分类目录归档:互联的网

ENISA《欧盟的网络安全技能发展情况》报告:执行摘要

翻译:DeepL

来源:https://www.enisa.europa.eu/publications/the-status-of-cyber-security-education-in-the-european-union

执行摘要

网络安全技能短缺(The cybersecurity skills shortage)是指劳动力市场上缺乏合格的网络安全专业人员,这对经济发展和国家安全都是一个问题,特别是在全球经济快速数字化的情况下。它对构成现代社会核心的数据、信息技术系统和网络构成了高度的威胁。这种短缺可以进一步分析为两个同时存在的问题:一个是量的问题,一个是质的问题。量性问题是指网络安全专业人才供不应求,不能满足就业市场的要求,而质性问题则是指专业技能不足以满足市场的需求。本报告主要探讨了网络安全教育体系的现状,以及无法吸引更多的学生学习网络安全专业,无法培养出具有正确的网络安全知识和技能的毕业生。报告认为,通过重新设计教育和培训途径,确定学生毕业后和进入劳动力市场后应具备的知识和技能,可以改善目前网络安全教育中的许多问题。本分析介绍了澳大利亚、法国、英国和美国四个国家——如何利用认证来重新思考网络安全学位。这些认证计划的建立有不同的目的。其主要目的包括:让更多的毕业生拥有可随时被产业界部署的技能,帮助雇主了解学生在学术生涯中培养出来的技能和知识,以及帮助人们选择学位选项。学位认证的最终影响是通过推广网络安全教育、研究和宣传,减少网络安全教育的影响。目前,这四个国家的国家主管部门已经对387个网络安全学位进行了认证。虽然流程和标准不同,但认证有一些共同点:

  • 有具体的重点和足够的学分专门用于网络安全课程和活动。
  • 结构化的课程,可能包括实践/培训部分或特定类型的考试和活动,如网络安全竞赛;
  • 高素质的师资队伍,其中可能包括来自产业界的讲师;
  • 更广泛的多学科/跨学科重点;
  • 外部外联活动以及与国家网络安全生态系统其他部分的合作;
  • 关于学位教育和就业结果的信息。

在此背景下,欧洲网络安全协会创建了网络安全高等教育数据库,这是一份欧洲经济区国家和瑞士的网络安全学位互动清单。该数据库旨在成为所有欧洲公民通过高等教育学位提升网络安全知识和技能的主要参考点。通过检查数据库,公民应该能够在网络安全教育和培训方面做出更多的决定,选择最适合自己需要的学位。在确定信息工作者和雇主可能认为最有用的是什么的时候,数据库从科学文献(本报告第3节)和国家主管部门在评定学位时使用的标准(第4节)两方面进行了大量的借鉴。本报告提出了三个主要考虑因素。

  • 网络安全学位认证(如第4节所示)可有助于制定全面的网络安全劳动力发展战略。这可能是重要的第一步,主要是因为它明确了教育系统应该灌输哪些知识和技能,从而明确了学生毕业后在组织中申请工作时,雇主可以期待什么。未来的研究对于确定认证对学生和雇主的主要好处,以及认证是否能有效地提供更多的技能型劳动力是至关重要的。
  • 然而,确定正确的知识和技能意味着什么只是一个更广泛的问题的一部分,其他几个因素使这个问题变得更加复杂。尽管认证可能是朝着正确的方向迈出了一步,但不能认为它是解决人才短缺问题的唯一办法。网络安全认证既是一个质的问题,也是一个量的问题,应该相应地解决这个问题。通过认证学位来提高网络安全专业毕业生的质量,当然可以让潜在的求职者更有就业能力,但如果专业人才的管道不够充裕,无法保证职位空缺,那是不够的。未来的研究应该确定哪些政策能够激励看起来很大一部分学生进入更有利于网络安全职业的学术和学习途径。
  • 最后,尽管本报告的重点在于此,但政策应超越仅针对国家教育和培训系统的举措。如果能将处理劳动力市场需求方面产生的问题的措施纳入其中,政策将大有裨益。目前,有大量证据表明,劳动力市场需求方的问题,如雇主不愿意对网络安全人力资本进行投资,以及高层次的入职要求等,都对网络安全技能短缺产生了影响。正因为如此,如果能找到缓解从教育系统向劳动力市场过渡的解决方案,从而鼓励雇主成为发展国家网络安全人才队伍的系统参与者,将特别有希望。

鉴于这些考虑,本报告建议进一步调查以下内容。

  • 网络安全学位认证对网络安全技能短缺的影响。对已经建立的国家认证的实施情况和结果进行严格和系统的分析,可以为其他国家可能的最佳实践提供启示。
  • 采用和推广ENISA的网络安全高等教育数据库。只有当数据库包括欧盟大多数网络安全学位时,该数据库才会成为公民和雇主的有用工具。如果能做到这一点,它还将有助于进一步分析欧盟网络安全教育的变化状况。
  • 欧盟网络安全技能短缺的性质和特点。本报告汇总了现有的数据,对欧盟的网络安全技能短缺有了更深入的了解,但同时也指出了缺乏细化的基本信息。由于在设计缓解短缺的政策之前,应该先对其进行充分的了解,因此在知识上仍有太多的空白需要填补。
  • 政策干预是最有效的是增加专业人才的渠道。要确保从量和质两个方面解决人才短缺问题,缓解战略中应包括确保有效增加专业人才梯队的措施。已经制定的一些政策,可以提高人们对网络安全职业的兴趣,但还需要更多地了解这些方案在多大程度上取得了成功,以及是否可以扩大这些方案的规模,以满足日益增长的劳动力市场需求。

网络安全高等教育数据库:https://www.enisa.europa.eu/topics/cybersecurity-education/education-map

杭州渐变健康码:呼吁合规措施配套,超越“叶公好龙”式的恐惧

随着国内疫情的逐渐平息,为防控疫情立下汗马功劳的健康码也在面临是“鸟尽弓藏”还是深化使用的难题。相较于一味以隐私与个人信息保护为由否定“渐变健康码”的发展思路,不如仔细思考采取哪些合规措施才能让“渐变健康码”保护隐私与个人信息。

一、进击的健康码

2020年5月底,杭州卫健委开始论证“一码知健”的设计思路:通过集成电子病历、健康体检、生活方式管理的相关数据,在关联健康指标和健康码颜色的基础上,使用渐变色,探索建立个人健康指数排行榜。同时,也可以通过大数据对楼道、社区、企业等健康群体进行评价。无独有偶,在更早的时候深圳与广州都在论证对健康码进行升级,运用在更广泛的城市治理中。

杭州“一码知健”的设计目标是促进健康生活方式的养成,通过数据的汇集,对个人健康进行全面评价。在全面评价个人健康的基础上,促进个人健康生活方式的养成,进而从根本上节约本就稀缺的医疗资源。好的医疗条件在哪里都是稀缺资源,再多的投入都无法抵消人们对健康生活、长命百岁的向往。因此养成健康生活方式才是预防疾病、疏解医疗资源稀缺难题的最高效的途径。当微信都可以让大家互相攀比每日步数,成为督促自己多步行健身的外部因素,能够更准确评价个人健康的“一码知健”也有可能让大家在健康的生活方式上再往前迈一步。而通过数据对个体以及人群的准确评价,也能够在预防疾病、合理分配医疗资源等方面提供更多的参考。

在《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据列为一项生产要素,并提出“加快推动各地区各部门间数据共享交换”,“一码知健”便是这一思路的体现。在2020年6月1日生效的《基本医疗卫生与健康促进法》中规定:“国家推进全民健康信息化,推动健康医疗大数据、人工智能等的应用发展,加快医疗卫生信息基础设施建设,制定健康医疗数据采集、存储、分析和应用的技术标准,运用信息技术促进优质医疗卫生资源的普及与共享。”杭州酝酿的“一码知健”也是健康信息化、智能化建设的发展方向。

二、烫手的数据

尽管数字化、智能化会带来诸多便利,但无论是从哪个角度,“一码知健”所涉及的数据都是高度敏感的,因此引起公众与舆论的恐慌与警觉。根据官方公开的信息,“一码知健”会将电子病历、健康体检、生活方式管理的相关数据作为数据来源,换句话说,“一码知健”计划渗透到我们生活的方方面面,即使是最隐私的睡眠也会被加以评判。在“一码知健”的设计中,饮酒200毫升将导致健康评分下降1.5分,吸烟5支将导致健康评分下降3分,如果步行达到15000步,评分则会大幅度上升5分。

在2020年6月1日生效的《基本医疗卫生与健康促进法》中,明确规定:“国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。”“一码知健”涉及大量的个人健康信息,当杭州卫健委只强调利用,而不讲安全措施,必然是掀起公众情绪的反弹。

根据新近通过的《民法典》以及已经生效的《网络安全法》,我国目前个人信息以“告知-同意”为最主要的合法性基础。对个人信息的收集、使用需要以个人同意为判断是否合法。但对于“一码知健”的数据会来自于不同的机构、设备,如何获取用户饮酒、吸烟的数据,如果“一码知健”是通过监控视频结合人脸识别技术,将饮酒、吸烟的行为与相应个人进行匹配,从而进行扣分。这样的收集、使用行为会远超公众对监控收集个人信息的心理预期。另外一些数据,如每日步数、睡眠时间的收集、使用需要依托第三方手机或智能设备的厂商。第三方厂商将用户数据提供给“一码知健”同样需要在保障个人知情权的基础上获得个人的同意。

除此以外,“一码知健”中的数据还可能属于健康医疗大数据或人口健康数据,法规对这两类数据又有专门的收集、存储、共享、使用、删除等方面的要求。如《国家健康医疗大数据标准、安全和服务管理办法(试行)》要求健康医疗大数据的收集、使用需要遵循医学伦理原则,保护个人隐私,并建立严格的电子实名认证和数据访问控制,规范数据接入、使用和销毁过程的痕迹管理,确保健康医疗大数据访问行为可管、可控及服务管理全程留痕,可查询、可追溯,对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。《人口健康信息管理办法(试行)》要求利用单位或者个人不得超出授权范围利用和发布人口健康信息,且不得对外提供涉及保密信息和个人隐私信息。

因此,面对法律法规对数据的保护的强力监管,杭州“一码知健”只是抛出数据的利用方案,对如何遵守法律、采取安全措施只字未提,自然会招来一片质疑的声音,让公众处于被时时刻刻健康的不安之中。

三、不要止步于“叶公好龙”

杭州是以“全国数字经济第一城”为目标的城市,同样应该以“全国数字合规第一城”为目标,在遵守法律、合规措施方面引领全国风气。面对“一码知健”所能带来的正面效应与隐私风险,一边倒批评隐私风险当然是更加简单,但这只是叶公好龙。人们憧憬新技术能够带来便利,但当新技术真的来临,却又开始恐惧新技术的隐私风险,甚至想把龙一棍子打死,而更有建设性的思路应该是想着如何驯服那只龙。

“一码知健”背后的杭州卫健委可以从公开透明、遵守法律做起,通过《白皮书》《个人信息保护说明》等文件向公众充分告知“一码知健”的原理,比如会收集哪些数据,收集后的数据会如何使用,有效期是多久,以及采取了哪些措施确保数据安全。如果需要从手机或其他第三方厂商获取数据,则需要求第三方厂商向用户告知个人信息的用途,确保用户的知情权、监督权。此外,杭州卫健委还需要确保用户有选择权,在没有其他合法性基础的情况下,用户应当可以自愿选择是否加入“一码知健”,并且赋予用户随时退出、注销的权利。

因为面向数以百万计的用户,“一码知健”在遵守法律的同时,还应当符合更高的标准。“一码知健”有必要全面根据《信息安全技术 个人信息安全规范》(GB/T 35273-2020)进行贯标,定期开展个人信息安全影响评估并公开评估报告,并在杭州卫健委内部设立个人信息保护负责人和个人信息保护工作机构,负责“一码知健”相关个人信息保护的工作。

数据所带来便利性与隐私威胁是一体两面。让数据“睡大觉”是懒政,只想着利用而不考虑合法合规同样是懒政。就像明知脚下有金矿而不去挖掘是放弃财富的愚蠢行为,只顾挖掘而不顾矿工的健康同样是不负责任的行为。可持续发展的理念不止于环境保护领域,同样适用于数据的开发利用。政府部门作为掌握大量数据的机构,有义务通过合规措施,提高数据保护能力,起到数据合规的带头模范作用,以此获取公众信任,让数据能够持续发挥应有的价值。

网站备案查询奇遇记

在关于网站的诉讼中,有时为了确定网站的运营主体,需要去工信部的备案查询网站(miitbeian.gov.cn/publis)查询网站的ICP/IP备案信息。只有到了这个时刻,才会觉得网站备案确实还是有那么点价值的,因为网站Whois信息未必准确可靠。

但是,但凡使用过工信部ICP备案信息查询网站信息的人,都会有一种想掀桌子的感觉,因为你很难输入正确验证码。ICP备案查询的验证码,并不是像12306那样,因为图像难以辨识而被诟病。而是你可以轻易识别出验证码的内容,但你输入后就会提示输入错误。

就此,@米新磊律师就专门将这个网站吐槽为用户体验最差的网站

史上最恶心网站,查询时输入验证码十次有九次提示错误,但上天可鉴,每次输入都绝对是对的。感觉是故意设置了验证成功几率。
请问,这样做有什么意思吗?

我也曾经在某次公证中与公证员一起被这个网站搞到崩溃,本来轻松愉快半个小时就能结束的公证被这个网站搞到花费了整个下午才结束,可谓是身心俱疲,甚至开始怀疑人生,并且留下了心理阴影。

后来,因为实在是受不了这个网站的折磨终于找到了正确输入验证码的途径。

天地良心,这个验证码绝对是”d4nkth”(不区分大小写),但网站竟然说“验证码输入错误,请重新输入”!!!这个时候就不得不需要些小技巧了:

e1418225638d86c7224e6b188afcc65f_r

右键点击验证码,点击“复制图片地址”,然后在浏览器新建一个页面打开复制的图片地址,会看到真实的验证码其实是:“bqs759”。这样,终于显示“验证码输入正确了”。T T将这个验证码输入到之前的页面,就会提示验证码输入正确了……

bc5ea39b0383e9b253f0af2e8403e195_r
将这个验证码输入到之前的页面,就会提示验证码输入正确了……
eb05d0b2801640a6bc1ef389072ee85e_r

这样,终于显示“验证码输入正确了”。T T

这个网站最烦人的其实在于它的不稳定,有时候你照着页面显示的验证码输入毫无问题,有时候会始终提示不正确,这实在是一件令人抓狂的事情。一点上网经验,与大家分享……

独立的互联网?

《独立宣言》对美国的重要性再怎么强调也不为过, 里面的句子鼓舞了亿万人为之奋斗,比如这句:“我等之见解为,下述真理不证自明:凡人生而平等,秉造物者之赐,拥诸无可转让之权利,包含生命权、自由权、与追寻幸福之权”。当然比这华丽文字更重要的,这份文件乃美国独立之起点,宣告了13个殖民地脱离英王统治。

如法炮制,作为电子边疆基金会的创始人之一的John Perry Barlow也写了一份颇有意思的宣言,叫做《网络独立宣言》(1996)。宣告网络世界独立于现实世界,但是,这可能吗?自从互联网诞生伊始,就有观点认为互联网是一方净土,现实世界应该放任互联网自行发展,就像这份宣言里说的:“工业世界的政府们,你们这些令人生厌的铁血巨人们,我来自网络世界——一个崭新的心灵家园。作为未来的代言人,我代表未来,要求过去的你们别管我们。在我们这里,你们并不受欢迎。在我们聚集的地方,你们没有主权。

确实,在早期,互联网只是Geek们玩具之时,网络确实是一片“无主之地”,依靠不同的网际协议自生自灭,但随着互联网的日益壮大,越来越多的资金投入其中,越来越多的用户投身网络,不管愿不愿意,现实世界怀揣着各种的法律,政策,规定,上网来了。

在《网络法》一书中就有这个问题(网络法的五个问题):“网络空间的法律,是可以通过互联网内部自发形成?还是必须要由外部强加而来?还有,对网络空间来说,是否可能拥有一套内部的、完全独立于传统现实法律的法律结构”。“宣言”的作者认为:“你们宣称我们这里有些问题需要你们解决。你们用这样借口来侵犯我们的世界。你们所宣称的许多问题并不存在。哪里确有冲突,哪里有不法行为,我们会发现它们,并以我们自己的方式来解决。”显然,Barlow认为互联网可以解决所有问题:“你们不了解我们的文化和我们的伦理,或我们的不成文的“法典”(编码),与你们的任何强制性法律相比,它们能够使得我们的社会更加有序”。但并非所有的网络用户都这么想,总会有人把虚拟世界的问题带到现实世界,类似于我虚拟世界的狗被人偷了这样的问题,现实世界的司法机关无法对这些问题视而不见,所以,法律上网了。

无限的“零”、“一”信号,组成了这个网络:“网络世界由信息传输、关系互动和思想本身组成,排列而成我们通讯网络中的一个驻波。我们的世界既无所不在,又虚无飘渺,但它绝不是实体所存的世界。”互联网其实也没有那么虚拟,虚拟到可以脱离现实。互联网的运行依旧需要服务器,需要计算机,需要互联网协议把硬盘里的数据相互连接起来。或许你会惊奇得发现,我们的虚拟财产其实我们并没有所有权,因为互联网之上的大多数代码,都不在我们的硬盘之中。互联网远非空中楼阁,蓬莱仙境,而是扎根于现实世界的伟大发明。

憧憬中独立的互联网是美好的,我也希望有那么一个世界,“在那里,所有的人都可加入,不存在因种族、经济实力、武力或出生地点生产的特权或偏见。”“在那里,任何人,在任何地方,都可以表达他们的信仰而不用害怕被强迫保持沉默或顺从,不论这种信仰是多么的奇特。”但现实残酷,我们总是物以类聚,而互联网则加剧了这一点,看看我们的友情链接就知道,我们不会去链接我们不赞同的观点,我们喜欢待在符合自己价值观的网站,我们喜欢围剿看不惯的言论。互联网并不总是美好。

更多时候,互联网只是现实世界的延续,互联网上的规则也只是现实世界中法律的延续。早期的Geek们或许真的创造了一个乌托邦,但随着移民的不断增多,乌托邦被拉回现实。

附:《网络独立宣言》译文,[美] 约翰·P. 巴洛;李旭、李小武 译 高鸿钧 校

网络及其本土资源

讨论中国互联网的监管,很容易习惯性地陷入一种惯性思维中去——先义愤填膺的去声讨封杀行为,然后再谴责、谩骂或者调侃一下那堵墙,大抵都是这个套路。很少有人去深入的分析一下其背后深层次的原因,不是为这种过滤张目,而是更好地理解这种过滤行为的动机,所谓知己知彼。不知道是有幸还是不幸,在《我们的防火墙》一书中,看到作者李永刚对这一命题做了尽可能深入的分析。

过滤算是最具中国特色的互联网现象了,强大的网络过滤与花样不断翻新的越墙行为甚至已经成为一种文化。上网的人可以依据是否会翻墙被分为墙内人与墙外人,墙外人在面对墙内人的时候是颇有优越感的。苏力老师说中国是一座学术富矿,此言不虚,关于互联网亦然,在那些言论禁忌之外,依旧有着大量的素材可供讨论。

网络审查的原因无外乎是“稳定压倒一切”的形势所迫,我们的总设计师强调稳定,是因为其切身经历上世纪六七十年代灾难后的反思,在那些动荡之后,80年代总设计师把高举稳定大旗无疑是睿智的。但时代总会发展,不是说稳定不重要,稳定当然重要!但怎样才能达到稳定?市场经济那只“看不见的手”,再加上互联网的推波助澜,已经让中国社会处于高度的流动性之中,真正摧毁中国传统“熟人社会”的,就是市场经济与互联网。当我们在这种背景下,再奢求曾经的那种静态的稳定,似乎有点“刻舟求剑”的感觉了,动态的平衡比静态的稳定更难能可贵,甚至是一种更高层次的稳定。对于总设计师来说,稳定也只不过是手段,改革与开放才是目的。

中国已经是一个强大的国家,无论从哪个角度来看中国都是一个巨人,但内心却还有些虚弱,很难经受半点的批评与非议,其实大可不必。中国应该对自己以及它人民有足够的信心,相信人们会有足够的心智与理性,做出正确的判断。对于步入成年的人,填鸭式的灌输只能让人厌倦,人们更倾向于那些睿智的,富有启发性的方式,更喜欢去从反面,从他人的角度去思考问题,让我们能够有一个更加清晰的思路。

无论是网络实名制,或者是网络审查,还是网络扫黄,我都宁愿相信这些行政策的初衷都是怀着最大的善意,但子曾经曰过:“始吾於人也,听其言而信其行;今吾於人也,听其言而观其行。”判断一个人或一件事,不能只听说得如何,更不能看想的如何,而是要以行动来判断,由这些行动的结果来判断。很残酷,但就是这样。

“打开窗户,新鲜空气进来了,同时苍蝇也进来了。”苍蝇,不是我们紧闭门窗的借口。确实,为了防止苍蝇,装上纱窗是一个好主意,但纱窗不要密得像一堵墙一般才好。

互联的网

Across the Great Wall we can reach every corner in the world.
——1987年中国的第一封电子邮件的内容

20世纪的伟大发明可谓是车载斗量,天上飞的水里游的那是应有尽有,如果要把所有发明搞个排行榜的话,一定是件令人头疼的事情,因为你很难说某个发明就一定比另一发明来的重要。但无论是怎样的榜单,一定都应该出现互联网的身影,即使是与20世纪其他诸多伟大发明相比。

如果用宽广历史的视角去审视发明创造,就会发现,许多发明对人类文明的影响并不仅仅是给我们带来方便快捷,更是对我们思维方式提出了挑战,更广泛的影响了我们的文明。当铁器被发明,交通被改善,使得全世界的文明都不约而同的出现了思想的盛宴,至今,我们依旧从当时的先知那里索要答案(于丹就做的这种事)。而造纸术,印刷术的传入使得欧洲文艺复兴成为可能,思想得以广泛而廉价的传播。诸如此类,不胜枚举。

通过互联网,任何声音都有可能被全世界听到,互联网会起到一个放大作用,按照总书记的话说:互联网已成为思想文化信息的集散地和社会舆论的放大器。这也是互联网厉害的原因之一,鲜有工具能做到这一点。但是,也并非所有的信息只要上网就会被放大,如果所有信息都被放大,那也就相当于什么信息都没有放大,大小只是相对而言。显而易见,这种对于信息的挑选,并不是随机的。

只有少数信息才能有机会在互联网上进行放大,毫无疑问,必须要是那些能引起大多数人关注信息,才有被放大的可能性。就像标题党们常用的一个套路:大学生,女大学生,北大女生,北大美女学生……以上字眼抓人眼球程度逐级递增。换句话说,只有为广大人民群众所喜闻乐见的信息,才是有可能被放大的信息。而那些真正有价值(传统意义上)的信息,反而有可能被汪洋大海般的信息所淹没,因为那些有价值的信息可能并非是大家追逐的对象,很遗憾,但就是这样。

面对海量的信息,找到需要的资料并不是一件容易的事,看到过一个数据,说任意两个网页之间平均间隔了19个网页,叫做“19度分隔”,即评价你要点击19个链接才能到达你想要达到的网页,而且还要每次点击都是方向正确的。通过链接来一步步穿梭于网络显然不切实际,所以才有了Google之类的搜索引擎,265之类的上网导航,算是搭建了一条网络捷径,树立了一块网络指路牌。

互联网能有今天的规模,用20多年前的眼光看绝对是天方夜谭,那时的互联网不过是Geek们的玩具,在往前互联网则是对抗苏联核威胁的工具。互联网根本就没有按照我们的设想去成长,自从它诞生的那天就是如此,对于互联网根本就没有一个统一的机构去设计、规划、管理,完全是自发的在成长壮大,我们也画不出一个关于互联网的谱系图来,因为它太复杂,太庞大。

面对如此互联网,让我不得不心怀敬畏,相信互联网的潜力还远未开发,相信互联网对文明的冲击才刚刚开始。在众生喧哗的网上,我们不停的唆使送法上网,但我们却更情愿去因娱乐至死,如此条件,思想在网上会有什么未来?