信息安全和网络安全、计算机安全、网络安全的区别
点击联系发帖人
时间:2017-05-30 00:27
安在--信息安全新媒体 - 知乎专栏
{"debug":false,"apiRoot":"","paySDK":"/api/js","wechatConfigAPI":"/api/wechat/jssdkconfig","name":"production","instance":"column","tokens":{"X-XSRF-TOKEN":null,"X-UDID":null,"Authorization":"oauth c3cef7c66aa9e6a1e3160e20"}}
{"database":{"Post":{"":{"title":"2017腾讯云+未来峰会:没有AI的云计算做不好安全","author":"an-zai-68-16","content":"作者:张亚菡6月21、22日,2017年腾讯云“云+未来 峰会”在深圳召开。安在(AnZer_SH)记者Apple特地赶至现场并全程参,接下来我们跟随Apple一起来回顾下这场峰会。在第一天的峰会上,众多嘉宾的演讲围绕着人工智能在各自领域的应用展开做出详细阐释;而第二天的云安全专场上,腾讯云一口气发布多项安全产品,云、人工智能与安全之间的关系已成为热门话题。前一天晚上到达机场时,Apple发现本次腾讯云+未来峰会的宣传广告承包了几乎整个机场的大屏幕,这颗安利我是吃定了!下面就正式开始了我的两天峰会之旅。马化腾:云计算为社会和经济带来的量变与质变腾讯董事会主席兼首席执行官马化腾在第一天的峰会发表主题演讲“云时代的新趋势”。继去年提出“云是互联网+的第一要素”、“未来是传统企业在云端用人工智能处理大数据”,马化腾今年着重提出,“云是数字经济最重要的基础设施”。过去“插上电”带来了电气化的革命,现在“接入云”将带来数字化的升级。在5月底的贵阳数博会上,马化腾就强调了云在数字经济中的作用,并且指出“用云量”将成为一个重要的经济指标,能够衡量一个行业的数字经济发展程度。马化腾引用报告指出,企业向云端迁移的速度在加快,未来很可能超过传统数据中心。但是,云还处于初始阶段,电力时代最终出现了计算机,而人工智能有望成为云时代像计算机一样的关键产物。“云+人工智能”也许将相当于“电+计算机”的概念,企业 “接入云”能够获得AI这种信息能源。此外,马化腾还分享道:不管是新兴行业还是传统产业都蕴藏着巨大的商业机会,同时也有巨大的挑战。腾讯将会继续提升、丰富,以及开放云的能力和资源,支持各行各业创新、优化、升级,共建云上生态。马化腾强调:“在新的云时代,整个社会经济操作系统和运作模式都在发生数字化的迭代。”安在(AnZer_SH)划重点:如果要给马化腾大大的演讲划重点,那就是他对未来云时代的三个趋势进行了理解阐述:第一个趋势是,云是产业革新的源动力。 第二个趋势是,云是新型社会管理的主平台。第三个趋势是,云是人工智能的强载体。在第三个趋势中,马化腾大大举的一个例子让我感觉分外亲切:“还有一个案例是打击数字营销中的‘羊毛党’。大家知道黑色产业链中有一批人,像黄牛党一样,我们把它叫做‘羊毛党’,他掌控大量的不同IP地址的机器,可以瞬间把一个商家在网上做营销的礼品、补贴,模拟成千千万万的真实用户一下子把它取走,就像薅羊毛一样,我们叫‘羊毛党’。我们的云提供了这个非常独特的抵御能力,如果企业要做数字营销,你们这方面没有经验,一定要用我们的服务。我们现在为东鹏特饮每天提供超过200万次的判断,阻挡大量的黑手机刷它的饮料瓶的二维码兑奖,一年可以节省至少3000万元。”马化腾大大心系人工智能,更看重人工智能的安全。伴随着产业的快速演变,传统的安全边界正逐步消失,企业面临的安全挑战异常复杂,许多传统的安全方法已经应对乏力。人工智能与云计算的发展,必将深度重塑下一代安全。黎巍:新时代的安全应该是“大数据+AI+云计算”配合完成在第二天的“云安全”专场中,腾讯副总裁、腾讯社交网络与腾讯云安全负责人黎巍就对“云、人工智能与安全”进行了详细的阐述。他指出,安全攻防是一场技术赛跑,过去安全界的法宝,无论是“修长城”(找到边界和要塞隔离、审计、控制),还是“搭迷宫”(制定成千上万的策略限制黑客),都已经无法应对严峻的安全形势。 “无论我们情愿不情愿,身处这个赛道里,要想克敌制胜,我们必须要具备更加智能高效的高纬打击能力。”为此,腾讯云正以AI和大数据为驱动力,以云为平台和管道构建新一代智能安全防御体系。包括利用大规模图挖掘与机器学习追踪恶意团伙;通过人群画像与DNA建模,应对羊毛党与欺诈;整合多维度数据和威胁情报信息,通过机器学习,建立更加积极主动的态势感知系统。安在(AnZer_SH)划重点在黎巍大大演讲完之后的采访中,他总结的一句话相当到位:“数据是燃料,AI和云计算是引擎。”他提到整个腾讯对安全都非常重视,十九年与黑产作斗争不停息。新时代的安全应该是“大数据+AI+云计算”配合完成,传统的AI很多数据信息要学习,而且时效性很重要,黑客攻击就几分钟的事情。Q&AQ:基本上过去一年各行各业都谈AI和人工智能,人工智能在安全领域怎么用?A:我们走了这么一段坑,我们想人工智能去应用,但是发现这里存在一个问题,什么问题呢?传统的AI需要从大量的数据里面去提取出,做一些标注,找出有用的信息,然后让机器学习。但是安全有很大的不同,大量的数据里面要找到小量的异常信息。这里有一个过程,怎么从海量的信息里面筛选出少量的异常?这是很大的挑战。当筛选出异常以后,机器学习,学习有一个过程。做安全的都知道,这里有一个问题,安全的时效性非常重,可能发生安全攻击就是几秒钟、几分钟,很快就过去了。等机器学习,真正把东西学董了,黑产已经不玩了。所以这里面给我们挑战,AI在安全怎么用?这块在腾讯云安全,我们经过这一年,我们提炼了一套相对实用的框架。这里面一定会结合我们传统的规则还有无监督和有监督的机器学习,整个结合,我们发现这个事情豁然开朗。简单点说,当原始数据进来以后,原来传统的基本规则,其实还是少不了。规则是帮我们抓出明显的恶意信息。明显的恶意信息又可以成为有监督学习的样本标注,减少人工样本标注的工作量。海量信息里面通过无监督的分类、聚促,这时候我们不能准确的判断一定有问题、有危险,但是我们会给它进行分类、聚簇以后,然后进入有监督的引擎里面,进行更加精确的解析。整个连贯起来,在过去一年,我们发现这套体系,AI在安全里面真正用。每个场景讲AI,每个场景还是有不同的。这是我们看到很好的实践。Killer:云镜,基于机器学习的主机安全产品在6月22日腾讯“云+未来”峰会云安全专会上,腾讯云隆重介绍了三款重磅云安全新品,分别为主机安全、反诈骗云、网站安全,同时发布腾讯云在车联网、移动、直播三大领域的安全行业解决方案。腾讯智慧安全的能力,正借助“AI即服务”的方式全面对外开放。在上午的产品发布时间,四款腾讯云安全领域的新产品一一亮相,为用户打造云端安全新生态。首先是云镜,这是一款基于腾讯安全积累的海量威胁数据、利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务的产品,可以帮助企业构建服务器安全防护体系,防止数据泄露。而对于“云镜”的介绍,则是由腾讯云鼎实验室负责人董志强来进行。在这款产品里面腾讯做了几个主要的功能,一是暴力破解,二是针对云上黑客最常用的脚本后门做单独的处理,希望给企业做入侵检测、入侵感知的能力。在云上除了这两个还有一个安全运维的管理功能,管理员有自己的需求,希望有自己的通道和方便策略下发的能力。李旭阳: 金融反欺诈受众主题很明确,挽回损失就很容易买单,受害的人是普通用户腾讯安全云部助理总经理、腾讯安全联合实验室反诈骗实验室负责人李旭阳一上台的演讲就自带幽默属性,“我们实验室给自己挖了很大的坑,我们从来不强调我们做了什么事,我们只是强调我们做了这个事情以后对解决这个问题起了多大的作用。当然,技术方面的东西也不用讲,大家不会感兴趣。技术是说我们有很强的能力,再加上我们开放的能力。为什么提开放?其实我们做反诈骗的时候,我们和很多行业合作一起做反诈骗。比如我们做鹰眼的时候,我们和各地警方合作来做这件事。拿鹰眼说,我们做这件事以后怎么评估效果?我们和运营商合作,真正的裁判是警方,从警方看他当地的报案数据有没有下降。”“比如我们做的最好的是在北京,三大运营商都做了,从北京警方的数据来看,电信诈骗这类的case下降非常明显。麒麟,伪基站合作是和深圳警方合作,大家基本上可以认为深圳的伪基站基本上是被打光了,以前还是很严重的,现在基本被抓完了。我们和腾讯内部业务合作的时候,我们做风控主要合作点是做色情类、伪色情类、赌博类。我们还做了一个网址检测,在南京、无锡有些合作,当地的警情数据、相关的警情下降70%以上,南京50%多,无锡好的时候有差不多80%。我们强调的都是从效果看,我做这件事情以后,到底对解决这个问题或者色会或者网络问题起了多大的作用,我们是看这个结果。”同时李旭阳还强调他们的实验室做反欺诈的时候有自己的的思路,评价体系很重要,做一件事不是那么难,但是做的事情有没有效果,它的评价体系是更难。“我们做这件事情的整体思路基本上是分三层,最下面,现在都是海量数据、大数据,谈到数据首先要有数据,没有数据谈什么大数据呢?我们的数据层是非常丰富的,也是多个层次的数据。我们会在这些数据上提炼我们的能力,提炼了多个安全能力,比如说诈骗电话、骚扰电话,或者网址、木马、设备、漏洞和诈骗的知识图谱等等,这是我们提炼出来的安全能力。”安在(AnZer_SH)划重点AI运用于安全领域是发展趋势,“AI+大数据+云计算”这样的模式将是安全行业未来发展的风向标。各个领域信息安全的守护需要一些安全产品的配合,还需要政府和企业提高自己的反欺诈骗意识,提高警觉性,以免上当受骗。","updated":"T13:10:18.000Z","canComment":false,"commentPermission":"anyone","commentCount":0,"likeCount":1,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T21:10:18+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-b2a5ef6dad34_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":0,"likesCount":1},"":{"title":"Ev Williams:互联网世界的《阿甘正传》","author":"an-zai-68-16","content":"开发了全球最大的博客平台Blogspot,然后把它卖给Google;联合创办了Twitter;开发Medium项目,如今用户已经超过6000万。没错,上面说的都是一个人——Ev Williams的事迹!安在(ID:AnZer_SH)带大家一起来探讨下这个传奇人物:Ev Williams——互联网界的“福雷斯特·甘”Ev Williams是个典型的“Nerd”(可以理解对学术研究或者其他动脑的领域格外有兴趣甚至迷恋的人),就像是互联网界的“福雷斯特·甘(即阿甘)”。是他参与编写的软件,让我们将博客称为了博客。他在播客流行起来之前就创建了网络广播公司。他发送了Twitter历史上的第75条推文,并随即参与创建了Twitter公司。而现在,他是Medium公司的创始人兼CEO,这是一个新的在线创作平台,深受体育记者、硅谷高层甚至美国总统的青睐。尽管担任5大社交网络平台之一的董事会成员,兼湾区高新技术近二十年来的中流砥柱,Ev Williams的知名度却远不如Mark Zuckerberg、Peter Thiel或是某些“Google人士”。也许现在Travis Kalanick(Uber创始人)的名号都比他响。Williams自身就有技术CEO的气质。大高个,声音柔和,带着大大的白色方框眼镜——应该是Warby Mugatu旗下的某一款,看起来有些高冷。Ev Williams眼中的“开放网络”在采访过程中,Ev Williams对于“开放网络”发表了自己的见解。开放网络是“理想互联网”的昵称——它意味着免费、免审查、拥有独立的所有权和运营权。在开放网络中,人们可以在自己拥有或租用的服务器上发布自己的写作(或音乐、照片、电影等),可以通过自己的个人域名访问,格式不受任何限制。由于这种网络的网页使用HTML和CSS格式,意味着任何人都可访问它,无需特权、付费或申请用户账户。此外,开放网络是自由的,就像语言和意识那样自由。这种自由的终极意义就是将网络变成人类曾经创造的最好、最酷的媒体,变成全人类的图书馆。这个网络包含小说、报纸以及科学期刊等。任何人都可以撰文和阅读。它还可以充当待办事项列表、日志、文学作品以及通讯工具,它十分强大,甚至能够用于终止战争。开放网络与我们现在每天都在使用的网络似乎十分相似,但又十分遥远。我们现在的网络,充斥着令人不快的负面新闻、花哨的广告、冷漠的哗众取宠,以及别人家孩子的照片。所有这些通过各种社交网络涌现在我们面前,成功地把互联网的其它部分和我们隔绝开来。这些网络的连锁效应甚至更糟:当我们接触开放网络时,CookiesCookies(某些网站为辨别用户身份、进行跟踪而储存在用户本地终端上的数据)会监视我们,然后一系列的算法会利用其收集的浏览历史,决定如何向我们推送广告。开放网络已经破败不堪,这还不包括垃圾邮件、骚扰信息、身份盗窃以及网络间谍活动等。Williams说,“当然,网络依然有很多好东西,包括我们每天阅读的文章,你们每天撰写和发布的东西。更棒的是,人们还是随时随地都可以创建他们自己的网页,并且在上面表达自己——而这件事情就是20年前最让我兴奋的想法。我认为这一切应该继续保持下去。发声渠道的多元化不应该像旧时代的媒体那样最终走向统一。但是‘分布节点’可能会走向集约。”“分布节点”是指搜索引擎和各种社交媒体,包括Facebook、Google、Twitter、Snapchat以及众多消息应用,此外还有Google旗下的YouTube、Facebook旗下的Instagram、WhatsApp以及Messenger等。通过将网页连接起来,且提供免费的数据托管,这些“分布节点”俘获了越来越多的用户。由于它们的内容更为丰富有趣,所以原本习惯访问个人站点的用户也开始蜂拥向新的节点。正如Williams所言,“我们首先看到的是社交媒体变得越来越庞大,它们吸引了越来越多的关注。随着进一步扩张,它们也获得了最多收益。根据摩根斯坦利的调查数据显示,2016年初,85%的在线广告收入流向了Google或者Facebook。这是非常糟糕的现象。”开放网络所患的“恶疾”并非Williams的一家之言,纽约时报和知名科技专栏作家们也都注意到了。知名博客软件Drupal和Wordpress的开发者最近也都不约而同提出了对开放网络未来的焦虑。因为如此多的类似网站都被算法运营着,他们担心人类登录网络时看到一切都已经失控。他们表示,曾经类似复调旋律的博客圈很快将变成批量生产、充斥着残次品的网络。这一切都有前车可鉴。哥伦比亚大学法学教授Tim Wu(吴修铭)曾在其《总开关:信息帝国的兴衰变迁》(The Master Switch)一书中提到,所有主流电信技术都遵循着相同的发展轨迹:在一段短暂而令人兴奋的开放期后,接着就会向垄断和日益加深的封闭性发展。Williams引用了Wu的言论称,“铁路、电力、电缆以及电话都遵循着这一轨迹,从短暂开放走向封闭和垄断。无论政府是否出面干涉,它们都会如此发展,因为这是互联网本身的力量以及经济规律所决定的。”Williams及其Medium团队表示,虽然大家看不出来,但是他们正在抵抗这种融合和垄断。事实上,他们自己也会整合一些网站,但是在任务达成的那一刻,他们会成为仁慈的、受人爱戴的“独裁者”。哈弗大学媒体评论家Josh Benton曾称Medium为“散文界的YouTube”,某种程度来说还是很贴切的。但是和Williams接触后,我就越容易联想到Isaac Asimov的科幻小说《基地》。书中的英雄们企图在黑暗来临前,将所有的知识都储存到银河系。尽管他们阻止不了黑暗时代的来临,但是他们希望能够在那之前压缩储存所有的知识。Williams的雄心也遵循着类似的模式,Medium正试图在一个单一有序的网站上复制互联网上过时而又杂乱无序的嘈杂和混乱,他认为这非常重要。2000年春,设计师、开发员Meg Hourihan在旧金山体验着这个城市的膨胀等级。世界各地的码农们正涌入旧金山,从事各种网络开发的工作。Hourihan热爱网络,也欣喜于看到网络变成一个庞大的公众事业,但她却对疯狂涌入的人群并不感冒。她表示,“我发现,这里有很多‘网络公司人’和‘网络人’。前者为初创企业效力,手持着大量硅谷货币,他们手里有期权,可以从公司上市中获益。只需要工作4个月,他们就能变得比网络人更富有,但他们没有个人网站。而‘网络人’可以告诉你他们接触的第一个网站是什么,他们可以带着自己的故事、设计以及图片等融入到网络中。他们创造值得阅读、观赏以及钦羡的东西。”永不言弃的创业决心当时,Hourihan是一家名为Pyra Labs的小型公司的联合创始人之一,她的创业伙伴就是Williams,她们都属于上文提到的“网络人”。Williams出生于1972年,在内布拉斯加州林肯市郊外的农场长大。他年轻时几乎不曾远离过家乡,他在州内上中学,然后毕业于内布拉斯加州立大学。但是当预感到互联网的巨大潜力后,他决定辍学,用父母资助的学费尝试创业。他创建了出售CD-ROM的公司,里面有内布拉斯加州剥玉米人队的信息。他还创建了教人如何联网的视频公司。当时只有24岁的Williams意识到,自己必须离开平淡无奇的生活,去做真正与网络相关的事情。为此,他搬到了加州塞巴斯托波尔,在一家叫做O’Reilly Media的公司上班。这家公司主要出版纸质书籍,如编程手册、标准指南等,这些书对于20世纪90年代的程序员来说,就像《圣经》一样重要。他在这家公司呆了几年,然后去了旧金山。就是在这里,他遇见了Hourihan,并在1999年创立了Pyra Labs公司。这家公司最终也未能推出同名办公协作软件。但是这套软件最终成为了Blogger的基础,它是首款简单的网络日志软件,俘获了大量用户。也正是Blogger帮助“blog(博客)”一词成为流行词汇。Williams和Hourihan的创业时机不利,Blogger刚刚成长起来时,就遇上了首次网络泡沫破灭危机。虽然公司的运营成本不高,但随着风投纷纷破产,没人能够继续资助它。后来,他们甚至发不出工资,无奈只能裁员。2001年1月,Hourihan辞职(后来Hourihan创立了Kinja,高客媒体使用的博客系统。),公司其他人也纷纷离开。但是Pyra Labs并未就此垮台。Williams通过接受各种小合同来维持公司运作,同时还完成了产品的更新迭代。网络泡沫2年后,他推出了Blogger的付费版本,然后又招募了更多员工。2003年2月,Google正式收购了Pyra Labs。Williams说,“我们当时有100万注册用户,当时感觉这个数量非常庞大。”这是值得纪念的时刻。Blogger的故事中包含了足以瓦解开放网络的复杂性。对于那些喜欢就开放性问题发表激进评论的人来说,Blogger几乎主宰了他们的所有空间,包括编程体验以及书写博客等。博客圈变得紧密而复杂,有些作者每天可能发布几十条博文;有些作者的写作足以引领一切关于政治、文化、音乐的探讨。Blogger的伟大之处在于,它通过一个简单的操作界面和免费的域名吸引用户,让他们可以在这里开启自己的媒体时代。这个特性推动了Blogger迅速壮大,吸引越来越多的人加入。混乱的垄断年代在Blogger推出早期,增长几乎成为垄断的代名词。让网络的力量覆盖更多的人群,实际上也同时意味着集约型力量的诞生。这种情形预示了未来的走向。Williams只在Google呆了6个月,他在2004年秋天离开并创建了早期博客公司Odeo。2006年初的时候,Odeo有些员工开始摆弄他们开发的新功能软件。它类似一种数字扩音器:如果你对它发送一条短信,它可以将这条短信同步播放给你所有的朋友。3月份时,他们开始把这一功能剥离出来,单独开发,并在7月份正式发布。到12月份,它已经有6万多名用户。到2007年2月份,Odeo正式更名为Twitter。3月份,技术和媒体精英在奥斯汀举行的South By Southwest科技大会上体验Twitter。他们都爱上了这个应用,并通过博客宣传它,使得这款服务迅速流行起来。到了2007年4月份,Twitter已经拥有800万用户,它在5个月内增长了13倍。2006年秋到2007年春这段期间,是硅谷并购最活跃的时期。当时,Google斥资16亿美元收购了仅仅成立18个月的YouTube;Facebook也正式对外开放,而不再仅限于校园里;《时代周刊》将社交媒体用户评选为“年度人物”;Apple推出了它的首款iPhone等。正是在这样的大环境中,即便是在没有野心的Jack Dorsey领导下,Twitter依然实现了爆炸式的增长。2008年,Williams正式担任Twitter的CEO。2008年的互联网发展远不如今日,但是当年的总统大选都是通过网络博客发起的。到2012年,总统选举的阵营已经迁至Twitter上。现在,Williams似乎对这种集约化的趋势有些懊悔。他觉得一个平台的独大,远不如层出不穷的个人网站和博客精彩。他说,“总体上来说,如果我们所有的媒体和社区都被盈利驱动的服务商所控制,这将是一件很糟糕的事。”如果我们把网络比作食品生产加工企业,他说,“如果你的工作是为人们提供食物,但衡量你食物供给的唯一标准是卡路里,那么随着时间推移,你就会发现高卡路里、高度加工的食物是提供卡路里最有效的方式。但是这些食物不够健康,因为卡路里指标没有将‘可持续性、健康、营养、或幸福度’等因素纳入其中。”当问及Medium是否就像内容界的“Whole Foods”(美国最有名的食品连锁超市)时,Williams闻言大笑称,“也许吧,但是Whole Foods并不完美,我们正在试图寻找优化满意度和营养的最佳方式,而不仅仅是追求热量和活性。”Williams及其团队已经设计出了一套替代指标,即“阅读耗时”(time spent reading),用于衡量Medium用户集体阅读故事所用时间。同时它的收益不依赖花哨的显示广告,而是依靠原生广告或品牌商的赞助。Medium的市场营销定位与Whole Foods非常接近,都是成为一个受到高端客户群体信赖的大型企业。虽然Williams一直对盈利驱动的大公司抱有怀疑态度,但是不可否认的是,Medium也同样会纳入其中。最近,Medium又发布了一个新的抓取功能,可以吸收WordPress编辑的博客内容,并将其同步更新到Medium中。虽然,这些独立网站依旧可以使用它们自己的名字,例如The Awl、Pacific Standard、Bill Simmons的新专栏、或者The Ringer等等,但是从设计和功能角度来看,它们实际上已经成为Medium的网页,现在只能依赖Medium生存,它们的故事也出现在Medium的服务器上。创业初心未变在担任Twitter的CEO期间,Williams曾和一个小产品团队谈过他对于社交网络的看法。他表示,互联网正在从“群岛网络”向“大陆网络”过渡。所谓“群岛网络”就像电子邮件和博客等,由许多小的、独立的、互相可以联通的网络组成。但它们之间的相互脱节,会导致它们几乎无法协同更新。Williams表示,新的网络组织形式正在取代“群岛网络”,这就是“大陆网络”。Facebook就是这样的“大陆网络”,当然还有其他新的网站正在企图把它的用户吸引走形成自己的大陆。如果Twitter想要幸存下来,就必须将更多的“群岛”连接起来变成“大陆”。Williams并没有完全实现这个目标。他在Twitter的任期内,帮助公司实现了快速发展,但整个公司并没有找准自己立足的核心业务。2010年,Williams卸任CEO职务,但是继续留在董事会。2年后,他创立了Medium公司,它的定位介于Blogger与Twitter之间,比Blogger精致,同时比Twitter丰满。第二年,也就是2013年秋,Twitter首次公开募股,Williams手中12%的股份使他一跃成为亿万富翁。但是,无论是Medium还是其他创业项目,对于Williams而言,最兴奋的点在于他可以帮助人们发出自己的声音。他说,“作为个人,总要说点儿什么吧!你不必宣称自己是出版商、博主或想要发出声音的人,我们给你画布,你可以将脑子里的想法呈现出来,以便更多需要的人看到。那将是个更好的世界。”Williams说,曾经有个Medium用户给他写了一封公开信抱怨称,尽管自己每天都会在Medium上发文,但是推荐数却从来没超过100。Williams说他在回信中表示,“想想你在做的事情,你在玩近半数人类正在玩的游戏。你每天不仅要和Medium上发文的人竞争,还要和网上数百万的出版物,YouTube上几亿条视频以及世界上所有书籍进行竞争,这还不包括Instagram、Facebook、Twitter以及Vine上的内容。这样再想想,有人竟然能够读到你的文章,是不是非常不可思议的事情。”不过,“美好世界”中总有些不美好的是,尤其是谈到集约化问题。对此,Williams表示,“在最糟糕的世界,最令人担心的是游戏规则是否由利润驱动的公司开发和拥有的服务控制。人们大多数时间在做什么?他们正为获得更多点击和收入而进行优化。总体来说,互联网已经不再关心创造力了,它现在是一门生意。”而这正是Medium存在的意义,即在激烈而肮脏的“内容丛林”中保护那些孤军奋战的独立作家。Williams认为,抵制网络内容集约化通常是徒劳的,他引用Wu的话来说,“这就是互联网的运营模式,也是人类运作的规律。效率、投资回报率、规模经济以及用户体验等,都可以驱动更多东西合并。在某种意义上,我觉得这就是自然的力量。但是不是所有东西合并之后,其它的事情都是垃圾呢?”概括而言,这就是Medium内在真正的诉求。确保所有东西不要沦为废物、垃圾,它通过保留原始博客的细节和习惯来实现这个目标,例如互文性、跳转路径、非专业性,而不必成为开放网络。它拥有自定义的用户指标,例如“阅读时长”,去确定谁看了哪些内容。同时它也会向你显示你推荐过的朋友的内容。Medium是一个独特的平台,只是其在模拟器中运行开放网络。Williams说,“我理解那些怀疑论者,因为我们毕竟也是一个风投参与的公司。但是,我认为,你依然应该对我们保持乐观,相信我们能创造出美好的东西,至少可以避免将所有东西集中在某个平台上。”而这“某个平台”,他指的是Facebook。早在2007年,包括Jason Kottke在内的一些早期博主就将Facebook称为“互联网走上邪路甚至后退的一步”。他们将其比做AOL——它曾经也是一个企图称霸互联网的平台。但是,最终Facebook没有像AOL那样垮台。根据网络调研公司Parse.ly 4月公布的数据显示:Google和Facebook为新闻网站贡献了超过80%的流量。由于现在已经很少有人使用Feedly这样的RSS订阅服务,因此像The Atlantic这样的新闻站点也依赖Google和Facebook提供日常访问量。忘了那个曾经繁盛的博客圈吧!就算还有博主坚守在原地,他们的读者也早已迁徙到社交网络上了。那个2008年帮助奥巴马赢得了总统大选的那个互联网世界已经凋零了。对于网络世界的记忆像是一首旧日挽歌,确实,Williams见证了太多网络变迁。谈及目前的生活。他兴奋地说,“我前一天刚刚完成了一趟惬意又舒适的飞行。有那么一瞬间,我发出了这样感慨,‘生活在未来真好。!’我用Uber叫车到机场,又用iPhone wallet刷了登机牌。这些事情几乎每天都发生在人们的生活中,机场还有wifi,我随处都可以使用手机和电脑上网。飞机上也有Wi-Fi,我想这就是我们曾经梦想过的未来吧!”的确!它们都曾是别人对于未来的构想,但是现在这些正变成现实,人们正自得其乐的生活其中。回到旧金山,从地铁站出来,Williams感慨地承认,互联网在他的参与下确实已经与儿时大不相同。这次,他换了一副眼镜——红宝石的,带着闪耀的偏光,衬托着Williams就像电影明星一样潇洒。他说,“现在经常有电商创业项目。我不是那个世界的人。实际上,当电商实现整体繁荣的时候,我们挺看不上它们的。我们虽然都是创业,但显然我们的这种更有创造力,我们并非全是为了钱而创业。或者可以说,相较利益我们更注重它对现实世界的意义,我想这就是我们与他们的明显区别。”Williams继续笑着说,“即使是Google那群家伙,他们总是尝试创造出一些真正有益于世界的东西,但是他们也同时赚到了所有的钱。”可以说,现在的互联网已经不同以往了,他说,“概括来说,互联网已经不再关心创造力了,它现在是一门生意。”Williams的创业准则Ev Williams还曾在自家门户Medium上分享过自己的创业成功准则,分享给大家:1. 同卓越的人一起工作。在挑选联合创始人和员工时,不要降低标准,更不要妥协。不要与以自我为中心以及态度很差的人为伍;2. 勇于挑战。这很容易理解:困难的事情是有价值的。简单的事情,价值相对较低。到达山顶是件了不起的事,因为它很难。如果很简单,所有人都会去做;3. 专注。学会对大部分事情说不。功能、人、合作伙伴、项目,只有少数几个是重要的。想清楚哪些重要是很难,但千万别被不重要的事情分散了注意力;4. 照顾好自己。当你不睡觉、吃垃圾食物又不运动、全靠着肾上腺素支撑时,你的工作表现、所做决策、以及你的公司都不会好到哪里去;5. 爱与你亲近的人。公司失败并不意味着你的人生就失败了,人际关系上的失败才是真正的失败。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T13:20:04.000Z","canComment":false,"commentPermission":"anyone","commentCount":2,"likeCount":6,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T21:20:04+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-f71f1f074d35f4db8c91eb51d632a385_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":2,"likesCount":6},"":{"title":"喂,产品经理喊你回来修Bug~~~","author":"an-zai-68-16","content":"作者:米洛重新认识网络世界中的bug我们知道,在网络安全世界中,很多词汇与它表面的含义大不相同。不信?安在(AnZer_SH)可以给大家举几个例子:木马普通人的世界:通常指游乐园中的旋转木马。王菲的《旋木》里就有这么一句歌词:旋转的木马,没有翅膀,但却能够带着你到处飞翔。网络安全世界:指一种恶意程序,植入受害者的电脑之后,施种者可通过木马程序任意破坏对方的文件,甚至不经允许远程控制对方的电脑。地址普通人的世界:表示某人/组织所在的具体地点。网络安全世界:通常指IP 地址/物理地址。所以如果你问程序员的地址,一定要说清是什么地址,否则你得到的答案也许会是 173.168.15.10,或者是 08-21-6C-06-A6-29。对象普通人的世界:对象是恋爱的对方(没有对象的人怎么会了解…)。网络安全世界:对象是类的实例,这个词通常出现在“面向对象编程”中,与“面向过程编程”相对应。Bug普通人的世界:就是虫子。网络安全世界:电脑程序中未被发现的缺陷或问题。好了,现在问题来了!Bug是怎样从众所周知的“虫子”变成程序员眼中最讨厌的“漏洞”的呢?(可能有些人已经知道,别剧透,继续看)说到Bug,就不得不提到世界上最早一代的女程序媛——Grace Murray Hopper(下图中的女性)。20世纪40 年代,为了满足战时海量的计算需求,哈佛马克二号计算机被建造出来。有一天,哈佛马克二号突然停止运作,就这样,一只虫子(bug)被正式载入计算机史册。据说,在日这天,天气十分闷热,当时还没有空调,于是工作人员就把窗户打开通风。就这样,一只bug(其实是蛾子)飞了进来,葬身在了70号继电器里面,造成了电路不通,机器死机,程序员们无法算出他们要的结果。经过一番检查,最终还是Grace发现了这只bug,还将它的尸体贴在自己的管理日志上,上面写道:“就是这个Bug,害我们今天的工作无法完成。” 【让Bug名留计算机史册的管理日志影像资料】自此之后,大家都习惯将工作没完成的责任推给小虫子,在计算机科学中,“Bug”也就由“虫子”演变成了程序中的“漏洞”,相应地,“Debug”也从“除虫”变成了“修复漏洞”。一个似曾相识的故事好了,了解完Bug的成名史,现在我们言归正传——回到《喂,产品经理喊你回来修Bug》这篇故事,故事是发生在作者身上的一件趣事,不过同为程序员的你一定也遇到过,安在(AnZer_SH)发布出来希望对同为程序员的你能有所启示:这个故事你一定似曾相识。你的代码很优雅。你有恰到好处的抽象数量。你编写的模块是模块化的。你的系统是通过近乎完美的接口与外部世界相连的,且不直接依赖于外部系统。你的测试都是绿的。你的代码覆盖率报告需要一分钟的时间才能加载。比率是 97%......一切都是这么完美,你甚至已经开始计划你的完美假期了。然后,故事总是在不经意处上演。一个产品经理跑进来告诉你说,上周发布的更新中有个“Bug”。每次当用户向购物车内添加物品时,购物车里物品的数量需要几秒钟才能更新并显示出来。以前它是能够即时更新的。产品经理告诉你,现在用户的投诉已经泛滥成灾了,并问你:是否能够帮忙看看?你当然需要去看看。因为毕竟它是你的“思想结晶”。当然,这也可能是其他地方或人出错了。但是你决定去修复它,只是因为你就是这种可以扛事的好员工。你从最新发布版本的提交中提取出Git哈希,并开始研究变更日志。你已经在最新的发布版本里把 HTTP 请求库更新到了最新版本。这事已经完成很长一段时间了。你甚至还可以记得做这个变更的确切提交日期。那是个美好的一天。你立即切换到那个提交,然后模拟更新购物车的请求。好消息是,你做了一个清晰的关注点分离(separation of concerns)。你可以轻松地通过一个Build标志位对模拟环境(staging)和生产环境(production)服务器进行测试。PS:软件应用开发的经典模型有这样几个环境:开发环境(development)、集成环境(integration)、测试环境(testing)、QA验证,模拟环境(staging)、生产环境(production)。终于,你找到了罪魁祸首!看来是你更新的HTTP库有一个退化。对于某些特定类型的请求,它需要花费很长时间来解析传入JSON有效载荷。只有请求解析完成后,你的App才能更新购物车中的统计数字。基础架构目前还没有创建来处理最终一致性,要加上它才是一个完全完整的项目。你不能只是更新本地的统计数字,稍后再同步。你知道这是其他人的错,但是你还是要进行修复,没错,这就是生活!你告诉产品经理(PM)是哪里出现了问题。他拍了拍你的背,用渴望的眼神望向你,请求道,你知道怎么解决它吗?当然!你对修复计划进行了深思熟虑地思考。你知道,不能回滚这个更改(rollback the changes)。因为一堆新代码和Bug修复依赖这个新的库版本。如果只是简单地回滚,你将会失去所有一切。只是简单地Fork这个库维护自己的副本(copy)貌似也不明智。原始项目的维护人员有一个巨大的测试框架,它可以基于上千个设备来测试你的修复。你有3个设备,其中2个还运行着过时的操作系统。最好能够得到他们的反馈,因为毕竟这是他们的库,他们对其内部结构了如指掌,你而不是。所以,你准备:先Fork这个库(相当于拷贝,因为没人愿意你直接修改原始库);clone到本地分支,实现这一bug修复;发送Pull Request给原始库;与原始库维护者反复沟通确认;说服维护者接受你的想法是最好的解决方案;原始库维护者接受你的想法,将其merge到他自己的项目中;等待这个库的补丁发布;把库更新到你的代码中;发布一个新版本。整个过程小菜一碟。产品经理说,“太好了,你认为整个过程需要多少时间?”你知道答案。人们总说工程师不能估计时间。但你不是那种工程师。你毫不犹豫地说,“2 周,当然这也取决于这个PR被接受的速度,以及维护者发布新版本的速度。”产品经理的脸色突变。反复喃喃道,“2 个星期?2 个星期?”你继续保持安静,仿佛可以预测到产品经理下一刻就会勃然大怒。他愤愤地说道,“这么久我们的用户会流失的!购物车无法实时更新,他们不会再来买任何东西的!我们是一家电商公司!这是绝对不能接受的!”你期待他能够在悲愤后坦然接受“两周”的结果,但是显然没有,他看起来陷入了讨价还价模式。他接着道,“没有什么办法可以更快地解决它吗?有没有临时方案?拜托了!速度真的很重要!”你坐在旋转座椅上,悠悠地说,“好吧,让我再想想看。”你决定让步一点,尽快打发他离开,毕竟你手头还有一大推其他事情要忙。你再次潜入源头,研究代码。这是你的本行,只见你的手指按着IDE快捷键,就像波塞冬(希腊神话中的海神)在海浪中驰骋。啊哈!找到了!有一个无记录的方法能够为JSON 解析代码加上钩子,并将其替换为你自己的实现!但是等等。这看起来有点丑陋。它是一个非开放的 API。可能是被错误地暴露出来的。你不想依赖于这个。因为如果他们在下个版本移除了它该怎么办?这样的话,你将必须重做一次。谁想这么做?虽然这比维护你自己未经测试的分支更快,但不可否认的是,它依然是丑陋的。不!绝不可以,你不允许商业决策破坏你纯洁的殿堂。你是所有神圣事物的守护者,要反抗无知的大众。这是他们付给你大价钱的原因。你有责任拒绝。你冲进产品经理的小屋,告诉他,“答案是没有!没有更简单的办法来解决这个问题,对不起。”他的反应可想而知,他说,“你跟我说有办法,但是你不想去做,只是因为它不整洁?我们的用户正在投诉我们,他们随时会加入竞争对手的阵营,但你现在不愿意去修复,仅仅是因为这(方案)不整洁(clean)?”你无语了!这家伙了解工程么?你用bit从无到有地构建出一个虚拟的世界。高度可扩展的系统可以抵御来自前苏联集团所有黑客的DDos攻击。你是个艺术家,硅片是你的画布。你读过很多遍《Clean Code》,所以你了解它的程度超过了你自己的 Github密码。你大声喊道,“是的!我不想让这个垃圾玷污我们的代码库!我花了几个月的时间来构建这个!每一行代码都是我血汗的结晶!所有事情能够运转正常的唯一原因不是因为你!是像我这样的人在维护软件运行,是像我这样的人在帮你们清理烂摊子,帮你们完成业务。”你发泄完觉得需要喝点东西。你认为像这样的家伙是行业的祸害。他们以为自己的MBA经历会赋予他们构建伟大软件的洞察力,而我们开发人员则被他们忽视。去他们的!你愤愤难平地来到自助餐厅。你每天都会来这里享受美食和咖啡——无限续杯的,美味的,滋养灵魂的咖啡。你值得这一切美好,因为你是知识型人才。你拿起一杯Java(爪哇)咖啡,找个地方坐下来。这时,你注意到了他——你们公司最高级的工程师。这家伙是个地道的、专家级的,用上厕所的时间就能写出编译器这种类型的工程师。他以前是黑客大牛,你想成为这样的人,你觉得他有些像甘道夫(北欧神话人物),在受到大家尊敬的同时也为人所恐惧。但他其实是善良的,经常会帮助小辈。你想他一定会乐于听到你说如何搞定那个产品经理的事情,毕竟,他也和你一样是工程师。于是,你坐在他旁边。他正搅拌着自己的咖啡,在阅读Haskell抽象数据类型相关的内容。对,正好跟这个家伙聊聊。你告诉他刚才办公室发生的事情以及你的“雄言壮语”。他耐心地听着,不时地点着头,问了些问题。他的身体语言在传达他是轻松随和的,这一切也可以从他的眼中读到。你终于说完了那件让人精疲力竭的事情,你感觉自己的双肩轻松了许多。他看起来陷入了沉思,好像在仔细地组织着语言。你在等着他会惊呼,“干得漂亮!”然后你们一起再续一杯咖啡,等着听他讲述发生在他自己身上的另一个类似的故事。你梦见过这一天。在“斗争”获得胜利后,你与身边的人举杯共庆。就像电影中的情节一样,当然,他们通常喝的是啤酒,而不是咖啡。你就这样一边幻想一边等着他的答案……终于,在漫长地等待过后,他直视着你的眼睛,像是能刺穿你的灵魂。多少年来与机器打交道弱化了他的视力,但这种注视却散发着迷人的力量,让你无法摆脱。他只说了一句话,“我们的工作不是喝咖啡、折腾代码。我们的工作是创造能够运行的软件。”然后,他走开了。你愣了一分钟。胃里产生了翻江倒海的感觉,你突然重新认识了这种感觉,你感到耻辱。你辜负了你欠得最多的人——你的客户。于是,你回去办公桌前,你搞定了那个“不整洁的代码”,然后推出了一个新的版本。接着,你去向那个产品经理道歉。事情变得有点失控。他说没事。所有事情都进展顺利,也没有造成难以挽回的后果。你也fork了这个库,实现了正确的修复,并发出了主库的PR。当库的新版本出来时,你总是可以重构的。一件看似寻常的小事,一次次内心的挣扎,我想作为程序员(尤其是有精神洁癖)的你,一定也经历过这样的时刻,但是请永远记得,“我们的工作不是喝咖啡、折腾代码。我们的工作是创造能够运行的软件!”安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T09:41:00.000Z","canComment":false,"commentPermission":"anyone","commentCount":2,"likeCount":2,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T17:41:00+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-ace53dfe52_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":2,"likesCount":2},"":{"title":"Win10源代码泄漏微软惊呆! 下载站神回应","author":"an-zai-68-16","content":"昨天,整个IT行业炸开了锅,疯传Windows 10内核源代码泄露到网上,其中32TB的非公开官方安装映像和软件蓝图设计压缩到了8TB,被上传到。对于微软来说,Windows 10源代码泄漏意味着啥,不言而喻吧...据悉,这些秘密数据是今年3月份前后从微软内部系统中泄露出来的,包括Windows 10硬件驱动程序,USB和WiFi功能,支持ARM架构的OneCore内核的源代码。这是有多严重?得到这些核心数据后,一些组织可以查找微软操作系统中的安全缺陷,然后开发恶意件对全球Windows设备发动攻击。这些代码在Windows操作系统核心运行,部分代码具有最高的权限。除此之外,安在(AnZer_SH)还了解到,尚未公开发布的绝密Windows 10和Windows Server 2016版本,以及已经公开发布的数个Windows版本,也出现在泄露的数据中。供Windows团队使用的秘密内部版本,被用来修正缺陷和测试相关功能,包含在公开版本中会被删除的专用调试符号。外界认为,这次泄露比发生在2004年的Windows 2000源代码泄露事故更为严重 。 Beta Archive 网站负责人 Andrew Whyman 透露,源代码文件已经被删除,微软并没有强制网站删除该代码,这是网站内部所做的一项决定。Andrew Whyman 认为源代码的泄露应该与 6 月 22 日英国警方逮捕的两名涉嫌入侵微软的黑客有关。据悉虽然英方并没有透露两名黑客的姓名,但英媒猜测来自林肯郡和布拉克内尔的他们属于某个国际团体的一员,该组织在 2017 年 1~3 月期间成功攻破了微软的网络。微软发言人今天表示:“经过我们的审查证实了泄露的源代码实际上是共享源计划源代码的一部分,是专门提供给 OEM 和合作伙伴使用的。”虽然之前有机构说明了泄露的源代码数据有 32 TB,包括未发布的 Windows 版本。而实际上泄露部分仅为 1.2GB。源代码的泄露让微软非常尴尬,泄露的源代码包括与 OEM 、合作伙伴、部分政府和企业共享的源代码,以及 Windows 10 Mobile Adaption Kit、一些 Windows 10 Creators 更新版本和一些基于 ARM 的 Windows 10 版本的源代码。安在(AnZer_SH)了解到,Beta Archive FTP服务器管理员Andy公开回应,传闻的32TB大小源代码,其实并没有这么多,可能只有1.2GB,但包含12个系统版本。同时Andy还强调,由于体积太小的缘故,这些代码不太可能是核心源代码。这已经不是微软windows源码第一次遭到泄露。早在2004,windows 2000和nt 4.0的部分源代码非法地出现在互联网上;2014年,微软前软件架构师基布卡罗泄露Windows 8的代码,以及微软一款反盗版软件的部分代码并获刑。业内人士告诉安在(AnZer_SH),如果泄漏代码不严重的话,那么以微软的作风肯定第一时间澄清此事。据说现在微软已经在加班加点的排查这些文件,无暇顾及外界的传闻。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T09:41:40.000Z","canComment":false,"commentPermission":"anyone","commentCount":13,"likeCount":35,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T17:41:40+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-a8e5c9c4be_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":13,"likesCount":35},"":{"title":"“全能者”西盟 | 白帽","author":"an-zai-68-16","content":"作者:椰子张永波已经三十多岁了。从他的外表上,你不大能看出这一点:头发黑亮、服帖,却似乎未经刻意修饰,谈不上什么发型;面容干净,少有沧桑的胡渣;鼻梁上架着一副眼镜,加上T恤衫、休闲裤,透着一股学生气。但总而言之,无论怎么看,他都那么普通,像他的名字一样——这和他在另一个世界里的形象截然不同。身在安全圈中的人,几乎都久闻知道创宇的大名。而听说过知道创宇的,也都熟知它旗下的三款代表性产品:加速乐、抗D保和创宇盾。而它们背后的男人,正是张永波。三款产品成为他安全生涯中的里程碑,他已是不折不扣的“大牛”。在这个世界中,他的名字叫“西盟”。1西盟的“西盟”在安全圈,西盟早已声名远播,但很少有人知道这个名字的含义:既不是个人名,又不像个绰号。在互联网上也几乎查不到任何信息,唯一能找到的,是云南省的一个地名——所以,西盟究竟是什么意思?“西安青年黑客联盟”,西盟解答了安在(AnZer_SH)的疑问:这是早年间他创办的一个网站,虽然时间很短,但大家都习惯用这个网站的简称称呼他了。西盟对信息安全的兴趣起于2003年。彼时的互联网尚属于新兴事物,少年人对它尤为趋之若鹜,正在读高中的西盟自然也不例外,互联网上层出不穷的新事物让他应接不暇。误打误撞间,他点进了几个黑客网站,就此进入了信息安全这个“坑”。兴趣浓厚的他并不满足于看看而已,除了脚本攻击,他还喜欢熬夜搞点小创作:小工具、软件、网站之类,既是自己的成果,也可用于交流学习。于是,“西安青年黑客联盟”诞生了。网站一度有声有色,每天的访问IP十几万,让他拥有了一众黑客好友,也获得了“西盟”这个名号。可接下来,西盟似乎不满足于只做“西盟”的事情了。网站很快转型,兴趣广泛的西盟开始尝试一切和互联网有关的领域:下载网站、小说网站、新闻网站,甚至是女频网站。服务销售、域名销售,友情链接、写新闻稿、发广告、网站优化……互联网的玩法被他玩了一个遍。“可以说,我在每个行业都有同行。”西盟这样告诉安在(AnZer_SH)。每进入一个新领域就认识一批圈子里的人,在开女频网站的时间里,还认识不少美女。这让他和最早的一批黑客“同行”们走出了一条不一样的路来。如今,西盟在“黑客时代”结识的好友们,有些已经转行,有些依然留在安全行业。圈内的朋友们做出的选择也泾渭分明:行业不断发展,相关法律法规也日渐完善,单纯对安全兴趣浓厚的进入了安全公司,用自己爱好和技术帮助企业和公众;而另一些人则投身黑产,渐行渐远。但无论如何,他们都遵循着安全圈基本的规律:凭技术说话。西盟则不然:他不是个只懂技术的人,早年的丰富经历让他对各领域都了解颇深。作为“全能型人才”,他做出了最适宜的选择:做产品。2产品之路:不仅仅是安全2011年,在成都的一处居民区里,知道创宇再次起步了。公司的地方不大,仅有三室一厅。就在这里,初创团队将要在互联网领域施展手脚,而刚刚大学毕业的西盟,正是他们中的一员。“算是互联网领域的二次创业。”西盟对安在(AnZer_SH)回忆道。几个字说着轻巧,可做起来并不那么简单:互联网的世界如此广阔,初来乍到,该做些什么呢?西盟的经验此时正派上了用场,在互联网各个领域都浸淫已久,行业需要的是什么他一清二楚。第一款产品很快上线:加速乐。单从名字就能看出,这不能算是一款安全产品。打造这样一款产品,意图何在?“这是我们通过调查选出来的方向。”西盟告诉安在(AnZer_SH)。当时,两条道路摆在他们面前:网站安全和网站加速。几经走访,西盟最终选择了后者。他们发现,当时对于加速的需求远远大于安全,西盟解释道,网站的第一需求是业务增长,加速恰恰是保障业务增长的,而安全往往意味着减损。另一方面,提供加速服务覆盖的用户群体更为广泛。彼时正值互联网行业高速增长期,竞争逐步升级,对于新入场者来说,业务是生命线所在,没有业务保障生存、站稳脚跟,安全则无从谈起。针对需求开药方的“加速乐”迅速获得了成功——然而,瞬息万变的互联网行业,从来没有一劳永逸的事。在发展过程中,西盟又有了新的发现:安全正在成为“更紧急的刚需”。“重要系统上网后,这一点更为明显。速度慢点,用户还能忍受,但安全出现问题,对企业来说就是灭顶之灾。”这和互联网行业的整体发展息息相关。鸿蒙初开,人们往往沉醉于新事物流连忘返,热衷于体验不一样的感觉。而当互联网渐渐成为日常时,服务质量便成为决定性的因素。打个比方,中国刚刚接入互联网时,网民们忍受着频繁掉线,依然乐此不疲;而如今,一个网页打开慢了几秒,人们可能就要拍桌骂娘了。“速度仍然是最为普遍的需求,但我们认为,其实客户想要的应该是安全加速”,西盟一语道破天机。“只有二者都得到保障,企业才能将精力集中于业务运营上。”方向转换,但着眼点依然不变:业务。针对这一现状,知道创宇迅速调整方向。2012年,加速乐中开始加入安全元素;2015年底,知道创宇发布了“知道创宇云安全”战略,三大产品“加速乐”、“抗D保”、“创宇盾”,针对三类不同需求进行梳理整合,三者既能独立作战,也可高度配合,全面满足用户的不同需求。而这一切的背后,是产品人独有的老辣眼光。3抗D之战:以正合,以奇胜DDoS防御从来都是一场不好打的仗。难点在战术,更在战略:前线的技术对抗固然重要,但起到决定作用的,往往在后方战场。一旦防御不慎被“偷袭”成功,如果不能拿出有效的应对方式,则整场战役瞬间溃不成军,甚至直接危及企业的生存。西盟对此的理解尤为深刻。对企业来说,一旦遭到猝不及防的打击,流量大量涌入的情况下,只能临时联系运营商增加带宽,做缓兵之计。然而,痛点恰恰在于此,运营商的带宽价格高昂,一般企业很可能难以承受。“几百G的攻击过来,可以直接让企业破产。”技术沉淀深厚的知道创宇,在提供正面防御的同时,也注意到了后防上的问题。“既然我们手里有大量带宽,为什么不拿出来共享呢?”两相结合,知道创宇拿出了一套完备而有效的“锦囊妙计”:“原先客户需要独立购买带宽、招收技术人员,我们事先采购带宽,并利用知道创宇的技术积累帮用户把防御平台建好。”用户量足够大的情况下,知道创宇便能保障较低的带宽价格,“相当于用户自行采购带宽价格的几十分之一。”这是西盟十分看重的亮点。能拿出这样一套解决方案,实在称得上是手段高超。在被问及经验时,除了自己丰富的经历提供的加持,西盟的心得还在于“对产品充满感情”,“做产品不是做功能,一个产品的成功,应该是从各层面包括研发、运营、设计、市场共同协作的一个过程。我目前负责的产品,都是在过去从一个个熬夜开始的,什么都要干,一会充当客服,一会充当市场,一会还要充当运维。”这绝不是坐而论道、纸上谈兵能够得到的宝贵经验。如同养育一个孩子,高台教化只是空谈,只有沉下心来深入到方方面面,才能一步步培育着他,不断突破、成长。4人在江湖近年来,信息安全日益成为全社会关注的热点。但在西盟眼中,非“江湖中人”恐怕很难真正参透个中滋味。身在安全圈超过十年,西盟的感触远超于常人。“进入安全行业,才发许多切切实实发生的事情,甚至很多安全事件,不比我们生活中所能看到的恶性事件差。” ,在西盟的经历中,遇到过企业创始人团队出走,自立门户推出相似的产品,以至于引发恶性竞争的;也遇到过媒体坚持新闻真实性不肯撤稿,公司大门被人泼了油漆的,“如果没有深入安全圈子,可能这些只是茶余饭后,作为段子讲一讲的话题而已。”尽管风波不断,但互联网行业一直以迅猛的势头前进着。过去我们说国内互联网行业抄袭国外,现在已经完全不一样了,很多国外企业开始学习中国。在中国互联网领域,创新正在如雨后春笋不断涌现,中国网民已经习惯了在各种场合使用互联网。对安全行业来说,这意味着机遇,也意味着更大的挑战。今年6月《网络安全法》将正式出台,首次从国家层面,将网络安全定义为国民生产的重要一环。重要资产放到了网上,安全怎么保障?在西盟的眼中,安全将逐渐体现它的真实价值,有否帮助国家、企业解决问题将成为一个安全企业能否继续生存的决定性因素。“不管是政策、还是企业、网民对安全的实际需求,一定会引发生行业洗牌,中国将产生真正的世界级的网络安全巨头。”而回到眼前,西盟的目标是,踏踏实实做事,在五到十年内改变网络安全的现状。“现在我们做的还不够好,虽然安全问题有很高的关注度,但信息泄漏、网络钓鱼、黑客敲诈依然层出不穷,我希望有朝一日,大家能不必为这些担惊受怕。”而对于安全人本人,西盟的理想是不断完善产业,“让大家不用再熬夜。”,“用我们的劳动,改变了大家,也改变我们自己。” 。从虚回归现实,他便不再是西盟,而是张永波。只不过如今,这二者在他身上已经很难分得清。“生活能改变人,工作也能改变人。”他对安在(AnZer_SH)这样评价他自己,“我觉得我已经合二为一了。”这绝不是一件坏事。回顾他的历程你会发现,无论是在安全圈还是其他,西盟所拥有的,都弥足珍贵。(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T10:23:29.000Z","canComment":false,"commentPermission":"anyone","commentCount":0,"likeCount":8,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T18:23:29+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-a2fcbfeda1aee_r.jpg","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":0,"likesCount":8},"":{"title":"走进百度后,我们恍然大悟 | 安创汇","author":"an-zai-68-16","content":"6月22日,盛夏的北京意外迎来了一场绵绵细雨,湿润了干燥的空气和人们的喉咙。也在这天,安在(ID:AnZer_SH)安创汇主办的“群防群控产业协作——走进百度”沙龙在百度科技园举办。借由这扇望向未来的窗口,我们得以一窥网络安全将在AI时代将迎来怎样“久旱逢甘霖”般的变化。百度安全是百度旗下基于百度人工智能、大数据等核心互联网技术建立的安全业务,将百度在互联网安全方面16年最佳实践的总结和提炼。目前,百度安全的业务范围包括覆盖中大型企业综合的安全解决方案全息安全;为中型企业提供基于 SaaS的替身式安全服务的安全宝;为中小网站提供安全、防护、SEO一站式服务的百度云加速。
安在(ID:AnZer_SH)安创汇创始人张耀疆百度首席安全科学家韦韬加入百度两年有余。加入百度之初,韦韬自称感觉如履薄冰,他认为中国互联网其实非常脆弱,而且面临着多样而且复杂的巨大威胁,百度作为中国互联网世界的技术骨干,更有承担起守护网络安全的义务和责任。
百度首席安全科学家韦韬百度安全事业部产品总经理韩祖利介绍到,安全诚然不是百度的主营业务,但却又是所有业务的重要环节,风险伴随着百度业务的发展。但对于百度来说,风险虽然存在,但也是检验自己安全能力的最好试验田。
百度安全事业部产品总经理韩祖利韩祖利称,目前百度在安全业务上有这样几点能力——抗DDOS、移动杀毒、积累了大量安全数据、LOG存储分析平台以及目前正在筹划中的开放大数据平台。而作为押宝未来的业务——人工智能,百度也将其赋能于安全业务的实践中。安在CEO介绍到,安全领域目前最大的问题在于人力资源极度缺乏,而AI之于安全领域的意义,在于弥补人力在现阶段的不足。百度安全事业部技术总监冯景辉介绍了百度提供的典型机器学习场景,包括有监督学习下的图像识别和NLP、以及无监督学习下的关联新闻能力。
百度安全事业部技术总监冯景辉冯景辉表示,如果机器学习只做文本特征监测,那就不能称之为人工智能。威胁特征的全貌应该包括:文本特征、用户身份特征、访问行为特征(人机识别能力)以及业务行为特征,这些都是应该被安全领域的AI习得并检测出来的威胁特征。他表示,目前百度安全的AI技术可以针对钓鱼、违法内容、虚假中奖等网络威胁做出检测。而未来,无监督学习应该是AI技术在安全领域的未来。上海观安信息技术有限公司高级行业安全顾问王赜,介绍了大数据在网络安全领域的具体应用。他认为大数据技术由于能高效处理海量数据,确实能给我们的生活带来极大便利。但是由于大数据平台对数据的聚合和集中存储,反而增加了数据泄密的风险,大数据时代也是大规模数据泄露的时代,大数据其实是一把双刃剑。
上海观安信息技术有限公司高级行业安全顾问王赜琥珀科技技术总监李川给大家介绍了虚拟执行代码分析技术的基本思路、流程、特点、难点。与FireEye等以识别恶意软件为目的的虚拟沙盒技术的区别与联系,以及这一技术在漏洞挖掘、实时安全防护,以及自动化测试、性能优化等领域的广泛应用前景。
琥珀科技技术总监李川兰云科技联合创始人张翔认为,所有的安全技术都要落实在具体的业务层面,因为首席执行官们谈论的和关心的其实只是商业风险。另一方面,参考目前典型的安全方案,我们不难发现,防御永远落后于攻击。
兰云科技联合创始人张翔张翔表示,随着时间的发展,网络安全的防护范围和攻击目的都在发生变化。对于黑客群体来说,攻击只是手段,获利才是目标,而获利必须通过获取目标网络中的高价值信息来实现。他认为对于安全厂商来说,应该致力于发觉入侵事件,而不是仅仅停留在发现攻击企图的阶段。诚如嘉宾所言,网络安全已经成为了现在不容忽视的大问题,而AI时代的到来则为这个行业注入了新的生机与活力。人工智能+网络安全,未来还有巨大的潜在市场和想象空间。嘉宾的演讲结束后,与会的安创汇会员意犹未尽,与嘉宾进行了热烈而深入的交流,安在(ID:AnZer_SH)安创汇成立一年多以来,不断把视角放大,不再只是局限于周末沙龙这种固定形式,而是启动“走进”系列。让我们的会员能够亲身体验并与那些“传说中”的知名企业、机构对话交流,无论是BAT这样的互联网巨头,还是银行、保险这样的企业用户单位,或者业已成功的创业型公司。此次“走进百度”,是安在(ID:AnZer_SH)安创汇自“走进Splunk”之后的第二站,跨界,对接,交流,融通,这是安创汇所期望给予会员的直接感受。在后续时间里,我们会持续安排更多此类活动,也希望更多朋友们的关注和参与。精彩花絮: 入场签到不知聊到什么,金将军笑逐颜开好像发现了点什么…直播的妹子们喝那么点的,不是兄弟!本次活动圆满结束安在(ID:AnZer_SH)安创汇项目咨询请联系安创汇小秘书:(微信)安创汇安创汇由安在(ID:AnZer_SH)新媒体运营,是立足信息安全、以创业创新为主旨的、汇聚资源分享传播的社群式的小圈子。自2016年5月创立以来,我们每月举办高质量的线下沙龙;持续邀请业界大咖和企业顾问来做主题分享;通过供需双方对话来促进解决方案落地;为创业者和投资人做对接;帮助创业企业做品牌推广;我们做了不少,还会做得更多。在过去一年里,安创汇受到包括创业者、投资人、企业CSO、业界大咖、领域专家、政府机构等广泛的关注和支持,与此同时,也欢迎有识之士联系并加入进来。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T12:44:06.000Z","canComment":false,"commentPermission":"anyone","commentCount":1,"likeCount":3,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T20:44:06+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-8bfcf7a25f30ec8cb633f65a32099a10_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":1,"likesCount":3},"":{"title":"Gartner最酷厂商到底是什么?—科普小课堂","author":"an-zai-68-16","content":"美国时间5月26日,Gartner《2017云安全服务最酷厂商》报告出炉,青藤云安全在云安全领域作为中国唯一一家厂商入选,进入了 Gartner 视野的,还有三家国外厂商。对于安全初创企业而言,成立不满3年的青藤云安全能够入选Gartner,证明业界对其前景十分看好。Gartner《2017云安全服务最酷厂商》报告是为了安全和风险管理领导能够更好地理解最前沿的、即将成为主流的云安全解决方案。报告的重大成果包括:■ 管理云上行为的技术方案、针对云安全的厂商数量及产品都在持续增加,但云安全最佳实践还是让人困惑不已。■ 安全专家必须提出可靠有效的、适应虚拟网络的网络安全控制方案。■ 云计算的规模及灵活性为实施增强传统硬件管控能力的安全机制创造了很好的先天条件。那究竟最酷厂商到底是什么含义?安在(ID:AnZer_SH)也第一时间联系到了青藤云安全的联合创始人兼 COO 程度,他和我们分享了他对于云安全的最新洞见。1. 一开始,我们就对于“最酷厂商”进行了提问,那么,究竟什么是最酷厂商?程度:Gartner对Cool Vendors的定义是这样来的,它可以是鲜为人知的中小企业,但技术、产品一定具备了前瞻性的认知,所以能够另辟蹊径的创新性是第一个标准;第二,它的产品或技术方向在过去一年内对Gartner有极大的吸引力;第三是影响力,他们的技术对用户业务有实质性的、建设性的影响。而且假以时日,这些厂商有足以改变行业的能力。2. 既然报告是《云安全最酷厂商》,那“云安全”是什么?程度:要想了解云安全真正的含义,首先要了解云计算本身。根据NIST定义,云计算按照服务模式分为IaaS、PaaS和SaaS,按照部署模式分为私有云、公有云、社区云和混合云,按照用户角色分为消费者、供应商、代理商、运营商和审计方。大家可以通过下面几个点来了解云安全的具体内容。云安全责任共担用户和使用的云服务商不同,安全的责任也不同。如果用户只是使用IaaS层的服务,IaaS层安全由云服务商提供,之上的所有中间件以及业务安全责任全部由用户自己承担;如果使用的是SaaS层的服务,云服务商就要提供云相关全栈的服务;PaaS层的情况介于这两者之间。满足合规与审核要求组织将业务从传统IDC迁移到云的一个重大挑战是:要遵守众多的合规和审核的约束。《网络安全法》已经开始正式执行,公安方面的等级保护针对云方面也推出了等保2.0,以覆盖等保1.0在云计算领域的缺失,大数据中心联盟也推出了可信云的相关标准,网信部门更是对每个行业都提出新的监管要求。这些规定都意味着企业要承担更重大的监管责任。事件响应信息安全领域不存在无懈可击的防御,无论是周详的计划还是周全的预防性措施,都无法完全避免信息资产遭到攻击。正因如此,致力于减少组织受攻击损失程度的事件响应,成为了信息安全管理的重要基石。3. 谈谈入选Gartner的感受?程度:1.这次的入选对我们来说是一次认可,也是一次很好的背书,可以给我们之后的公司发展提供一个更好的发展方向;2.对于消费者来说,可以让消费者更好地选择,更多地认识云安全行业的最佳实践;3.对于投资机构来说,可以有更明确的选择方向。4. 入选Gartner之后下一步的打算?程度:下一步计划是go to market,青藤云安全接下来会走向市场,在更多实践中证明自己的产品,也会逐渐铺开公司产品的覆盖范围,提高产品在各行业的使用率,逐渐占领市场。5. 入选Gartner对于您自己的意义?程度:对自己来说,创业的方向能够得到来自国际权威机构的认可,让我对公司、对产品方向更有激情和信心。我们是踩在了时代的一个发展风口上,并且通过专业的技术和独特的市场眼光,接连两次入选报告,也证实公司真得走在正确的道路上。6. 对比三月份的那次入选,整个团队做了哪些努力促成本次的入选?程度:第一次青藤云安全入选Gartner全球市场指南报告时,应该说是从市场角度切入了这个门类。之后通过反复与分析师的沟通与迭代产品功能,在不断交流学习,让我们方向越来越明确,功能也越来越贴近需求,但谁也不知道Gartner会把我们评为全球最酷厂商,这个真的是意外之喜。7. 公司入选两次报告,作为COO和主推人有什么想表达的吗?程度:从国际安全市场这个角度来说,我们国家终于有了自主可控的安全产品,自己拥有自主产权的研发成果,并且进入了国际视野。这对于我们整个行业来说都是一件鼓舞人心的好事。8. 您认为青藤云安全的经验对其他创业公司的借鉴意义是什么?程度:一定要看清楚行业的发展趋势,看清未来比分析现在的市场更重要。在现有既定市场几乎被蚕食完毕的情况下,怎么另辟蹊径,解决新场景中的新问题,从而找到最适合创业公司发展的道路,是非常重要的。研究国际上的发展趋势对创业公司之后的发展也十分重要。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T12:54:01.000Z","canComment":false,"commentPermission":"anyone","commentCount":1,"likeCount":3,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T20:54:01+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-c49eacbd61d563e8a7ac04_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":1,"likesCount":3},"":{"title":"又来,Petya勒索病毒袭击乌克兰,中国幸免于难","author":"an-zai-68-16","content":"北京时间6月27日晚间,一轮新的勒索病毒袭击了欧洲多个国家,与5月爆发的“永恒之蓝”勒索蠕虫病毒(WannaCry)类似,被袭击的设备被锁定,并索要300美元比特币赎金。安在(AnZer_SH)了解到,乌克兰、俄罗斯、西班牙、法国、英国等多国均遭遇到袭击,包括政府、银行、电力系统、通讯系统、能源企业、机场等重要基础设施都被波及,律师事务所DLA Piper的多个美国办事处也受到影响。此次勒索最早出现在乌克兰,也以乌克兰损失最为严重,该国政府大楼里的电脑也都离线了。该国的副首相,Pavel Rozenko在 facebook 上发布了一张电脑图片,显然电脑启动出现问题了。乌克兰国家银行表示, 银行和其他金融机构已经对此次袭击事件发出警告。TV and radio的首席执行官莱克丝说, 24 频道已经受到攻击, 其部分计算机设备受到影响。在乌克兰首都基辅,乌克兰国家储蓄银行的自动付账机中毒WannaCry续集,网络勒索将成常态?Wannacry,这已经是个安全小白都知道的名字了。从5月12日至今,一个多月过去了,就在这场勒索病毒事件渐渐淡出大众视野时,又一轮的勒索来了。此次黑客使用的是Petya勒索病毒变种,该变种攻击方式与WannaCry相同,都是利用MS17-010(永恒之蓝)漏洞传播,不同于传统勒索软件加密文件的行为,Petya勒索病毒采用磁盘加密方式,通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,限制对系统的访问,此次黑客勒索金额为价值300美元的比特币。提示支付赎金界面如下:具体感染流程如下图所示:Petya勒索病毒由来以久,但本次爆发使用了已知OFFICE漏洞、永恒之蓝SMB漏洞、局域网感染等网络自我复制技术,使得病毒可以在短时间内呈爆发态势。同时,该病毒与普通勒索病毒不同,其不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,相较普通勒索病毒对系统更具破坏性。从2016年开始,勒索软件达到了爆发式增长,由于raas模式(勒索即服务模式,病毒编写者开发出恶意代码,提供给其他犯罪分子)以及比特币的掩护,勒索时间愈演愈烈,有安全专业预测,勒索病毒可能走向常态化发展。而“防护”也将成为企业的一大重点——企业不仅要重视事后数据恢复,更要在事前方面,注意员工安全意识培训,针对差异化数据,采取不同治理及备份策略。黑客为何偏爱乌克兰?这已经不是乌克兰第一次遭遇网络攻击,长久以来,乌克兰都是网络攻击的重灾区。2016年12月发生过一起针对乌克兰电网的黑客袭击事件,造成其首都基辅断电超一小时,数百万户家庭被迫供电中断。最近安全专家经调查发现,侵入乌克兰工控系统的罪魁祸首可能是——Win32 / Industroyer。2015年中期开始,在乌克兰就开始存在通过Excel宏病毒进行BlackEnergy攻击,如果用户打开此类文档脚本就会释放木马至本地硬盘。日发生的由木马攻击引起的乌克兰电网电力中断,这是首次由恶意软件攻击导致国家基础设施瘫痪的事件,致使乌克兰城市伊万诺弗兰科夫斯克将近一半的家庭(约140万人)在2015年圣诞节前夕经历了数小时的电力瘫痪。2016年1月,乌克兰最大机场网络遭到攻击通讯专家认为机场里面一个工作站是被Black Energy 病毒感染,而之后连接机场的计算机网络被断开。作为曾经的苏联的一份子,乌克兰近年来局势动荡,人民生活水平也一直在东欧各国中落后,而东欧的黑客,与其实力相比,曝光相对较少,技术上更讲究学以致用,不求名、唯求利。而像西欧、北欧那些高福利国家的黑客,很多则是因为兴趣,就是为了好玩,而非获利。另一方面,乌克兰政府机构糟糕的安全应对也为世界各地的不法黑客带来了创富良机,乌克兰政府、电力系统及银行成为近些年来被黑客攻击最多的机构。准备充足,国内机构大都幸免据安在(AnZer_SH)了解,相比于Wannacry爆发时国内大批机构中招,此次事件,除了极少数跨境企业的欧洲分部中招,中国境内并没有接到中招的报告。经过一个多月前Wannacry的洗礼,网络安全开始在全社会深入人心,而国内的大部分企业、机构和高校也开始在安全建设、病毒防护等方面重视起来,未雨绸缪下,此次的勒索事件并没有波及中国。而就在昨天,中央网信办刚刚发布了《国家网络安全事件应急预案》。根据预案规定,网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息。各有关地区、部门立即组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。事件发生后,安在(AnZer_SH)第一时间联系到了腾讯、阿里巴巴、360公司的安全部门,各大厂商也在第一时间密切关注事件进展,并在第一时间向用户提供了解决方案。27号18点左右,腾讯云联合腾讯电脑管家发现相关样本在国内出现,腾讯云实时启动用户防护引导,腾讯云主机防护产品云镜已实时检测该蠕虫,并将持续关注该事件和病毒动态。360企业安全集团于6月28日凌晨发布预警通告,并开通了24小时求助热线,以确保第一时间处理用户求救。阿里云安全团队第一时间拿到病毒样本,并进行了分析,6月28日凌晨,阿里云对外发布了公告预警并提供了防护及解决方案。360安全监测与响应中心负责人赵晋龙建议,用户一定要及时更新windows系统补丁;务必不要轻易打开doc、rtf等后缀的附件;内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作,在国内厂家庆幸自己躲过一劫的同事,我们可以预知,Petya并不是终点。企业后续在面对类似的安全问题时如何应急响应,就是我们将要面临的不容逃避的问题。 而要解决这些问题,就应该要放对着力点。网络安全的未来应该实现普遍化,实时化,人工智能化。在移动互联网、物联网及大数据时代下,则要求企业要充分利用大数据实时评估和提高企业安全成熟度,同时注重业务安全。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T06:59:59.000Z","canComment":false,"commentPermission":"anyone","commentCount":20,"likeCount":46,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T14:59:59+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-32f95e1ffbf_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":20,"likesCount":46},"":{"title":"一个月融资超30亿元!网络安全最近有点火","author":"an-zai-68-16","content":"近期爆发的WannaCry和Petya勒索病毒让全球的网络安全遭受打击,网络安全成为新闻头条。而在此之前,大众对网络安全并不关注,这次勒索病毒终于引起整个社会的警觉,甚至是恐慌。有黑帽子就有白帽子,这也是那些为网络安全提供解决方案的公司向公众介绍自己的好机会。这些公司可能并不被很多人知道,如果不是特别关注网络安全领域的话。虽然之前大众对网络安全领域并不关注,实际上,嗅觉灵敏的投资人早就看到了网络安全的巨大发展潜力。6月15日,业界领先的应用层防护网络安全公司长亭科技宣布完成数千万人民币A轮融资,投资方为启明资本、君盛资本、滴滴,天使轮投资方真格基金跟投。安在(ID:AnZer_SH)了解到,本轮融资完成后,长亭科技将完善产品布局,招募专业销售及市场团队,加速进军金融及互联网企业市场。长亭科技主要为企业客户提供技术领先的应用层防护安全解决方案,目前旗下已发布两款产品雷池(SafeLine)下一代Web应用防火墙和谛听(D-sensor)内网威胁感知系统。雷池Web应用防火墙操作界面截图长亭谛听内网威胁感知系统采用了基于真实服务的伪装技术 ,在迷惑攻击者的同时还可以识别内网环境中的攻击行为,帮助企业进行网络安全应急响应。威胁感知结果截图长亭科技CEO陈宇森(浙江大学保送生,美国西北大学访问学者。)在接受采访时提到,“安全产品的直接性在于,只要一对比就能看出优劣,客户选择我们,更多是对产品效果的认可。但公司目前也在研究如何利用下一代WAF防止薅羊毛、Bot、平行权限控制不严、任意用户密码重置等常见的非漏洞攻击行为,让客户能更自定义化的将安全与业务逻辑做更深度的结合。”长亭科技CEO陈宇森今年被福布斯列入30 UNDER 30榜单投资人李剑威(真格基金)曾经如此评价长亭科技:“长亭科技的技术实力已经在国际上得到证明。在产品上,他们的规划也非常明晰。我觉得在国内的网络安全服务市场上,正缺少一个这样的团队去发掘潜在的机会。”每天一亿的投资额而在国际市场,资本市场的寒冬似乎也并没有影响到网络安全行业,安在(ID:AnZer_SH)统计发现:马上就要过去的这个六月,海外至少有七家网络安全公司获得新一轮融资,融资总额接近5亿美元。安在(ID:AnZer_SH)一算,这相当于超过30亿人民币投入这个行业,等于每天有1亿元投入,资本市场对网络安全行业的追捧,由此可见一斑。这将近5亿美元都流向哪里?下面我们一一讲述。1 Cybereason:融资1亿美元这家公司总部设在美国波士顿,却是2012年由以色列国防部8200部队成员在以色列创立,在特拉维夫仍保留一家研发中心。Cybereason的技术方向不是“高筑墙”,而是实时响应和防御。这家公司的核心技术是“端点感知”,利用机器学习和行为分析来实时处理大量端点监测数据,引擎处理速度达到800万条问询/秒。产品的定价基于企业IT环境的端点数量。目前Cybereason已有200名客户,包括洛克希德马丁、软银和摩托罗拉。此次1亿美元的投资方是日本软银。自2012年成立以来,Cybereason累计融资1.89亿美元,此前的投资人还包括CRV,Spark Capital和洛克希德·马丁。这轮融资过后,Cybereason准备进一步扩张人员和发展新产品,并获取更多的市场份额。2SparkCognition:融资3250万美元这家公司号称全球首家认知安全分析公司,总部位于美国奥斯汀。SparkCognition成立于2013年,使用机器学习和人工智能技术来分析预测安全漏洞与系统故障。其客户主要来自对网络安全需求量很大的行业,包括航空航天、国防、电信和能源等。去年4月,SparkCognition完成A3轮600万美元融资。这个月的新一轮3250万美元融资,被认为是B轮融资的开始。此次投资方包括Verizon、波音公司。这家公司表示,新的融资将被用于扩大解决方案,并更深入的涉足石油、天然气、公共事业和安全部门等行业的客户。3Illumio:融资1.25亿美元Illumio成立于2013年,是一个自适应云安全平台。主要为企业私有云、公有云、用户数据和云端数据等数据提供安全保障,帮助企业找出公司网络中潜在的恶意软件或未经授权的数据泄漏。Illumio构建的自适应安全架构,可以安全监控和防护每个工作单元或应用,而不是基于传统的边界防护。用户可以使用自然语言编写安全策略,而不需要了解底层网络架构。据公司联合创始人兼CEO Andrew Rubin介绍,虽然目前公司还没有盈利,但多项指标证明公司的增速良好。平台上第二年的预定量相比第一年增长400%。公司的客户中,15个中就有9个是美国大型的金融公司,同时7个中就有4个具有大型的SaaS业务。这些客户包括Salesforce、Workday、King、Netsuite和摩根大通等。这次的1.25亿美元融资,由J.P.摩根资产管理领投,跟投的有原投资人Andreessen Horowitz、General Catalyst、8VC、Accel和DCVC。4Netskope:1亿美元Netskope致力于帮助大型公司监管员工使用云服务,保证其安全。客户包括谷歌Drive和Dropbox等,自2012年成立以来已经收获2.31亿美元融资。此次1亿美元E轮投资,由原投资人光速创投和Accel领投,新投资人Sapphire Ventures、Geodesic Capital跟投,Social Capital和Iconiq Capital则增加了投资额。此轮融资将用于进一步推进产品开发,开展营销项目,从而帮助公司实现盈利,进而走向上市。Netskope认为企业云应用市场已经来到引爆点。企业IT部门面临无处不在的影子IT问题,Netskope的产品能够帮助IT部门有效治理影子IT问题,通过深度分析帮助IT决策者轻松创建云应用安全政策,保护企业数据并优化云应用负载。5GreatHorn:630万美元GreatHorn总部设在美国麻省Belmont,2015年创立。是一个致力于阻止网络钓鱼式攻击的云安全平台。这家公司的成立基于创始人的两个趋势预测:一是针对核心商业服务(特别是电子邮件)的云基础设施建设会加快,二是通过这些云技术基础设施造成数据泄露的案例数量会等量上升。现在越来越多的企业使用基于云的通信平台,例如Slack、Skype、Office 365和G Suite等,然而这也给网络犯罪留下可乘之机。GreatHorn的自动化产品据说可以让企业安全团队预防钓鱼的工作量每周减少300小时以上。此次630万美元的A轮融资,投资方为Techstars Venture Capital Fund和.406 Ventures。原有投资者继续跟投。6CybelAngel:300万欧元这是一家位于巴黎的公司。CybelAnGEl通过大数据和人工智能技术提供网络安全解决方案。他们的网络安全产品每天能在网上检测十亿份敏感文档,帮助公司确定自己的信息没有外泄,避免造成研发、客户等信息暴露在风险之中。此次300万欧元融资,投资方为Serena Data Ventures。本轮融资后,CybelAngel将加速自己在国际上的扩张,并加大在研究开发方面的投入,以提高自己数据搜集自动化的能力。CybelAngel希望通过优化自己的深度学习能力和人工智能算法,从而处理好庞大的数据量。7Hexadite:1亿美元又是一家以色列公司。Hexadite创建于2014年。其主要任务不是防御网络攻击,而是迅速识别和解决网络攻击。Hexadite的技术可以连接到当前的网络安全检测系统,利用人工智能来自动分析威胁。这个月初,微软宣布收购Hexadite,据信这笔收购斥资1亿美元。微软今年1月曾表示,未来几年,公司每年在安全研发方面将投入10多亿美元。在过去数年,微软相继收购了多家以色列云安全公司。2015年,微软收购以色列网络安全公司Secure Islands。今年1月,微软投资了以色列网络安全公司Team8。今年4月,微软又以约6000万美元收购以色列云端监测初创公司Cloudyn。同月,微软斥资2100万美元收购Synack。Synack业务模式类似于Uber,雇佣黑客为客户的软件寻找漏洞。AI加持,千亿美元蛋糕待分抢这个6月,只是最近网络安全概念火爆的缩影。安在(ID:AnZer_SH)了解到,网络安全市场仍在不断增长,预计到2020年信息安全方面的投入将达1010亿美元,复合增长率将达8.3%。去年,全球机构在这方面的投入已经达到创纪录的730.7亿美元。这意味着,未来几年安全领域的投入增长,将是IT整体支出增速的两倍以上。近在咫尺的千亿美元,无疑是巨大的诱惑。更何况还有人工智能的加持。 CB Insights总结的网路安全领域融资趋势VB在一篇报道中指出,“在很多配备人工智能(AI)预测能力的前沿领域,可让安全厂商、企业以及我们个人在应对网络袭击中占据上风”。并总结了AI网络安全防护的六个关键创新领域:发现和阻止黑客入侵物联网设备基于AI的轻量级预测模型可以自动在低计算能力的设备上自动驻留和操作,它可以实时发现和阻止设备或网络范围的可疑行为。多家初创企业正在利用AI技术解决物联网安全挑战,比如CyberX、PFP Cybersecurity以及Dojo-Labs等。预防恶意软件和文件被执行利用AI的巨大能力,可以查阅每个可疑文件数以百万计的特征,发现哪怕是最轻微的代码冲突。开发这种基于文件的AI安全系统的领导者包括Cylance、Deep Instinct以及Invincea。提高安全运营中心的运营效率安全团队面临的关键问题之一就是每天收到的安全警报溢出引发的警报疲劳。有些初创企业正利用AI技术解决这种威胁,比如Phantom、Jask、StatusToday以及CyberLytic。量化风险量化企业面临的网络危险正成为挑战,主要是缺少历史数据和需要考虑的变量太多。AI技术可以处理数以百万计的数据点,同时生成预测,帮助企业和网络保险公司获得最精确的网络风险评估。多家初创企业正进行类似研究,包括BitSight和Security Scorecard。网络流量异常检测通过寻找跨协议相关性,不依赖侵入性的深度数据包检查,分析内部和外部网络流量中无穷无尽的元数据相关性,AI技术可被用于检查异常网络流量。这类初创企业包括Vectra Networks、DarkTrace以及BluVector。检测恶意移动应用数据显示,56%的iOS顶级应用和全部Android应用都曾遭到网络攻击。利用先进AI技术可以帮助应用分类,已经有Deep Instinct、Lookout Mobile Security以及Checkpoint等公司正在努力区分恶意与良性应用。安在(ID:AnZer_SH)这次介绍了一些国外的状况,这并不意味着国内网络安全+AI的概念不受到关注。去年11月,第三届世界互联网大会期间,红杉资本}
{"debug":false,"apiRoot":"","paySDK":"/api/js","wechatConfigAPI":"/api/wechat/jssdkconfig","name":"production","instance":"column","tokens":{"X-XSRF-TOKEN":null,"X-UDID":null,"Authorization":"oauth c3cef7c66aa9e6a1e3160e20"}}
{"database":{"Post":{"":{"title":"2017腾讯云+未来峰会:没有AI的云计算做不好安全","author":"an-zai-68-16","content":"作者:张亚菡6月21、22日,2017年腾讯云“云+未来 峰会”在深圳召开。安在(AnZer_SH)记者Apple特地赶至现场并全程参,接下来我们跟随Apple一起来回顾下这场峰会。在第一天的峰会上,众多嘉宾的演讲围绕着人工智能在各自领域的应用展开做出详细阐释;而第二天的云安全专场上,腾讯云一口气发布多项安全产品,云、人工智能与安全之间的关系已成为热门话题。前一天晚上到达机场时,Apple发现本次腾讯云+未来峰会的宣传广告承包了几乎整个机场的大屏幕,这颗安利我是吃定了!下面就正式开始了我的两天峰会之旅。马化腾:云计算为社会和经济带来的量变与质变腾讯董事会主席兼首席执行官马化腾在第一天的峰会发表主题演讲“云时代的新趋势”。继去年提出“云是互联网+的第一要素”、“未来是传统企业在云端用人工智能处理大数据”,马化腾今年着重提出,“云是数字经济最重要的基础设施”。过去“插上电”带来了电气化的革命,现在“接入云”将带来数字化的升级。在5月底的贵阳数博会上,马化腾就强调了云在数字经济中的作用,并且指出“用云量”将成为一个重要的经济指标,能够衡量一个行业的数字经济发展程度。马化腾引用报告指出,企业向云端迁移的速度在加快,未来很可能超过传统数据中心。但是,云还处于初始阶段,电力时代最终出现了计算机,而人工智能有望成为云时代像计算机一样的关键产物。“云+人工智能”也许将相当于“电+计算机”的概念,企业 “接入云”能够获得AI这种信息能源。此外,马化腾还分享道:不管是新兴行业还是传统产业都蕴藏着巨大的商业机会,同时也有巨大的挑战。腾讯将会继续提升、丰富,以及开放云的能力和资源,支持各行各业创新、优化、升级,共建云上生态。马化腾强调:“在新的云时代,整个社会经济操作系统和运作模式都在发生数字化的迭代。”安在(AnZer_SH)划重点:如果要给马化腾大大的演讲划重点,那就是他对未来云时代的三个趋势进行了理解阐述:第一个趋势是,云是产业革新的源动力。 第二个趋势是,云是新型社会管理的主平台。第三个趋势是,云是人工智能的强载体。在第三个趋势中,马化腾大大举的一个例子让我感觉分外亲切:“还有一个案例是打击数字营销中的‘羊毛党’。大家知道黑色产业链中有一批人,像黄牛党一样,我们把它叫做‘羊毛党’,他掌控大量的不同IP地址的机器,可以瞬间把一个商家在网上做营销的礼品、补贴,模拟成千千万万的真实用户一下子把它取走,就像薅羊毛一样,我们叫‘羊毛党’。我们的云提供了这个非常独特的抵御能力,如果企业要做数字营销,你们这方面没有经验,一定要用我们的服务。我们现在为东鹏特饮每天提供超过200万次的判断,阻挡大量的黑手机刷它的饮料瓶的二维码兑奖,一年可以节省至少3000万元。”马化腾大大心系人工智能,更看重人工智能的安全。伴随着产业的快速演变,传统的安全边界正逐步消失,企业面临的安全挑战异常复杂,许多传统的安全方法已经应对乏力。人工智能与云计算的发展,必将深度重塑下一代安全。黎巍:新时代的安全应该是“大数据+AI+云计算”配合完成在第二天的“云安全”专场中,腾讯副总裁、腾讯社交网络与腾讯云安全负责人黎巍就对“云、人工智能与安全”进行了详细的阐述。他指出,安全攻防是一场技术赛跑,过去安全界的法宝,无论是“修长城”(找到边界和要塞隔离、审计、控制),还是“搭迷宫”(制定成千上万的策略限制黑客),都已经无法应对严峻的安全形势。 “无论我们情愿不情愿,身处这个赛道里,要想克敌制胜,我们必须要具备更加智能高效的高纬打击能力。”为此,腾讯云正以AI和大数据为驱动力,以云为平台和管道构建新一代智能安全防御体系。包括利用大规模图挖掘与机器学习追踪恶意团伙;通过人群画像与DNA建模,应对羊毛党与欺诈;整合多维度数据和威胁情报信息,通过机器学习,建立更加积极主动的态势感知系统。安在(AnZer_SH)划重点在黎巍大大演讲完之后的采访中,他总结的一句话相当到位:“数据是燃料,AI和云计算是引擎。”他提到整个腾讯对安全都非常重视,十九年与黑产作斗争不停息。新时代的安全应该是“大数据+AI+云计算”配合完成,传统的AI很多数据信息要学习,而且时效性很重要,黑客攻击就几分钟的事情。Q&AQ:基本上过去一年各行各业都谈AI和人工智能,人工智能在安全领域怎么用?A:我们走了这么一段坑,我们想人工智能去应用,但是发现这里存在一个问题,什么问题呢?传统的AI需要从大量的数据里面去提取出,做一些标注,找出有用的信息,然后让机器学习。但是安全有很大的不同,大量的数据里面要找到小量的异常信息。这里有一个过程,怎么从海量的信息里面筛选出少量的异常?这是很大的挑战。当筛选出异常以后,机器学习,学习有一个过程。做安全的都知道,这里有一个问题,安全的时效性非常重,可能发生安全攻击就是几秒钟、几分钟,很快就过去了。等机器学习,真正把东西学董了,黑产已经不玩了。所以这里面给我们挑战,AI在安全怎么用?这块在腾讯云安全,我们经过这一年,我们提炼了一套相对实用的框架。这里面一定会结合我们传统的规则还有无监督和有监督的机器学习,整个结合,我们发现这个事情豁然开朗。简单点说,当原始数据进来以后,原来传统的基本规则,其实还是少不了。规则是帮我们抓出明显的恶意信息。明显的恶意信息又可以成为有监督学习的样本标注,减少人工样本标注的工作量。海量信息里面通过无监督的分类、聚促,这时候我们不能准确的判断一定有问题、有危险,但是我们会给它进行分类、聚簇以后,然后进入有监督的引擎里面,进行更加精确的解析。整个连贯起来,在过去一年,我们发现这套体系,AI在安全里面真正用。每个场景讲AI,每个场景还是有不同的。这是我们看到很好的实践。Killer:云镜,基于机器学习的主机安全产品在6月22日腾讯“云+未来”峰会云安全专会上,腾讯云隆重介绍了三款重磅云安全新品,分别为主机安全、反诈骗云、网站安全,同时发布腾讯云在车联网、移动、直播三大领域的安全行业解决方案。腾讯智慧安全的能力,正借助“AI即服务”的方式全面对外开放。在上午的产品发布时间,四款腾讯云安全领域的新产品一一亮相,为用户打造云端安全新生态。首先是云镜,这是一款基于腾讯安全积累的海量威胁数据、利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务的产品,可以帮助企业构建服务器安全防护体系,防止数据泄露。而对于“云镜”的介绍,则是由腾讯云鼎实验室负责人董志强来进行。在这款产品里面腾讯做了几个主要的功能,一是暴力破解,二是针对云上黑客最常用的脚本后门做单独的处理,希望给企业做入侵检测、入侵感知的能力。在云上除了这两个还有一个安全运维的管理功能,管理员有自己的需求,希望有自己的通道和方便策略下发的能力。李旭阳: 金融反欺诈受众主题很明确,挽回损失就很容易买单,受害的人是普通用户腾讯安全云部助理总经理、腾讯安全联合实验室反诈骗实验室负责人李旭阳一上台的演讲就自带幽默属性,“我们实验室给自己挖了很大的坑,我们从来不强调我们做了什么事,我们只是强调我们做了这个事情以后对解决这个问题起了多大的作用。当然,技术方面的东西也不用讲,大家不会感兴趣。技术是说我们有很强的能力,再加上我们开放的能力。为什么提开放?其实我们做反诈骗的时候,我们和很多行业合作一起做反诈骗。比如我们做鹰眼的时候,我们和各地警方合作来做这件事。拿鹰眼说,我们做这件事以后怎么评估效果?我们和运营商合作,真正的裁判是警方,从警方看他当地的报案数据有没有下降。”“比如我们做的最好的是在北京,三大运营商都做了,从北京警方的数据来看,电信诈骗这类的case下降非常明显。麒麟,伪基站合作是和深圳警方合作,大家基本上可以认为深圳的伪基站基本上是被打光了,以前还是很严重的,现在基本被抓完了。我们和腾讯内部业务合作的时候,我们做风控主要合作点是做色情类、伪色情类、赌博类。我们还做了一个网址检测,在南京、无锡有些合作,当地的警情数据、相关的警情下降70%以上,南京50%多,无锡好的时候有差不多80%。我们强调的都是从效果看,我做这件事情以后,到底对解决这个问题或者色会或者网络问题起了多大的作用,我们是看这个结果。”同时李旭阳还强调他们的实验室做反欺诈的时候有自己的的思路,评价体系很重要,做一件事不是那么难,但是做的事情有没有效果,它的评价体系是更难。“我们做这件事情的整体思路基本上是分三层,最下面,现在都是海量数据、大数据,谈到数据首先要有数据,没有数据谈什么大数据呢?我们的数据层是非常丰富的,也是多个层次的数据。我们会在这些数据上提炼我们的能力,提炼了多个安全能力,比如说诈骗电话、骚扰电话,或者网址、木马、设备、漏洞和诈骗的知识图谱等等,这是我们提炼出来的安全能力。”安在(AnZer_SH)划重点AI运用于安全领域是发展趋势,“AI+大数据+云计算”这样的模式将是安全行业未来发展的风向标。各个领域信息安全的守护需要一些安全产品的配合,还需要政府和企业提高自己的反欺诈骗意识,提高警觉性,以免上当受骗。","updated":"T13:10:18.000Z","canComment":false,"commentPermission":"anyone","commentCount":0,"likeCount":1,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T21:10:18+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-b2a5ef6dad34_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":0,"likesCount":1},"":{"title":"Ev Williams:互联网世界的《阿甘正传》","author":"an-zai-68-16","content":"开发了全球最大的博客平台Blogspot,然后把它卖给Google;联合创办了Twitter;开发Medium项目,如今用户已经超过6000万。没错,上面说的都是一个人——Ev Williams的事迹!安在(ID:AnZer_SH)带大家一起来探讨下这个传奇人物:Ev Williams——互联网界的“福雷斯特·甘”Ev Williams是个典型的“Nerd”(可以理解对学术研究或者其他动脑的领域格外有兴趣甚至迷恋的人),就像是互联网界的“福雷斯特·甘(即阿甘)”。是他参与编写的软件,让我们将博客称为了博客。他在播客流行起来之前就创建了网络广播公司。他发送了Twitter历史上的第75条推文,并随即参与创建了Twitter公司。而现在,他是Medium公司的创始人兼CEO,这是一个新的在线创作平台,深受体育记者、硅谷高层甚至美国总统的青睐。尽管担任5大社交网络平台之一的董事会成员,兼湾区高新技术近二十年来的中流砥柱,Ev Williams的知名度却远不如Mark Zuckerberg、Peter Thiel或是某些“Google人士”。也许现在Travis Kalanick(Uber创始人)的名号都比他响。Williams自身就有技术CEO的气质。大高个,声音柔和,带着大大的白色方框眼镜——应该是Warby Mugatu旗下的某一款,看起来有些高冷。Ev Williams眼中的“开放网络”在采访过程中,Ev Williams对于“开放网络”发表了自己的见解。开放网络是“理想互联网”的昵称——它意味着免费、免审查、拥有独立的所有权和运营权。在开放网络中,人们可以在自己拥有或租用的服务器上发布自己的写作(或音乐、照片、电影等),可以通过自己的个人域名访问,格式不受任何限制。由于这种网络的网页使用HTML和CSS格式,意味着任何人都可访问它,无需特权、付费或申请用户账户。此外,开放网络是自由的,就像语言和意识那样自由。这种自由的终极意义就是将网络变成人类曾经创造的最好、最酷的媒体,变成全人类的图书馆。这个网络包含小说、报纸以及科学期刊等。任何人都可以撰文和阅读。它还可以充当待办事项列表、日志、文学作品以及通讯工具,它十分强大,甚至能够用于终止战争。开放网络与我们现在每天都在使用的网络似乎十分相似,但又十分遥远。我们现在的网络,充斥着令人不快的负面新闻、花哨的广告、冷漠的哗众取宠,以及别人家孩子的照片。所有这些通过各种社交网络涌现在我们面前,成功地把互联网的其它部分和我们隔绝开来。这些网络的连锁效应甚至更糟:当我们接触开放网络时,CookiesCookies(某些网站为辨别用户身份、进行跟踪而储存在用户本地终端上的数据)会监视我们,然后一系列的算法会利用其收集的浏览历史,决定如何向我们推送广告。开放网络已经破败不堪,这还不包括垃圾邮件、骚扰信息、身份盗窃以及网络间谍活动等。Williams说,“当然,网络依然有很多好东西,包括我们每天阅读的文章,你们每天撰写和发布的东西。更棒的是,人们还是随时随地都可以创建他们自己的网页,并且在上面表达自己——而这件事情就是20年前最让我兴奋的想法。我认为这一切应该继续保持下去。发声渠道的多元化不应该像旧时代的媒体那样最终走向统一。但是‘分布节点’可能会走向集约。”“分布节点”是指搜索引擎和各种社交媒体,包括Facebook、Google、Twitter、Snapchat以及众多消息应用,此外还有Google旗下的YouTube、Facebook旗下的Instagram、WhatsApp以及Messenger等。通过将网页连接起来,且提供免费的数据托管,这些“分布节点”俘获了越来越多的用户。由于它们的内容更为丰富有趣,所以原本习惯访问个人站点的用户也开始蜂拥向新的节点。正如Williams所言,“我们首先看到的是社交媒体变得越来越庞大,它们吸引了越来越多的关注。随着进一步扩张,它们也获得了最多收益。根据摩根斯坦利的调查数据显示,2016年初,85%的在线广告收入流向了Google或者Facebook。这是非常糟糕的现象。”开放网络所患的“恶疾”并非Williams的一家之言,纽约时报和知名科技专栏作家们也都注意到了。知名博客软件Drupal和Wordpress的开发者最近也都不约而同提出了对开放网络未来的焦虑。因为如此多的类似网站都被算法运营着,他们担心人类登录网络时看到一切都已经失控。他们表示,曾经类似复调旋律的博客圈很快将变成批量生产、充斥着残次品的网络。这一切都有前车可鉴。哥伦比亚大学法学教授Tim Wu(吴修铭)曾在其《总开关:信息帝国的兴衰变迁》(The Master Switch)一书中提到,所有主流电信技术都遵循着相同的发展轨迹:在一段短暂而令人兴奋的开放期后,接着就会向垄断和日益加深的封闭性发展。Williams引用了Wu的言论称,“铁路、电力、电缆以及电话都遵循着这一轨迹,从短暂开放走向封闭和垄断。无论政府是否出面干涉,它们都会如此发展,因为这是互联网本身的力量以及经济规律所决定的。”Williams及其Medium团队表示,虽然大家看不出来,但是他们正在抵抗这种融合和垄断。事实上,他们自己也会整合一些网站,但是在任务达成的那一刻,他们会成为仁慈的、受人爱戴的“独裁者”。哈弗大学媒体评论家Josh Benton曾称Medium为“散文界的YouTube”,某种程度来说还是很贴切的。但是和Williams接触后,我就越容易联想到Isaac Asimov的科幻小说《基地》。书中的英雄们企图在黑暗来临前,将所有的知识都储存到银河系。尽管他们阻止不了黑暗时代的来临,但是他们希望能够在那之前压缩储存所有的知识。Williams的雄心也遵循着类似的模式,Medium正试图在一个单一有序的网站上复制互联网上过时而又杂乱无序的嘈杂和混乱,他认为这非常重要。2000年春,设计师、开发员Meg Hourihan在旧金山体验着这个城市的膨胀等级。世界各地的码农们正涌入旧金山,从事各种网络开发的工作。Hourihan热爱网络,也欣喜于看到网络变成一个庞大的公众事业,但她却对疯狂涌入的人群并不感冒。她表示,“我发现,这里有很多‘网络公司人’和‘网络人’。前者为初创企业效力,手持着大量硅谷货币,他们手里有期权,可以从公司上市中获益。只需要工作4个月,他们就能变得比网络人更富有,但他们没有个人网站。而‘网络人’可以告诉你他们接触的第一个网站是什么,他们可以带着自己的故事、设计以及图片等融入到网络中。他们创造值得阅读、观赏以及钦羡的东西。”永不言弃的创业决心当时,Hourihan是一家名为Pyra Labs的小型公司的联合创始人之一,她的创业伙伴就是Williams,她们都属于上文提到的“网络人”。Williams出生于1972年,在内布拉斯加州林肯市郊外的农场长大。他年轻时几乎不曾远离过家乡,他在州内上中学,然后毕业于内布拉斯加州立大学。但是当预感到互联网的巨大潜力后,他决定辍学,用父母资助的学费尝试创业。他创建了出售CD-ROM的公司,里面有内布拉斯加州剥玉米人队的信息。他还创建了教人如何联网的视频公司。当时只有24岁的Williams意识到,自己必须离开平淡无奇的生活,去做真正与网络相关的事情。为此,他搬到了加州塞巴斯托波尔,在一家叫做O’Reilly Media的公司上班。这家公司主要出版纸质书籍,如编程手册、标准指南等,这些书对于20世纪90年代的程序员来说,就像《圣经》一样重要。他在这家公司呆了几年,然后去了旧金山。就是在这里,他遇见了Hourihan,并在1999年创立了Pyra Labs公司。这家公司最终也未能推出同名办公协作软件。但是这套软件最终成为了Blogger的基础,它是首款简单的网络日志软件,俘获了大量用户。也正是Blogger帮助“blog(博客)”一词成为流行词汇。Williams和Hourihan的创业时机不利,Blogger刚刚成长起来时,就遇上了首次网络泡沫破灭危机。虽然公司的运营成本不高,但随着风投纷纷破产,没人能够继续资助它。后来,他们甚至发不出工资,无奈只能裁员。2001年1月,Hourihan辞职(后来Hourihan创立了Kinja,高客媒体使用的博客系统。),公司其他人也纷纷离开。但是Pyra Labs并未就此垮台。Williams通过接受各种小合同来维持公司运作,同时还完成了产品的更新迭代。网络泡沫2年后,他推出了Blogger的付费版本,然后又招募了更多员工。2003年2月,Google正式收购了Pyra Labs。Williams说,“我们当时有100万注册用户,当时感觉这个数量非常庞大。”这是值得纪念的时刻。Blogger的故事中包含了足以瓦解开放网络的复杂性。对于那些喜欢就开放性问题发表激进评论的人来说,Blogger几乎主宰了他们的所有空间,包括编程体验以及书写博客等。博客圈变得紧密而复杂,有些作者每天可能发布几十条博文;有些作者的写作足以引领一切关于政治、文化、音乐的探讨。Blogger的伟大之处在于,它通过一个简单的操作界面和免费的域名吸引用户,让他们可以在这里开启自己的媒体时代。这个特性推动了Blogger迅速壮大,吸引越来越多的人加入。混乱的垄断年代在Blogger推出早期,增长几乎成为垄断的代名词。让网络的力量覆盖更多的人群,实际上也同时意味着集约型力量的诞生。这种情形预示了未来的走向。Williams只在Google呆了6个月,他在2004年秋天离开并创建了早期博客公司Odeo。2006年初的时候,Odeo有些员工开始摆弄他们开发的新功能软件。它类似一种数字扩音器:如果你对它发送一条短信,它可以将这条短信同步播放给你所有的朋友。3月份时,他们开始把这一功能剥离出来,单独开发,并在7月份正式发布。到12月份,它已经有6万多名用户。到2007年2月份,Odeo正式更名为Twitter。3月份,技术和媒体精英在奥斯汀举行的South By Southwest科技大会上体验Twitter。他们都爱上了这个应用,并通过博客宣传它,使得这款服务迅速流行起来。到了2007年4月份,Twitter已经拥有800万用户,它在5个月内增长了13倍。2006年秋到2007年春这段期间,是硅谷并购最活跃的时期。当时,Google斥资16亿美元收购了仅仅成立18个月的YouTube;Facebook也正式对外开放,而不再仅限于校园里;《时代周刊》将社交媒体用户评选为“年度人物”;Apple推出了它的首款iPhone等。正是在这样的大环境中,即便是在没有野心的Jack Dorsey领导下,Twitter依然实现了爆炸式的增长。2008年,Williams正式担任Twitter的CEO。2008年的互联网发展远不如今日,但是当年的总统大选都是通过网络博客发起的。到2012年,总统选举的阵营已经迁至Twitter上。现在,Williams似乎对这种集约化的趋势有些懊悔。他觉得一个平台的独大,远不如层出不穷的个人网站和博客精彩。他说,“总体上来说,如果我们所有的媒体和社区都被盈利驱动的服务商所控制,这将是一件很糟糕的事。”如果我们把网络比作食品生产加工企业,他说,“如果你的工作是为人们提供食物,但衡量你食物供给的唯一标准是卡路里,那么随着时间推移,你就会发现高卡路里、高度加工的食物是提供卡路里最有效的方式。但是这些食物不够健康,因为卡路里指标没有将‘可持续性、健康、营养、或幸福度’等因素纳入其中。”当问及Medium是否就像内容界的“Whole Foods”(美国最有名的食品连锁超市)时,Williams闻言大笑称,“也许吧,但是Whole Foods并不完美,我们正在试图寻找优化满意度和营养的最佳方式,而不仅仅是追求热量和活性。”Williams及其团队已经设计出了一套替代指标,即“阅读耗时”(time spent reading),用于衡量Medium用户集体阅读故事所用时间。同时它的收益不依赖花哨的显示广告,而是依靠原生广告或品牌商的赞助。Medium的市场营销定位与Whole Foods非常接近,都是成为一个受到高端客户群体信赖的大型企业。虽然Williams一直对盈利驱动的大公司抱有怀疑态度,但是不可否认的是,Medium也同样会纳入其中。最近,Medium又发布了一个新的抓取功能,可以吸收WordPress编辑的博客内容,并将其同步更新到Medium中。虽然,这些独立网站依旧可以使用它们自己的名字,例如The Awl、Pacific Standard、Bill Simmons的新专栏、或者The Ringer等等,但是从设计和功能角度来看,它们实际上已经成为Medium的网页,现在只能依赖Medium生存,它们的故事也出现在Medium的服务器上。创业初心未变在担任Twitter的CEO期间,Williams曾和一个小产品团队谈过他对于社交网络的看法。他表示,互联网正在从“群岛网络”向“大陆网络”过渡。所谓“群岛网络”就像电子邮件和博客等,由许多小的、独立的、互相可以联通的网络组成。但它们之间的相互脱节,会导致它们几乎无法协同更新。Williams表示,新的网络组织形式正在取代“群岛网络”,这就是“大陆网络”。Facebook就是这样的“大陆网络”,当然还有其他新的网站正在企图把它的用户吸引走形成自己的大陆。如果Twitter想要幸存下来,就必须将更多的“群岛”连接起来变成“大陆”。Williams并没有完全实现这个目标。他在Twitter的任期内,帮助公司实现了快速发展,但整个公司并没有找准自己立足的核心业务。2010年,Williams卸任CEO职务,但是继续留在董事会。2年后,他创立了Medium公司,它的定位介于Blogger与Twitter之间,比Blogger精致,同时比Twitter丰满。第二年,也就是2013年秋,Twitter首次公开募股,Williams手中12%的股份使他一跃成为亿万富翁。但是,无论是Medium还是其他创业项目,对于Williams而言,最兴奋的点在于他可以帮助人们发出自己的声音。他说,“作为个人,总要说点儿什么吧!你不必宣称自己是出版商、博主或想要发出声音的人,我们给你画布,你可以将脑子里的想法呈现出来,以便更多需要的人看到。那将是个更好的世界。”Williams说,曾经有个Medium用户给他写了一封公开信抱怨称,尽管自己每天都会在Medium上发文,但是推荐数却从来没超过100。Williams说他在回信中表示,“想想你在做的事情,你在玩近半数人类正在玩的游戏。你每天不仅要和Medium上发文的人竞争,还要和网上数百万的出版物,YouTube上几亿条视频以及世界上所有书籍进行竞争,这还不包括Instagram、Facebook、Twitter以及Vine上的内容。这样再想想,有人竟然能够读到你的文章,是不是非常不可思议的事情。”不过,“美好世界”中总有些不美好的是,尤其是谈到集约化问题。对此,Williams表示,“在最糟糕的世界,最令人担心的是游戏规则是否由利润驱动的公司开发和拥有的服务控制。人们大多数时间在做什么?他们正为获得更多点击和收入而进行优化。总体来说,互联网已经不再关心创造力了,它现在是一门生意。”而这正是Medium存在的意义,即在激烈而肮脏的“内容丛林”中保护那些孤军奋战的独立作家。Williams认为,抵制网络内容集约化通常是徒劳的,他引用Wu的话来说,“这就是互联网的运营模式,也是人类运作的规律。效率、投资回报率、规模经济以及用户体验等,都可以驱动更多东西合并。在某种意义上,我觉得这就是自然的力量。但是不是所有东西合并之后,其它的事情都是垃圾呢?”概括而言,这就是Medium内在真正的诉求。确保所有东西不要沦为废物、垃圾,它通过保留原始博客的细节和习惯来实现这个目标,例如互文性、跳转路径、非专业性,而不必成为开放网络。它拥有自定义的用户指标,例如“阅读时长”,去确定谁看了哪些内容。同时它也会向你显示你推荐过的朋友的内容。Medium是一个独特的平台,只是其在模拟器中运行开放网络。Williams说,“我理解那些怀疑论者,因为我们毕竟也是一个风投参与的公司。但是,我认为,你依然应该对我们保持乐观,相信我们能创造出美好的东西,至少可以避免将所有东西集中在某个平台上。”而这“某个平台”,他指的是Facebook。早在2007年,包括Jason Kottke在内的一些早期博主就将Facebook称为“互联网走上邪路甚至后退的一步”。他们将其比做AOL——它曾经也是一个企图称霸互联网的平台。但是,最终Facebook没有像AOL那样垮台。根据网络调研公司Parse.ly 4月公布的数据显示:Google和Facebook为新闻网站贡献了超过80%的流量。由于现在已经很少有人使用Feedly这样的RSS订阅服务,因此像The Atlantic这样的新闻站点也依赖Google和Facebook提供日常访问量。忘了那个曾经繁盛的博客圈吧!就算还有博主坚守在原地,他们的读者也早已迁徙到社交网络上了。那个2008年帮助奥巴马赢得了总统大选的那个互联网世界已经凋零了。对于网络世界的记忆像是一首旧日挽歌,确实,Williams见证了太多网络变迁。谈及目前的生活。他兴奋地说,“我前一天刚刚完成了一趟惬意又舒适的飞行。有那么一瞬间,我发出了这样感慨,‘生活在未来真好。!’我用Uber叫车到机场,又用iPhone wallet刷了登机牌。这些事情几乎每天都发生在人们的生活中,机场还有wifi,我随处都可以使用手机和电脑上网。飞机上也有Wi-Fi,我想这就是我们曾经梦想过的未来吧!”的确!它们都曾是别人对于未来的构想,但是现在这些正变成现实,人们正自得其乐的生活其中。回到旧金山,从地铁站出来,Williams感慨地承认,互联网在他的参与下确实已经与儿时大不相同。这次,他换了一副眼镜——红宝石的,带着闪耀的偏光,衬托着Williams就像电影明星一样潇洒。他说,“现在经常有电商创业项目。我不是那个世界的人。实际上,当电商实现整体繁荣的时候,我们挺看不上它们的。我们虽然都是创业,但显然我们的这种更有创造力,我们并非全是为了钱而创业。或者可以说,相较利益我们更注重它对现实世界的意义,我想这就是我们与他们的明显区别。”Williams继续笑着说,“即使是Google那群家伙,他们总是尝试创造出一些真正有益于世界的东西,但是他们也同时赚到了所有的钱。”可以说,现在的互联网已经不同以往了,他说,“概括来说,互联网已经不再关心创造力了,它现在是一门生意。”Williams的创业准则Ev Williams还曾在自家门户Medium上分享过自己的创业成功准则,分享给大家:1. 同卓越的人一起工作。在挑选联合创始人和员工时,不要降低标准,更不要妥协。不要与以自我为中心以及态度很差的人为伍;2. 勇于挑战。这很容易理解:困难的事情是有价值的。简单的事情,价值相对较低。到达山顶是件了不起的事,因为它很难。如果很简单,所有人都会去做;3. 专注。学会对大部分事情说不。功能、人、合作伙伴、项目,只有少数几个是重要的。想清楚哪些重要是很难,但千万别被不重要的事情分散了注意力;4. 照顾好自己。当你不睡觉、吃垃圾食物又不运动、全靠着肾上腺素支撑时,你的工作表现、所做决策、以及你的公司都不会好到哪里去;5. 爱与你亲近的人。公司失败并不意味着你的人生就失败了,人际关系上的失败才是真正的失败。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T13:20:04.000Z","canComment":false,"commentPermission":"anyone","commentCount":2,"likeCount":6,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T21:20:04+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-f71f1f074d35f4db8c91eb51d632a385_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":2,"likesCount":6},"":{"title":"喂,产品经理喊你回来修Bug~~~","author":"an-zai-68-16","content":"作者:米洛重新认识网络世界中的bug我们知道,在网络安全世界中,很多词汇与它表面的含义大不相同。不信?安在(AnZer_SH)可以给大家举几个例子:木马普通人的世界:通常指游乐园中的旋转木马。王菲的《旋木》里就有这么一句歌词:旋转的木马,没有翅膀,但却能够带着你到处飞翔。网络安全世界:指一种恶意程序,植入受害者的电脑之后,施种者可通过木马程序任意破坏对方的文件,甚至不经允许远程控制对方的电脑。地址普通人的世界:表示某人/组织所在的具体地点。网络安全世界:通常指IP 地址/物理地址。所以如果你问程序员的地址,一定要说清是什么地址,否则你得到的答案也许会是 173.168.15.10,或者是 08-21-6C-06-A6-29。对象普通人的世界:对象是恋爱的对方(没有对象的人怎么会了解…)。网络安全世界:对象是类的实例,这个词通常出现在“面向对象编程”中,与“面向过程编程”相对应。Bug普通人的世界:就是虫子。网络安全世界:电脑程序中未被发现的缺陷或问题。好了,现在问题来了!Bug是怎样从众所周知的“虫子”变成程序员眼中最讨厌的“漏洞”的呢?(可能有些人已经知道,别剧透,继续看)说到Bug,就不得不提到世界上最早一代的女程序媛——Grace Murray Hopper(下图中的女性)。20世纪40 年代,为了满足战时海量的计算需求,哈佛马克二号计算机被建造出来。有一天,哈佛马克二号突然停止运作,就这样,一只虫子(bug)被正式载入计算机史册。据说,在日这天,天气十分闷热,当时还没有空调,于是工作人员就把窗户打开通风。就这样,一只bug(其实是蛾子)飞了进来,葬身在了70号继电器里面,造成了电路不通,机器死机,程序员们无法算出他们要的结果。经过一番检查,最终还是Grace发现了这只bug,还将它的尸体贴在自己的管理日志上,上面写道:“就是这个Bug,害我们今天的工作无法完成。” 【让Bug名留计算机史册的管理日志影像资料】自此之后,大家都习惯将工作没完成的责任推给小虫子,在计算机科学中,“Bug”也就由“虫子”演变成了程序中的“漏洞”,相应地,“Debug”也从“除虫”变成了“修复漏洞”。一个似曾相识的故事好了,了解完Bug的成名史,现在我们言归正传——回到《喂,产品经理喊你回来修Bug》这篇故事,故事是发生在作者身上的一件趣事,不过同为程序员的你一定也遇到过,安在(AnZer_SH)发布出来希望对同为程序员的你能有所启示:这个故事你一定似曾相识。你的代码很优雅。你有恰到好处的抽象数量。你编写的模块是模块化的。你的系统是通过近乎完美的接口与外部世界相连的,且不直接依赖于外部系统。你的测试都是绿的。你的代码覆盖率报告需要一分钟的时间才能加载。比率是 97%......一切都是这么完美,你甚至已经开始计划你的完美假期了。然后,故事总是在不经意处上演。一个产品经理跑进来告诉你说,上周发布的更新中有个“Bug”。每次当用户向购物车内添加物品时,购物车里物品的数量需要几秒钟才能更新并显示出来。以前它是能够即时更新的。产品经理告诉你,现在用户的投诉已经泛滥成灾了,并问你:是否能够帮忙看看?你当然需要去看看。因为毕竟它是你的“思想结晶”。当然,这也可能是其他地方或人出错了。但是你决定去修复它,只是因为你就是这种可以扛事的好员工。你从最新发布版本的提交中提取出Git哈希,并开始研究变更日志。你已经在最新的发布版本里把 HTTP 请求库更新到了最新版本。这事已经完成很长一段时间了。你甚至还可以记得做这个变更的确切提交日期。那是个美好的一天。你立即切换到那个提交,然后模拟更新购物车的请求。好消息是,你做了一个清晰的关注点分离(separation of concerns)。你可以轻松地通过一个Build标志位对模拟环境(staging)和生产环境(production)服务器进行测试。PS:软件应用开发的经典模型有这样几个环境:开发环境(development)、集成环境(integration)、测试环境(testing)、QA验证,模拟环境(staging)、生产环境(production)。终于,你找到了罪魁祸首!看来是你更新的HTTP库有一个退化。对于某些特定类型的请求,它需要花费很长时间来解析传入JSON有效载荷。只有请求解析完成后,你的App才能更新购物车中的统计数字。基础架构目前还没有创建来处理最终一致性,要加上它才是一个完全完整的项目。你不能只是更新本地的统计数字,稍后再同步。你知道这是其他人的错,但是你还是要进行修复,没错,这就是生活!你告诉产品经理(PM)是哪里出现了问题。他拍了拍你的背,用渴望的眼神望向你,请求道,你知道怎么解决它吗?当然!你对修复计划进行了深思熟虑地思考。你知道,不能回滚这个更改(rollback the changes)。因为一堆新代码和Bug修复依赖这个新的库版本。如果只是简单地回滚,你将会失去所有一切。只是简单地Fork这个库维护自己的副本(copy)貌似也不明智。原始项目的维护人员有一个巨大的测试框架,它可以基于上千个设备来测试你的修复。你有3个设备,其中2个还运行着过时的操作系统。最好能够得到他们的反馈,因为毕竟这是他们的库,他们对其内部结构了如指掌,你而不是。所以,你准备:先Fork这个库(相当于拷贝,因为没人愿意你直接修改原始库);clone到本地分支,实现这一bug修复;发送Pull Request给原始库;与原始库维护者反复沟通确认;说服维护者接受你的想法是最好的解决方案;原始库维护者接受你的想法,将其merge到他自己的项目中;等待这个库的补丁发布;把库更新到你的代码中;发布一个新版本。整个过程小菜一碟。产品经理说,“太好了,你认为整个过程需要多少时间?”你知道答案。人们总说工程师不能估计时间。但你不是那种工程师。你毫不犹豫地说,“2 周,当然这也取决于这个PR被接受的速度,以及维护者发布新版本的速度。”产品经理的脸色突变。反复喃喃道,“2 个星期?2 个星期?”你继续保持安静,仿佛可以预测到产品经理下一刻就会勃然大怒。他愤愤地说道,“这么久我们的用户会流失的!购物车无法实时更新,他们不会再来买任何东西的!我们是一家电商公司!这是绝对不能接受的!”你期待他能够在悲愤后坦然接受“两周”的结果,但是显然没有,他看起来陷入了讨价还价模式。他接着道,“没有什么办法可以更快地解决它吗?有没有临时方案?拜托了!速度真的很重要!”你坐在旋转座椅上,悠悠地说,“好吧,让我再想想看。”你决定让步一点,尽快打发他离开,毕竟你手头还有一大推其他事情要忙。你再次潜入源头,研究代码。这是你的本行,只见你的手指按着IDE快捷键,就像波塞冬(希腊神话中的海神)在海浪中驰骋。啊哈!找到了!有一个无记录的方法能够为JSON 解析代码加上钩子,并将其替换为你自己的实现!但是等等。这看起来有点丑陋。它是一个非开放的 API。可能是被错误地暴露出来的。你不想依赖于这个。因为如果他们在下个版本移除了它该怎么办?这样的话,你将必须重做一次。谁想这么做?虽然这比维护你自己未经测试的分支更快,但不可否认的是,它依然是丑陋的。不!绝不可以,你不允许商业决策破坏你纯洁的殿堂。你是所有神圣事物的守护者,要反抗无知的大众。这是他们付给你大价钱的原因。你有责任拒绝。你冲进产品经理的小屋,告诉他,“答案是没有!没有更简单的办法来解决这个问题,对不起。”他的反应可想而知,他说,“你跟我说有办法,但是你不想去做,只是因为它不整洁?我们的用户正在投诉我们,他们随时会加入竞争对手的阵营,但你现在不愿意去修复,仅仅是因为这(方案)不整洁(clean)?”你无语了!这家伙了解工程么?你用bit从无到有地构建出一个虚拟的世界。高度可扩展的系统可以抵御来自前苏联集团所有黑客的DDos攻击。你是个艺术家,硅片是你的画布。你读过很多遍《Clean Code》,所以你了解它的程度超过了你自己的 Github密码。你大声喊道,“是的!我不想让这个垃圾玷污我们的代码库!我花了几个月的时间来构建这个!每一行代码都是我血汗的结晶!所有事情能够运转正常的唯一原因不是因为你!是像我这样的人在维护软件运行,是像我这样的人在帮你们清理烂摊子,帮你们完成业务。”你发泄完觉得需要喝点东西。你认为像这样的家伙是行业的祸害。他们以为自己的MBA经历会赋予他们构建伟大软件的洞察力,而我们开发人员则被他们忽视。去他们的!你愤愤难平地来到自助餐厅。你每天都会来这里享受美食和咖啡——无限续杯的,美味的,滋养灵魂的咖啡。你值得这一切美好,因为你是知识型人才。你拿起一杯Java(爪哇)咖啡,找个地方坐下来。这时,你注意到了他——你们公司最高级的工程师。这家伙是个地道的、专家级的,用上厕所的时间就能写出编译器这种类型的工程师。他以前是黑客大牛,你想成为这样的人,你觉得他有些像甘道夫(北欧神话人物),在受到大家尊敬的同时也为人所恐惧。但他其实是善良的,经常会帮助小辈。你想他一定会乐于听到你说如何搞定那个产品经理的事情,毕竟,他也和你一样是工程师。于是,你坐在他旁边。他正搅拌着自己的咖啡,在阅读Haskell抽象数据类型相关的内容。对,正好跟这个家伙聊聊。你告诉他刚才办公室发生的事情以及你的“雄言壮语”。他耐心地听着,不时地点着头,问了些问题。他的身体语言在传达他是轻松随和的,这一切也可以从他的眼中读到。你终于说完了那件让人精疲力竭的事情,你感觉自己的双肩轻松了许多。他看起来陷入了沉思,好像在仔细地组织着语言。你在等着他会惊呼,“干得漂亮!”然后你们一起再续一杯咖啡,等着听他讲述发生在他自己身上的另一个类似的故事。你梦见过这一天。在“斗争”获得胜利后,你与身边的人举杯共庆。就像电影中的情节一样,当然,他们通常喝的是啤酒,而不是咖啡。你就这样一边幻想一边等着他的答案……终于,在漫长地等待过后,他直视着你的眼睛,像是能刺穿你的灵魂。多少年来与机器打交道弱化了他的视力,但这种注视却散发着迷人的力量,让你无法摆脱。他只说了一句话,“我们的工作不是喝咖啡、折腾代码。我们的工作是创造能够运行的软件。”然后,他走开了。你愣了一分钟。胃里产生了翻江倒海的感觉,你突然重新认识了这种感觉,你感到耻辱。你辜负了你欠得最多的人——你的客户。于是,你回去办公桌前,你搞定了那个“不整洁的代码”,然后推出了一个新的版本。接着,你去向那个产品经理道歉。事情变得有点失控。他说没事。所有事情都进展顺利,也没有造成难以挽回的后果。你也fork了这个库,实现了正确的修复,并发出了主库的PR。当库的新版本出来时,你总是可以重构的。一件看似寻常的小事,一次次内心的挣扎,我想作为程序员(尤其是有精神洁癖)的你,一定也经历过这样的时刻,但是请永远记得,“我们的工作不是喝咖啡、折腾代码。我们的工作是创造能够运行的软件!”安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T09:41:00.000Z","canComment":false,"commentPermission":"anyone","commentCount":2,"likeCount":2,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T17:41:00+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-ace53dfe52_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":2,"likesCount":2},"":{"title":"Win10源代码泄漏微软惊呆! 下载站神回应","author":"an-zai-68-16","content":"昨天,整个IT行业炸开了锅,疯传Windows 10内核源代码泄露到网上,其中32TB的非公开官方安装映像和软件蓝图设计压缩到了8TB,被上传到。对于微软来说,Windows 10源代码泄漏意味着啥,不言而喻吧...据悉,这些秘密数据是今年3月份前后从微软内部系统中泄露出来的,包括Windows 10硬件驱动程序,USB和WiFi功能,支持ARM架构的OneCore内核的源代码。这是有多严重?得到这些核心数据后,一些组织可以查找微软操作系统中的安全缺陷,然后开发恶意件对全球Windows设备发动攻击。这些代码在Windows操作系统核心运行,部分代码具有最高的权限。除此之外,安在(AnZer_SH)还了解到,尚未公开发布的绝密Windows 10和Windows Server 2016版本,以及已经公开发布的数个Windows版本,也出现在泄露的数据中。供Windows团队使用的秘密内部版本,被用来修正缺陷和测试相关功能,包含在公开版本中会被删除的专用调试符号。外界认为,这次泄露比发生在2004年的Windows 2000源代码泄露事故更为严重 。 Beta Archive 网站负责人 Andrew Whyman 透露,源代码文件已经被删除,微软并没有强制网站删除该代码,这是网站内部所做的一项决定。Andrew Whyman 认为源代码的泄露应该与 6 月 22 日英国警方逮捕的两名涉嫌入侵微软的黑客有关。据悉虽然英方并没有透露两名黑客的姓名,但英媒猜测来自林肯郡和布拉克内尔的他们属于某个国际团体的一员,该组织在 2017 年 1~3 月期间成功攻破了微软的网络。微软发言人今天表示:“经过我们的审查证实了泄露的源代码实际上是共享源计划源代码的一部分,是专门提供给 OEM 和合作伙伴使用的。”虽然之前有机构说明了泄露的源代码数据有 32 TB,包括未发布的 Windows 版本。而实际上泄露部分仅为 1.2GB。源代码的泄露让微软非常尴尬,泄露的源代码包括与 OEM 、合作伙伴、部分政府和企业共享的源代码,以及 Windows 10 Mobile Adaption Kit、一些 Windows 10 Creators 更新版本和一些基于 ARM 的 Windows 10 版本的源代码。安在(AnZer_SH)了解到,Beta Archive FTP服务器管理员Andy公开回应,传闻的32TB大小源代码,其实并没有这么多,可能只有1.2GB,但包含12个系统版本。同时Andy还强调,由于体积太小的缘故,这些代码不太可能是核心源代码。这已经不是微软windows源码第一次遭到泄露。早在2004,windows 2000和nt 4.0的部分源代码非法地出现在互联网上;2014年,微软前软件架构师基布卡罗泄露Windows 8的代码,以及微软一款反盗版软件的部分代码并获刑。业内人士告诉安在(AnZer_SH),如果泄漏代码不严重的话,那么以微软的作风肯定第一时间澄清此事。据说现在微软已经在加班加点的排查这些文件,无暇顾及外界的传闻。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T09:41:40.000Z","canComment":false,"commentPermission":"anyone","commentCount":13,"likeCount":35,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T17:41:40+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-a8e5c9c4be_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":13,"likesCount":35},"":{"title":"“全能者”西盟 | 白帽","author":"an-zai-68-16","content":"作者:椰子张永波已经三十多岁了。从他的外表上,你不大能看出这一点:头发黑亮、服帖,却似乎未经刻意修饰,谈不上什么发型;面容干净,少有沧桑的胡渣;鼻梁上架着一副眼镜,加上T恤衫、休闲裤,透着一股学生气。但总而言之,无论怎么看,他都那么普通,像他的名字一样——这和他在另一个世界里的形象截然不同。身在安全圈中的人,几乎都久闻知道创宇的大名。而听说过知道创宇的,也都熟知它旗下的三款代表性产品:加速乐、抗D保和创宇盾。而它们背后的男人,正是张永波。三款产品成为他安全生涯中的里程碑,他已是不折不扣的“大牛”。在这个世界中,他的名字叫“西盟”。1西盟的“西盟”在安全圈,西盟早已声名远播,但很少有人知道这个名字的含义:既不是个人名,又不像个绰号。在互联网上也几乎查不到任何信息,唯一能找到的,是云南省的一个地名——所以,西盟究竟是什么意思?“西安青年黑客联盟”,西盟解答了安在(AnZer_SH)的疑问:这是早年间他创办的一个网站,虽然时间很短,但大家都习惯用这个网站的简称称呼他了。西盟对信息安全的兴趣起于2003年。彼时的互联网尚属于新兴事物,少年人对它尤为趋之若鹜,正在读高中的西盟自然也不例外,互联网上层出不穷的新事物让他应接不暇。误打误撞间,他点进了几个黑客网站,就此进入了信息安全这个“坑”。兴趣浓厚的他并不满足于看看而已,除了脚本攻击,他还喜欢熬夜搞点小创作:小工具、软件、网站之类,既是自己的成果,也可用于交流学习。于是,“西安青年黑客联盟”诞生了。网站一度有声有色,每天的访问IP十几万,让他拥有了一众黑客好友,也获得了“西盟”这个名号。可接下来,西盟似乎不满足于只做“西盟”的事情了。网站很快转型,兴趣广泛的西盟开始尝试一切和互联网有关的领域:下载网站、小说网站、新闻网站,甚至是女频网站。服务销售、域名销售,友情链接、写新闻稿、发广告、网站优化……互联网的玩法被他玩了一个遍。“可以说,我在每个行业都有同行。”西盟这样告诉安在(AnZer_SH)。每进入一个新领域就认识一批圈子里的人,在开女频网站的时间里,还认识不少美女。这让他和最早的一批黑客“同行”们走出了一条不一样的路来。如今,西盟在“黑客时代”结识的好友们,有些已经转行,有些依然留在安全行业。圈内的朋友们做出的选择也泾渭分明:行业不断发展,相关法律法规也日渐完善,单纯对安全兴趣浓厚的进入了安全公司,用自己爱好和技术帮助企业和公众;而另一些人则投身黑产,渐行渐远。但无论如何,他们都遵循着安全圈基本的规律:凭技术说话。西盟则不然:他不是个只懂技术的人,早年的丰富经历让他对各领域都了解颇深。作为“全能型人才”,他做出了最适宜的选择:做产品。2产品之路:不仅仅是安全2011年,在成都的一处居民区里,知道创宇再次起步了。公司的地方不大,仅有三室一厅。就在这里,初创团队将要在互联网领域施展手脚,而刚刚大学毕业的西盟,正是他们中的一员。“算是互联网领域的二次创业。”西盟对安在(AnZer_SH)回忆道。几个字说着轻巧,可做起来并不那么简单:互联网的世界如此广阔,初来乍到,该做些什么呢?西盟的经验此时正派上了用场,在互联网各个领域都浸淫已久,行业需要的是什么他一清二楚。第一款产品很快上线:加速乐。单从名字就能看出,这不能算是一款安全产品。打造这样一款产品,意图何在?“这是我们通过调查选出来的方向。”西盟告诉安在(AnZer_SH)。当时,两条道路摆在他们面前:网站安全和网站加速。几经走访,西盟最终选择了后者。他们发现,当时对于加速的需求远远大于安全,西盟解释道,网站的第一需求是业务增长,加速恰恰是保障业务增长的,而安全往往意味着减损。另一方面,提供加速服务覆盖的用户群体更为广泛。彼时正值互联网行业高速增长期,竞争逐步升级,对于新入场者来说,业务是生命线所在,没有业务保障生存、站稳脚跟,安全则无从谈起。针对需求开药方的“加速乐”迅速获得了成功——然而,瞬息万变的互联网行业,从来没有一劳永逸的事。在发展过程中,西盟又有了新的发现:安全正在成为“更紧急的刚需”。“重要系统上网后,这一点更为明显。速度慢点,用户还能忍受,但安全出现问题,对企业来说就是灭顶之灾。”这和互联网行业的整体发展息息相关。鸿蒙初开,人们往往沉醉于新事物流连忘返,热衷于体验不一样的感觉。而当互联网渐渐成为日常时,服务质量便成为决定性的因素。打个比方,中国刚刚接入互联网时,网民们忍受着频繁掉线,依然乐此不疲;而如今,一个网页打开慢了几秒,人们可能就要拍桌骂娘了。“速度仍然是最为普遍的需求,但我们认为,其实客户想要的应该是安全加速”,西盟一语道破天机。“只有二者都得到保障,企业才能将精力集中于业务运营上。”方向转换,但着眼点依然不变:业务。针对这一现状,知道创宇迅速调整方向。2012年,加速乐中开始加入安全元素;2015年底,知道创宇发布了“知道创宇云安全”战略,三大产品“加速乐”、“抗D保”、“创宇盾”,针对三类不同需求进行梳理整合,三者既能独立作战,也可高度配合,全面满足用户的不同需求。而这一切的背后,是产品人独有的老辣眼光。3抗D之战:以正合,以奇胜DDoS防御从来都是一场不好打的仗。难点在战术,更在战略:前线的技术对抗固然重要,但起到决定作用的,往往在后方战场。一旦防御不慎被“偷袭”成功,如果不能拿出有效的应对方式,则整场战役瞬间溃不成军,甚至直接危及企业的生存。西盟对此的理解尤为深刻。对企业来说,一旦遭到猝不及防的打击,流量大量涌入的情况下,只能临时联系运营商增加带宽,做缓兵之计。然而,痛点恰恰在于此,运营商的带宽价格高昂,一般企业很可能难以承受。“几百G的攻击过来,可以直接让企业破产。”技术沉淀深厚的知道创宇,在提供正面防御的同时,也注意到了后防上的问题。“既然我们手里有大量带宽,为什么不拿出来共享呢?”两相结合,知道创宇拿出了一套完备而有效的“锦囊妙计”:“原先客户需要独立购买带宽、招收技术人员,我们事先采购带宽,并利用知道创宇的技术积累帮用户把防御平台建好。”用户量足够大的情况下,知道创宇便能保障较低的带宽价格,“相当于用户自行采购带宽价格的几十分之一。”这是西盟十分看重的亮点。能拿出这样一套解决方案,实在称得上是手段高超。在被问及经验时,除了自己丰富的经历提供的加持,西盟的心得还在于“对产品充满感情”,“做产品不是做功能,一个产品的成功,应该是从各层面包括研发、运营、设计、市场共同协作的一个过程。我目前负责的产品,都是在过去从一个个熬夜开始的,什么都要干,一会充当客服,一会充当市场,一会还要充当运维。”这绝不是坐而论道、纸上谈兵能够得到的宝贵经验。如同养育一个孩子,高台教化只是空谈,只有沉下心来深入到方方面面,才能一步步培育着他,不断突破、成长。4人在江湖近年来,信息安全日益成为全社会关注的热点。但在西盟眼中,非“江湖中人”恐怕很难真正参透个中滋味。身在安全圈超过十年,西盟的感触远超于常人。“进入安全行业,才发许多切切实实发生的事情,甚至很多安全事件,不比我们生活中所能看到的恶性事件差。” ,在西盟的经历中,遇到过企业创始人团队出走,自立门户推出相似的产品,以至于引发恶性竞争的;也遇到过媒体坚持新闻真实性不肯撤稿,公司大门被人泼了油漆的,“如果没有深入安全圈子,可能这些只是茶余饭后,作为段子讲一讲的话题而已。”尽管风波不断,但互联网行业一直以迅猛的势头前进着。过去我们说国内互联网行业抄袭国外,现在已经完全不一样了,很多国外企业开始学习中国。在中国互联网领域,创新正在如雨后春笋不断涌现,中国网民已经习惯了在各种场合使用互联网。对安全行业来说,这意味着机遇,也意味着更大的挑战。今年6月《网络安全法》将正式出台,首次从国家层面,将网络安全定义为国民生产的重要一环。重要资产放到了网上,安全怎么保障?在西盟的眼中,安全将逐渐体现它的真实价值,有否帮助国家、企业解决问题将成为一个安全企业能否继续生存的决定性因素。“不管是政策、还是企业、网民对安全的实际需求,一定会引发生行业洗牌,中国将产生真正的世界级的网络安全巨头。”而回到眼前,西盟的目标是,踏踏实实做事,在五到十年内改变网络安全的现状。“现在我们做的还不够好,虽然安全问题有很高的关注度,但信息泄漏、网络钓鱼、黑客敲诈依然层出不穷,我希望有朝一日,大家能不必为这些担惊受怕。”而对于安全人本人,西盟的理想是不断完善产业,“让大家不用再熬夜。”,“用我们的劳动,改变了大家,也改变我们自己。” 。从虚回归现实,他便不再是西盟,而是张永波。只不过如今,这二者在他身上已经很难分得清。“生活能改变人,工作也能改变人。”他对安在(AnZer_SH)这样评价他自己,“我觉得我已经合二为一了。”这绝不是一件坏事。回顾他的历程你会发现,无论是在安全圈还是其他,西盟所拥有的,都弥足珍贵。(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T10:23:29.000Z","canComment":false,"commentPermission":"anyone","commentCount":0,"likeCount":8,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T18:23:29+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-a2fcbfeda1aee_r.jpg","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":0,"likesCount":8},"":{"title":"走进百度后,我们恍然大悟 | 安创汇","author":"an-zai-68-16","content":"6月22日,盛夏的北京意外迎来了一场绵绵细雨,湿润了干燥的空气和人们的喉咙。也在这天,安在(ID:AnZer_SH)安创汇主办的“群防群控产业协作——走进百度”沙龙在百度科技园举办。借由这扇望向未来的窗口,我们得以一窥网络安全将在AI时代将迎来怎样“久旱逢甘霖”般的变化。百度安全是百度旗下基于百度人工智能、大数据等核心互联网技术建立的安全业务,将百度在互联网安全方面16年最佳实践的总结和提炼。目前,百度安全的业务范围包括覆盖中大型企业综合的安全解决方案全息安全;为中型企业提供基于 SaaS的替身式安全服务的安全宝;为中小网站提供安全、防护、SEO一站式服务的百度云加速。
安在(ID:AnZer_SH)安创汇创始人张耀疆百度首席安全科学家韦韬加入百度两年有余。加入百度之初,韦韬自称感觉如履薄冰,他认为中国互联网其实非常脆弱,而且面临着多样而且复杂的巨大威胁,百度作为中国互联网世界的技术骨干,更有承担起守护网络安全的义务和责任。
百度首席安全科学家韦韬百度安全事业部产品总经理韩祖利介绍到,安全诚然不是百度的主营业务,但却又是所有业务的重要环节,风险伴随着百度业务的发展。但对于百度来说,风险虽然存在,但也是检验自己安全能力的最好试验田。
百度安全事业部产品总经理韩祖利韩祖利称,目前百度在安全业务上有这样几点能力——抗DDOS、移动杀毒、积累了大量安全数据、LOG存储分析平台以及目前正在筹划中的开放大数据平台。而作为押宝未来的业务——人工智能,百度也将其赋能于安全业务的实践中。安在CEO介绍到,安全领域目前最大的问题在于人力资源极度缺乏,而AI之于安全领域的意义,在于弥补人力在现阶段的不足。百度安全事业部技术总监冯景辉介绍了百度提供的典型机器学习场景,包括有监督学习下的图像识别和NLP、以及无监督学习下的关联新闻能力。
百度安全事业部技术总监冯景辉冯景辉表示,如果机器学习只做文本特征监测,那就不能称之为人工智能。威胁特征的全貌应该包括:文本特征、用户身份特征、访问行为特征(人机识别能力)以及业务行为特征,这些都是应该被安全领域的AI习得并检测出来的威胁特征。他表示,目前百度安全的AI技术可以针对钓鱼、违法内容、虚假中奖等网络威胁做出检测。而未来,无监督学习应该是AI技术在安全领域的未来。上海观安信息技术有限公司高级行业安全顾问王赜,介绍了大数据在网络安全领域的具体应用。他认为大数据技术由于能高效处理海量数据,确实能给我们的生活带来极大便利。但是由于大数据平台对数据的聚合和集中存储,反而增加了数据泄密的风险,大数据时代也是大规模数据泄露的时代,大数据其实是一把双刃剑。
上海观安信息技术有限公司高级行业安全顾问王赜琥珀科技技术总监李川给大家介绍了虚拟执行代码分析技术的基本思路、流程、特点、难点。与FireEye等以识别恶意软件为目的的虚拟沙盒技术的区别与联系,以及这一技术在漏洞挖掘、实时安全防护,以及自动化测试、性能优化等领域的广泛应用前景。
琥珀科技技术总监李川兰云科技联合创始人张翔认为,所有的安全技术都要落实在具体的业务层面,因为首席执行官们谈论的和关心的其实只是商业风险。另一方面,参考目前典型的安全方案,我们不难发现,防御永远落后于攻击。
兰云科技联合创始人张翔张翔表示,随着时间的发展,网络安全的防护范围和攻击目的都在发生变化。对于黑客群体来说,攻击只是手段,获利才是目标,而获利必须通过获取目标网络中的高价值信息来实现。他认为对于安全厂商来说,应该致力于发觉入侵事件,而不是仅仅停留在发现攻击企图的阶段。诚如嘉宾所言,网络安全已经成为了现在不容忽视的大问题,而AI时代的到来则为这个行业注入了新的生机与活力。人工智能+网络安全,未来还有巨大的潜在市场和想象空间。嘉宾的演讲结束后,与会的安创汇会员意犹未尽,与嘉宾进行了热烈而深入的交流,安在(ID:AnZer_SH)安创汇成立一年多以来,不断把视角放大,不再只是局限于周末沙龙这种固定形式,而是启动“走进”系列。让我们的会员能够亲身体验并与那些“传说中”的知名企业、机构对话交流,无论是BAT这样的互联网巨头,还是银行、保险这样的企业用户单位,或者业已成功的创业型公司。此次“走进百度”,是安在(ID:AnZer_SH)安创汇自“走进Splunk”之后的第二站,跨界,对接,交流,融通,这是安创汇所期望给予会员的直接感受。在后续时间里,我们会持续安排更多此类活动,也希望更多朋友们的关注和参与。精彩花絮: 入场签到不知聊到什么,金将军笑逐颜开好像发现了点什么…直播的妹子们喝那么点的,不是兄弟!本次活动圆满结束安在(ID:AnZer_SH)安创汇项目咨询请联系安创汇小秘书:(微信)安创汇安创汇由安在(ID:AnZer_SH)新媒体运营,是立足信息安全、以创业创新为主旨的、汇聚资源分享传播的社群式的小圈子。自2016年5月创立以来,我们每月举办高质量的线下沙龙;持续邀请业界大咖和企业顾问来做主题分享;通过供需双方对话来促进解决方案落地;为创业者和投资人做对接;帮助创业企业做品牌推广;我们做了不少,还会做得更多。在过去一年里,安创汇受到包括创业者、投资人、企业CSO、业界大咖、领域专家、政府机构等广泛的关注和支持,与此同时,也欢迎有识之士联系并加入进来。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T12:44:06.000Z","canComment":false,"commentPermission":"anyone","commentCount":1,"likeCount":3,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T20:44:06+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-8bfcf7a25f30ec8cb633f65a32099a10_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":1,"likesCount":3},"":{"title":"Gartner最酷厂商到底是什么?—科普小课堂","author":"an-zai-68-16","content":"美国时间5月26日,Gartner《2017云安全服务最酷厂商》报告出炉,青藤云安全在云安全领域作为中国唯一一家厂商入选,进入了 Gartner 视野的,还有三家国外厂商。对于安全初创企业而言,成立不满3年的青藤云安全能够入选Gartner,证明业界对其前景十分看好。Gartner《2017云安全服务最酷厂商》报告是为了安全和风险管理领导能够更好地理解最前沿的、即将成为主流的云安全解决方案。报告的重大成果包括:■ 管理云上行为的技术方案、针对云安全的厂商数量及产品都在持续增加,但云安全最佳实践还是让人困惑不已。■ 安全专家必须提出可靠有效的、适应虚拟网络的网络安全控制方案。■ 云计算的规模及灵活性为实施增强传统硬件管控能力的安全机制创造了很好的先天条件。那究竟最酷厂商到底是什么含义?安在(ID:AnZer_SH)也第一时间联系到了青藤云安全的联合创始人兼 COO 程度,他和我们分享了他对于云安全的最新洞见。1. 一开始,我们就对于“最酷厂商”进行了提问,那么,究竟什么是最酷厂商?程度:Gartner对Cool Vendors的定义是这样来的,它可以是鲜为人知的中小企业,但技术、产品一定具备了前瞻性的认知,所以能够另辟蹊径的创新性是第一个标准;第二,它的产品或技术方向在过去一年内对Gartner有极大的吸引力;第三是影响力,他们的技术对用户业务有实质性的、建设性的影响。而且假以时日,这些厂商有足以改变行业的能力。2. 既然报告是《云安全最酷厂商》,那“云安全”是什么?程度:要想了解云安全真正的含义,首先要了解云计算本身。根据NIST定义,云计算按照服务模式分为IaaS、PaaS和SaaS,按照部署模式分为私有云、公有云、社区云和混合云,按照用户角色分为消费者、供应商、代理商、运营商和审计方。大家可以通过下面几个点来了解云安全的具体内容。云安全责任共担用户和使用的云服务商不同,安全的责任也不同。如果用户只是使用IaaS层的服务,IaaS层安全由云服务商提供,之上的所有中间件以及业务安全责任全部由用户自己承担;如果使用的是SaaS层的服务,云服务商就要提供云相关全栈的服务;PaaS层的情况介于这两者之间。满足合规与审核要求组织将业务从传统IDC迁移到云的一个重大挑战是:要遵守众多的合规和审核的约束。《网络安全法》已经开始正式执行,公安方面的等级保护针对云方面也推出了等保2.0,以覆盖等保1.0在云计算领域的缺失,大数据中心联盟也推出了可信云的相关标准,网信部门更是对每个行业都提出新的监管要求。这些规定都意味着企业要承担更重大的监管责任。事件响应信息安全领域不存在无懈可击的防御,无论是周详的计划还是周全的预防性措施,都无法完全避免信息资产遭到攻击。正因如此,致力于减少组织受攻击损失程度的事件响应,成为了信息安全管理的重要基石。3. 谈谈入选Gartner的感受?程度:1.这次的入选对我们来说是一次认可,也是一次很好的背书,可以给我们之后的公司发展提供一个更好的发展方向;2.对于消费者来说,可以让消费者更好地选择,更多地认识云安全行业的最佳实践;3.对于投资机构来说,可以有更明确的选择方向。4. 入选Gartner之后下一步的打算?程度:下一步计划是go to market,青藤云安全接下来会走向市场,在更多实践中证明自己的产品,也会逐渐铺开公司产品的覆盖范围,提高产品在各行业的使用率,逐渐占领市场。5. 入选Gartner对于您自己的意义?程度:对自己来说,创业的方向能够得到来自国际权威机构的认可,让我对公司、对产品方向更有激情和信心。我们是踩在了时代的一个发展风口上,并且通过专业的技术和独特的市场眼光,接连两次入选报告,也证实公司真得走在正确的道路上。6. 对比三月份的那次入选,整个团队做了哪些努力促成本次的入选?程度:第一次青藤云安全入选Gartner全球市场指南报告时,应该说是从市场角度切入了这个门类。之后通过反复与分析师的沟通与迭代产品功能,在不断交流学习,让我们方向越来越明确,功能也越来越贴近需求,但谁也不知道Gartner会把我们评为全球最酷厂商,这个真的是意外之喜。7. 公司入选两次报告,作为COO和主推人有什么想表达的吗?程度:从国际安全市场这个角度来说,我们国家终于有了自主可控的安全产品,自己拥有自主产权的研发成果,并且进入了国际视野。这对于我们整个行业来说都是一件鼓舞人心的好事。8. 您认为青藤云安全的经验对其他创业公司的借鉴意义是什么?程度:一定要看清楚行业的发展趋势,看清未来比分析现在的市场更重要。在现有既定市场几乎被蚕食完毕的情况下,怎么另辟蹊径,解决新场景中的新问题,从而找到最适合创业公司发展的道路,是非常重要的。研究国际上的发展趋势对创业公司之后的发展也十分重要。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T12:54:01.000Z","canComment":false,"commentPermission":"anyone","commentCount":1,"likeCount":3,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T20:54:01+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-c49eacbd61d563e8a7ac04_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":1,"likesCount":3},"":{"title":"又来,Petya勒索病毒袭击乌克兰,中国幸免于难","author":"an-zai-68-16","content":"北京时间6月27日晚间,一轮新的勒索病毒袭击了欧洲多个国家,与5月爆发的“永恒之蓝”勒索蠕虫病毒(WannaCry)类似,被袭击的设备被锁定,并索要300美元比特币赎金。安在(AnZer_SH)了解到,乌克兰、俄罗斯、西班牙、法国、英国等多国均遭遇到袭击,包括政府、银行、电力系统、通讯系统、能源企业、机场等重要基础设施都被波及,律师事务所DLA Piper的多个美国办事处也受到影响。此次勒索最早出现在乌克兰,也以乌克兰损失最为严重,该国政府大楼里的电脑也都离线了。该国的副首相,Pavel Rozenko在 facebook 上发布了一张电脑图片,显然电脑启动出现问题了。乌克兰国家银行表示, 银行和其他金融机构已经对此次袭击事件发出警告。TV and radio的首席执行官莱克丝说, 24 频道已经受到攻击, 其部分计算机设备受到影响。在乌克兰首都基辅,乌克兰国家储蓄银行的自动付账机中毒WannaCry续集,网络勒索将成常态?Wannacry,这已经是个安全小白都知道的名字了。从5月12日至今,一个多月过去了,就在这场勒索病毒事件渐渐淡出大众视野时,又一轮的勒索来了。此次黑客使用的是Petya勒索病毒变种,该变种攻击方式与WannaCry相同,都是利用MS17-010(永恒之蓝)漏洞传播,不同于传统勒索软件加密文件的行为,Petya勒索病毒采用磁盘加密方式,通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,限制对系统的访问,此次黑客勒索金额为价值300美元的比特币。提示支付赎金界面如下:具体感染流程如下图所示:Petya勒索病毒由来以久,但本次爆发使用了已知OFFICE漏洞、永恒之蓝SMB漏洞、局域网感染等网络自我复制技术,使得病毒可以在短时间内呈爆发态势。同时,该病毒与普通勒索病毒不同,其不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,相较普通勒索病毒对系统更具破坏性。从2016年开始,勒索软件达到了爆发式增长,由于raas模式(勒索即服务模式,病毒编写者开发出恶意代码,提供给其他犯罪分子)以及比特币的掩护,勒索时间愈演愈烈,有安全专业预测,勒索病毒可能走向常态化发展。而“防护”也将成为企业的一大重点——企业不仅要重视事后数据恢复,更要在事前方面,注意员工安全意识培训,针对差异化数据,采取不同治理及备份策略。黑客为何偏爱乌克兰?这已经不是乌克兰第一次遭遇网络攻击,长久以来,乌克兰都是网络攻击的重灾区。2016年12月发生过一起针对乌克兰电网的黑客袭击事件,造成其首都基辅断电超一小时,数百万户家庭被迫供电中断。最近安全专家经调查发现,侵入乌克兰工控系统的罪魁祸首可能是——Win32 / Industroyer。2015年中期开始,在乌克兰就开始存在通过Excel宏病毒进行BlackEnergy攻击,如果用户打开此类文档脚本就会释放木马至本地硬盘。日发生的由木马攻击引起的乌克兰电网电力中断,这是首次由恶意软件攻击导致国家基础设施瘫痪的事件,致使乌克兰城市伊万诺弗兰科夫斯克将近一半的家庭(约140万人)在2015年圣诞节前夕经历了数小时的电力瘫痪。2016年1月,乌克兰最大机场网络遭到攻击通讯专家认为机场里面一个工作站是被Black Energy 病毒感染,而之后连接机场的计算机网络被断开。作为曾经的苏联的一份子,乌克兰近年来局势动荡,人民生活水平也一直在东欧各国中落后,而东欧的黑客,与其实力相比,曝光相对较少,技术上更讲究学以致用,不求名、唯求利。而像西欧、北欧那些高福利国家的黑客,很多则是因为兴趣,就是为了好玩,而非获利。另一方面,乌克兰政府机构糟糕的安全应对也为世界各地的不法黑客带来了创富良机,乌克兰政府、电力系统及银行成为近些年来被黑客攻击最多的机构。准备充足,国内机构大都幸免据安在(AnZer_SH)了解,相比于Wannacry爆发时国内大批机构中招,此次事件,除了极少数跨境企业的欧洲分部中招,中国境内并没有接到中招的报告。经过一个多月前Wannacry的洗礼,网络安全开始在全社会深入人心,而国内的大部分企业、机构和高校也开始在安全建设、病毒防护等方面重视起来,未雨绸缪下,此次的勒索事件并没有波及中国。而就在昨天,中央网信办刚刚发布了《国家网络安全事件应急预案》。根据预案规定,网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息。各有关地区、部门立即组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。事件发生后,安在(AnZer_SH)第一时间联系到了腾讯、阿里巴巴、360公司的安全部门,各大厂商也在第一时间密切关注事件进展,并在第一时间向用户提供了解决方案。27号18点左右,腾讯云联合腾讯电脑管家发现相关样本在国内出现,腾讯云实时启动用户防护引导,腾讯云主机防护产品云镜已实时检测该蠕虫,并将持续关注该事件和病毒动态。360企业安全集团于6月28日凌晨发布预警通告,并开通了24小时求助热线,以确保第一时间处理用户求救。阿里云安全团队第一时间拿到病毒样本,并进行了分析,6月28日凌晨,阿里云对外发布了公告预警并提供了防护及解决方案。360安全监测与响应中心负责人赵晋龙建议,用户一定要及时更新windows系统补丁;务必不要轻易打开doc、rtf等后缀的附件;内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作,在国内厂家庆幸自己躲过一劫的同事,我们可以预知,Petya并不是终点。企业后续在面对类似的安全问题时如何应急响应,就是我们将要面临的不容逃避的问题。 而要解决这些问题,就应该要放对着力点。网络安全的未来应该实现普遍化,实时化,人工智能化。在移动互联网、物联网及大数据时代下,则要求企业要充分利用大数据实时评估和提高企业安全成熟度,同时注重业务安全。安在(ID:AnZer_SH)新锐丨大咖丨视频丨白帽丨深度","updated":"T06:59:59.000Z","canComment":false,"commentPermission":"anyone","commentCount":20,"likeCount":46,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","sourceUrl":"","publishedTime":"T14:59:59+08:00","links":{"comments":"/api/posts//comments"},"url":"/p/","titleImage":"/v2-32f95e1ffbf_r.png","summary":"","href":"/api/posts/","meta":{"previous":null,"next":null},"snapshotUrl":"","commentsCount":20,"likesCount":46},"":{"title":"一个月融资超30亿元!网络安全最近有点火","author":"an-zai-68-16","content":"近期爆发的WannaCry和Petya勒索病毒让全球的网络安全遭受打击,网络安全成为新闻头条。而在此之前,大众对网络安全并不关注,这次勒索病毒终于引起整个社会的警觉,甚至是恐慌。有黑帽子就有白帽子,这也是那些为网络安全提供解决方案的公司向公众介绍自己的好机会。这些公司可能并不被很多人知道,如果不是特别关注网络安全领域的话。虽然之前大众对网络安全领域并不关注,实际上,嗅觉灵敏的投资人早就看到了网络安全的巨大发展潜力。6月15日,业界领先的应用层防护网络安全公司长亭科技宣布完成数千万人民币A轮融资,投资方为启明资本、君盛资本、滴滴,天使轮投资方真格基金跟投。安在(ID:AnZer_SH)了解到,本轮融资完成后,长亭科技将完善产品布局,招募专业销售及市场团队,加速进军金融及互联网企业市场。长亭科技主要为企业客户提供技术领先的应用层防护安全解决方案,目前旗下已发布两款产品雷池(SafeLine)下一代Web应用防火墙和谛听(D-sensor)内网威胁感知系统。雷池Web应用防火墙操作界面截图长亭谛听内网威胁感知系统采用了基于真实服务的伪装技术 ,在迷惑攻击者的同时还可以识别内网环境中的攻击行为,帮助企业进行网络安全应急响应。威胁感知结果截图长亭科技CEO陈宇森(浙江大学保送生,美国西北大学访问学者。)在接受采访时提到,“安全产品的直接性在于,只要一对比就能看出优劣,客户选择我们,更多是对产品效果的认可。但公司目前也在研究如何利用下一代WAF防止薅羊毛、Bot、平行权限控制不严、任意用户密码重置等常见的非漏洞攻击行为,让客户能更自定义化的将安全与业务逻辑做更深度的结合。”长亭科技CEO陈宇森今年被福布斯列入30 UNDER 30榜单投资人李剑威(真格基金)曾经如此评价长亭科技:“长亭科技的技术实力已经在国际上得到证明。在产品上,他们的规划也非常明晰。我觉得在国内的网络安全服务市场上,正缺少一个这样的团队去发掘潜在的机会。”每天一亿的投资额而在国际市场,资本市场的寒冬似乎也并没有影响到网络安全行业,安在(ID:AnZer_SH)统计发现:马上就要过去的这个六月,海外至少有七家网络安全公司获得新一轮融资,融资总额接近5亿美元。安在(ID:AnZer_SH)一算,这相当于超过30亿人民币投入这个行业,等于每天有1亿元投入,资本市场对网络安全行业的追捧,由此可见一斑。这将近5亿美元都流向哪里?下面我们一一讲述。1 Cybereason:融资1亿美元这家公司总部设在美国波士顿,却是2012年由以色列国防部8200部队成员在以色列创立,在特拉维夫仍保留一家研发中心。Cybereason的技术方向不是“高筑墙”,而是实时响应和防御。这家公司的核心技术是“端点感知”,利用机器学习和行为分析来实时处理大量端点监测数据,引擎处理速度达到800万条问询/秒。产品的定价基于企业IT环境的端点数量。目前Cybereason已有200名客户,包括洛克希德马丁、软银和摩托罗拉。此次1亿美元的投资方是日本软银。自2012年成立以来,Cybereason累计融资1.89亿美元,此前的投资人还包括CRV,Spark Capital和洛克希德·马丁。这轮融资过后,Cybereason准备进一步扩张人员和发展新产品,并获取更多的市场份额。2SparkCognition:融资3250万美元这家公司号称全球首家认知安全分析公司,总部位于美国奥斯汀。SparkCognition成立于2013年,使用机器学习和人工智能技术来分析预测安全漏洞与系统故障。其客户主要来自对网络安全需求量很大的行业,包括航空航天、国防、电信和能源等。去年4月,SparkCognition完成A3轮600万美元融资。这个月的新一轮3250万美元融资,被认为是B轮融资的开始。此次投资方包括Verizon、波音公司。这家公司表示,新的融资将被用于扩大解决方案,并更深入的涉足石油、天然气、公共事业和安全部门等行业的客户。3Illumio:融资1.25亿美元Illumio成立于2013年,是一个自适应云安全平台。主要为企业私有云、公有云、用户数据和云端数据等数据提供安全保障,帮助企业找出公司网络中潜在的恶意软件或未经授权的数据泄漏。Illumio构建的自适应安全架构,可以安全监控和防护每个工作单元或应用,而不是基于传统的边界防护。用户可以使用自然语言编写安全策略,而不需要了解底层网络架构。据公司联合创始人兼CEO Andrew Rubin介绍,虽然目前公司还没有盈利,但多项指标证明公司的增速良好。平台上第二年的预定量相比第一年增长400%。公司的客户中,15个中就有9个是美国大型的金融公司,同时7个中就有4个具有大型的SaaS业务。这些客户包括Salesforce、Workday、King、Netsuite和摩根大通等。这次的1.25亿美元融资,由J.P.摩根资产管理领投,跟投的有原投资人Andreessen Horowitz、General Catalyst、8VC、Accel和DCVC。4Netskope:1亿美元Netskope致力于帮助大型公司监管员工使用云服务,保证其安全。客户包括谷歌Drive和Dropbox等,自2012年成立以来已经收获2.31亿美元融资。此次1亿美元E轮投资,由原投资人光速创投和Accel领投,新投资人Sapphire Ventures、Geodesic Capital跟投,Social Capital和Iconiq Capital则增加了投资额。此轮融资将用于进一步推进产品开发,开展营销项目,从而帮助公司实现盈利,进而走向上市。Netskope认为企业云应用市场已经来到引爆点。企业IT部门面临无处不在的影子IT问题,Netskope的产品能够帮助IT部门有效治理影子IT问题,通过深度分析帮助IT决策者轻松创建云应用安全政策,保护企业数据并优化云应用负载。5GreatHorn:630万美元GreatHorn总部设在美国麻省Belmont,2015年创立。是一个致力于阻止网络钓鱼式攻击的云安全平台。这家公司的成立基于创始人的两个趋势预测:一是针对核心商业服务(特别是电子邮件)的云基础设施建设会加快,二是通过这些云技术基础设施造成数据泄露的案例数量会等量上升。现在越来越多的企业使用基于云的通信平台,例如Slack、Skype、Office 365和G Suite等,然而这也给网络犯罪留下可乘之机。GreatHorn的自动化产品据说可以让企业安全团队预防钓鱼的工作量每周减少300小时以上。此次630万美元的A轮融资,投资方为Techstars Venture Capital Fund和.406 Ventures。原有投资者继续跟投。6CybelAngel:300万欧元这是一家位于巴黎的公司。CybelAnGEl通过大数据和人工智能技术提供网络安全解决方案。他们的网络安全产品每天能在网上检测十亿份敏感文档,帮助公司确定自己的信息没有外泄,避免造成研发、客户等信息暴露在风险之中。此次300万欧元融资,投资方为Serena Data Ventures。本轮融资后,CybelAngel将加速自己在国际上的扩张,并加大在研究开发方面的投入,以提高自己数据搜集自动化的能力。CybelAngel希望通过优化自己的深度学习能力和人工智能算法,从而处理好庞大的数据量。7Hexadite:1亿美元又是一家以色列公司。Hexadite创建于2014年。其主要任务不是防御网络攻击,而是迅速识别和解决网络攻击。Hexadite的技术可以连接到当前的网络安全检测系统,利用人工智能来自动分析威胁。这个月初,微软宣布收购Hexadite,据信这笔收购斥资1亿美元。微软今年1月曾表示,未来几年,公司每年在安全研发方面将投入10多亿美元。在过去数年,微软相继收购了多家以色列云安全公司。2015年,微软收购以色列网络安全公司Secure Islands。今年1月,微软投资了以色列网络安全公司Team8。今年4月,微软又以约6000万美元收购以色列云端监测初创公司Cloudyn。同月,微软斥资2100万美元收购Synack。Synack业务模式类似于Uber,雇佣黑客为客户的软件寻找漏洞。AI加持,千亿美元蛋糕待分抢这个6月,只是最近网络安全概念火爆的缩影。安在(ID:AnZer_SH)了解到,网络安全市场仍在不断增长,预计到2020年信息安全方面的投入将达1010亿美元,复合增长率将达8.3%。去年,全球机构在这方面的投入已经达到创纪录的730.7亿美元。这意味着,未来几年安全领域的投入增长,将是IT整体支出增速的两倍以上。近在咫尺的千亿美元,无疑是巨大的诱惑。更何况还有人工智能的加持。 CB Insights总结的网路安全领域融资趋势VB在一篇报道中指出,“在很多配备人工智能(AI)预测能力的前沿领域,可让安全厂商、企业以及我们个人在应对网络袭击中占据上风”。并总结了AI网络安全防护的六个关键创新领域:发现和阻止黑客入侵物联网设备基于AI的轻量级预测模型可以自动在低计算能力的设备上自动驻留和操作,它可以实时发现和阻止设备或网络范围的可疑行为。多家初创企业正在利用AI技术解决物联网安全挑战,比如CyberX、PFP Cybersecurity以及Dojo-Labs等。预防恶意软件和文件被执行利用AI的巨大能力,可以查阅每个可疑文件数以百万计的特征,发现哪怕是最轻微的代码冲突。开发这种基于文件的AI安全系统的领导者包括Cylance、Deep Instinct以及Invincea。提高安全运营中心的运营效率安全团队面临的关键问题之一就是每天收到的安全警报溢出引发的警报疲劳。有些初创企业正利用AI技术解决这种威胁,比如Phantom、Jask、StatusToday以及CyberLytic。量化风险量化企业面临的网络危险正成为挑战,主要是缺少历史数据和需要考虑的变量太多。AI技术可以处理数以百万计的数据点,同时生成预测,帮助企业和网络保险公司获得最精确的网络风险评估。多家初创企业正进行类似研究,包括BitSight和Security Scorecard。网络流量异常检测通过寻找跨协议相关性,不依赖侵入性的深度数据包检查,分析内部和外部网络流量中无穷无尽的元数据相关性,AI技术可被用于检查异常网络流量。这类初创企业包括Vectra Networks、DarkTrace以及BluVector。检测恶意移动应用数据显示,56%的iOS顶级应用和全部Android应用都曾遭到网络攻击。利用先进AI技术可以帮助应用分类,已经有Deep Instinct、Lookout Mobile Security以及Checkpoint等公司正在努力区分恶意与良性应用。安在(ID:AnZer_SH)这次介绍了一些国外的状况,这并不意味着国内网络安全+AI的概念不受到关注。去年11月,第三届世界互联网大会期间,红杉资本}
我要回帖
更多关于 计算机信息安全 的文章
更多推荐
- ·菠萝啤不能和什么一起吃可不可以和鸡精一起做菜吃?
- ·国民党培养八个女特工电视剧女特务脱靴子是哪部电视频剧
- ·2012年农阴历七月初一出生的男孩命运如何七,出生男孩是什么命格?
- ·队友怎么称呼英雄联盟有创意的名字对应英雄中队伍的四个人
- ·QQ为什么怎样qq扫码登到另一个手机上录不了游戏,怎么解决?
- ·您好,白云学院有没有外交学院自主招生生
- ·形容形容狼凶残的段落成语有哪些
- ·vr物理相机渲染参数是什么意思?
- ·创业初期(如教育培训那一块最赚钱类项目),什么最重要
- ·我有一种草,很多人都不知道叫什么草这是什么,求解答
- ·空腹饭前血糖是多少8.0需要吃药吗
- ·谁有学魔方公式口诀7步公式那小纸条
- ·超融合基础超融合架构的优势势
- ·建筑类的二类建筑设计费取费标准准?
- ·产后忧郁症抑郁症是怎么回事十招“赶走”产后忧郁症抑郁
- ·我想亲亲宝宝,英文怎么翻译?谢谢欣赏英文翻译
- ·我的芦荟开花了,“生了”几个小芦荟开花了,
- ·谁能介绍下澳洲留学阿德莱德大学优势专业分析国际贸易专业吗
- ·单片机是什么有什么用
- ·三菱PLC寄存器定时器用数据寄存器定时要怎么做?
- ·信息安全和网络安全、计算机安全、网络安全的区别
- ·计算机信息安全论文,网络安全和计算机安全之间的区别?
- ·强迫症复发怎么办又复发了,怎么办
- ·碳中的什么物质能至癌
- ·在美国当茂县凤仪小学老师师是什么样的体验
- ·“信不可欤”高中文言文特殊句式句式分析
- ·为什么会手脚麻木 说话不清且有怎么控制血压高高
- ·基于ssh的网上商城层次
- ·Y/Ct2wi高信号是什么意思信号
- ·疝气前期为什么肺部吸气后使胸廓扩大总觉得吸气不足
- ·肛窦炎,肛门口里面,老是胀胀的难受,可以直肠癌手术后肛门胀疼修复吗
- ·20017年专升本西华大学专升本2017录取线多少
- ·表示本人是那种长的很好看的高一小fgo学妹和长江 没谈过恋爱 但是发现自己很容易喜欢一个人 然后过段时间又不喜
- ·诗言情 李白在蜀道难一诗中乘舟蜀下写下
- ·一次一次剥开我的心我。。。半命题求火速700多就行
