微信小程序越来越多的给大家带来了很多的便捷，越来越多的人偏向于开发小程序，今天上海app开发公司来给大家说说小程序的优势，一起来跟作者君了解下！   小程序的优势:        1、背靠微信超级社交流量   小程序位于微信生态中，享受微信月活帐户达12亿,小程序日活超4亿的超级流量阵地。同时，微信为小程序开发了众多的流量入口，比如微信公众号、用户分享、主动搜索、微信下拉历史、小程序二维码扫码、附近的小程序等等多达60几个流量入口。   2、用完就走   用户不用担心是否安装太多应用的问题，小程序随时可用又无需安装卸载。   3、用户功能丰富   可实现定位、语音、视频、IM聊天、重力感应、导航等与原生APP一样的功能。   4、开放的用户体系   小程序不需要登录，直接采用微信账号体系，极大降低用户首次使用门槛，同时方便用户信息收集。   5、分享红利   小程序可方便分享到微信个人和群聊窗口，回话中点击使用，非常方便传播。       6、线上线下打通       小程序最佳入口是扫描二维码，线下用户只需简单扫码，即可转换为小程序用户。  

近日，GSMA发布最新报告《中国移动经济发展报告2019》，报告称，中国有望成为全球领先的5G市场之一，预计到2025年底拥有4.6亿5G连接，占总连接数的28%。 报告指出，截至2018年底，中国是全球最大的移动市场，拥有12亿户独立用户，规模几乎是北美地区的4倍。并且随着消费者和企业不断寻求利用下一代网络的诸多能力，预计2025年，5G的采用率将远高于全球平均水平。 加速5G部署步伐 “2G跟随3G突破4G并跑”，众多周知，中国运营商在启动4G方面虽然落后于一些发达市场，但在运营商加大在网络方面的投入后，移动数据速度得到提升，同时，相比澳洲和美国用户，中国用户以更快的速度迁移到了4G服务，在短时间内形成了大众市场和规模经济。 报告显示，截至2018年底，中国有12亿4G连接，相当于总连接数的77%。截至2022年，广泛覆盖、价格合理的智能设备、更多地使用数据密集型服务以及对更高速度的需求都将有助于进一步增加2.6亿个4G连接并逐步淘汰2G和3G。随着消费者过渡到5G服务，4G采用率将随之下降。 报告也明确指出，5G商业化指日可待。在中国，运营商正在评估非独立和独立5G组网方式的优缺点和相应的组网方案。与此同时，其他一些市场的运营商明确将首先采用非独立5G模式，将现有的4G基础设施和目标小型小区纳入热点区域。独立的5G网络将允许4G和5G服务并行运行，消除LTE集成的复杂性，同时实现规模经济。而中国将主办2022年冬奥会和残奥会，将进一步加速5G部署的步伐。中国将与日本、韩国、美国等国家一起成为5G商用的领跑者，并将引领网络覆盖进程。GSMA移动智库预测，到2025年，中国的5G连接数量将超过北美和欧洲的总和，位列全球第一。其预计截至2025年底，中国的5G连接数将达到4.6亿，占全国总连接数的28%。 各大运营商的投资将在2020年后进一步攀升 GSMA指出，尽管网络优化和频谱效率改进有望使5G的每单位数据成本低于4G，但是新网络的增建意味着在早期阶段5G建设成本或将更加高昂。报告指出，近年来，移动营收持续增长，但势头趋于平稳。在包括日本和韩国在内的亚太地区较为发达的市场当中，核心移动营收正在承受用户增长有限，以及更广泛的数字生态系统竞争所带来的压力。中国当前十年的年度移动营收在持续上升，预计2020年将达到近1770亿美元(1.2万亿人民币)。2018年-2025年，中国运营商的年度营收将以1.2%的复合年增长率增长，而在此期间，中国的移动营收增长将占全球移动营收增长总量的16%。 图1 中国运营商移动营收(来源：GSMA 移动智库图) 如图1所见，近年来，中国运营商年度营收增长速度一直在放缓;鉴于激烈的竞争和零售价格监管，预计2021年的增速仅为1%，低于2017年的4%，远落后于2013年14%以上的增速。而自2021至2025年，增速将逐渐持平。因此，2010-2017年移动营收高达7.1%的复合年增长率在未来七年内预计将很难再度出现。 同时，报告称，运营商将掀起下一波资本支出浪潮。2010年-2018年，中国运营商在资本支出项目上投入超过2680亿美元(约合1.9万亿元人民币)。由于运营商寻求提供几乎无处不在的4G服务覆盖范围，2015年投资额最高，超过前3年。实现这一目标后，资本支出在2016年-2018年显著下降，而支出逐步转向4G网络升级，以提供性能上的改进和更快的吞吐速度。 图2 中国资本支出和资本强度(来源：GSMA 移动智库图) 目前，中国运营商已经准备开始推行5G，近日，中国联通宣布2019年预计将有可能投入60亿~80亿元用于5G投资。预测各大运营商的投资将在2020年后进一步攀升，这将有可能会增加目前13%的资本支出/收入比率。

数据中心运营商Iron Mountain公司网络主管 Frank Scalzo指出，如今的IT行业正在发生变化，企业的网络工程师和架构师面临着一系列挑战。随着业务需求的发展，以及网络变得更加复杂，这些变化可能难以应对。 那么，数据中心行业的工程师和架构师面临的主要网络挑战是什么? 1. 网络容量 对于参与提供网络解决方案的各方而言，网络容量是一个重要问题。如今的公司正在处理数据源产生的越来越多的数据。视频内容的扩散是一个重要因素，因为部署的物联网设备数量不断增加，产生的数据也越来越多。企业还需要处理数据的货币化问题。许多新的商业模式并不是围绕产品销售，而是将信息实现货币化和产品化。 因此，对网络容量的需求将继续增长。并且行业专家给出了很多的网络预测。而且，这并不是因为网络工程师们正在寻找更多的投资方式，而是由于人们总是需要找到一种方法来使用可用的连接和通信资源。 大数据和视频等行业趋势不断发展，但总是会有其他事情发生。例如，智能汽车共享和通信或供应链物流采用传感器，以及制造工厂采用的现场或工业控制传感器。在可预见的未来，将不会出现推动网络容量需求的用例。 除了不断变化的容量需求之外，网络还必须扩展以响应不断变化的安全威胁。随着人们越来越依赖数据和在线服务，对停机或表现不佳的网络的容忍度急剧下降。数据复制和保护策略对企业来说至关重要。 许多公司已经发现，通过将其IT基础设施转移到第三方托管数据中心，可以更经济高效地进行扩展，从而提高效率。 2. 可扩展性 幸运的是，对于最终用户来说，随着需求激增，带宽的成本越来越低。企业面临的挑战是如何按需扩展基础设施以保持领先于需求，同时最大限度地提高财务效率。例如，在企业办公室中部署IT资产的组织面临与本地环路电信服务相关的成本效率低下的挑战。这需要快速增加规模。 许多公司已经发现，通过将其IT基础设施转移到第三方托管数据中心，可以更经济高效地进行扩展，从而提高效率。尽管对网络容量、可扩展性、冗余和数据复制的需求不断增长，但这些组织可以更好地降低网络运营成本。 对网络供应商来说，选择可以随之扩展的数据中心合作伙伴非常重要。许多公司在锁定环境之前不会考虑扩展，因此会面临巨大的转换成本。Iron Mountain公司的重点是将数据中心客户引入生态系统，在那里他们可以有效地扩展网络和数据中心的容量，以满足超大规模的需求。 3. 云迁移 云迁移是当今许多组织面临的挑战。通过将业务迁移到云端，组织实际上从操作系统级别的工作进行外包，并在第三方提供的虚拟化平台上运行其应用程序。组织必须决定哪些数据、应用程序和业务逻辑在云中运行，哪些不在云中运行。这还包括一个评估安全性、合规性、控制任务的全新范例。 数据迁移和提取是任何云迁移策略中的关键考虑因素。其中包括管理访问和云计算到内部部署数据中心的连接。 许多组织将围绕何时使用公共云与何时使用私有云制定不断发展的战略，在所有情况下，连接混合IT部署的连接至关重要。 4. 安全性 信息安全有三个主要支柱：机密性、完整性、信息可用性。当查看这些内容时，需要考虑与谁合作以及采用什么方法来实现这一点。容量和可扩展性帮助组织实现目标。物理安全可以影响所有这三个方面。 物理安全是许多组织忽略的主题。他们可能在网络安全方面有一个强大的计划，但是物理访问设备也很重要。物理安全的失效会影响数据的机密性、完整性、可用性。 管理物理安全对于一些组织来说是一个很有挑战性的问题。这就是拥有可靠数据中心合作伙伴的关键所在。 组织不仅需要评估和考虑自己的数据保护实践，还需要评估和考虑每个供应商和合作伙伴的数据保护实践。 5. 合规性 隐私是目前大多数合规计划的前沿和核心问题。许多组织都在努力弄清楚新的隐私法律要求如何影响其合规计划和IT战略。围绕GDPR法规创建的例法并不多，但占到企业收入4%的罚款是相当可观的，因此很容易理解为什么企业会为此担心。 人们看到的另一个趋势是更加重视供应链的完整性管理。这意味着企业的供应商需要更加勤勉。组织不仅需要评估和考虑自己的数据保护实践，还需要评估和考虑每个供应商和合作伙伴的数据保护实践。 组织需要他们可以信任的合作伙伴来保存和管理这些数据，以及相应的合同条款。对于某些组织而言，由于从合规性和审计角度审查新供应商所需的勤勉程度，新的供应商可能需要长达12到18个月的时间。因此，一些组织减少了与之合作的供应商数量，从数量更少的公司购买更多服务。 这些只是当今网络工程师和架构师面临的一些问题，但现在是应对此类挑战的最佳时机，因为市场提供了一些解决方案来帮助组织解决问题，而现在是一个充满动态挑战和解决方案的激动人心的时刻。

据美国科技网站9to5google报道，谷歌近日上传了一段小视频，展示了Google Assistant和Android是如何整合的。 Android是全球最大的智能手机平台，而Google Assistant又有潜力在很大程度上改变这个世界。本周，谷歌在一段简短的视频中展示了Android和Assistant之间的整合。 这段简短的视频是谷歌语音助手“Google Assistant”产品经理奥斯汀·程（Austin Cheng）在上个月的世界移动通信大会(MWC)上录制的。在视频中，奥斯汀·程谈到了谷歌的这两大产品之间的整合。 在2月份的MWC大会上，谷歌工作人员就曾展示了Android Messages与Google Assistan的整合。例如，工作人员以短信的方式咨询是否想要看电影，Android Messages应用的底部就会跳出一个气泡，像是文本推荐。点击并授权Assistant允许在对话中插入信息卡片之后，用户就可以点击查看附近影院上映的电影清单。然后，当用户需要查找附近餐馆时，Assistant也会进行推荐。 当时，谷歌工作人员表示，Android Messages上的Google Assistant仅适用于电影和餐馆，但将来会扩展到日常生活中的其他方面。 在这段视频中，奥斯汀·程首先谈到了Android Messages现在是如何整合到Google Assistant中的。正如前所述，他解释了Assistant如何监视用户的对话，并插入诸如天气之类的信息。 更有趣的是，他还谈到了所有这些都是如何在设备上完成的。主要是利用手机上的人工智能（AI）技术，对上下文进行分析，然后再将该信息提供给Assistant，然后提取所需数据。 此外，奥斯汀·程还进一步谈到了Assistant的一些核心功能，这些功能主要负责与Android应用进行互动。例如，例如，一些应用程序的快捷方式允许Google Assistant直接与Spotify等应用程序的特定部分进行交互。

3月29日消息，据国外媒体TechCrunch报道，应用商店情报公司Sensor Tower发布的一份新报告显示，到2023年，苹果App Store和谷歌Google Play上的移动应用内消费者支出将增长120%，达到1560亿美元。 据预测，未来五年内，这两家应用商店的营收都将增长一倍以上。中国、美国和日本是iOS的消费主力，美国、韩国和日本是Google Play的消费主力。 图片来源于应用商店情报公司Sensor Tower 该报告预测，到2023年，苹果公司的全球消费者支出将达到960亿美元，与2018年的470亿美元相比，增长104%；而Google Play的全球消费者支出将达到600亿美元，与2018年相比，增长140%，使其进一步缩小了与苹果iOS平台的差距。 然而，Sensor Tower表示，苹果应用商店的营收将占两个平台总营收的近62%。 Sensor Tower针对2018年的预测数据略低于App Annie的数据，然而后者的预测是在去年年底前做出的。App Annie估计，iOS和Google Play两大应用商店去年的消费者支出超过760亿美元，而Sensor Tower的预测数据是720亿美元。 2018年结束后，App Annie估计，2018年，在苹果的App Store、Google Play和第三方中国应用商店上的消费者支出将增至1010亿美元。 新预测中显示的另一个趋势是新兴市场的预期增长。未来5年，非洲和拉丁美洲将迎来最大的营收增长。到2023年，非洲在苹果App Store上的消费者支出将增长296%，达到4.2亿美元，而拉丁美洲在苹果App Store上的消费者支出将增长239%，达到24亿美元。 这两大区域在Google Play上的营收增长幅度更大。到2023年，非洲在Google Play上的消费者支出将增长296%，达到4.3亿美元，而拉丁美洲在Google Play上的消费者支出将达到28亿美元，与2018年相比增长408%。 图片来源于应用商店情报公司Sensor Tower  当然，这些数据仍远低于针对顶级市场的预测数据。例如，到2023年，美国在两大应用商店中的消费者支出有望达到400亿美元，与2018年的190亿美元相比，增长110%。其中，250亿美元来自苹果的App Store，其余150亿美元来自谷歌的Google Play。 其他值得注意的趋势包括，到2023年，中国台湾将成为苹果App Store消费者支出排名前五的市场（为21亿美元）；美国在Google Play上的消费者支出将在2019年超过日本。 日本在Google Play上的消费者支出是受到2018年顶级游戏的推动，如《怪物弹珠》（Monster Strike）和《命运/冠位指定》（Fate/Grand Order）等，但今年的增速预计会放缓。 此外，Sensor Tower还预计，到2020年，美国在苹果App Store上的消费者支出将短暂超过中国。这一预测与苹果iPhone在中国的销售放缓有关，这也导致苹果公司下调了营收预期。 得益于订阅服务和娱乐类别（如流媒体应用），iOS上非游戏类应用的营收增长（24%）将超过游戏类应用的营收增长（10%）。到2023年，非游戏类应用的营收将占App Store总营收的40%，即约合388亿美元。 图片来源于应用商店情报公司Sensor Tower  在此期间，游戏类应用将继续在Google Play上占据较大份额。到2023年，游戏类应用的营收将占Google Play总营收的86%，低于2017年的89%。（小狐狸）

新的一年，人工智能会朝着什么方向发展？CB Insights今天发布的报告，预测了2019年AI行业的25大趋势。 在基础研究领域，开源框架、边缘计算、合成训练数据是行业大势。理论算法方面，胶囊网络、GAN、联合学习、强化学习仍是重点。 至于AI技术的实际应用，人脸识别、机器翻译、医疗影像、无人零售、对话机器人等过去的热点，今年还将会进一步发展。 报告中还特别提到了中国的创业公司、资本力量在人脸识别、无人零售领域的巨大推动作用。 AI技术的25个趋势 CB Insights提出了2019年AI的25个趋势，可以分为基础架构、体系结构和应用场景三个方面。应用场景又可以分为3类：智能预测、自然语言处理与合成、计算机视觉。 这25个趋势是： 1、开源框架 开源框架让AI进入门槛更低。 2、边缘AI 对实时决策的需求推动AI进入“边缘”。比如人脸识别、自动驾驶让AI进入手机、汽车进行本地运算，苹果和英伟达和许多创业公司都在开发人工智能芯片。 3、人脸识别 从解锁手机到登机航班，面部识别正在成为主流，已用在安全、零售和消费电子领域，面部识别正迅速成为生物认证的主要方式。 4、医疗影像诊断 AI软件产品的快速监管审批为AI医疗公司开辟了新的商业途径。在消费者方面，先进的图像识别技术正在将手机变成功能强大的家用诊断工具。 5、预测性维护 AI加持的IoT可以为企业节省数百万美元的意外故障费用。预测性维护是指用连续的数据收集来预测设备故障。由于降低了传感器成本，以及人工智能、边缘计算的推动，预测性维护已经变得更加广泛。 6、电子商务搜索 对搜索术语的语境理解正在逐渐走出“实验阶段”。早期的SaaS初创公司正在兴起，向第三方零售商销售搜索技术。 7、胶囊网络 深度学习推动了如今大多数AI应用，但胶囊网络（CapsulesNet）很快就会取而代之。与当前的卷积神经网络（CNN）相比，胶囊网络具有许多优点。对胶囊网络的研究还处于起步阶段，但可能会挑战当前最先进的图像识别方法。 8、下一代假肢 将生物学、物理学和机器学习结合起来。研究人员正在使用机器学习来解码来自身体传感器的信号，并将其转化为移动假肢装置的命令。今年，该行业将寻求更多发展，包括面向消费者试验产品。 9、临床试验登记 临床试验中面临的困难是如何招募合适的患者。AI可以从医疗记录中提取信息，与正在进行的研究进行比较，并向医生和患者提出相关研究建议。 10、生成对抗网络（GAN） GAN将改变新闻、媒体、艺术乃至网络安全的未来。2019年最重要的AI趋势之一是GAN的进一步发展，和其他应用的溢出效应。 11、联合学习 使用本地数据集训练AI可以极大地提高其性能，但用户数据是私密的。Google的联合学习方可以在使用这些丰富的数据集的同时保护敏感数据。今年在药物发现和其他案例中会有更多联合学习的应用。 12、高级医疗保健生物识别技术 利用神经网络，研究人员开始研究和测量以前难以量化的非典型风险因素。从视网膜扫描到分析皮肤颜色变化，AI正在解锁新的诊断方法，并识别以前未知的风险因素。 13、自动索赔处理 保险公司和创业公司正在使用人工智能来计算车主的“风险评分”，分析事故图像并监控驾驶员行为。人工智能的进步正在改变这项曾经以人为主导的过程，允许更快的索赔结算。 14、反假货 知名品牌和典当商开始尝试使用AI。电商和实体店中，AI被用于识别仿冒产品和欺诈性商标侵权。 15、无人零售 到目前为止，亚马逊Go是唯一一个成功的无人零售商。此外还有防盗、部署成本、库存损耗等问题需要解决。 16、后台办公自动化 AI正在加入自动化管理工作，但不同性质和格式的数据使其成为一项具有挑战性的任务。不同的部门逐渐采用基于机器学习的工作流程解决方案。 17、语言翻译 语言翻译是一个尚未开发的市场机遇。像百度和谷歌这样的大型科技公司开始在这个领域掀起波澜。由于大量资源投入到改进翻译框架，因此机器翻译的效率和语言能力将得到提高，各行业的采用率也会提高。 18、综合训练数据 访问大型标记数据集是培训AI算法的必要条件。但对于某些应用程序，访问足够的真实数据可能是不可行de 。现实的假数据或合成数据集可以解决这一瓶颈问题。现实世界的数据还可以通过混合AI生成的模拟数据来增强，以创建更大、更多样化的数据集。 19、强化学习 研究人员正在通过强化学习推动AI的能力界限，但对大量数据集的需求限制了其实际应用。尽管存在挑战者，但主要参与者正在对该技术进行更多投资，对强化应用的研究正在增加。 20、网络优化 电信运营商正在准备将基于AI的解决方案集成到5G无线技术中。2019年及以后的AI关键趋势之一是将更多地融入全球电信网络。 21、自动驾驶汽车 尽管自动驾驶汽车具有巨大的市场机会，但完全实现的时间表仍不明确。例如物流运输等领域可以看出无人驾驶的早期应用。即使时间表仍不明确，各行各业都在积极投资并采用自动驾驶技术。 22、农作物监测 初创公司和现有企业正在用农作物监测AI来管理杀虫剂、发现问题，并预测天气变化如何影响农业。 23、发现网络威胁 计算能力和算法的进步正在将以前的理论攻击变成真正的安全问题。对网络攻击做出反应已经不够，机器学习能主动搜寻网络安全中的潜在威胁。 24、会话AI 对于许多企业来说，聊天机器人成了人工智能的代名词，但承诺并没有跟上现实。AI可以改善这些领域的聊天机器人功能，但它仍然是一项特别艰巨的任务。 25、药物发现 随着AI生物技术创业公司的兴起，传统制药公司正在寻求人工智能创业公司减少长期药物发现周期。虽然这些创业公司中的许多仍处于早期阶段，但他们已经拥有一批制药客户。 AI技术类别划分 为了更好的理解AI行业趋势，CB Insights将AI技术按照工业化程度（Industry Adoption）、市场化程度（Market Strength）两个维度进行划分。 工业化程度的衡量标准包括：创业公司的发展速度、媒体关注度、消费者接受度。 市场化程度的衡量标准包括：市场规模、投资者与投资机构的数量和质量、研发投入、收入报告、竞争激烈度、并购与战略投资等。 按照这两个维度指数的高低，可以将AI技术分成4类： 实验性技术（工业化程度低、市场化程度低）、 威胁性技术（工业化程度低、市场化程度高）、 短暂性技术（工业化程度高、市场化程度低）、 成熟性技术（工业化程度高、市场化程度高）。 报告里的中国 CB Insights在报告中多次提到中国，近年来中国在AI的商业应用是全球的风向标。 报告指出，中国的人脸识别技术正在崛起，同时提起“China”和“facial recognition”两个关键词的新闻数量正在快速增长。最近一年来，几乎每个季度都有近百个相关新闻报道。 去年该行业的融资额近16亿美元，共有18笔投资交易。去年商汤获得软银10亿美元投资，旷视获得阿里6亿美元投资。 2015年亚马逊开发无人商店后，中国无人零售行业出现了狂飙式增长，从2016年近乎为0发展到2017年40家入场。

上周，Spotify和苹果闹翻，这家瑞典流媒体音乐商认为苹果对其App Store应用商店的控制，剥夺了消费者的选择，而他们还弱化同类型服务，全力推广自家流媒体音乐服务Apple Music。 苹果在《回应》中愤怒的表示，“多年来，Spotify 利用 App Store 实现了显著的业务发展，而如今他们力图享有 App Store 生态系统的所有优势，包括从 App Store 用户那里获得可观的收入，却不愿为这个平台做出任何贡献。与此同时，他们一方面分发人们喜爱的音乐，另一方面却逐步减少付给创作这些音乐的歌手、音乐家和词曲作者的酬劳，甚至将他们告上法庭。” 以下为声明全文： 我们相信，只有为技术注入人类的创造力和独创性，技术才能发挥出真正的潜力。在公司发展初期，我们研发了设备、软件和服务，帮助歌手、音乐家、创作者和梦想家尽展所长。 十六年前，我们推出了 iTunes Store，致力于为用户查找和购买美妙音乐提供一个值得信赖的平台，同时让每个创作者都能获得公平的对待。结果，此举彻底改变了音乐产业，而我们对音乐的热爱以及对音乐创作人的尊重也早已深深植根于 Apple。 十一年前，App Store 将同样的创造激情带到了移动 app 领域。此后的十年，App Store 协助创造了数百万个就业岗位，为开发者提供了逾 1200 亿美元的收入，并通过完全在 App Store 生态系统内萌芽和成长的业务打造了新的产业。 就其本质而言，App Store 是个安全可靠的平台，让用户可以安然无虞地查找 app 和进行交易。所有开发者，无论是初出茅庐的工程师，还是大型企业，都可以确信，每个人都在遵循同样的规则行事。 事情就该如此。我们希望 app 业务能够百花齐放、百家争鸣，当然也包括我们的业务竞争对手，因为只有这样才能推动我们变得更好。 然而，Spotify 的诉求却与之大相径庭。多年来，Spotify 利用 App Store 实现了显著的业务发展，而如今他们力图享有 App Store 生态系统的所有优势，包括从 App Store 用户那里获得可观的收入，却不愿为这个平台做出任何贡献。与此同时，他们一方面分发人们喜爱的音乐，另一方面却逐步减少付给创作这些音乐的歌手、音乐家和词曲作者的酬劳，甚至将他们告上法庭。 Spotify 完全有权利决定自己的业务模式，但他们以误导性的言论谈及 Apple、Apple 的业务，以及 Apple 对独立开发者、音乐家、词曲作者和各类创作者的支持，来隐藏其真实的财务动机，对此我们认为有必要做出回应。 在此，我们想着重阐明以下几点： Spotify 声称我们阻碍其访问产品和更新 app。 让我们先来澄清这一点。我们已为 Spotify 批准并分发了近 200 个 app 更新，使得 Spotify app 的下载量超过 3 亿次。而当 Spotify 在更新中试图绕过其他所有 app 都遵循的规则时，我们提出了异议。 我们经常与 Spotify 合作，帮助他们将服务推向更多的设备和平台： 当我们多次就 Siri 和 AirPlay 2 支持问题联系 Spotify 时，得到的答复是他们正在努力解决，我们则随时准备尽所能提供帮助； Spotify 已深入整合到 CarPlay 车载等平台中，他们可以获取与任何其他开发者相同的 app 开发工具和资源； 我们发现，Spotify 关于 Apple Watch 的言论尤其令人惊讶。当 Spotify 于 2018 年 9 月提交其 Apple Watch app 时，我们对该产品进行了评测和批准，相关的流程和速度跟评测其他 app 时并无区别。事实上，Spotify Watch app 目前在 Watch Music 类别中排名第一。 Spotify 可以自由地为我们的产品和平台构建 app 并开展竞争，我们也希望他们这样做。 Spotify 在收费的同时却希望享有免费 app 的所有优势。 当用户下载或使用 app 时，App Store 中 84% 的 app 不会向 Apple 支付任何费用。这不是 Spotify 所声称的歧视，而是有意为之： 对用户免费的 App，Apple 不会收取费用；  专门通过广告赚钱的 App，如用户喜欢的免费游戏等，Apple 不会收取费用；  用户在 app 之外注册或购买数字商品的 App 业务交易，Apple 不会收取费用； 销售实体商品的 App (包括叫车和送餐服务)，Apple 不会收取费用。 只有使用我们安全的 app 内购买系统，在 app 内购买数字商品和服务，Apple 才会要求收取费用。如 Spotify 所述，在年度订阅的第一年，Apple 索取的收入分成为 30%。但他们忽略了这样的事实，此后几年的收入分成将降至 15%。 关于业务运作方式，Spotify 忽略的可不止这一项信息： 大多数用户使用的是 Spotify 支持广告的免费产品，这不会给 App Store 带来收入； Spotify 的很大一部分用户来自于与移动运营商的合作关系，这同样不会给 App Store 带来收入，但需要 Spotify 向零售商和运营商支付类似的分销费用； 即使是现在，Spotify 订阅量中也只有很小一部分纳入到了 Apple 收入分成模式中，但 Spotify 显然要求这个数字是零。 让我们看看这意味着什么。Apple 将 Spotify 与我们的用户联系起来。用户在我们提供的平台上下载和更新 app。我们分享重要的软件开发工具，供 Spotify 构建 app 之用。我们打造安全的支付系统 (这可是项大工程)，让用户对于 app 内交易感到放心。如今，Spotify 要求享受所有这些优势，同时自己要保留 100% 的收入。 如果没有 App Store 生态系统，Spotify 不会取得今天的成绩，现在他们却想凭借自己的规模，避免为维护这一生态系统做出贡献。我们认为这样做是不对的。 这和音乐有什么关系？很大的关系。 我们和 Spotify 一样，对音乐充满热爱，希望与全世界分享音乐。我们的不同之处就在于实现这一目标的方式。在巧言善辩的背后，Spotify 的目标是希望从他人的工作中赚更多的钱。他们想要压榨的不只是 App Store，还包括歌手、音乐家和词曲作者。 先前美国版权局做出决定，要求 Spotify 提高版税报酬。就在本周，Spotify 起诉了多名音乐创作人。这不仅是错误的，它还昭示了音乐产业真正的、具有破坏性的重大倒退。 Apple 的做法始终着眼于将市场做大做强。通过开辟新的市场，我们不仅能为自己创造更多的商机，还能为歌手、创作者、企业家和每个胸怀大志的“狂热分子”带来更多机会。这一理念已融入到我们的血液当中，这是激发下一个伟大 app 创意的正确模式，这样做也有益于用户。 能够帮助 Spotify 成功打造涉及上亿音乐爱好者的业务，我们感到非常自豪，同时我们也祝愿他们能续写辉煌。归根结底，这就是我们创建 App Store 的初衷。

本篇文章我们来回顾一下 2019年初发生的一些灾难性的泄露、攻击等案例，从中吸取经验教训： 1. 澳大利亚维多利亚州政府3万名雇员个人信息外泄 据ABC 1月1日报道，不知名政党下载了部分维多利亚州政府名录后，3万名维多利亚州公务员工作详情数据遭窃。这个给政府员工使用的名录包含工作电邮、职称以及工作电话号码。 受此次数据泄露事件影响的员工通过邮件被告知，在通讯录上的员工的电话号码可能也已外泄。 工作人员被告知称，此次数据泄露事件并未影响银行及财务信息。总理府表示已将该泄露事件移交警方、澳大利亚网络安全中心和维多利亚州信息专员办公室调查。 该部门的发言人声明道，“为防止再次发生此类数据泄露事件，政府将妥善处理所有调查所得。” 2. 万豪酒店5亿客户数据泄漏 酒店连锁巨头喜达屋母公司万豪国际酒店表示，经过取证和分析团队缜密调查后发现，因其大数据泄露事件影响到的客户数量从5亿减少到了3.83亿，其中有超过500万个未加密的护照号码和大约860万个加密信用卡号码被盗 。尽管万豪最新披露的这些数据较之前有所降低，但该事件仍是有史以来最大的个人数据泄露事件之一。万豪表示，喜达屋集团自2014年以来一直在受到黑客攻击。万豪已提出，如果受影响的客人能够证明自己是数据泄露事件的受害者，他们将支付办理新护照的费用，这可能会让万豪公司损失5.77亿美元。 3. 10多款ios应用被发现与安全恶意软件有染 北京时间1月6日消息，安全研究人员表示，他们已经发现逾10款iPhone应用秘密向与Android恶意件Golduck有关的服务器传输数据。 Golduck是在逾一年前被发现的。当时，Appthority发现Golduck会感染谷歌Play中的经典和复刻游戏，在游戏中嵌入后门代码，使恶意代码秘密感染设备。当时，这一恶意代码感染了逾1000万名用户，它使黑客能以最高权限运行恶意命令，例如，在用户的手机上发送付费短信牟利。现在，研究人员称，与Golduck通信的iPhone应用也存在风险。 4. 德国IT安全机构回应数百名政客私人信息泄漏事件 据Associated Press 1月6日报道，德国IT安全机构于1月5日对数百名政客私人信息泄露进行了回应，此前议员们指责该机构未能及时通知他们。德国IT安全机构承认，一名议员曾在12月初就其私人电子邮件和社交媒体账户上的可疑活动与机构联系，但机构当时认为他的经历是一次偶然。 多达1000名德国政界人士和名人遭信息泄露，内容包括私人地址、手机号码、聊天记录和信用卡号码。有关部门仍在调查是谁窃取并公布了这些信息，信息遭泄露的人员不包括极右翼政党德国新选择党议员。 5. TLS 1.2 协议现漏洞，近3000网站受影响 雷锋网2月12日消息，Citrix发现SSL 3.0协议的后续版本TLS 1.2协议存在漏洞，该漏洞允许攻击者滥用Citrix的交付控制器(ADC)网络设备来解密TLS流量。 Tripwire漏洞挖掘研究小组的计算机安全研究员克雷格•杨(Craig Yang)称：“TLS 1.2存在漏洞的原因主要是由于其继续支持一种过时已久的加密方法：密码块链接(cipher block-chaining, CBC)，该漏洞允许类似SSL POODLE的攻击行为。此外，该漏洞允许中间人攻击(简称：MITM攻击)用户的加密Web和VPN会话。” 6. 印度国有天然气公司再次泄漏了数百万客户的敏感信息 外媒报道称，由于网络安全措施不到位，印度国有天然气公司(Indane)又一次暴露了数以百万计的 Aadhaar 生物识别数据库信息。问题出在Indane面向经销商和渠道商的网站上，部分内容已被谷歌编入索引，因此所有人都能绕过登陆页面获得访问权限。作为 Aadhaar 的监管机构，印度唯一身份识别机构(UIDAI)会立即驳斥有关数据泄露的报道，称相关报道为‘假新闻’，并威胁向警方报案或提起诉讼。不过，此前经手过 Aadhaar暴露事件的法国安全研究员罗伯特还是将这件事捅到了外媒，其预计受影响总人数或超过 670 万。遗憾的是，尽管外媒向Indane和UIDAI发起询问，但截至发稿时仍未收到任何答复。 7. 俄罗斯50多家大型企业遭到未知攻击者勒索 3月2日，Rostelecom-Solar的网络安全专家记录到针对俄罗斯企业的大规模网络攻击。攻击使用物联网设备，尤其是路由器，伪装成欧尚、马格尼特、斯拉夫尼奥夫等50多家知名公司发送钓鱼电子邮件，对公司人员进行勒索攻击。追踪被黑的网络设备要比服务器困难得多，且使用物联网设备的攻击更简单，对入侵者来说更安全。专家表示，任何能够发送电子邮件的设备，如调制解调器、路由器、网络存储、智能家居生态系统和其他小工具，都可以被用于网络钓鱼攻击。 8. 伊朗黑客组织攻击澳大利亚议会和英国议会 3月2日，洛杉矶网络安全公司Resecurity称，2月初在澳大利亚议会中的网络攻击，是伊朗黑客组织IRIDIUM的“多年网络间谍行动”的一部分，并且2017年对英国议会的网络攻击也是该组织所为。此外，该组织目标包括澳大利亚、加拿大、新西兰、英国和美国的政府、外交和军事组织。在两次事件中，黑客都使用了暴力攻击获得议员的个人数据，总共窃取了包括姓名、电子邮件、出生日期的数千条记录。据研究人员表示，该黑客组织的真正目的是从事“战略信息收集”。 9. 2019“两会事件”，信息安全圈有哪些声音? 3月5日，十三届全国人大二次会议开幕，国家领导人发表了关于政府工作的报告。在报告中，他三提“信息”，涉及到信息技术发展、信息基础设施建设和个人信息保护。同时安全圈相关人士也纷纷建言献策，分别涉及到个人信息保护、相关法律法规制定、网络安全大脑建设、智能汽车网络安全、人工智能安全风险、成立国家大数据管理中心等热点话题。 10. 英特尔CPU再现高危漏洞 得到官方证实可泄漏私密数据 凤凰网科技讯 北京时间3月6日消息，美国伍斯特理工学院研究人员在英特尔处理器中发现另外一个被称作Spoiler的高危漏洞，与之前被发现的Spectre相似，Spoiler会泄露用户的私密数据。虽然Spoiler也依赖于预测执行技术，现有封杀Spectre漏洞的解决方案对它却无能为力。无论是对英特尔还是其客户来说，Spoiler的存在都不是个好消息。 研究论文明确指出，“Spoiler不是Spectre攻击。Spoiler的根本原因是英特尔内存子系统实现中地址预测技术的一处缺陷。现有的Spectre补丁对Spoiler无效。” 11. 华为决定起诉美国政府 称其涉嫌入侵华为服务器 华为在深圳总部宣布，正起诉美国政府，并要求对禁止使用公司设备的政策进行合宪性审查，这是华为在美国市场持续战斗中的最新进展。该诉讼指控国会去年以国防开支计划的一部分违宪地捆绑对华为实施的惩罚。国会通过立法阻止中国制造的电信设备在联邦网络中使用的规定，阻止了主要政府承包商使用华为设备，该措施主要针对华为和中兴，以及其他一些中国公司。同时，华为在发布会上向外界透露，有证据表明美国政府涉嫌入侵华为服务器。 近年来，卡巴斯基实验室也被美国政府认为其存在潜在的间谍活动为由而受到阻拦，该公司也曾提起了类似华为的诉讼，但尚未成功。不过华为要求法院裁定美国目前的政策违宪，这与卡巴斯基的案例并不相同。 12. 委内瑞拉全国停电，马杜罗称再度遭受美国“网络攻击” 3月10日，据今日俄罗斯报道，委内瑞拉总统尼古拉斯·马杜罗(Nicholas Maduro)表示，该国电力系统已成为最新一轮“网络攻击”的目标。 委内瑞拉政府指责美国“蓄意破坏”，而美国官员则将停电归咎于委内瑞拉国内腐败和管理不善。

机器学习技术将利用推文内容发现高危安全漏洞。 俄亥俄州立大学、安全厂商 FireEye 以及研究企业 Leidos 的研究人员们于最近发表了一篇论文，其中描述了一种新型系统，能够读取数百万条推文中所提及的软件安全漏洞，而后利用机器学习训练算法，对描述方式与具体内容所代表的威胁状态进行评估。他们发现，Twitter 信息不仅可用于预测接下来几天出现在国家漏洞数据库中的大多数安全漏洞（即由国家标准与技术研究所追踪的各项安全漏洞的官方登记平台），同时也能够利用自然语言处理技术，大致预测出哪些漏洞将被赋予“危险”或者“高危”严重等级，准确率超过 80%。 举例来说，他们目前正在网上进行的原型测试显示，上周 Twitter 曾出现大量与 MacOS 系统中最新漏洞（被称为“BuggyCow”）相关的推文，同时也提到一种可能允许页面访问的 SPOILER 攻击方法（利用英特尔芯片中存在的某深层漏洞）。研究人员们开发的 Twitter 扫描程序将二者标记为“可能高危”，截至目前，这两项漏洞都还没有被收录至国家漏洞数据库当中。 他解释称，“我们希望构建起一款能够读取网络信息并提取新软件漏洞早期报告的计算机程序，同时分析用户对其潜在严重性的整体观看。结合实际来看，开发人员往往面对着这样一个现实难题——面对复杂的分析结果，哪个才代表着真正可能令人们遭受重大损失的高危漏洞？” 在实验当中，俄亥俄州立大学、FireEye 以及 Leidos 的研究人员们最初使用到与安全漏洞相关的 6000 条推文评论这一子集。他们向 Amazon Mechanical Turk 的工作人员展示了相关结果，即以人为方式按严重程度对其进行排序，而后过滤掉那些与大多数其他读者完全对立的异常结果。 俄亥俄州立大学的 Ritter 警告称，尽管目前的测试结果非常喜人，但他们打造的这款自动化工具不应被任何个人或组织作为唯一漏洞数据源使用——至少，人们应该点击底层推文及其链接信息以确认分析结果。他指出，“其仍然需要人类介入进来。”在他看来，最好是能将这款程序纳入由人类负责规划的广泛漏洞数据源当中，并仅作为来源之一。

10年前，数据和分析市场中还没有出现主要的参与者，事实上，那时候业界甚至都还没有接受“云”，“大数据”甚至“AI”...... 现在世界发生了巨大的变化。现在我们距离2020年还有不到10个月的时间，现在云已经变成现实，人工智能无处不在，语音毫无疑问将成为下一个分析界面。 那现在该怎么做？ 那些投身于数据分析、人工智能和云技术的技术人员们，在过去十年中看到团队和优先级方面发生了巨大的变化。十年前，人们对所谓的“自助服务”热潮感到兴奋：业务部门接受了让他们能够绕过IT部门的个人分析工具。市场营销和销售领域的分析师将大量数据下载到他们的桌面，创建漂亮的可视化。 十年后，自助服务开始显现出自身的局限性。现在，企业会因为错误处理数据和糟糕的数据监管而受到惩罚。仅在2018年，Information Commissioner's Office (ICO)就向Uber、Equifax、Facebook等企业发出了300多万美元的罚款单。 这十年中我们开始乐于分享数据和洞察。我们意识到，如果没有强有力的治理，自助服务可能带来的是一场噩梦。 那么在接下来的10个月里，你的团队应该做些什么，才能在未来10年内取得成功？下面是你需要考虑的三个趋势： 趋势1：你的数据是公司资产 企业领导者现在已经内化了自助服务的“意外后果”。去年GDPR起到了帮助作用。今年各种新法规让这个趋势扩展到全球。 在AI、BI和数据方面，看看TDWI关于企业优先级的最新报告。当被问及：“获取新技术以改善以下BI和分析活动的投资优先级是什么？”有82％的受访者表示，集中管理业务分析是首要任务。 趋势2：增强分析是一件大事 如果你从事技术工作，你可能经常会听到“人工智能”或“机器学习”这些术语。如今，感觉每家公司都在“做AI”。 但不要被愚弄了。对于那些在AI方面取得成功的企业来说，他们中大部分都是专注在AI应用方面（而不仅仅是AI技术本身）。他们实施AI用于特定应用工作流程（例如将AI用于预测）或者使用AI用于关键分析（例如将AI用于数据丰富或者仪表板创建）。 如果你没有注意到这种趋势，你应该这样做。根据Gartner最新预测，在2019年增强分析将无处不在。 趋势3：语音将成为下一个界面 早在2011年，微软做了一个很成功的Xbox游戏机及Kinect技术推广活动。Kinect将语音和人脸识别与运动传感器和深度摄像头相结合，可以“看到”玩家的动作并让他们用自己的身体控制游戏机。 活动的主题是：“你是控制者”，活动中提到了这样一个事实，即游戏玩家最终将不再需要使用传统的控制器。相反，他们可以使用摄像头驱动的Kinect技术与游戏机进行交互。 现在，这种趋势正在数据分析领域发生。以桌面为中心的分析，已经显示出局限性。普通企业采用数据分析的比例仍然太低，提高采用率的最佳方式是扩大访问范围，从桌面到新型界面。 那个新型界面就是你的声音。每天都有数十亿人与Siri、Alexa或Google进行交流，人们对语音驱动的界面期望值增速超过了我们的预期：Juniper Research最新报告说，未来5年智能助理的使用量将增长1000％。 毫无疑问，无论你是在家、在工作还是在旅途中，人们最喜欢的答案方式是......问（而不是打字）。 以前，他们会向其他人寻求答案，现在越来越多的人会问机器。数据的质量和为这些机器提供动力的模型将提高答案的质量。 当你的团队成员、老板或同事问“AI会取代BI吗？！”时，告诉他们这个问题是无关紧要的。相反，能否得到更好的业务成果，答案在于数据的质量和问题的质量。 什么都不会取代BI的需求。说服领导层接受，是因为他们可以更快地提供高质量答案并采取行动。 所以，无论你是否相信“增强”或“语音”是数据分析取得成功的新范例，请记住，一切都始于良好治理和良好管理数据的坚实基础。

事实证明，2001年的人工智能和大数据的应用和发展并不被人关注，而到2025年将成为主流应用。调研机构IDC公司研究小组的专家指出，全球每年将产生数量惊人的163 泽字节的数据，一泽字节是一万亿个GB，从这个角度来看，到目前为止，人们每年还没有充分利用35泽字节的数据。尽管如此，世界上90%的数据都是在过去的两年里创建的，而这来自数据生产的强大动力。 全球每天的互联网搜索、点击、分享、喜欢和刷卡都会产生大约2.5艾字节的数据。这仅仅是由于物联网推动的。IDC公司预测，到2025年数据量将增长10倍。还有一点值得考虑的是人工智能等技术将如何演变以及它将如何与所有这些新信息相结合。 所有这一切对营销人员来说都特别重要，因为它是大规模信息生成和技术的交叉点，人们希望知道2025年大数据分析会是什么样子。以下对大数据发展进行一些预测，以及它对营销意味着什么。IDC公司的研究论文《数据时代2025》揭示了这些见解。 机器的应用将会兴起 更重要的是，企业的业务将随着人工智能的应用而发展。IDC公司预测，到2025年，全球60%的数据将由企业管理。这不仅仅是个人信息，也可能是生命关键数据，将涉及人们日常生活的一切，无论是医疗解决方案，还是全球食品供应计划，甚至是道路交通状况。 这其中的原因与物联网、机器学习和嵌入式系统等技术的进步有关。机器和人工智能将提供能力和操作结构，以支持IDC公司预测的人们每年产生的163泽字节的信息。显然，这意味着云计算将与正在生成的数据一起增长，机器学习将进一步承担解释所有数据的负担。 关于分析，最终的预测是受到分析的全球数据将增长50倍，其中四分之一将是实时生成。 减少物理基础设施的建设 在此基础上，到2025年，云计算技术的迅速兴起和发展将进一步在数据管理中发挥关键作用。它甚至可能是数据管理的关键所在。考虑一下云计算目前管理的所有资源。这些包括： 虚拟网络信息 库存和货件跟踪 客户行为数据 安全信息 地理位置数据 异常检测 社交渠道数据 合规信息 此外，还有更多资源。此时，即使IT基础设施也可以存在于虚拟状态，因此关键是要对大数据管理采取全面的方法。云存储现在实现了这一目标，并且只有当现场物理基础设施进一步减少，虚拟技术几乎完全控制了数据，人们越来越依赖用于管理数据的数字工具时，才会得到改善。 无服务器计算 在相对较短的时间内，人们看到了从现场进行大数据管理和处理到基于云计算平台的兴起，以及大规模外包数据管理的能力的演变。然而，最近人们看到了一种被称为“无服务器计算”的趋势的兴起，而且这种趋势也将持续到2025年。 亚马逊公司在2014年推出AWS Lambda平台时，无服务器计算的概念首次出现在大范围内。许多设计人员喜欢采用无服务器计算，因为它提高了应用程序的可扩展性，通过消除基础设施问题提高了开发人员的效率，当然还有这个平台的成本优势，而不是托管服务器集群。到目前为止，无服务器架构比托管服务器系统花费的时间更少，并且还提供容错功能，因此不需要更多的管理人员进行处理。 人们期望的是，随着无服务器技术的发展，数据科学也将随之发展。这将解决现代企业在数据管理方面的一些基本问题。无服务器会降低企业的大数据解决方案成本吗?它会降低企业的运营成本吗?监督这些平台需要哪些技能?了解无服务器的发展才能回答这些问题。 但有一点可以保证：就像无服务器允许开发人员更好地管理代码一样，它也可以让企业更好地管理大数据。如今正在朝着这个方向发展，所以到2025年，无服务器数据管道的普遍存在将大大降低运营成本，而不是人们现在看到的云计算技术和托管服务器集群。 最有趣的是，当企业将它与机器学习的进步结合起来时，人们所关注的是能够以成本更低的方式控制和管理大量数据，并使用人工智能引擎来承担分析所有数据的工作负担。从这个意义上讲，到2025年，营销人员可以期望使用比以往任何梦想更强大和更有效的分析能力。 结论 对大数据的误解是，价值在于收集大量信息并对其进行解释。事实并非如此。最终价值来自于企业在分析此类数据后采取的具体行动。如果上述见解有助于突出显示任何内容，那么在2025年，人工智能将在帮助企业筛选通过无服务器计算存储的大量数据湖，并帮助人们在有效使用方面发挥关键作用。 因此，未来的发展并不是大数据，而是商业智能，以及如何将所有信息应用于增加组织的利益。

研究公司IDC最近发布的《全球手机季度跟踪报告》(Worldwide Quarterly Mobile Phone Tracker)做出的一系列关键预测。2019年，智能手机市场将整体下滑，但随着5G设备开始慢慢进入消费者市场——这一过程将需要数年，而不是数月——今年下半年销量将开始改善。 尽管少数5G手机在上个月的巴塞罗那移动通信世界大会上宣布，但合计670万的5G设备的总出货量预计将只占2019年13.95亿手机出货总量的0.5%，5G手机的数量约是3G手机的八分之一。但到2023年，情况将发生逆转：5G手机将占所有出货量的26%，而老化的3G技术将只占市场份额的2.2%。 IDC的预测显示，4G手机在可预见的未来不会有什么发展。据估计，他们今年仍将拥有95.4%的市场份额，四年后，他们将拥有更大的15.42亿手机市场的71.4%的市场份额。 IDC高级分析师Sangeetika Srivastava解释说:“尽管5G技术的发展和可折叠屏幕的热潮尚未得到用户的现实检验，但2019年肯定会成为智能手机市场现代化的一年。”该公司预计，5G市场将迅速升温，并开始为设备升级提供更有力的支持，到2023年，5G将占智能手机销量的四分之一。 值得注意的是，这些预测完全是根据现有资料作出的，所以可能随时发生巨大的变化。IDC预测2019年将是智能手机销量下滑的第三个年头，这在一定程度上是基于当前的政治担忧、中国增长放缓以及升级周期延长，但是所有这些都可能转好，如果中美贸易战得到解决，关税虚高的价格下降的话。同样，降低价格或增加网络可用性，可能会比该公司预期的更快地提高5G设备的使用率。

3月3日消息 谷歌Google I/O 2019开发者大会已经定档5月7日到9日，届时最新版的安卓系统Android Q将会正式亮相。不过在那之前，这个系统已经被第三方开发者Root了。 知名Root工具Magisk的开发者John Wu今日在推特上表示，在所有正式版本还没发布之前，Android Q已经被他Root了。晒出的截图显示，他在Pixel 3手机上成功实现了Android Q的Root。 目前Android Q还没有正式发布，John Wu实现Root所使用的ROM应该是一个早期的内测版本系统。在后续的开发测试过程中，这个系统应该还会得到一定的修补和更新。 此前在早期Android Q中，XDA等已经挖掘出了一系列的新特性，比如用“药丸”手势专用按钮完全替换返回键、全局黑暗模式、更丰富的图标/字体自定义功能等。

什么是 DNS，为什么它与你有关? DNS 的意思是 域名系统(Domain Name System)，你每天都会接触到它。每当你的 Web 浏览器或任何其他应用程序连接到互联网时，它就很可能会使用域名。简单来说，域名就是你键入的地址：例如 duckduckgo.com 。你的计算机需要知道它所导向的地方，会向 DNS 解析器寻求帮助。而它将返回类似 176.34.155.23 这样的 IP —— 这就是连接时所需要知道的公开网络地址。 此过程称为 DNS 查找。 这对你的隐私、安全以及你的自由都有一定的影响： 隐私 由于你要求解析器获取域名的 IP，因此它会确切地知道你正在访问哪些站点，并且由于“物联网”(通常缩写为 IoT)，甚至它还知道你在家中使用的是哪个设备。 安全 你可以相信解析器返回的 IP 是正确的。有一些检查措施可以确保如此，在正常情况下这一般不是问题。但这些可能措施会被破坏，这就是写作本文的原因。如果返回的 IP 不正确，你可能会被欺骗引向了恶意的第三方 —— 甚至你都不会注意到任何差异。在这种情况下，你的隐私会受到更大的危害，因为不仅会被跟踪你访问了什么网站，甚至你访问的内容也会被跟踪。第三方可以准确地看到你正在查看的内容，收集你输入的个人信息(例如密码)等等。你的整个身份可以轻松接管。 自由 审查通常是通过 DNS 实施的。这不是最有效的方法，但它非常普遍。即使在西方国家，它也经常被公司和政府使用。他们使用与潜在攻击者相同的方法;当你查询 IP 地址时，他们不会返回正确的 IP。他们可以表现得就好像某个域名不存在，或完全将访问指向别处。 DNS 查询的方式 由你的 ISP 提供的第三方 DNS 解析器 大多数人都在使用由其互联网接入提供商(ISP)提供的第三方解析器。当你连接调制解调器时(LCTT 译注：或宽带路由器)，这些 DNS 解析器就会被自动取出，而你可能从来没注意过它。 你自己选择的第三方 DNS 解析器 如果你已经知道 DNS 意味着什么，那么你可能会决定使用你选择的另一个 DNS 解析器。这可能会改善这种情况，因为它使你的 ISP 更难以跟踪你，并且你可以避免某些形式的审查。尽管追踪和审查仍然是可能的，但这种方法并没有被广泛使用。 你自己(本地)的 DNS 解析器 你可以自己动手，避免使用别人的 DNS 解析器的一些危险。如果你对此感兴趣，请告诉我们。 根证书 什么是根证书? 每当你访问以 https 开头的网站时，你都会使用它发送的证书与之通信。它使你的浏览器能够加密通信并确保没有人可以窥探。这就是为什么每个人都被告知在登录网站时要注意 https(而不是 http)。证书本身仅用于验证是否为某个域所生成。以及： 这就是根证书的来源。可以其视为一个更高的级别，用来确保其下的级别是正确的。它验证发送给你的证书是否已由证书颁发机构授权。此权限确保创建证书的人实际上是真正的运营者。 这也被称为信任链。默认情况下，你的操作系统包含一组这些根证书，以确保该信任链的存在。 滥用 我们现在知道： DNS 解析器在你发送域名时向你发送 IP 地址 证书允许加密你的通信，并验证它们是否为你访问的域生成 根证书验证该证书是否合法，并且是由真实站点运营者创建的 怎么会被滥用呢? 如前所述，恶意 DNS 解析器可能会向你发送错误的 IP 以进行审查。它们还可以将你导向完全不同的网站。 这个网站可以向你发送假的证书。 恶意的根证书可以“验证”此假证书。 对你来说，这个网站看起来绝对没问题;它在网址中有 https，如果你点击它，它会说已经通过验证。就像你了解到的一样，对吗?不对! 它现在可以接收你要发送给原站点的所有通信。这会绕过想要避免被滥用而创建的检查。你不会收到错误消息，你的浏览器也不会发觉。 而你所有的数据都会受到损害! 结论 风险 使用恶意 DNS 解析器总是会损害你的隐私，但只要你注意 https，你的安全性就不会受到损害。 使用恶意 DNS 解析程序和恶意根证书，你的隐私和安全性将完全受到损害。 可以采取的动作 不要安装第三方根证书!只有非常少的例外情况才需要这样做，并且它们都不适用于一般最终用户。 不要被那些“广告拦截”、“军事级安全”或类似的东西营销噱头所吸引。有一些方法可以自行使用 DNS 解析器来增强你的隐私，但安装第三方根证书永远不会有意义。你正在将自己置身于陷阱之中。 实际看看 警告 有位友好的系统管理员提供了一个现场演示，你可以实时看到自己。这是真事。 千万不要输入私人数据!之后务必删除证书和该 DNS! 如果你不知道如何操作，那就不要安装它。虽然我们相信我们的朋友，但你不要随便安装随机和未知的第三方根证书。

鉴于网络环境的日趋复杂以及威胁的不断变化，组织尽可能地采取积极主动的手段也变得更为重要。 尽管数据泄露成本正在不断飙升，但是大多数组织仍未做好应对财务和声誉影响的准备。这也就很好地解释了为什么对于组织而言，网络保险日益成为了一项必不可少的业务。 如今，网络风险仍然是每个董事会和中小型企业(SEM)领导者的主要关注点。 目前的网络格局异常混乱——国家支持的间谍组织、经济动机的网络犯罪团伙以及由于疏忽所导致的数据丢失案件层出不穷。风险无处不在，而其造成的经济后果也是异常沉重。不得不说，网络威胁仍然是当今组织面临的最重要且不断增长的风险之一，但糟糕的现实是，很少有组织真正准备好了应对这一挑战。 根据Ponemon Institute最新的年度数据违规成本研究显示，2018年数据泄露的全球平均成本已高达148美元，较2017年增长了6.4%。有趣的是，经历过最昂贵的损失成本的地点包括美国和英国，其报告的损失成本几乎是全球平均水平的5倍。 很显然，这种问题并不会消失。虽然网络安全最常因大规模的泄露事件登上新闻头条，但最常见的威胁实际上却是针对中小型企业。本质上来说，较小的组织一般是敏捷且创新的，它们会利用技术和互联网的力量来吸引客户群，但是，正是这种技术和互联网的大范围运用反而增加了攻击面。根据国家网络安全联盟进行的一项研究结果显示，60%遭受黑客攻击的中小型企业都会在6个月后面临停业倒闭结局。 购买网络保险的5个理由 在如今这样一个 “数字干扰” 时代，想要增强自身对网络风险的抵御能力，便要了解网络治理责任的全部范围。以下是为什么每个企业(无论规模或所有权)都需要网络保险的5个理由： 1. 网络犯罪正呈现指数级增长 绝大多数企业都异常依赖在线服务，这也进一步扩大了它们的网络攻击面。根据英国政府进行的《2018年网络安全漏洞调查报告》显示，在过去12个月中，43%接受调查的英国组织遭受过网络安全攻击或数据泄露事件。由于高度复杂的攻击手段如今已经司空见惯，企业需要假设它们会在某些时候遭到破坏，并制定措施(例如，购买网络保险)缓解风险。 2. 数据泄露成本异常昂贵 如上所述，据Ponemon Institute《2018年数据违规成本研究》结果显示，2018年全球数据泄露平均成本为148美元，而数据泄露的总成本已接近400万美元。这一数据还不包括欧盟《通用数据保护法案》(GDPR，2018年5月生效)和加利福尼亚州《消费者保护法案》(2020年正式生效)所涉及的罚款和制裁金额。相信未来当这些法案都正式生效后，这些损失成本一定会进一步增长。 但是，组织遭受攻击的真正代价不仅仅只有财务或补救成本，还会造成无法估量和挽回的声誉损失——遭受网络攻击可能会导致客户的信任感丧失，从而造成客户流失;此外，“安全性差”的名声也可能导致组织无法开展新的业务或获得政府合同等等。 3. 如果第三方数据在泄漏事件中受到损害，组织需要承担法律和财务责任 美国国防部(DoD)和欧盟GDPR宣布的新法规规定，组织只负责任命第三方，这些第三方需要能够提供足够的保证，以满足NIST 800-171和GDPR的要求。国防部和英国信息专员办公室(ICO)将对未进行尽职调查以确保第三方合规的任何组织进行责任追究，并可能对其进行罚款。如今，“监管罚款”几乎已经成了数据泄露的同义词，而且网络风险已然实现全球化趋势，这使得遵守不同地区的各种监管政策变得更具挑战性。 4. 标准/一般保险政策不包括网络风险 网络保险是专门用于处理数据隐私和安全的独特险种，也可作为保护企业免受数据泄露造成的财务和声誉损失的后盾。虽然一般保险政策可能涵盖某些类别的损失，但通常会存在许多重大差距，且网络事件可能会影响众多保险类别。一般保险政策通常不太可能承担“普通的”安全漏洞损失成本，更别说是网络攻击或“黑客活动”造成的损失成本了。只有专业的网络保险政策能够提供广泛的保障。但是，组织需要仔细研究政策，以了解其所提供的保险水平以及自身在政策条件下需要履行的责任。 5. 提高网络意识和风险管理 保险只是尽可能挽回损失的一种手段，单纯地采取网络保险政策并不能保护组织免受网络攻击侵扰。鉴于最常见的网络风险是社会工程——即员工自愿但不知不觉地允许攻击发生的行为，因此组织必须让每位员工接受有关 “如何避免和识别网络威胁” 的培训，在正确掌握基础知识的前提下，更好地防范网络威胁。事实上，网络攻击所造成的绝大部分伤害都是由于被攻击方无法做出正确的响应。组织需要制定一个全面的风险管理计划，详细说明公司在面对包括未知威胁在内的网络攻击时应该做出的响应措施。 打好基础最关键 鉴于网络环境日趋复杂且威胁不断变化，组织尽可能地采取积极主动的方式变得越来越重要。Cyber Essentials是由英国政府制定，得到行业支持并认可的信息安全认证计划，旨在帮助企业防范外来网络威胁。据了解，Cyber Essentials(数码安全要略)最初于2014年面世，由英国政府通信电子安全小组(CESG)(英国政府通信总部GCHQ 之信息安全部门)和英国政府商业、创新和技能部以及 BSI(英国标准协会)、中小企业信息安全保障(IASME)联盟和信息安全论坛(ISF)共同开发。自2014年10月起，所有为英国中央政府处理敏感及个人信息的ICT(信息和通讯技术)供应商都必须通过Cyber Essentials认证。 据悉，Cyber Essentials认证分为两个等级：第一级Cyber Essentials要求机构完成自我评估问卷，由获得认可的认证机构验证后颁发;第二级Cyber Essential Plus为安全提升级，主要针对机构面临外部网络和互联网攻击时的韧性及续航力，需要机构通过认可认证机构的独立安全控制测试，以提供更高水平的保障。 英国当局认为，开展认证途径将有助于组织——尤其是可能没有设置专门的网络安全小组的中小型企业，一致且高效地协调一个地方的所有安全实践。认证是衡量组织网络安全方法成熟度的重要指标。它有助于防范最常见的网络威胁，并表现出对网络安全的承诺。虽然网络保险可以在组织面临网络威胁时提供一层保护，但它不能替代良好的网络卫生行为。 网络保险应该被视为公司整体风险管理的重要补充，但在面对网络风险和数据泄露之前，组织不应该坐以待毙!