您当前位置: 南顺网络>> 官方资讯
  • 苹果10亿美元投资美国制造业,竟然还要借钱?

    苹果首席执行官蒂姆·库克(Tim Cook)今天宣布,苹果公司将从其总计约2560亿美元的现金储备中拿出10亿投资美国的一个先进制造基金。从库克接受外媒采访时透露的消息来看,苹果公司的领导层意图避免与特朗普政府发生矛盾。特朗普上台后曾经承诺将迫使企业在本土投资,增加就业机会。 库克表示,投资资金将全部来自国内,而不会将其大部分海外基金汇回。为了凑够这10亿美元,苹果公司不得不对外借贷。苹果将于本月晚些时候宣布该基金的首次投资。“你可以看到我们对于如何发展员工基地、开发商基地和制造业这些事情是多么的关注”,库克说道。 库克还对这一投资计划作了自我评价:“我们对于自己的这一举动感到自豪,它将引发波浪效应。如果我们创造了很多制造业的工作,那么这些岗位还将创造更多的就业机会,因为围绕这些制造业的岗位将衍生出新的服务行业。” 不过,苹果的这一举措可能更多是为了赢得特朗普政府的另眼相待,尤其是在有争议性的移民等问题上。外国技术人员流入美国一直是个极具争议性的话题。据雷锋网了解,特朗普政府已经开始考虑对硅谷企业欢迎的H-1B等签证政策进行修改了。不过,苹果也可能是想借此让特朗普履行帮其把海外收入转回国内的承诺。 谈到税收改革,库克颇有微词,过去几年间他曾多次对税收政策表示不满:“现在有很多企业在海外销售产品赚钱,但是你赚到的钱却不能带回国内,除非你在州税的基础上再支付35%的税收,这很奇怪。很多企业望而却步。美国政府希望我们把赚到的钱用于国内投资,而我们在国内投资时却不得不借贷。当然,我们的优势是可以借贷,但是宏观来看这是没有意义的。我相信政府也注意到了这一点,并试图改变,我希望这一切能尽快实现。” 当被问及苹果公司和特朗普政府的关系如何时,库克闪烁其词:“无论你和世界上任何一个政府合作,都会有一致和矛盾的地方。我们尽量寻找和政府的共同点,并试图影响政府改变不同之处。对于企业而言,最可怕的是你没有发声,沉默不会给你任何好处。”

  • 微信支付正式进入美国,已与多个企业达成合作关系

    微信支付宣布携手CITCON正式进军美国,随着10年签证等宽松的美国签证政策,以及中美航线的不断增加,美国正在成为中国游客青睐的出行目的地。而在微信支付正式进军美国后,赴美人群如今可在美国享受无现金支付的便利了。通过微信支付,在美国的衣食住行均可直接用人民币结算。 此次进军美国,微信支付通过合作伙伴,与毗邻加州迪士尼乐园及西南海岸的阿纳海姆贝蒙特套房酒店、旧金山湾区的渔人码头Hana ZEN日本料理餐厅、旧金山湾区奥特莱斯Great Mall的 Nobel Luggage以及纽约布鲁克林Tbaar茶霸奶茶、塞班岛Skydive Saipan、俄勒冈州Sandy市滑雪训练营达成了合作。 微信支付还与WE Housing合作,为长期在美居住的留学生提供最详尽和最靠谱的公寓信息,以及可以随时领取的独家折扣,帮助国际学生获取租房的第一手资料,从而更好地过渡和融入美国留学生活。随着微信支付进入美国,截至目前,微信支付已登陆15个国家和地区,支持12种外币直接结算。

  • 阿里成国人骄傲!马云成阿根廷、墨西哥两国总统座上宾

    5 月 5 日消息 为加速阿里巴巴全球化进程,马云马不停蹄的飞到各个国家。马云的到访让各国领导亲自接见,可见现在的阿里巴巴在国际上的地位不容小觑。近日,马云又先后访问了拉美阿根廷和墨西哥两个国家总统。 5 月 4 日,马云同墨西哥总统进行了长达一个多小时的深度长谈。随后,墨西哥总统恩里克·佩纳·涅托在其推特上连发了三张同马云长谈的照片,并点称赞道:“总统会见了马云和阿里巴巴集团高管,阿里巴巴是一家致力于发展电子商务的伟大公司。” 在访问墨西哥总统的前两天,马云造访了阿根廷总统府,同马克里总统进行深入交流并签订战略合作协议。马克里在同马云对话后,也在推特上发文表示:与阿里巴巴创始人马云会面,阿根廷中小企业现在可以在全球最大的电子商务平台上开始贸易。 马云表示,全球化是阿里巴巴的第一要素,将配合国家的一带一路战略。全球化不是把阿里巴巴业务全球化,是把电子商务全球化。将在拉美全球化布局的过程中,推动电子商务、普惠金融和中国的物流公司进入拉美市场。帮助拉美中小企业和年轻人进行跨境贸易。

  • 苹果实习生日记:每周都和副总裁吃饭

    【腾讯科技编者按】《快公司》网站采访了一名曾经在苹果总部实习的软件工程师,此人在实习结束之后获得了正式录用,但由于他想回法国创业,放弃了留在苹果总部工作的机会。无论如何,在苹果的实习机会都让他受益良多。以下是原文内容:近段时间以来,实习是一个引人注意的话题,有些大公司招收无薪实习生,引发了诉讼官司,还有一些公司认为,给实习生提供伙食就算是付钱了。现在,主流的招聘网站已经禁止公司刊登无薪实习岗位招聘广告。但无论如何,研究已经证实,实习过的大学生更有可能找到全职工作——尤其是那些带薪实习过的学生。因此,学生对实习岗位的竞争也很激烈,特别是像苹果、谷歌(微博)、特斯拉这样的热门公司。那么怎样才能在这些令人垂涎的公司获得一个实习机会呢?马克西姆·布雷托( Maxime Britto)是一名软件工程师,也是法国移动开发人员在线学校紫色长颈鹿(Purple Giraffe)的创始人。但是在他创业之前,他曾到苹果总部实习过。以下就是他的感受和经验。到苹果实习的第一天我是 2008 年的夏天去苹果实习的。我到达当地的时候,正是苹果全球开发者大会 (WWDC)召开的前一天。这件事我记得很清楚,因为我的经理到苹果公司的前台来见我后,并没有让我进去,直接带我去了停车场。他开着野马车带我到了旧金山。就这样,我和团队一起参加了WWDC的会议。那一天过得很忙忙碌碌,还开了WebKit开源派对,终于在晚上 11 点左右,我们到了办公室。作为实习的第一天来说,真的感觉很棒。在苹果实习期间做了哪些工作?我是WebKit和Safari 团队的议员。我需要解决WebKit上的bug,我也花了相当长的时间在Windows版本的Safari上。 Windows用户要求我们添加平移滚动功能(单击之后进入平移滚动模式,然后网页跟随你的鼠标移动而移动)。当时这对我来说是一个很大的挑战,WebKit和Safari的代码库很庞大。在我实习的最后两周,任务是为一个非常酷(尚未发布)的Safari功能开展早期设计研究,我做演示的时候副总裁斯科特·福斯特尔(Scott Forstall)也在场。这也是一个非常棒的经历。你怎么发现苹果实习的机会的?我之前在一家名叫Pleyo的法国公司实习过,该公司想为WebKit开源项目做些贡献。 2007 年的整个夏天,我都在做WebKit项目的调试工作,我在网上聊天,认识了WebKit的一些成员。他们大多来自苹果公司,当时我不知道这个情况,但他们后来成为了我的队友。在Pleyo实习结束的时候,我的经理告诉我,他与苹果的一位经理通过电子邮件,他们对我做的工作感到非常满意。他建议我与那位经理取得联系,看看是否可以去苹果。所以我就照他说的做了。苹果的面试过程既然他们已经知道我和我的经验,我的面试过程可能比其他实习生要快一些。我接到了两个电话面试。第一个面试是介绍情况和回答一般性的问题,对方还提到一些技术领域,要我在第二个面试之前了解一下(第二个面试是技术面试)。我记得当时感觉压力有点大,因为他提到的Mach Kernel我完全不懂,就连初级编程经验也没有。我花了很长的时间阅读和打印关于Mach Kernel的文章。第二次面试的时候,我已经准备好了Mach Kernel的百科全书,但是面试中几乎没有提到它!几天后,我和我未来的妻子正在一家餐馆吃饭的时候,我接到一个电话,看到电话号码来自美国,我很激动,对她说:“亲爱的,我觉得这是从苹果打来的!”打电话的确实是苹果的招聘人员,他说,“马克西姆,我们录取你了。”是什么因素帮你拿下了苹果实习岗位?在申请实习岗位之前,我就和他们的团队一起工作了四个月,证明了自己的价值。我最开始时是个菜鸟(那是我编程的第一年,而WebKit很复杂),但我开始做修复bug的工作后,上手就很快了。我想他们注意到了这一点,他们也很欣赏我永不言弃,直至最终修复bug的毅力。通常的工作日是怎么度过的?就像普通的苹果工程师一样,我有自己的办公室(门上有我的名字标牌),还有一个磁性的钥匙开门。白天或晚上的任何时间我都可以进去。我还有两个MacBook Pro,只要有需要,就可以远程连接到苹果网络上工作。我们的办公室包围着一个带沙发的休闲区,大部分时间我们都带着笔记本电脑到沙发上工作,或者是聊天。如果你需要安安静静的环境集中注意力做些事情,你可以回到自己的办公室里,事情完成后再回到沙发区。此外,苹果总部每周 7 天,每天 24 小时都可以进入,所以我

  • 云联惠黄明:创新型消费模式探索人

    时代造就英雄,英雄影响时代!云联惠黄明--广东云联惠网络科技有限公司董事长,《云联商业大系统》发明人。草根创业的黄明,运用全新的共享消费理念,消费返还的营销模式,不断推进消费升级,造福消费者,创造了共享共赢的商业传奇。1963 年云联惠黄明出生于有着“百果之乡”美誉的广东廉江;中专毕业后,他在家乡教书育人。工作几年后他满怀着对知识的渴望,进入中山大学深造,刻苦攻读法律并成功考取了律师执照; 1993 年在改革发展的大时代里,云联惠黄明毅然决定下海创业,先后在广东佛山、顺德等地打拼奋斗,做过金融设备销售,随后开办了属于自己的电子点钞机、验钞机工厂; 1995 年,他同创业伙伴们创立了所罗门电子洁具有限公司,开发智能感应洁具产品。现在,这家公司已发展成为一家综合实力强、产品科技含量高的省级高新技术企业。2008 年事业有成,意气风发的云联惠黄明董事长,将公司交给创业伙伴经营,自己开启了二次创业!具有优秀企业家特质的云联惠黄明,始终在思考着如何从营销模式的创新中寻找商机。2014 年他成立了广东云联惠网络科技有限公司,创立之初,云联惠黄明亲自拜访专家学者,走访行业翘楚,广交业界精英,深入市场调研。经过反复打磨,他博采众家之长,倾注心血心力,研发了《云联惠商业大系统》,该系统获得了发明专利以及国家计算机软件著作权登记。在那段创业的峥嵘岁月里,云联惠黄明董事长夜以继日的进行着“云联惠”的各个系统的基础构建、技术测试、市场测试、平台程序的反复改进与升级、投资测算等工作,这份执着和敬业,正是构筑了云联惠今天成功的坚实基石。云联惠黄明董事长首创的云联惠“消费返还”模式,实现了市场上的各种参与者的自由云状联合,搭建了“利益共有、行为共赢”的平台。节省了商家的营销成本及流通费用;改变了消费者的消费习惯;通过云联惠的平台实现整合共享,进行有效的再分配,把消费者从商业流程的末端升级消费商。云联惠不仅在中国风生水起,更是借助一带一路的东风,把这种创新的商业模式,成功的推广到新加坡、蒙古、马来西亚、澳大利亚、韩国等国家和地区。云联惠为生产者,经营者,消费者提供了绿色、开放、共享、低门槛、无边界的消费平台。在未来必将为所有的市场参与者创造幸福与财富!

  • 摩拜单车6成市场份额力压ofo,坐稳“头把交椅”

     国内权威第三方数据调研机构速途研究院今天发布《2017年第一季度国内共享单车市场调研报告》。报告显示,以订单量计算,摩拜单车已占据共享单车市场57%份额,ofo为30%,而哈罗、小蓝、酷骑等公司构成了第二梯队,共同占据约14%市场份额。可以看到,尽管ofo比第二梯队玩家优势依然明显,可与摩拜单车的差距却在不断拉大。按照“二八定律”,这一差距或将越来越大。   除了市场份额层面的领先,摩拜单车在APP下载量、用户认可度、媒体关注度(微信指数和百度指数等)各方面都保持较全方位领先,优势累计下,摩拜单车市场领军地位已日益巩固。   摩拜单车在月活用户增速层面的优势更加明显。今年3月底,摩拜单车正式入驻微信钱包,全方位接入全球第一大移动社交网络服务,深度触及近9亿高活跃度微信用户。1个月后,摩拜单车晒出靓丽成绩单——3月29日全面接入微信以来,摩拜单车4月份月活跃用户量环比增速超过200%,新增2400万注册用户,创下共享单车行业最高纪录。   随着竞争走向深入,以技术和产品驱动为市场战略的摩拜单车优势日益明显。智能锁、轴传动装置、物联网应用技术等近50项专利,不仅给用户带去极致便捷的智能共享单车服务体验。还打造了辽阔的“护城河”,让对手难以追赶。    当前,近400万辆摩拜单车支持“GPS+北斗+格洛纳斯”三模定位,定位速度更快,精度达到行业最高的亚米级。此外,摩拜单车打造的行业首个出行大数据人工智能平台“魔方”日益完善,带来更强大的精细化管理和智能化运维。这些,都为摩拜单车继续保持高歌猛进态势奠定了基础。

  • window XP补丁收费!勒索病毒的锅微软也得背

    据彭博社北京时间 5 月 16 日报道,近期爆发的大规模网络攻击导致数十万台电脑感染勒索病毒,那么谁应该为此负责呢?在这一问题上,各方都在推卸责任。微软公司将矛头指向了美国政府,但是部分专家称,微软也难逃其咎。 微软总裁兼首席法务官布拉德·史密斯(Brad Smith)把责任归咎到了美国国家安全局(NSA)头上,认为NSA发展入侵攻击,寻找软件漏洞,以打击美国政府的敌人,但是一旦这些漏洞曝光,它们也会被其他人利用。今年 3 月,数千份被泄露的美国中情局文件曝光了智能机、电视机和软件漏洞,这些设备由苹果公司、谷歌公司以及三星电子开发。 哥伦比亚大学骑士第一修正研究所(Knight First Amendment Institute)法务专员亚历克斯·阿布多(Alex Abdo)称,微软对NSA的指责是有依据的。不过他也表示,微软也应该承担一部分责任。 “科技公司没有为他们的用户提供一个可靠的安全漏洞打补丁机制,”他表示,“当汽车被发现存在设计缺陷时,制造商可以实施召回。然而,当软件中被发现存在严重漏洞时,许多公司反应迟缓或表示这不是他们的问题。“ 2014 年,微软结束了对备受欢迎的Windows XP的技术支持,认为这一系统已经过时,没有按照现代的安全保护标准进行开发。 然而,由于太多客户依旧在使用Windows XP,微软延长了对该系统的支持,但是最终证明使用这一旧版系统的成本是高昂的。使用Windows XP设备的企业可以获得微软安全补丁,但前提是他们购买客户支持协议。 不过,在勒索病毒攻击事件后,微软破例免费为XP用户提供补丁。当微软下一次发布紧急安全更新时,该软件巨头可能会承受免费提供这一更新的压力。 一些情报机构专家也对微软指责NSA的说法表示质疑。他们认为,微软要求政府停止使用其产品攻击和监控敌人的作法是不明智的。“微软的这一说法很天真,”网络安全公司PGI Cyber总经理布莱恩·洛德(Brian Lord)表示,“要想维持世界安全,这些事情是必须要做的。”

  • 联想“弃子”刘军

    刘军的第一个高光一刻是在他加入联想的第二年。 那时候杨元庆被柳传志从 CAD 调任,负责新成立的微机事业部。当时杨对这一决定有些抵触,他对助手林扬说,代理惠普业务(CAD)前途光明,去了微机事业部很难再有作为。 但他抗衡不了柳传志的决心,1994 年 3 月 19 日,联想成立微机事业部当天,柳对下属们说,后面就是河,如果这一关过不去,我们必死无疑。 就任之后,杨元庆干的第一件事就是推出“E系列”新品,“E”取自“Economic”首字母,含义简单粗暴,就是便宜。 这对技术部总经理李之文来说是个考验。在此之前,联想牌电脑元器件全靠进口,议价权很弱,想压缩成本只能重新研发,筛选供应商。 刘军当时就是李之文下属,特殊时期,他在公司连续熬了 40 天,设计了 4 款 E 系列新品,把成本降了一半。等到第一款新品摆上货架时,E 系列一万六的价格在均价三万的电脑市场鹤立鸡群。 尝到了甜头的杨元庆对刘军说,还要再低一点。刘军说,所有油水都榨干了。杨元庆说,“不!还有!还有机箱!还有包装箱。还有包装箱里那些泡沫塑料!” 为此,刘军又做了很多从未想过的事情,甚至为了省下广告公司的咨询费,还亲手画了包装箱上的“联想E系列电脑”几个大字。 1994 年 5 月 10 日,“E系列”批量上市,一个月后,公司财务报表第一时间递交给柳传志过目:微机事业部已销售联想微机 5500 套;1994 财年第一季度微机销售指标提前 15 天完成。 此后刘军扶摇直上,到了 1996 年便直接向杨元庆汇报工作。 那是刘军在联想最怀念的一段时光,但这只能证明他是个大才,不是大将,真正奠定他在联想地位的是 1999 年的天禧电脑。 当时刘军已经是联想台式电脑事业部总经理。当着杨元庆的面,他敢跟负责制造的总经理拍桌子,气得杨元庆转身就走。后来他拿着 1300 万的天价预算主持研发天禧电脑,在内部也普遍被质疑。 当然结果最重要。天禧上市时,给联想创下了一个月 3000 万的利润,并带动联想电脑在 1999 年第三季度以 8.5% 的市场占有率成为亚太区销量冠军,联想的股价也于同期飙升了 30%。 总之,联想电脑能够在 2001 年拿下将近 30% 的中国市场,到达市场顶峰,功劳簿那一笔是必须给刘军记上的。 刘军在清华时是校篮球队唯一一个非体育特招生,长得人高马大,眉清目秀,在外人看来,不像电脑工程师,倒像个明星,做联想 VP 的那段时间,他天天和知名校友高晓松混在一起,高后来还在《如丧》中调侃道: “清华男生是典型的两极分化荤素不均,绝大部分男生的恋爱名额被极少数的坏人消费,刘军、宋柯都是那极少数......他们还有个本事,就是骗过那么多好姑娘,那帮姑娘竟然没一个说他们丫坏话的,并且仿佛还挺他妈留恋。 ” 过硬的研发能力,出色的外形,柳传志看中的却不是这些,刘军之所以能成为他心中那种全面的企业领导者,有赖于 2004 年戴尔大军压境时,刘军作为急先锋打的那场守卫战。 战争是在一片哀鸿声中开始的,当时的戴尔如日中天,横扫了欧美市场,联想虽然有主场优势,但外界依然认为他们抗衡不了戴尔的直销模式。 比舆论更为凶险的是,当时 IBM 找上门来谈收购,根据协议,联想收购款必须一半现金,一半股价,因此,若此役告负造成联想股价大跌,收购成本对联想来说将是无法承担之重。 正是那一年,刘军被委以重任,开始负责集团企划系统与运作系统工作,协助杨元庆制定集团发展战略、推进集团运营管理,以及负责集团的采购、商务、物流、质量和生产制造等供应链管理工作。 换句话说,后来被柳传志称为打赢戴尔的关键战略——双业务模式,刘军既是策划者,又是执行者。

  • Google推出全球分布式关系数据库服务Cloud Spanner,为I/O 2017大会献

    Google今日正式推出了其最新的全球分布式关系数据库服务Cloud Spanner。据称,这项企业数据库服务支持ANSI 2011 SQL标准和ACID协议,拥有高达99.999%的可靠性和极强的兼容性,同时还具备低延迟的特性。 Google于3个月前首次推出了Cloud Spanner的试用版。该服务的前身是Google于2012年备案的Spanner软件,已经在内部使用多年。如今,用户也可以使用这款软件来支持Google Play和AdWords了。 得益于Google全球网络上的原子钟和GPS接收器,Cloud Spanner拥有出色的准确性、可靠性,同时还能在完全托管的情况下提供出色的性能。Google表示,Cloud Spanner目前已经在为包括客户认证系统、业务交易和库存管理系统,以及需要低延迟和高吞吐量的大容量媒体系统在内的云端关键应用提供支持。 Google已经和Alooma、Informatica、Xplenty三家数据集成公司达成合作,帮助企业进行数据迁移。另外,Google还在积极推行免费试用活动,以便潜在客户能够第一时间体验到关系数据库的强大功能,而无需建设和部署基础设施。 Google此举意在抗衡其在云服务市场的两大劲敌——亚马逊和微软。此前,亚马逊的Web Services(AWS)已经提供了与MySQL兼容的Aurora关系数据库,以及关系数据库服务(RDS)。 Microsoft Azure则提供了Azure SQL数据库,以及虚拟机(VM)上的SQL Server。 就在上周的Build 2017开发者大会上,微软发布了一系列关于Azure的公告。而与此同时,Google正快马加鞭,以抢在今天开幕的I/O 2017大会前发布Cloud Spanner。

  • 民航局:将开展无人机四项专项整治工作,6月1日起采用实名制

    雷锋网5月17日消息,民航局昨日召开新闻发布会,表示根据国家空管委的要求,中国民航局将开展无人机四项专项整治工作,分别为民用无人机实名登记注册;发布民用机场保护范围数据;逐步规范无人机开展商业运营的市场秩序;调动行业、部门力量配合配合地方政府、公安建立联防联控机制;加大宣传力度。其中,无人机实名制引发了广泛关注。雷锋网三月份曾报道,民航局局长冯正霖表示将会研究推行无人机实名制管理方式。而昨日,中国民航局空管行业管理办公室副主任张瑞庆宣布,目前已经初步完成了民用无人机登记注册系统的开发。据悉,系统将于18日上线运行,6月1日正式对质量250克以上的无人机实施登记注册。此外,还在建立无人机登记数据共享和查询制度,以实现与无人机运行云平台的实时交联。据了解,实施细则具体在《民用无人驾驶航空器实名制登记管理程序》讨论稿中。文件由中国民用航空局航空器适航审定司制定出台。该司负责管理“中国民用航空局民用无人机实名登记信息系统”。细则表示,自2017年6月1日起,购买民用无人机的拥有者必须按照本管理程序的要求进行实名登记。对于在2017年6月1日前购买的民用无人机,其拥有者必须在2017年8月31日前完成实名登记。而未按照本管理程序实施实名登记和粘贴登记标志的民用无人机拥有者,无人机的使用将受影响,监管主管部门将按照相关规定进行处罚。无人机实名登记系统用户需要在“无人机实名登记系统”网站(网址暂定UAS.CAAC.GOV.CN)中填报拥有者的姓名、单位名称和法人姓名;个人有效证件号码(如身份证号、护照号等)或单位统一社会信用代码或者组织机构代码;移动电话和电子邮箱;产品型号、产品序号;使用目的。无人机生产商需要在实名系统中填报其产品的名称、型号、最大起飞重量、空机重量、产品类型等信息。无人机厂商会在产品外包装明显位置和产品说明书中,提醒拥有者在“无人机实名登记系统”中进行实名登记,警示不实名登记擅自飞行的危害,并随产品提供不干胶打印纸,供拥有者打印“无人机登记标志”。

  • 全球WannaCry勒索病毒爆发背后的技术漏洞

    5月12日晚,新型“蠕虫式”勒索病毒软件 WannaCry 在全球爆发,攻击各国政府,学校,医院等网络。我国众多行业大规模受到感染,其中教育网受损最为严重,攻击造成大量教学系统瘫痪。国内部分高校学生反映电脑被病毒攻击,被攻击的文档将被加密。 据统计,病毒是全国性的。5月13 日凌晨 1 时许,记者从山东大学官方微博看到,微博中发布了一条"关于防范 ONION 勒索软件病毒攻击的紧急通知 "。    金山毒霸安全中心监测到Onion/ wncry敲诈者蠕虫病毒在全国大范围内出现爆发传播趋势,并发布紧急预防措施。       针对境外黑客组织Shadow Brokers爆出微软高危方程式漏洞,天翼云也发出Windows高危漏洞通知,强调WannaCry等攻击者可以利用工具对通过135、137、139、445、3389端口获取Windows系统的操作权限,为保证您的数据及业务安全,强烈建议您用户进行安全整改,以保证您的服务器安全。    WannaCry事件描述 经过分析,WannaCry 勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010,微软已在今年3月份发布了该漏洞的补丁。 Win7以上所有版本目前已有补丁,但是Win7以下的Windows XP/2003目前没有补丁。对于开放445 SMB服务端口的终端和服务器,确认是否安装了MS17-010补丁,如没有安装则受威胁影响。 Windows系统一旦被WannaCry病毒感染后,会弹出一下对话框,攻击者需要支付比特币来恢复文件。    目前,国内多个政府网和教育网大量出现WannaCry勒索软件感染情况,一旦磁盘文件被病毒加密,只有支付高额赎金才能解密恢复文件,目前技术还无法解密该勒索软件加密的文件。

  • 微博第一季度营收13.7亿元 广告收入占85.4%

    【TechWeb报道】 5 月 16 日消息,微博今日公布了截至 2017 年 3 月 31 日的第一季度未经审计的财务报告。财报显示,第一季度微博营收达13. 7 亿元,同比增长76%,净利润同比增长278%。 财报显示,微博一季度广告营收达到11. 7 亿元,同比增长80%。其中,品牌广告营收同比增长89%,中小企业和自助广告营收同比增长97%。视频广告也在成为微博广告收入重要的增长点。一季度微博视频广告客户数环比增长50%。 截至 2017 年 3 月 31 日,微博月活跃用户达3. 4 亿,日活跃用户也同步增至1. 54 亿。 此前Twitter公布,第一季度的月活跃用户为3. 28 亿,在月活跃用户这个核心数据上,微博已经超越了Twitter。 微博首席执行官王高飞表示:“我们专注于提供中国最好的社交媒体服务,促成了微博强劲的第一季度业绩。 我们一季度的营收同比增长67%,依据固定汇率计算这一增长率将达76%,我们第一季度调整后的EBITDA利润率达到35%。微博 2017 年 3 月的月活跃用户数达到3. 4 亿。展望未来,我们预计将继续保持强劲增长势头,进一步优化微博分享、发现和消费信息的竞争力,特别是在移动、社交和视频的场景中。” 2017 年第一季度成本和开支总计1. 434 亿美元,上年同期为1. 121 亿美元。 2017 年第一季度非美国通用会计准则成本和开支为1. 325 亿美元,上年同期为1. 034 亿美元。非美国通用会计准则成本和开支的增长主要因为营销开支增长,以及营增长导致的增值税增加。 2017 年第一季度运营盈利为 5590 万美元,上年同期为 720 万美元。 2017 年第一季度非美国通用会计准则运营盈利为 6670 万美元,上年同期为 1590 万美元。 微博预计 2017 年第二季度净营收将在2. 40 亿美元至2. 50 亿美元之间,这一预期假定人民币对美元汇率的均值为6.9。上述预期体现的是微博当前的初步判断,未来可能进行调整。(周小白)

  • 除了勒索病毒:美国还有这些网络杀器

    尽管美国国安局(NSA)表示“勒索病毒并非自己所研发,而是被居心不良的人所开发。”但来自安全机构的调查发现,NSA在这起事件中确实需要承担一定责任。 网络安全公司俄罗斯卡巴斯基实验室和美国赛门铁克公司 15 日表示,这个勒索软件可能与一个叫“拉扎勒斯”的黑客组织有关,在这次网络攻击中,他们利用从此前泄露的美国国家安全局(NSA)网络武器库中的黑客工具“永恒之蓝”制作了恶意勒索软件。 那么,除了勒索病毒之外,NSA手中还握有哪些网络武器呢? 卡巴斯基实验室发现,NSA至少掌握了蠕虫病毒、硬盘病毒、间谍软件、基于网络展开攻击等多种攻击手法。比较有代表性的包括以下几种: Fanny蠕虫病毒,这是一种非常厉害的蠕虫病毒,使用了一种独特的基于USB的控制机制,主要通过U盘感染来实现。可以入侵有网闸隔离的网络。 “震网”病毒,这种病毒是首个专门针对工业控制系统编写的破坏性病毒,其中含有Fanny蠕虫病毒的漏洞入侵技术,能够利用对Windows系统和西门子SIMATIC WinCC系统的 7 个漏洞进行攻击,据称由美国与以色列共同研发。 PHP入侵代码,NSA下辖组织曾被发现利用恶意PHP入侵代码攻击Oracle的Java软件框架或IE浏览器中的漏洞,其最大的特点就是能够只对特定目标造成感染,就像是现实战场中的“精确打击”。

  • 设计思考|利用控制感,为用户体验加分

    1. 以塑造行为为目的的交互设计 无论商业产品以什么形态呈现在我们面前,其核心的一个目的就是:“希望潜在用户,作出有利于其本身的行为”。举个通俗的例子:“超市” 促销商品,特别是以某种主题促销(如中秋,圣诞,洗护,婴童等)的商品都放在超市进门最醒目的位置。其目的是让你一下子感知到:“来对了”。 生鲜区,蔬菜、水果都是利用较大的容器、平台展示,以通过大面积的、鲜翠欲滴、高饱和的色彩来愉悦心情并吸引你将它们放入你的购物车。 货架上你最方便伸手可得的商品是利润率最大的商品。是因为在品牌识别率不高、商品功能相同、价格相差无几时,顾客往往会为了省一点事将最容易拿到的商品放入购物车。 结账区往往放置一些小体积的儿童玩具、零食什么的,以等待着成为家长安抚孩子的工具。 当然,还有烘培区的一些列故意的设计。 如果将超市定义为一个产品形态的话,其以上的各种方法都是为了(方便)让顾客做出有利于超市的行为,即“购买”。如今做为互联网行业的从业者,互联网技术将我们所服务的产品形态从真实存在的物理空间挪移到了一方电子屏幕中。做为交互设计师,我们的工作内容就非常类似于商超空间规划师、商品布置设计师、购物路线规划员等。我们的核心目的就是让用户在我们的设计(建议)下做出那些有利于产品的行为,并且在情感上自愿的、高兴的、被尊重的。这也正是我们所追求的用户体验。 既然核心目的是塑造行为,那么首先要知道行为从何而来,又去往何处?答案会有很多,“控制感”就是其中之一。 2. 我们需要控制感 什么是控制感呢?通俗的说:当你使用某一个工具(产品)时,通过自己的操作达成了你期望的目的而产生的掌控感和胜任感以及操作过程中的安全感就是控制感。 控制感的对立面就是挫败感,如:“当你使用打印机时,由于不熟悉其操作方法,经常会出错、失败,无法达成自己打印的目的,这个过程所带来的就是挫败感。挫败感伴随的是使用产品前的恐惧,以及使用产品时的低效和不准确性,多次的挫败感还会来带习得性无助,最终导致放弃使用产品。 目前关于控制感的研究分为两个方面,分别为: 2.1. 首要控制和次要控制 首要控制:个体努力改变环境来满足自身需要时所体验到的掌控感和胜任感,强调行为和结果 次要控制:当个体处于一种低控制情境之中时, 自身的努力无法达到预想的结果和目标, 个体通过对自我的调节来努力接受现实状况并且适应环境,强调自我调节、理解和使用辅助工具。

  • 时间就是一切:用数据告诉你向受众推送的时间

    当我们与顾客沟通时, 我们总是特别在意措辞和媒介, 但却忽视了沟通的最佳时机。 一部分原因是因为“最佳时机”存在诸多变量。如果创作一条内容,需要配合所有顾客的生活习惯,地理位置,照顾他们的设备和所处环境,这将是一项艰巨异常的任务。这就是为什么这么多人根本不想这么麻烦自己,这也就是为什么你会在凌晨 3 点收到一封“我们很久没有听到你的消息了”的邮件。 如果这些变量让你头昏脑涨,不要绝望。根据intercom的百万条推送消息的分析结果来看,我们发现你可以遵循一些步骤来保证多数人收到你的消息时是在恰当的时机。 开始之前先做一个背景说明: intercome是一个B2B的产品,我们的数据集中关注信息何时被打开。这些结果更多来自用户点击时间点,和一些信息的回复时间。这些数据可以用来衡量推送消息时间的准确度,但并不能表示所有类型的消息都可以通用。 那我们来看看这些数据。 忽略推送媒介,intercome所推送消息打开高峰在早上 10 点到早上 11 点。这也跟我们认为的一般行为相符合。大部分人会在早上快速浏览邮件和各类通知,然后选择留档(或者忽略)那些紧急的(或者无关)的信息,然后他们返回工作岗位。 如果我们对这些数据按照APP和email的推送进行分类,事实变得有趣起来。比如,我们看一下通过APP和email的每日打开率对比。 早上 10 点到 11 点是intercome上的邮件打开高峰期。当像我这样的营销人看到这个表时第一反应就是:让我们就他们 9 点到办公室以前推送消息吧! 但这个波动只能告诉我们部分事实。从早上 10 点到下午 4 点,邮件的打开率远远高于APP打开率。在email的比例中可以看到明显的峰值,但在APP里一整天的趋势都相对平缓。比较一下上午 9 点和下午 3 点的数值,还是很稳定的,对不对? 周二和周四, 在邮件推送中是存在机会窗口的。 也就是说,你的消息会有很高的几率被打开。但如果你需要的是全天的稳定打开,考虑一下APP推送吧。 通过下面的表格我们可以检测到一周打开率变化的数据: 在周二和周四的上午 10 点到下午两点邮件有很高的几率被打开,但在APP里一整周的打开率都相对平缓。举个例子,如果是在周五,APP上推送消息的效果就会好于email。还有就是,下午稍晚点的时间,email的效果似乎就比邮件好那么一丢丢。这说明了什么? 就像我们开头说的,这些图表仅仅是能检测推送消息时机的数据测量点。但并没有所谓的全球统一的推送时间,我们观察到的这些行为可以在我们寻找合适推送时机上得到一些验证。至少,不会让你的信息在抵达时用户发出WTF的感叹。

  • 子域名枚举的艺术

    写在前面的话     当我们在查找某个域名的有效子域名时,我们通常需要使用子域名枚举这项技术。但是,除非DNS服务器暴露了完整的DNS空间(涉及到AXFR协议),否则我们真的很难拿到目标域名的子域名列表。目前主要的技术是使用一个常用域名的字典,并通过对每一个域名尝试进行解析来查找子域名。虽然这种方法在某些情况下非常有效,但是对于那些名字非常奇怪或罕见的域名来说,这种方法就没多大用了。另一种方法就是利用网络爬虫来爬取二级域名,并尝试搜索出子域名的链接地址。当然了,还有一种更加快速的方法,即直接使用搜索引擎。 子域名枚举是网络侦查阶段的一个重要组成部分,在进行攻击之前,网络攻击者需要映射出目标网络的整体结构,并尝试找出一个薄弱点来访问服务器所在的内部网络。 举例说明     在完成了子域名枚举这一过程之后,攻击者在目标DNS空间中找到了下面这个子域名:blog.example.com。攻击者在对Web应用层进行了深度分析之后发现,这个博客使用了Wordpress来作为内容管理系统。那么接下来,攻击者就可以使用wpscan来扫描Wordpress漏洞了。幸运的是,目标网络的Wordpress实例使用了一个存在漏洞的插件,而攻击者可以利用这个插件漏洞来访问目标服务器和内部网络。虽然这个例子听起来有些夸张,但这是一个出现在巴拿马文件中的真实例子。 接下来,我们会给大家介绍几款目前最流行的开源子域名枚举工具以及相关技术。 DNS域传送技术 最简单且最基础的技术就是直接向DNS服务器发送AXFR请求: dig @ns.example.com example=.com AXFR     DNS域传送技术可以帮我们拷贝主DNS服务器和二级DNS服务器的内容。因此,我们建议各位网络管理员禁止服务器接收来自未认证DNS服务器的AXFR请求,这样就可以防止这种攻击技术了。 注:与DNS域传送技术类似的一项技术名叫NSEC攻击,而这种技术可以枚举出DNSSEC签名空间。 Google     是时候让Google登场了!没错,我们可以使用各种各样的操作符来优化我们的搜索语句。正如之前所述,我们可以使用网络爬虫来爬取目标站点的子域名,而Google和Bing这样的搜索引擎同样可以帮助我们实现这个目标。我们可以使用“site”操作符来寻找目标站点的子域名: site:example.com

  • 英特尔曝高危漏洞,存在近十年未修补

        一个高危漏洞存在于英特尔芯片近十年,并且早在几年前,就有机构提醒过该漏洞的存在,然而英特尔近日才公布,这究竟是什么原因导致?恐怕只有他们自己知道。     5月1日,英特尔(Intel)公司公布了一个严重高危(Critical)级别安全漏洞,攻击者可以利用该漏洞进行 英特尔产品系统的远程控制提权。漏洞影响所有英特尔企业版服务器和综合利用技术,涉及版本号为 6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6 系列的所有固件产品。这意味着英特尔近十年来的固件芯片都会受到影响!     据小编了解,该漏洞主要存在英特尔管理引擎(ME )的主动管理(AMT)、服务器管理组件(ISM)、以及英特尔小企业技术(SBT)中,普通个人电脑 PC 由于没有相应模块,所以不会被远程控制提权。     “我们向英特尔反映了多年!”     英特尔发布公告后,国外科技曝料网站 Semiaccurate 发布文章表示:     我们近年来一直恳求英特尔公司尽快修复该漏洞,然而他们现在才后知后觉。     Semiaccurate 声称自己 5 年前就开始向英特尔公司提这个漏洞,英特尔公司10年来对该漏洞不屑一顾,选择现在进行公布修复,可能是的确受到一些重大影响而不得不承认的举措。     Semiaccurate 指出了漏洞的原因:     Intel 芯片中有一个独立于 CPU 和操作系统的微处理器,叫做英特尔管理引擎 Intel Management Engine,简称 ME。多种技术都基于ME,包括代码处理、媒体DRM、可信平台模块TPM等。     ME 是一个有别于 CPU 的独立系统,它可以在不受 CPU 管控下通过搭配 AMT (英特尔主动管理技术)等技术用来远程管理企业计算机。     据小编()了解,AMT 技术允许 IT 技术员远程管理和修复联网的计算机系统,它能够自动执行一个独立于操作系统的子系统,使得在操作系统出现故障的时候,管理员能够在远程监视和管理客户端、进行远程管理和系统检测、软硬件检查、远端更新 BIOS 和病毒码及操作系统,甚至在系统关机的时候,也可以通过网络对服务器进行管理操作。     Semiaccurate 在其文章中特别强调了一点,暗示英特尔在芯片中故意留有后门:     尽管英特尔对 ME 有着很多官方说明,但 ME 技术架构一直是英特尔不愿谈及的话题,因为没人真正知晓该技术的真正目的,以及是否可以做到完全禁用等。     而英特尔发言人则表示,该漏洞编号为 CVE-2017-5689,于3月底由安全研究者 Maksim Malyutin发现并提交。目前,固件升级补丁正在开发中,后期补丁的推送和分配必须由制造商加密签名和其它配合。希望与设备制造商积极合作,在接下来几周能尽快向终端用户提供固件升级补丁。英特尔方面目前并未发现利用该漏洞的攻击案例。     也有人指出,之所以英特尔忽略 Semiaccurate 的漏洞预警,很可能是因为 Semiaccurate 只是向英特尔强调 ME 这个架构存在“漏洞风险”,没能指出或者证明这个漏洞的存在。而直到今年3月底安全研究者 Maksim 提交了该漏洞,英特尔便在一个月左右公布并提出了相应解决方案。

  • 除了产品经理,员工需要产品思维吗?

        公司生产的工具是产品;设计师创作的设计稿是产品;财务部门制作的报表是产品;Leader带出来的团队是产品;CEO管理出来的公司也是产品……甚至我们每一个人,既是产品的创造者,又是产品本身。 一、我的产品观1、如何定义“产品”?     从某种意义上说,人类创作的万事万物皆产品。     公司生产的工具是产品;设计师创作的设计稿是产品;财务部门制作的报表是产品;Leader带出来的团队是产品;CEO管理出来的公司也是产品……甚至我们每一个人,既是产品的创造者,又是产品本身。     这就是我所定义的最广义的产品观。一切由我创造的,提供给别人或自己使用,并将产生后续价值的事物都应该被视为产品。所以,对产品负责不仅是对你所创造的事物负责,也是对自己,对他人,对整个团队,对用户,甚至对全人类负责。 2、产品基因与生命周期     尽管产品不是一个生物体,却也逃不出生死轮回的宿命。当然,产品之死,不一定就是完全地消亡,有可能对应于迭代或升级,或者以另一种方式延续。     每一种产品都存在生命周期。在多数情况下,我们都会尽量追求产品生命周期的不断延续,希望这种产品永生不死。产品生命周期的长短受制于太多的环境和人为因素。但其中首要的决定性因素就是产品的种类和内在特质,我将其定义为“产品的基因”。     何为“产品的基因”?就是产品与生俱来的产品特质。     每种产品都具有独特的产品基因。我们可以将其类比于自然界中不同物种之间的差异性。单细胞生物不知晦朔,朝生夕死;草本植物不知春秋,生不满载。而所谓“十年树木、百年树人”,木本植物的生命往往能维系几十、上百年。但是,如果以数量而论,则完全是另一种景象,地球上草的总量远远多于树,单细胞生物的数量与草的数量则完全不在同一个数量级。这就是自然界的生态法则。 市场上的产品分布也大概遵循类似的规律。     昙花一现的产品很多,虽然也曾流传甚广,风行一时(事实上,这种传播和推广往往是超负荷运行的),但是很快就消失殆尽了,并且难以“死灰复燃”。以脸萌为例,它虽然也曾风光无限,但生命周期不过1个月左右。风潮过尽,如果今天谁还在使用“脸萌”,可能大家多半会觉得“有点Low”。当用户已经不再认同某种产品或某种流行趋势,基于此的产品基本上也就永久消亡了。     反观一些基础产品,虽然可能从未经过这样一个浪潮期,却能长期承载用户,存活很长时间,例如操作系统,系统软件,基础软件等。 正如不同的物种构成了自然界的生态链,琳琅满目的产品所组成的产品市场也有自己独特的生态属性。而产品的基因属性直接决定了该产品归属于生态链中的哪一级。     硬件产品、操作系统等底层应用,例如基于PC端的Windows、Linux、Mac OS,基于移动端的Android、iOS等,基本处于生态系统的最底层,构成核心和基础。系统工具处于系统层之上,生命周期和系统层接近,例如Windows中的Visual Studio,苹果的Object C等开发环境;再上层是基础工具层,例如Office和PS等。而一些具体的应用则在这个基础之上生长,举不胜举。     总体而言,处于上层的轻型内容和应用往往容易传播,但生命周期比较短;而处于下层的基础内容和应用,传播成本更大,但是一旦被广泛使用,生命周期会比较长。当然具体的产品千变万化,还要具体分析。

  • 赛门铁克新研究:只要联网2分钟,你的智能设备就被黑客控制

    刚刚买来的家庭摄像头,你只能拥有两分钟。 因为一旦接入网络两分钟,它就很可能已经被黑客控制了。 互联网就像一片海洋,但如今这片海洋里已经满是危险的生物。根据安全公司赛门铁克最新的研究,黑客不断利用恶意程序对全网进行扫描,只要你的物联网设备接入了网络,平均2分钟就会被黑客接管。 这不是危言耸听。摄像头看起来没有任何变化,只是黑客已经可以控制它转向,得知你登陆摄像头的所有密码,随意监视摄录你的房间。     几百万,上千万摄像头被掌握在黑客手里,不仅可以监视你的起居作息,还可以利用你家的网络对外发起任意的流量攻击。这些设备组成了“僵尸网络”,黑客通过这些获取了源源不断的黑色收入。     2016年,由物联网病毒之王 Mirai 控制的僵尸网络毫无征兆地攻击了美国互联网,造成东西海岸大面积断网长达半天。实际上,只要黑客们愿意,可以分分钟打掉任何一个网站。而吃瓜的你并不知道,黑客的每一次进攻,他们赚的每一分钱,他们买的每一辆玛莎拉蒂,都有你家设备的贡献。     让人泄气的是,这些摄像头、路由器等物联网设备的安全状况处在极其“坑爹”的状态,很多设备都使用了“admin”或者“root”这样的通用密码,并且一大部分还把密码写死在了硬件里,没办法更改。至于这些硬件的系统,大多更是没有任何加固,也没有升级更新的机制。对于很多黑客来说,搞定他们只需要动动小手指。     赛门铁克公司大中华区首席运营官罗少辉说,目前仅仅基于 Mirai 病毒的家族变种已经高达17个。这些就像是怪兽在网络世界结下的恶巢,不断扩张,直到有一天掐住每个人的咽喉。根据 Gartner 的预计,到2020年,全球的物联网设备数量将达到200亿台。难以想象 200 亿台设备被黑客控制,将是怎样可怕的场景。     在你的印象中,黑客可能只是躲在阴暗房间里吃薯片的死肥宅。但是赛门铁克最新的《互联网安全威胁报告》揭示了一个残酷的真相:大多数黑客已经集结成军,成为有组织,有诉求的庞大团体。而他们的对手,还是手无寸铁并且懵然无知的你们。     如果你仍然觉得网络世界里面的黑暗势力和你无关,那么接下来的事情也许会让你更清晰地感觉到他们的存在。     美国大选前夕,希拉里竞选团队的邮箱被黑客攻入,泄露了大量的民主党精选内幕,看到内情的民众态度发生了180度大转弯,导致本来领先的希拉里团队优势迅速缩小,直到最后,特朗普团队赢得美国大选。     更可怕的是,这帮黑客的肉身直到现在都没有浮出水面。但是却已经成功改变了美国和全球的政治走向。     另外,根据赛门铁克早些时候发布的报告,有证据表明朝鲜黑客实施了2016年震惊世界的银行大劫案。     2016年,孟加拉银行通过世界银行转账系统向斯里兰卡和菲律宾的目标转账10亿美金,但是银行的工作人员无意中发现收款方的名字被写错了,仔细查看才发现,这根本就不是孟加拉银行发出的转账请求,而所有的指令都是黑客伪装发送的。在银行系统拦截之前,已经有超过8000万美元成功被转出,并且通过赌场被洗得干干净净,无可追寻。     如果真如赛门铁克所言,是朝鲜黑客盗窃了这笔巨款,那么所有防护不严的系统也许都客观上为朝鲜核武器试验捐了款。     改变国际政治格局已经成为了黑客的目标,而主权国家也全速杀进赛博世界成为“正规军”。     这就是世界互联网安全的现状。 赛门铁克公司大中华区首席运营官罗少辉(Victor Law)     在和媒体的沟通中,罗少辉还为雷锋网分享了一些数据:     近些年,被黑客攻击的银行不仅孟加拉银行一个,还有包括越南、厄瓜多尔、菲律宾、波兰在内的30多个国家的104家银行。     2014年全网每244封邮件中,就有一封是恶意邮件;2016年,这个比例达到了每131封邮件中就有一封恶意邮件;而在中国,每63封邮件里就有一封恶意邮件。     2016年全网有4.01亿个独特的恶意软件。其中89%在2016年首次出现;20%的恶意软件可以感知虚拟机,从而可以和反病毒软件对抗;4%使用了云服务,3%可以时时接受黑客指令,1%使用了暗网中的洋葱路由(Tor)。     企业的 CIO 以为自己企业只使用了 30-40 个云服务,但是仔细排查发现,算上员工私人使用的云服务,一个企业采用的云服务数量达到了928个,这就造成了企业安全人员对自己的安全状况一无所知。     2016年,新型勒索软件家族数量是往年的三倍以上,达到了101个。     2016年,在勒索软件的攻击目标中,个人占到了69%,企业占31%。平均勒索金额从2015年的294美元飙升到了1077美元。

  • 互联网金融支付应把安全放在首位

    目前,互联网金融支付模式主要有两大类:   一类是独立第三方支付模式,是指第三方支付平台完全独立于电子商务网站,不负有担保功能,仅仅为用户提供支付产品和支付系统解决方案,以快钱、易宝支付、汇付天下、拉卡拉等为典型代表。   另一类是以支付宝、财付通为首的依托于自有B2C、C2C电子商务网站提供担保功能的第三方支付模式。货款暂由平台托管并由平台通知卖家货款到达、进行发货;在此类支付模式中,买方在电商网站选购商品后,使用第三方平台提供的账户进行货款支付,待买方检验物品后进行确认后,就可以通知平台付款给卖家,这时第三方支付平台再将款项转至卖方账户。   显然,伴随着传统互联网、移动互联网及电子商务的飞速发展,我国网络支付业务呈现蓬勃发展态势,极大地促进了各类支付机构的发展,也进一步推动了网络支付产品的普及与创新。尤其,互联网金融支付显示了快捷、方便等特点,极大地突破了传统金融支付的局限性,克服了客户体验不够好、不能充分满足客户需求等不足,延伸了支付触角,拓展了支付范围,成了无所不能、无所不及的“万能”支付工具,给民众支付生活带来了极大的方便,越来越受到广大消费者青睐和称赞。   然而,互联网金融支付作为一种新事物,其本身不仅存在不尽完善之处,甚至还存在不少支付缺陷或漏洞,因此这些缺陷给消费者资金安全带来了很大隐患,并造成一定损失;且这些隐患和损失比传统金融支付更大、更难掌控,这是互联网金融衍生的副产品,政府职能监管部门须引起高度重视。   从目前看,互联网金融支付存在如下缺陷或漏洞:客户信息安全存在泄漏风险、各类盗刷卡片现象频发、风险监管与检查存在真空地带等问题,特别是近两年,各类风险案件呈现高发态势,对于客户资金安全、电子支付市场稳定乃至金融安全造成了一定影响。   互联网金融支付风险隐患具体包括六方面:   首先,支付账户管理要求不清,处于金融监管真空地带。从金融范畴来看,账户应是本人开设在银行体系内,归属本人且可以根据本人意愿有效支配资金的户头,是金融体系的核心基础。但是支付账户的出现打破了整体金融体系构架:一方面支付账户游离于金融账户管理范畴外,客户可以随意在任一支付机构网站,通过互联网进行申请,且无需通过面对面核身要求即可开立,缺乏实名制验证等要求,不利于反洗钱和反恐怖融资等相关要求,存在较大隐患;另一方面支付账户中的资金监管存在灰色地带,即客户从银行账户转入支付账户的资金,只有在支付机构体系内显示是属于客户本人的资金,从银行体系内无法体现客户对于资金的所有权,存在较大资金风险。   其次,支付账户功能存在跨界问题,易形成系统性金融风险。现行支付机构业务范围已突破了货币资金转移单一功能,逐步覆盖至资金账户开立、资金借贷存储、转账取现、公共事业类缴纳、理财投资担保等,基本等同于银行账户的一般功能,但却游离于金融账户监管体系之外,且支付机构对于前述的类金融服务尚缺乏完整业务监管体系与风险承担机制,极端情况下,可能会造成连锁反应,如果一旦风险一旦蔓延,将迅速传导,对支付体系、信贷体系乃至整个金融体系的安全造成严重影响。   再次,支付账户存储海量客户信息,存在巨大安全隐患。网络支付业务飞速发展同时,各类新型风险案件与作案手法也层出不穷,其核心的问题就在于客户信息安全性管理缺失。支付机构的支付账户掌握了大量客户真实身份信息诸如证件号码、手机号码等,同时还掌握了客户大量支付信息诸如银行卡号、有效期、CVV2等,一旦发生系统问题将导致客户信息大量泄漏,存在极大的风险隐患。   第四,监控体系尚不完备,易催生违规交易。一方面,由于业务管理体系与规范制度指导尚不健全,支付账户的交易易被多种非法违规利用,表现为虚假交易、套现、洗钱、欺诈等现象屡禁不止。另一方面,目前由于支付机构不向银行上送完整的交易信息(如二级商户名称、交易类型等),银行根本无法监控每笔交易的来源、实际用途、商户真实信息等,只能被动地为第三方支付机构提供清算服务,实际已造成客户交易资金使用处于监管真空地带,对于客户与商户都造成了一定损失,易造成社会大众对于网络支付业务不安全感。   第五,过度追求客户体验,风险与效益平衡较难把控。网络支付业务的发展是基于市场大众对其便利性的需求,从推出伊始普遍关注的焦点大多围绕于“客户体验”,而业务背后隐藏的风险较难发现。随着业务普及,各类问题特别是客户权益问题逐步展现,其背后所展现的正是客户对于网络支付业务风险性的认识盲区,客户对于网络支付安全性知识亟需加强。   最后,网络技术安全存在一定隐患,容易导致资金安全风险。网上银行的电子支付是在无纸化环境下进行的,这就必须从技术上确保数据传输的安全,保证交易数据不被窃取篡改。于是人们就开始质疑信息数字化后数据传输过程中信息丢失、重复、错序、篡改等安全性问题。   文/新浪财经意见领袖(微信公众号kopleader)专栏作家 莫开伟   随着网络信息技术日益发达,互联网金融发展亦日趋势繁荣与迅猛,而作为互联网金融重要承载手段的支付功能呈十分活跃之势。   目前,互联网金融支付模式主要有两大类:   一类是独立第三方支付模式,是指第三方支付平台完全独立于电子商务网站,不负有担保功能,仅仅为用户提供支付产品和支付系统解决方案,以快钱、易宝支付、汇付天下、拉卡拉等为典型代表。   另一类是以支付宝、财付通为首的依托于自有B2C、C2C电子商务网站提供担保功能的第三方支付模式。货款暂由平台托管并由平台通知卖家货款到达、进行发货;在此类支付模式中,买方在电商网站选购商品后,使用第三方平台提供的账户进行货款支付,待买方检验物品后进行确认后,就可以通知平台付款给卖家,这时第三方支付平台再将款项转至卖方账户。   显然,伴随着传统互联网、移动互联网及电子商务的飞速发展,我国网络支付业务呈现蓬勃发展态势,极大地促进了各类支付机构的发展,也进一步推动了网络支付产品的普及与创新。尤其,互联网金融支付显示了快捷、方便等特点,极大地突破了传统金融支付的局限性,克服了客户体验不够好、不能充分满足客户需求等不足,延伸了支付触角,拓展了支付范围,成了无所不能、无所不及的“万能”支付工具,给民众支付生活带来了极大的方便,越来越受到广大消费者青睐和称赞。   然而,互联网金融支付作为一种新事物,其本身不仅存在不尽完善之处,甚至还存在不少支付缺陷或漏洞,因此这些缺陷给消费者资金安全带来了很大隐患,并造成一定损失;且这些隐患和损失比传统金融支付更大、更难掌控,这是互联网金融衍生的副产品,政府职能监管部门须引起高度重视。   从目前看,互联网金融支付存在如下缺陷或漏洞:客户信息安全存在泄漏风险、各类盗刷卡片现象频发、风险监管与检查存在真空地带等问题,特别是近两年,各类风险案件呈现高发态势,对于客户资金安全、电子支付市场稳定乃至金融安全造成了一定影响。   互联网金融支付风险隐患具体包括六方面:   首先,支付账户管理要求不清,处于金融监管真空地带。从金融范畴来看,账户应是本人开设在银行体系内,归属本人且可以根据本人意愿有效支配资金的户头,是金融体系的核心基础。但是支付账户的出现打破了整体金融体系构架:一方面支付账户游离于金融账户管理范畴外,客户可以随意在任一支付机构网站,通过互联网进行申请,且无需通过面对面核身要求即可开立,缺乏实名制验证等要求,不利于反洗钱和反恐怖融资等相关要求,存在较大隐患;另一方面支付账户中的资金监管存在灰色地带,即客户从银行账户转入支付账户的资金,只有在支付机构体系内显示是属于客户本人的资金,从银行体系内无法体现客户对于资金的所有权,存在较大资金风险。   其次,支付账户功能存在跨界问题,易形成系统性金融风险。现行支付机构业务范围已突破了货币资金转移单一功能,逐步覆盖至资金账户开立、资金借贷存储、转账取现、公共事业类缴纳、理财投资担保等,基本等同于银行账户的一般功能,但却游离于金融账户监管体系之外,且支付机构对于前述的类金融服务尚缺乏完整业务监管体系与风险承担机制,极端情况下,可能会造成连锁反应,如果一旦风险一旦蔓延,将迅速传导,对支付体系、信贷体系乃至整个金融体系的安全造成严重影响。   再次,支付账户存储海量客户信息,存在巨大安全隐患。网络支付业务飞速发展同时,各类新型风险案件与作案手法也层出不穷,其核心的问题就在于客户信息安全性管理缺失。支付机构的支付账户掌握了大量客户真实身份信息诸如证件号码、手机号码等,同时还掌握了客户大量支付信息诸如银行卡号、有效期、CVV2等,一旦发生系统问题将导致客户信息大量泄漏,存在极大的风险隐患。   第四,监控体系尚不完备,易催生违规交易。一方面,由于业务管理体系与规范制度指导尚不健全,支付账户的交易易被多种非法违规利用,表现为虚假交易、套现、洗钱、欺诈等现象屡禁不止。另一方面,目前由于支付机构不向银行上送完整的交易信息(如二级商户名称、交易类型等),银行根本无法监控每笔交易的来源、实际用途、商户真实信息等,只能被动地为第三方支付机构提供清算服务,实际已造成客户交易资金使用处于监管真空地带,对于客户与商户都造成了一定损失,易造成社会大众对于网络支付业务不安全感。   第五,过度追求客户体验,风险与效益平衡较难把控。网络支付业务的发展是基于市场大众对其便利性的需求,从推出伊始普遍关注的焦点大多围绕于“客户体验”,而业务背后隐藏的风险较难发现。随着业务普及,各类问题特别是客户权益问题逐步展现,其背后所展现的正是客户对于网络支付业务风险性的认识盲区,客户对于网络支付安全性知识亟需加强。   最后,网络技术安全存在一定隐患,容易导致资金安全风险。网上银行的电子支付是在无纸化环境下进行的,这就必须从技术上确保数据传输的安全,保证交易数据不被窃取篡改。于是人们就开始质疑信息数字化后数据传输过程中信息丢失、重复、错序、篡改等安全性问题。   由此,互联网金融支付,应把防范由监管技术不足引发的支付风险放在首位,始终牢记确保客户资金安全原则。