识别站上风口，争议也未曾间断。

如今，人们刷脸支付、刷脸安检、刷脸入住酒店……纵然人脸识别技术已经被应用于多层面，但目前仍旧有技术困局。与此同时，狂飙突进之际，反思的声音逐渐多了起来：人脸识别，边界在哪？在隐私、安全和便利三者的平衡上，应当恪守怎样的“游戏规则”？

就争议来说，重点不是换脸本身会不会存在问题，而是民众能不能对这一技术形成可靠的辨识，比如我们看漫画时，知道是假的。如果一些技术的使用，使得民众或一般人在短时间里难以辨识，就可能存在风险，例如对新闻联播主播进行换脸，然后制造假新闻。

人脸识别在有的领域可能会产生很大风险，包括新闻领域，通过深度伪造技术使得伪造的新闻图片传播。

吴沈括（联合国网络安全与网络犯罪问题高级顾问）：技术是中立的，但使用技术的人是有立场的。人脸识别技术的安全问题不在于该项技术本身，而是应用的问题。危险在于利用这项技术达到了不该达到的目的，实施了不该实施的行为。

人脸识别技术一旦被普及，它可以定位某人而该人却毫不知悉。该项技术用于侦查犯罪就是助力公共安全；当用于跟踪他人，就可能侵犯隐私，干涉他人自由；假如应用于冒充他人，就是在实施犯罪。因此，人脸识别技术是否有害关键在于如何使用。

人脸识别技术的安全性能不能保证？

张百川（网络安全专家）：人脸数据被广泛应用肯定会存在风险，网络黑产也是没有办法避免的。人脸识别刚出现时，拍张照片打印出来就可能破解，现在你可能会注意到，有些软件会要求你眨一下眼，点一下头，但其实也可能被破解。但我还想说，其实指纹识别一样有风险，曾经也有过指纹数据泄露的案例。

马杰：所谓“破解生物识别”，是个“欺骗传感器”的过程。如今越来越多的智能设备都采用了生物特征识别技术，但是我们深入研究后发现，其实这些生物特征识别技术大都存在“传感器容易被欺骗”的安全隐患。网络安全研究表明，虽然生物识别已经越来越主流，但是从安全的角度考虑，并非万无一失。

但大家也不用过分担心，此前曾经发现的漏洞基本都找到了相应的解决方案。我们投入大量精力研究生物识别安全性的目的，一方面是呼吁设备厂商在考虑产品体验的同时多兼顾安全性，另一方面和厂商共同来探讨如何解决这些问题，共同推进生物识别技术的进步。

陈立彤（大成律师事务所高级合伙人）：人脸识别技术本是用来验证“你是否真的是你所说的你”，在远程控制交易或者身份确认的情形下，确认一个行为是由本人亲自实施的。它是解决电子支付、网络交易、网络申请公共服务等身份安全问题，至今最有效的技术措施。但是，一旦人脸信息这种易获取的“生物密码”丢失或者被人随意更换，那么利用人脸识别技术验证真实身份，也成了无稽之谈。

大众如何才能保护隐私？

陈立彤：大众应当提高自我防范意识，认真阅读隐私政策，发现可疑条款或者隐私条款过于模糊不清、晦涩难懂的情况以及对APP或者其背后公司信任度不够时，应当拒绝使用该APP。此外，在个人信息侵权事件发生后，应当及时向法院起诉、向政府有关部门举报。

吴卓群：由于人脸识别的方式是先收集人脸数据，然后来匹配验证的，所以人脸识别机构其实已经搜集了很多面部特征、原始图片以及照片，这些都会保留在其服务器上，因此普通的民众很难去规避人脸识别的风险。大众能注意的是不要给特别小的人脸识别机构提供照片。

来看，人脸识别被曝光滥用的案例是比较少的，但是换脸等攻击方式已经比较普遍了。对于人脸识别，事实上每一家公司的算法都是有一些区别的，采用不同算法通过不同传感器传回来的人脸数据每一家也都不一样。因此，同一张照片在一家能识别成功，在另一家就不一定能识别成功。

㈣ 2017网络安全博览会举行时间是

2017年网络安全博览会暨网络安全成就展将于9月17日至20日在上海举行。届时，将有鹰眼智能反电话诈骗盒子、真实摄像头劫持演示、“工银融安e信”等多个新科技项目亮相博览会。

网络日益发达的今天，网络安全是非常重要的。

㈤ 数字经济时代 安全科技如何为经济“保驾护航”四位专家这样说

当今时代，大数据、AI算法等方便了我们的生活，提高了生产效率，数据已经成为了数字时代的“石油”。但大数据的存在也意味着海量的用户信息被用来发掘产生价值，信息泄露、黑灰产攻击等问题层出不穷，安全似乎已经成为了数字经济发展木桶上的那一块“短板”。

企业技术发展和用户信息保护的平衡上，存在哪些难点？在不断发展的 科技 、复杂多变的国际形势和人民新的生活方式面前，现有法律框架面临着什么样的挑战？如何让安全为数字化发展“保驾护航”？

8月6日，2021新京报贝壳 财经 夏季峰会——数字经济时代的风险防控线上论坛举行，中国政法大学传播法研究中心副主任朱巍、北京师范大学网络法治国际中心执行主任吴沈括、中国信通院云计算与大数据研究所副所长魏凯、蚂蚁集团安全事业群总裁赵闻飙就上述问题阐述了自己的观点。

当人变成“电池人” 保护信息安全难在哪儿？

AI时代，不少APP都需要收集足够多的用户数据，才能支持其运营。如短视频平台的视频推送，电商平台的商品推荐等都需要收集用户数据后才能让算法正常运转，在此过程中，用户也往往面临着暴露隐私的潜在风险。

“互联网时代，人慢慢变成了‘电池人’。”朱巍表示，“每个人在互联网时代中通过算法、人工智能、数据采集后都变成了手段，而不是目的。消费者和用户在很多平台中，通过自己的数据为这些平台‘蓄能’，这种生态到底可不可取，利弊关系到底在什么地方，我觉得需要予以好好解决。”

在朱巍看来，要解决技术发展与用户信息保护平衡点的问题，需要明晰大数据产权问题，“目前，从中国的法律体系来看，《民法典》、《个人信息保护法》二审稿等相关法律里对个人信息的概念已经做了非常详细的描述，但并没有对大数据的性质做出具体的规定。《民法典》最后一审稿出来之后，曾经把数据信息纳入到《民法典》中的知识产权的课题里面，对此我们曾提出反对，因为数据信息里既包括大数据，也包括个人信息，个人信息是隐私权，不能转化成大数据，至少一定程度上是不可以的，因为有巨大的争议，《民法典》后来把这条删掉了。”

“所以我们能发现，个人信息和大数据有千丝万缕的关系，在行业适用领域中，大数据的产权问题还没有明晰。现在，国家正在出台关于数字经济的指导意见，有一些还没有向 社会 公布，公布的时候我相信数据信息的概念至少在产权领域会变明晰。”朱巍称。

此外，朱巍认为，当个人信息与其他法律交织在一起，让问题变得更加复杂。“目前，《刑法》、《个人信息保护法》等都有对敏感信息范围的相关规定，且内涵和外延完全不一样，这就出现了一个非常有意思的问题：当我们研究的时候提到敏感信息，我们要先问一下是那部法律中的。所以是不是应该有一个统领，至少在概念上能够说清楚，但是目前为止看好像还没有。现在当我们研究一些法律问题，不单纯是个人信息保护问题，而是个人信息保护和其他法律关系相互交叉的问题，这就让问题本身变得复杂了。比如说我们天天讲的金融广告，你的行为产生了数据采纳之后给你推金融广告，表面看是广告法的相关内容，但实际上是完完全全的基础大数据和个人信息产生的法律关系。”

从企业到国际 社会 数字化转型风险几何？

事实上，每个用户贡献的数据最终都将汇成一道数据洪流，个人、产业、国家、国际 社会 由此交织在一起。除了用户外，企业在数字化转型的过程中面对着什么样的风险？

“什么是‘数字化’背后的风险？它指的是——数字经济生活中，用户在享受数字化带来的便捷与普惠同时，所面临的、伴随而来的风险。例如，对于行业商户来说，羊毛党造成的‘营销资金风险’，足以让商户精心打造的营销活动毁于一旦。对于个人用户而言，网络欺诈、账户盗用等问题，更是成为了数字经济中高发的、危害性极大的安全问题。如今的黑产作案越来越趋于多平台、多链路、团队化和智能化。这使得对抗黑产、防范智能化风险，已经转化为了一个全新的命题。”赵闻飙表示。

赵闻飙透露，早在六七年前，蚂蚁团队就已经在平常应对黑产攻击中，发现了AI的痕迹。“不可忽略的是，伴随着人工智能技术的高速发展和加持，这一风险仍将持续加剧，并且演变为‘智能化’背后的风险。”

那么，当我们把视野从个人用户、企业再扩展到国际 社会 ，数字化的风险又有何变化呢？

在吴沈括看来，随着数字化转型的加速，经济构成、民众生活方式、 社会 治理甚至是国家层面和全球治理层面都已经产生了非常大的变化。

吴沈括认为，在这个变化的过程中，需要注意到三个复杂性，“第一个是参与数据活动当中主体的复杂性，从用户个人到产业、国家甚至国际 社会 ，在这个过程中，主体结构的复杂性是跨部门、跨行业、跨国的存在，而这使得数据处理和数据活动过程中面对的场景更为复杂，而且在快速的迭代更新中，这就是第二个场景的复杂性。因此，我们在一些传统的场景中归纳总结出来规则，面对新场景的时候，或许面对着非常大的适用的困难。于是，在这样的背景下形成了第三个复杂性，就是诉求的复杂性。”

如何保护数字经济发展？用AI对抗AI

针对如此之多的复杂问题，我们应该怎么做？专家们给出了不同的建议。

首先，是充分的激励机制。

在吴沈括看来，数据业务和数据流转利用过程中，知识、能力的不对称导致很多情况下透明度不足，进而导致了信任度不足，“国内国际跨部门跨行业的主体之间形成有效的信任度，是我们对数字化生活给予有效的信赖的基础。在有了充分的信用度之后，我们需要一个必要的激励度，目前来看，以数据驱动的各类创新在不断推动（经济的发展），在这个过程中，如何确保，以及如何最大限度的激励在数据流转利用等各类数据活动中做出了贡献的主体的价值，给它必要的推动，是我们需要特别重视的点。”

“我们欣喜地看到《数据安全法》以及未来要出台的《个人信息保护法》正在给数字经济的发展制定一些规则，这是市场急需的，但不是事无巨细的，可能只能做到原则性的。至于如何落实，可能需要细则，需要透明度，需要让企业实际有动力落实这个机制，例如对其声誉有显性化激励，这就需要配套的措施，而不只是惩罚。” 魏凯表示。

此外，通过技术来帮助解决安全问题也是专家们共同的观点。

在魏凯看来，前几年，大数据的应用侧重于做报表，做大屏幕，给决策者直观的相关数据。但是现在大数据的技术的应用往往不是这样，而是已经深入到决策闭环里去了。“以前的报表，看了以后采取决策仍然要靠人拍板，而现在很多大数据的风控，大数据的精准广告，其实人都不在闭环里面，人只要把规则定好，数据驱动就可以闭环自动执行。”

“现在，一种新的模式正在崛起，如区块链的技术允许我们不再把数据集中起来也能够享受数据融合的红利，当前这类技术正在快速的升温，这就有可能创造一种新的大数据的应用模式。”魏凯表示。

赵闻飙表示，传统风控受制于技术成本、数据规模和算法效能，许多场景还是专家经验驱动，而不是数据智能驱动。“支付宝每天有数亿笔交易，面对如此庞大的计算量，一旦决策产生延迟，就给了黑产可乘之机。因此，发展面向可信人工智能技术的下一代风控技术体系成为了我们的必由之路。”

他举例称，通过人工智能与金融风控的深度融合，支付宝的AI大脑AlphaRisk能够在零人工干预的全自动模式下，对风险进行毫秒级的响应。例如，在网络欺诈风险识别场景下，当系统识别到用户遇到诈骗风险时，AI机器人会以小于0.1秒的速度向用户呼出“叫醒电话”。此外，在快速响应当下风险的同时，AlphaRisk还具备自学习、自适应的能力，从而将安全从静态的被动防守，转变为动态的主动对抗。

“以前我们发展任何产业的时候都是包容审慎，而现在更多的是审慎包容。以前是效率优先，安全其次，先发展起来再说。现在看来，安全可能就是木桶上的短板，我国互联网产业、规模、技术发展已经很大很快了，如果追求安全问题，一定会牺牲市场，一定会牺牲效率，但从长远的角度看，我认为这种做法是没有问题的。”朱巍表示。

㈥ 中国有多少台电脑被勒索病毒感染

12日起，我国多所高校遭遇网络勒索病毒攻击。被攻击电脑上文档资料被锁定，弹出界面提示，须支付价值300美元（约合人民币2000元）的“比特币”才能解锁。
勒索病毒不局限于我国及高校。国家网络与信息安全信息通报中心称，100多个国家和地区数万台电脑遭勒索病毒感染。
国家互联网应急中心发布应急公告，勒索病毒向终端用户进行渗透传播，并勒索比特币或其他价值物，构成较为严重的攻击威胁。已着手对勒索软件及相关网络攻击活动进行监测，建议用户及时更新Windows已发布的安全补丁，同时在网络边界、内部网络区域、主机资产、数据备份方面做好相关工作。
公安部网安局一位工作人员也表示，已关注此事，并着手调查。目前尚未接到关于此次病毒事件的报告，建议网友使用一些网络安全工具检查个人电脑，同时加强防范，防止中毒遭受损失。
学生电脑收到“勒索信”
12日下午6点多，南昌大学大三学生李敏（化名）打开电脑，接收室友论文帮忙改格式时，发现网很卡，保存也很慢，甚至白屏了半分钟。
“随后，电脑屏幕突然显示一封勒索信，能选择中文、韩文、日文、英文等，大致内容是，想要解锁文件，需支付300美金等价的比特币”。李敏说，大部分文件都打不开了，包括双学位毕业论文、答辩PPT及一些有记录信息的图片等。班上有三位同学遇到类似情况。
该校新传院大三学生张宏莉回忆，自己12日晚10时登录学校的移动网下载论文，发现电脑中毒。
“当时C盘文件拓展名都被改了，我第一反应是用硬盘拷下来还完好的文件，没想到备份硬盘也中毒了。”她表示，安装了微软补丁也无济于事，“希望尽快找到解决方案，实在没办法只能重装系统。”
新京报记者了解到，山东大学、浙江大学、南昌大学、宁波大学等多所高校电脑“中招”。学生电脑中文档被锁定，有黑客留下联系方式，表示要恢复文档必须支付比特币。
淮阴工学院一名同学表示，自己正在写毕业论文时，电脑突然出现弹窗，后来论文、知网下载的文档都变成不可读。其尝试去淘宝购买修复服务，最终因修复价格太高，选择重写论文。
上百国家遭“感染”
多名网友表示，全国多地的加油站在加油时，无法进行网络支付，只能使用现金。
昨日下午，多位中石油工作人员称，集团出现网络故障，正在抢修，只能使用现金和加油卡消费，且加油卡无法使用圈存功能。
中石油辽阳石化分公司一位工作人员透露，接到集团通报，12日晚开始，陆续出现针对Windows操作系统的敲诈者病毒，文件被加密，并索要赎金。目前公司网络与系统暂停服务，如发现电脑感染病毒，立即关闭该电脑，拔掉网线。公司网络恢复时间另行通知。
病毒攻击并不局限在我国。国家网络与信息安全信息通报中心发布通报：12日20时许，新型“蠕虫”式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭感染。
昨日凌晨，微博“英国那些事儿”发文，一个多小时前，英国16家医院遭到大范围网络攻击，医院内网被攻陷，电脑被锁定，电话打不通。黑客索要每家医院300比特币的赎金，否则将删除所有资料。16家机构对外联系基本中断，内部恢复使用纸笔进行紧急预案。英国国家网络安全部门正在调查。
腾讯公司安全部门向新京报提供的数据显示，初步统计，该“蠕虫”已影响了约上百个国家的学校、医院、机场、银行、加油站等设备，使得这些设备上的文档资料全部被加密，损失惨重。
据IT之家消息，目前受感染地区主要集中在中国中部和东南沿海地区，欧洲大陆、美国五大湖地区。中国、欧洲大陆地区受到的感染情况最为严重。
揭秘1
罪魁祸首是“永恒之蓝”病毒
昨日上午，360公司董事长周鸿祎发微博称，此次勒索病毒是由NSA泄露的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统未安装3月的微软补丁，用户只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。
国家互联网应急中心介绍，已着手对勒索软件及相关网络攻击活动进行监测，13日9时30分至12时，境内境外约101.1万个IP地址遭受“永恒之蓝”攻击，发起攻击尝试的IP地址数量9300余个。
应急中心发布通报称，勒索软件利用此前披露的Windows SMB服务漏洞攻击手段，向终端用户进行渗透传播，并勒索比特币或其他价值物。包括高校、能源等重要信息系统在内的多个国内用户受到攻击，对我国互联网络构成较为严重的安全威胁。
据新华社报道，尚未有黑客组织认领这次袭击。但业界共识是，病毒源于美国国安局的病毒武器库。上个月，美国国安局遭遇泄密，其研发的病毒武器库被曝光。美国国安局尚未作出回应，美国国土安全部计算机紧急应对小组称，正密切关注这起波及全球的黑客攻击事件。
揭秘2
加密电脑文件勒索高额“赎金”
腾讯公司的安全专家指出，该事件实际上是一次蠕虫攻击。蠕虫一旦攻击进入能链接公网的用户机器，就会利用内置了“永恒之蓝”的攻击代码，自动寻找开启445端口的机器进行渗透。一旦发现存在漏洞的机器，不仅继续传播蠕虫病毒，还会传播敲诈者病毒，导致用户机器上所有文档被加密。
360安全卫士的专家指出，“永恒之蓝”勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等都无法正常打开，只有支付赎金才能解密恢复。两类病毒勒索金额分别是5个比特币（约合人民币5万多元）和300美元。
360公司提供的数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达每小时1000多次；WNCRY勒索病毒是12日新出现的全球性攻击，并在中国校园网迅速扩散，夜间高峰期每小时攻击约4000次。
国内某知名比特币公司高管提醒，尚不清楚支付比特币后，被攻击的电脑能否解封。目前国内很多比特币交易所是不能提取比特币的，若想购买比特币解封电脑，需选择能提币的交易所，不然会遭受二次损失。
揭秘3
相关端口暴露高校成“重灾区”
国家互联网应急中心通告，此次攻击主要基于445端口，互联网上共900余万台主机IP暴露该端口（端口开放），中国大陆地区有300余万台。
中国高等教育学会教育信息化分会网络信息安全工作组发布声明，经初步调查，此类勒索病毒利用了基于445端口传播扩散的SMB漏洞，部分学校感染台数较多，大量重要信息被加密。
中国信息安全研究院副院长左晓栋称，国内曾多次出现利用445端口传播的蠕虫病毒，因此部分运营商对个人用户封掉该端口。但教育网并无此限制，存在大量暴露该端口的机器，成为被攻击的重灾区。
杭州安恒信息技术有限公司创始人、总裁范渊表示，某些特定行业网未限制445端口，因此攻击变得“有效”，很多学校及一小部分医疗机构受到影响。“可以通过更新微软发布的补丁进行防范，但对已受到攻击的用户，解决仍是难题。”其介绍，前段时间已检测到零星的勒索病毒，多数单位可能没足够重视。
清华大学则因采取封禁措施而“避难”。4月15日，学校为防止校园网内部主机受攻击，封禁TCP端口139、445、3389。昨日，该校发布通知称，最近两次全球大规模网络安全疫情，均未大面积危害校园网络和用户。
小贴士
6步骤抵御“勒索病毒”
安全工作组提出两条预防措施：未升级操作系统的处理方式(不推荐，临时缓解)：启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则；升级操作系统的处理方式(推荐)：建议师生使用自动更新升级到Windows的最新版本。
对于学校等单位，建议在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接，同时，在校园网络核心主干交换路由设备禁止上述端口的连接。
腾讯公司的安全专家指出，微软已支持所有主流系统的补丁，建议用户使用电脑管家修补补丁，开启管家进行防御。
国家互联网应急中心建议，用户及时更新Windows已发布的安全补丁更新，同时做好如下工作：
1.关闭445等端口(其他关联端口如135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口；
2.加强对445等端口的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；
3.及时更新操作系统补丁；
4.安装并及时更新杀毒软件；
5.不要轻易打开来源不明的电子邮件；
6.定期在不同的存储介质上备份信息系统业务和个人数据。