1. 項目管理制度總則

1.1 目的和依據(jù)

助項目團隊高效、協(xié)調(diào)工作、提高項目成功率，我們需要建立項目管理環(huán)境，包括規(guī)范項目相關(guān)職能部門的工作流程，強化管理中心的支持作用，并提供必要的幫助和指導(dǎo)。

助和監(jiān)督項目經(jīng)理充分利用公司資源管理好每一個項目，從而提升公司項目的整體管理水平。

為了提高組織的效率和競爭力，我們特別制定了這一交付能力制度。

1.2 適用范圍

本制度適用于公司軟件研發(fā)類項目的立項、策劃和實施階段。

項目監(jiān)控是項目管理中非常關(guān)鍵的一環(huán)，它可以幫助項目團隊及時發(fā)現(xiàn)項目執(zhí)行過程中的問題，并能夠及時采取相應(yīng)的措施進行調(diào)整。而項目實施結(jié)項是指在項目實施過程中，當(dāng)項目達到預(yù)期目標并且交付完畢時，項目團隊需要對整個項目進行總結(jié)和結(jié)算，以確保項目的完成和驗收。而項目運維過程則是指項目交付后的維護和支持階段，能夠保證項目交付物的長期穩(wěn)定運行。

公司的人力資源制度是公司內(nèi)部各項制度體系中非常重要的一部分。它與公司的其他制度體系如財務(wù)制度、生產(chǎn)制度、營銷制度等密切相關(guān)，共同構(gòu)成了公司的運行機制。人力資源制度通過管理和調(diào)動員工，影響著公司的生產(chǎn)效率、財務(wù)績效和市場競爭力。因此，人力資源制度與公司的其他制度體系密切相關(guān)，相互支持和協(xié)調(diào)，共同推動公司實現(xiàn)長期發(fā)展目標。

我們的制度與公司的財務(wù)制度、人事行政管理制度、合同及供應(yīng)商管理制度是相輔相成的。

組織結(jié)構(gòu)是公司的基本管理體制。

1.4 項目管理組織機構(gòu)

是公司項目管理的最高決策機構(gòu)，由董事長負責(zé)，委員會固定成員包括公司高管和業(yè)務(wù)部門領(lǐng)導(dǎo)。

公司根據(jù)項目性質(zhì)，可以決定是否需要任命特定成員，并在公司的OA系統(tǒng)中進行發(fā)布。

項目管理委員會決定邀請外部專家作為臨時委員加入。

項目管理委員會的職責(zé)包括但不限于以下內(nèi)容：

項目經(jīng)理的選拔和任命責(zé)任重大。

審查和批準項目總體計劃和預(yù)算。

決定項目的立項、中止、撤銷和結(jié)項。

合理調(diào)配項目間的共享資源，以確保項目所需的人員、設(shè)備、資金等資源能夠順利開展。

2項目管理制度

源；

收到項目辦的里程碑監(jiān)控報告。

負責(zé)做出對項目重大問題的決策；

做出決議，對項目總體計劃、項目成本預(yù)算等重大變更進行了審議。

負責(zé)確定項目利潤分配比例；

審批各部門項目獎金的分配比例，并匯總項目績效獎金的分配數(shù)是我的工作之一。

據(jù)；

審批各里程碑階段項目經(jīng)理的績效考核得分是我的職責(zé)之一。

負責(zé)批準項目實施結(jié)束的申請。

責(zé)協(xié)調(diào)和支持項目管理委員會的工作，包括項目規(guī)劃、資源分配、進度監(jiān)控和風(fēng)險管理等。

有成為項目管理者的基本素質(zhì)和能力，包括項目管理制度的建設(shè)、維護、運行、推廣和改進，以及項目實施的監(jiān)控與協(xié)調(diào)。

體職責(zé)是：

制定項目管理的各項制度。

制定和更新項目管理標準、方法、流程和模板；

根據(jù)公司戰(zhàn)略進行質(zhì)量保證（QA）和質(zhì)量管理（QM）建設(shè)；

根據(jù)項目管理體系和經(jīng)過控制的項目計劃，對項目的進度、問題和風(fēng)險進行監(jiān)控。

控和過程質(zhì)量保證；

管理人員應(yīng)當(dāng)對項目過程中的相關(guān)文件和數(shù)據(jù)進行歸檔監(jiān)控管理。

項目間的溝通管理與協(xié)調(diào)是任何成功項目的關(guān)鍵因素。有效的溝通可以幫助不同團隊之間協(xié)調(diào)一致，確保項目按時按質(zhì)完成。同時，良好的溝通管理也可以解決問題和沖突，促進團隊合作，提高工作效率。

DNS的核心工作就是將域名翻譯成計算機IP地址, 它是基于UDP協(xié)議實現(xiàn)的，本文將具體闡述DNS相關(guān)的概念，解析，調(diào)度原理（負載均衡和區(qū)域調(diào)度）等DNS相關(guān)的所有知識點。 @pdai

DNS簡介

域名系統(tǒng)并不像電話號碼通訊錄那么簡單，通訊錄主要是單個個體在使用，同一個名字出現(xiàn)在不同個體的通訊錄里并不會出現(xiàn)問題，但域名是群體中所有人都在用的，必須要保持唯一性。為了達到唯一性的目的，因特網(wǎng)在命名的時候采用了層次結(jié)構(gòu)的命名方法。每一個域名（本文只討論英文域名）都是一個標號序列（labels），用字母（A-Z，a-z，大小寫等價）、數(shù)字（0-9）和連接符（-）組成，標號序列總長度不能超過255個字符，它由點號分割成一個個的標號（label），每個標號應(yīng)該在63個字符之內(nèi)，每個標號都可以看成一個層次的域名。級別最低的域名寫在左邊，級別最高的域名寫在右邊。域名服務(wù)主要是基于UDP實現(xiàn)的，服務(wù)器的端口號為53。

域名層級結(jié)構(gòu)

注意：最開始的域名最后都是帶了點號的，比如 www.kernel.org. ，最后面的點號表示根域名服務(wù)器，后來發(fā)現(xiàn)所有的網(wǎng)址都要加上最后的點，就簡化了寫法，干脆所有的都不加即www.kernel.org，但是你在網(wǎng)址后面加上點號也是可以正常解析的。

域名服務(wù)器

有域名結(jié)構(gòu)還不行，還需要有一個東西去解析域名，手機通訊錄是由通訊錄軟件解析的，域名需要由遍及全世界的域名服務(wù)器去解析，域名服務(wù)器實際上就是裝有域名系統(tǒng)的主機。由高向低進行層次劃分，可分為以下幾大類：

• 根域名服務(wù)器：最高層次的域名服務(wù)器，也是最重要的域名服務(wù)器，本地域名服務(wù)器如果解析不了域名就會向根域名服務(wù)器求助。全球共有13個不同IP地址的根域名服務(wù)器，它們的名稱用一個英文字母命名，從a一直到m。這些服務(wù)器由各種組織控制，并由 ICANN（互聯(lián)網(wǎng)名稱和數(shù)字地址分配公司）授權(quán)，由于每分鐘都要解析的名稱數(shù)量多得令人難以置信，所以實際上每個根服務(wù)器都有鏡像服務(wù)器，每個根服務(wù)器與它的鏡像服務(wù)器共享同一個 IP 地址，中國大陸地區(qū)內(nèi)只有6組根服務(wù)器鏡像（F，I（3臺），J，L）。當(dāng)你對某個根服務(wù)器發(fā)出請求時，請求會被路由到該根服務(wù)器離你最近的鏡像服務(wù)器。所有的根域名服務(wù)器都知道所有的頂級域名服務(wù)器的域名和地址，如果向根服務(wù)器發(fā)出對 “pdai.tech” 的請求，則根服務(wù)器是不能在它的記錄文件中找到與 “pdai.tech” 匹配的記錄。但是它會找到 "tech" 的頂級域名記錄，并把負責(zé) "tech" 地址的頂級域名服務(wù)器的地址發(fā)回給請求者。
• 頂級域名服務(wù)器：負責(zé)管理在該頂級域名服務(wù)器下注冊的二級域名。當(dāng)根域名服務(wù)器告訴查詢者頂級域名服務(wù)器地址時，查詢者緊接著就會到頂級域名服務(wù)器進行查詢。比如還是查詢"pdai.tech"，根域名服務(wù)器已經(jīng)告訴了查詢者"tech"頂級域名服務(wù)器的地址，"tech"頂級域名服務(wù)器會找到 “pdai.tech”的域名服務(wù)器的記錄，域名服務(wù)器檢查其區(qū)域文件，并發(fā)現(xiàn)它有與 “pdai.tech” 相關(guān)聯(lián)的區(qū)域文件。在此文件的內(nèi)部，有該主機的記錄。此記錄說明此主機所在的 IP 地址，并向請求者返回最終答案。
• 權(quán)限域名服務(wù)器：負責(zé)一個區(qū)的域名解析工作
• 本地域名服務(wù)器：當(dāng)一個主機發(fā)出DNS查詢請求的時候，這個查詢請求首先就是發(fā)給本地域名服務(wù)器的。

DNS 解析流程

網(wǎng)上找了個比較好的例子

.com.fi國際金融域名DNS解析的步驟一共分為9步，如果每次解析都要走完9個步驟，大家瀏覽網(wǎng)站的速度也不會那么快，現(xiàn)在之所以能保持這么快的訪問速度，其實一般的解析都是跑完第4步就可以了。除非一個地區(qū)完全是第一次訪問（在都沒有緩存的情況下）才會走完9個步驟，這個情況很少。

• 1、本地客戶機提出域名解析請求，查找本地HOST文件后將該請求發(fā)送給本地的域名服務(wù)器。
• 2、將請求發(fā)送給本地的域名服務(wù)器。
• 3、當(dāng)本地的域名服務(wù)器收到請求后，就先查詢本地的緩存。
• 4、如果有該紀錄項，則本地的域名服務(wù)器就直接把查詢的結(jié)果返回瀏覽器。
• 5、如果本地DNS緩存中沒有該紀錄，則本地域名服務(wù)器就直接把請求發(fā)給根域名服務(wù)器。
• 6、然后根域名服務(wù)器再返回給本地域名服務(wù)器一個所查詢域（根的子域）的主域名服務(wù)器的地址。
• 7、本地服務(wù)器再向上一步返回的域名服務(wù)器發(fā)送請求，然后接受請求的服務(wù)器查詢自己的緩存，如果沒有該紀錄，則返回相關(guān)的下級的域名服務(wù)器的地址。
• 8、重復(fù)第7步，直到找到正確的紀錄。
• 9、本地域名服務(wù)器把返回的結(jié)果保存到緩存，以備下一次使用，同時還將結(jié)果返回給客戶機。

注意事項：

遞歸查詢：在該模式下DNS服務(wù)器接收到客戶機請求，必須使用一個準確的查詢結(jié)果回復(fù)客戶機。如果DNS服務(wù)器本地沒有存儲查詢DNS信息，那么該服務(wù)器會詢問其他服務(wù)器，并將返回的查詢結(jié)果提交給客戶機。

迭代查詢：DNS所在服務(wù)器若沒有可以響應(yīng)的結(jié)果，會向客戶機提供其他能夠解析查詢請求的DNS服務(wù)器地址，當(dāng)客戶機發(fā)送查詢請求時，DNS服務(wù)器并不直接回復(fù)查詢結(jié)果，而是告訴客戶機另一臺DNS服務(wù)器地址，客戶機再向這臺DNS服務(wù)器提交請求，依次循環(huán)直到返回查詢的結(jié)果為止。

為什么DNS通?；赨DP

使用基于UDP的DNS協(xié)議只要一個請求、一個應(yīng)答就好了

而使用基于TCP的DNS協(xié)議要三次握手、發(fā)送數(shù)據(jù)以及應(yīng)答、四次揮手

明顯基于TCP協(xié)議的DNS更浪費網(wǎng)絡(luò)資源！

當(dāng)然以上只是從數(shù)據(jù)包的數(shù)量以及占有網(wǎng)絡(luò)資源的層面來進行的分析，那數(shù)據(jù)一致性層面呢？

DNS數(shù)據(jù)包不是那種大數(shù)據(jù)包，所以使用UDP不需要考慮分包，如果丟包那么就是全部丟包，如果收到了數(shù)據(jù)，那就是收到了全部數(shù)據(jù)！所以只需要考慮丟包的情況，那就算是丟包了，重新請求一次就好了。而且DNS的報文允許填入序號字段，對于請求報文和其對應(yīng)的應(yīng)答報文，這個字段是相同的，通過它可以區(qū)分DNS應(yīng)答是對應(yīng)的哪個請求

DNS通常是基于UDP的，但當(dāng)數(shù)據(jù)長度大于512字節(jié)的時候，為了保證傳輸質(zhì)量，就會使用基于TCP的實現(xiàn)方式

DNS 查詢

dig 查詢

用dig可以查看整個過程，看下下面的返回就能理解的

• dig www.sina.com

pdaiMbp:/ pdai$ dig www.sina.com

; <<>> DiG 9.10.6 <<>> www.sina.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15304
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.sina.com.   IN A

;; ANSWER SECTION:
www.sina.com.  32 IN CNAME us.sina.com.cn.
us.sina.com.cn.  32 IN CNAME spool.grid.sinaedge.com.
spool.grid.sinaedge.com. 32 IN A 115.238.190.240

;; Query time: 20 msec
;; SERVER: 192.168.3.1#53(192.168.3.1)
;; WHEN: Fri Jan 31 14:53:39 CST 2020
;; MSG SIZE  rcvd: 108

• dig +trace www.sina.com // 分級查詢

pdaiMbp:/ pdai$ dig +trace www.sina.com

; <<>> DiG 9.10.6 <<>> +trace www.sina.com
;; global options: +cmd
.   52722 IN NS f.root-servers.net.
.   52722 IN NS k.root-servers.net.
.   52722 IN NS m.root-servers.net.
.   52722 IN NS l.root-servers.net.
.   52722 IN NS d.root-servers.net.
.   52722 IN NS i.root-servers.net.
.   52722 IN NS c.root-servers.net.
.   52722 IN NS e.root-servers.net.
.   52722 IN NS a.root-servers.net.
.   52722 IN NS g.root-servers.net.
.   52722 IN NS b.root-servers.net.
.   52722 IN NS h.root-servers.net.
.   52722 IN NS j.root-servers.net.
;; Received 228 bytes from 192.168.3.1#53(192.168.3.1) in 3 ms

com.   172800 IN NS a.gtld-servers.net.
com.   172800 IN NS b.gtld-servers.net.
com.   172800 IN NS c.gtld-servers.net.
com.   172800 IN NS d.gtld-servers.net.
com.   172800 IN NS e.gtld-servers.net.
com.   172800 IN NS f.gtld-servers.net.
com.   172800 IN NS g.gtld-servers.net.
com.   172800 IN NS h.gtld-servers.net.
com.   172800 IN NS i.gtld-servers.net.
com.   172800 IN NS j.gtld-servers.net.
com.   172800 IN NS k.gtld-servers.net.
com.   172800 IN NS l.gtld-servers.net.
com.   172800 IN NS m.gtld-servers.net.
com.   86400 IN DS 30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com.   86400 IN RRSIG DS 8 1 86400 20200213050000 20200131040000 33853 . zMeZpKg/LGzpVjlBUJRfkmk8tSvZW+L0UFHnzSn8agztJ8sMGU+knBLW 5LLoPoh6iG7exLV5wVIJZVh+0ISk3AG85VJXZ3HSTWcHZfjMOYI7JXpe pv/5JqT9Eai0ScEJAowDa1qctGOE/LHdNwr30VF8U0LoZL0iXVN3KQ4k iKnl0S0hB41KH+BHFcNpWqxKHRK2piMZRNe8+8Nu9I4GilfW/D90e69p SgG7puU3J3srarhccj0OS5WcLi6nsMf/2k0C6rQMe+WD7aOVZXoLts93 /thoNSWIprseKrYze2STnuG+T/VxzZRJ3fjoZARGHtDf3gTibHC2syXL xaXz5w==
;; Received 1172 bytes from 198.97.190.53#53(h.root-servers.net) in 54 ms

sina.com.  172800 IN NS ns1.sina.com.cn.
sina.com.  172800 IN NS ns2.sina.com.cn.
sina.com.  172800 IN NS ns3.sina.com.cn.
sina.com.  172800 IN NS ns1.sina.com.
sina.com.  172800 IN NS ns2.sina.com.
sina.com.  172800 IN NS ns4.sina.com.
sina.com.  172800 IN NS ns3.sina.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9A  NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20200207054811 20200131043811 56311 com. N15f7ia8A0pd2A5iWM/8t+T6gs8mQJaOWe/aj3bs4cWxpG7WmCaquZp7 6gfbfotFmss+DuBm9MAd6bwe2fm9m60FQgROWGOZwGRrvZqawy/5eDeV sLIJqhnwM0lT1PuDgNe2SFYsV506melwC4cEtR8M6gkX3nwYMCf6Frus anO+4Lufi229N5Y00N4x9vrlO3zsGBR1yg2xBki9Ni379A==
TGAG8VMC6NS5VVK68CIGRJ6Q414N2KB2.com. 86400 IN NSEC3 1 1 0 - TGAGRAEN3DVBS761O1PSQ1TU0407EVHO  NS DS RRSIG
TGAG8VMC6NS5VVK68CIGRJ6Q414N2KB2.com. 86400 IN RRSIG NSEC3 8 2 86400 20200206061700 20200130050700 56311 com. TMrk1/56Wa+isS5Y6OFQz9OZWMAAbt2TOEzaBp1Uuj9z1Eg4uio92+ff sWRB6vACYSBAJJLy4NPJfqxYpue39hvaDgFRYAZreDuCC0x+p9yi7yQ8 JaN2mS7W8Mbv0iEV0AUyzZGyhYq83DA58slNSGRhZfcvLYBAETURyH0X bJp+Hgq0bqXOqGyi/lAAv8/2mr+tiramb/pNst1MBBPaig==
;; Received 791 bytes from 192.48.79.30#53(j.gtld-servers.net) in 215 ms

www.sina.com.  60 IN CNAME us.sina.com.cn.
us.sina.com.cn.  60 IN CNAME spool.grid.sinaedge.com.
;; Received 103 bytes from 180.149.138.199#53(ns2.sina.com.cn) in 30 ms

域名與IP之間的對應(yīng)關(guān)系，稱為"記錄"（record）。根據(jù)使用場景，"記錄"可以分成不同的類型（type），前面已經(jīng)看到了有A記錄和NS記錄。

常見的DNS記錄類型如下。

• A：地址記錄（Address），返回域名指向的IP地址。
• NS：域名服務(wù)器記錄（Name Server），返回保存下一級域名信息的服務(wù)器地址。該記錄只能設(shè)置為域名，不能設(shè)置為IP地址。
• MX：郵件記錄（Mail eXchange），返回接收電子郵件的服務(wù)器地址。
• CNAME：規(guī)范名稱記錄（Canonical Name），返回另一個域名，即當(dāng)前查詢的域名是另一個域名的跳轉(zhuǎn)，詳見下文。
• PTR：逆向查詢記錄（Pointer Record），只用于從IP地址查詢域名，詳見下文。

一般來說，為了服務(wù)的安全可靠，至少應(yīng)該有兩條NS記錄，而A記錄和MX記錄也可以有多條，這樣就提供了服務(wù)的冗余性，防止出現(xiàn)單點失敗。

CNAME記錄主要用于域名的內(nèi)部跳轉(zhuǎn)，為服務(wù)器配置提供靈活性，用戶感知不到。

host查詢

pdaiMbp:/ pdai$ host www.sina.com
www.sina.com is an alias for us.sina.com.cn.
us.sina.com.cn is an alias for spool.grid.sinaedge.com.
spool.grid.sinaedge.com has address 115.238.190.240
spool.grid.sinaedge.com has IPv6 address 240e:f7:a000:221::75:71

nslookup查詢

pdaiMbp:/ pdai$ nslookup
> www.sina.com
Server:  192.168.3.1
Address: 192.168.3.1#53

Non-authoritative answer:
www.sina.com canonical name = us.sina.com.cn.
us.sina.com.cn canonical name = spool.grid.sinaedge.com.
Name: spool.grid.sinaedge.com
Address: 115.238.190.240

whois查詢

pdaiMbp:/ pdai$ whois www.sina.com
% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object

refer:        whois.verisign-grs.com

domain:       COM

organisation: VeriSign Global Registry Services
address:      12061 Bluemont Way
address:      Reston Virginia 20190
address:      United States

contact:      administrative
name:         Registry Customer Service
organisation: VeriSign Global Registry Services
address:      12061 Bluemont Way
address:      Reston Virginia 20190
address:      United States
phone:        +1 703 925-6999
fax-no:       +1 703 948 3978
e-mail:       info@verisign-grs.com

contact:      technical
name:         Registry Customer Service
organisation: VeriSign Global Registry Services
address:      12061 Bluemont Way
address:      Reston Virginia 20190
address:      United States
phone:        +1 703 925-6999
fax-no:       +1 703 948 3978
e-mail:       info@verisign-grs.com

nserver:      A.GTLD-SERVERS.NET 192.5.6.30 2001:503:a83e:0:0:0:2:30
nserver:      B.GTLD-SERVERS.NET 192.33.14.30 2001:503:231d:0:0:0:2:30
nserver:      C.GTLD-SERVERS.NET 192.26.92.30 2001:503:83eb:0:0:0:0:30
nserver:      D.GTLD-SERVERS.NET 192.31.80.30 2001:500:856e:0:0:0:0:30
nserver:      E.GTLD-SERVERS.NET 192.12.94.30 2001:502:1ca1:0:0:0:0:30
nserver:      F.GTLD-SERVERS.NET 192.35.51.30 2001:503:d414:0:0:0:0:30
nserver:      G.GTLD-SERVERS.NET 192.42.93.30 2001:503:eea3:0:0:0:0:30
nserver:      H.GTLD-SERVERS.NET 192.54.112.30 2001:502:8cc:0:0:0:0:30
nserver:      I.GTLD-SERVERS.NET 192.43.172.30 2001:503:39c1:0:0:0:0:30
nserver:      J.GTLD-SERVERS.NET 192.48.79.30 2001:502:7094:0:0:0:0:30
nserver:      K.GTLD-SERVERS.NET 192.52.178.30 2001:503:d2d:0:0:0:0:30
nserver:      L.GTLD-SERVERS.NET 192.41.162.30 2001:500:d937:0:0:0:0:30
nserver:      M.GTLD-SERVERS.NET 192.55.83.30 2001:501:b1f9:0:0:0:0:30
ds-rdata:     30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CFC41A5766

whois:        whois.verisign-grs.com

status:       ACTIVE
remarks:      Registration information: http://www.verisigninc.com

created:      1985-01-01
changed:      2017-10-05
source:       IANA

No match for domain "WWW.SINA.COM".
>>> Last update of whois database: 2020-01-31T07:03:29Z <<<

DNS 調(diào)度原理

本節(jié)轉(zhuǎn)自：【網(wǎng)易MC】DNS 調(diào)度原理解析

現(xiàn)在，大部分應(yīng)用和業(yè)務(wù)都采用域名作為服務(wù)的入口，因此用 DNS 來負載均衡和區(qū)域調(diào)度是非常普遍的做法，網(wǎng)易云也有著一套基于 DNS 的調(diào)度系統(tǒng)。某些用戶在進行直播推流時用的并不是網(wǎng)易云的直播 SDK，而是一些第三方的推流軟件，如obs，這樣就不能使用我們的 GSLB 全局調(diào)度服務(wù)器來調(diào)度。對于這些用戶，我們使用 DNS 調(diào)度的方式，對不同地域的請求返回不同解析結(jié)果，將請求調(diào)度到離用戶最近的服務(wù)器節(jié)點，從而減少延遲訪問。

咋一看，DNS 調(diào)度這么簡單方便，那為什么不讓所有的用戶都走 DNS 調(diào)度呢？想知道原因？來，我們繼續(xù)講。

地理位置調(diào)度不準確

在 DNS 解析過程中，與權(quán)威服務(wù)器通信的只有 DNS 緩存服務(wù)器，所以權(quán)威服務(wù)器只能根據(jù) DNS 緩存服務(wù)器的IP來進行調(diào)度。因此 DNS 調(diào)度有一個前提：假定用戶使用的緩存DNS與用戶本身在同個網(wǎng)絡(luò)內(nèi)，即至少在同一個 AS(自治域)內(nèi)，在該前提下，DNS 的解析才是準確的。通常情況下，用戶使用 ISP 提供的本地緩存(簡稱 local DNS)，local DNS 一般與用戶在同個網(wǎng)絡(luò)內(nèi)，這時候 DNS 調(diào)度是有效的。

但近些年，不少互聯(lián)網(wǎng)廠商推廣基于 BGP Anycast 的公共 DNS (Public DNS)，而這些Anycaset IP 的節(jié)點一般是遠少于各個ISP的節(jié)點，例如可能廣州電信用戶使用了某公共 DNS，但該公共 DNS 里用戶最近的是上海電信節(jié)點，甚至更極端的如 Google DNS 8.8.8.8，在中國大陸沒有節(jié)點(最近的是臺灣)。而不幸的是國內(nèi)有不少用戶使用了 Google DNS，這其實降低了他們的網(wǎng)絡(luò)訪問體驗?？偟膩碚f，使用公共 DNS，實際上破壞了上文的前提，導(dǎo)致 DNS 區(qū)域調(diào)度失效，用戶以為得到了更快更安全的 DNS 解析，但實際得到了錯誤的解析，增加了網(wǎng)絡(luò)訪問延遲。

傳統(tǒng) DNS 協(xié)議的區(qū)域調(diào)度過程示例如下圖，假定某業(yè)務(wù)以 foo.163.com 對外提供服務(wù)，在北京和東京各有一個節(jié)點，業(yè)務(wù)期望國內(nèi)大陸的用戶訪問北京節(jié)點，而非大陸用戶則訪問東京節(jié)點。因為權(quán)威是根據(jù) DNS 緩存來決定返回的結(jié)果，所以當(dāng)用戶使用不用的 DNS 緩存時，可能會解析到不同的結(jié)果。

2011 年，Google 為首的幾家公司在提出了一個 DNS 的擴展方案 edns-client-subnet (以下簡稱 ECS)，該擴展方案的核心思想是通過在 DNS 請求報文里加入原始請求的 IP(即 client 的 IP)，使得權(quán)威能根據(jù)該信息返回正確的結(jié)果。目前，該方案仍處于草案階段。該方案很好地解決了上述提到的 remote DNS 導(dǎo)致解析不準確的問題，但也帶了一些問題：

• 至少需要 cache 和權(quán)威都支持，才能完成完整的 ECS 解析
• ECS 給 cache 增加了很大的緩存壓力，因為理論上可能需要為每個IP段分配空間去緩存解析結(jié)果

規(guī)則變更生效時間不確定

當(dāng)緩存服務(wù)器向權(quán)威服務(wù)器查詢得到記錄之后，會將其緩存起來，在緩存有效期內(nèi)，如果收到相同記錄的查詢，緩存服務(wù)器會直接返回給客戶端，而不需要再次向權(quán)威查詢，當(dāng)有效期過后，緩存則是需要再次發(fā)起查詢。這個緩存有效期即是 TTL。

雖然 DNS 的緩存機制在大多數(shù)情況下縮短了客戶端的記錄解析時間，但緩存也意味著生效同步的延遲。當(dāng)權(quán)威服務(wù)器的記錄變更時，需要等待一段時間才能讓所有客戶端能解析到新的結(jié)果，因為很可能緩存服務(wù)器還緩存著舊的記錄。

我們將權(quán)威的記錄變更到全網(wǎng)生效這個過程稱為 propagation，它的時間是不確定的，理論上的最大值即是 TTL 的值，對于記錄變更或刪除，這個時間是記錄原本的 TTL，對于記錄新增則是域的 nTTL 值。

如果一個域名記錄原本的 TTL 是 18000，可以認為，變更該記錄理論上需要等待 5 個小時才能保證記錄能生效到全網(wǎng)。假設(shè)該域名的業(yè)務(wù)方希望縮短切換的時間，正確的做法是，至少提前5個小時修改記錄，僅改小 TTL，例如改為5分鐘，等待該變更同步到全網(wǎng)之后，再進行修改指向的操作，確認無誤再將 TTL 修改為原本的值。

雖然 DNS 協(xié)議標準里建議緩存服務(wù)器應(yīng)該記住或者縮短 TTL 的值，但實際上，有一些DNS緩存會修改權(quán)威服務(wù)器的 TTL，將其變大，這在國內(nèi)幾大運營商中是很常見的。例如，某域記錄的 TTL 值實際上設(shè)置為 60，但在運營商的 DNS 緩存上，卻變成 600 或者更大的值，甚至還有一些 DNS 緩存是不遵循 TTL 機制。這些都會影響域名的實際生效時間。

高可用

為避免受 DNS 緩存的影響，需要保證 DNS 中 A 記錄的 IP 節(jié)點高可用性。對此，網(wǎng)易云DNS 調(diào)度系統(tǒng)采用的方案是在同一區(qū)域的多臺直播服務(wù)器節(jié)點之間做負載均衡，對外只暴露一個虛 IP，這樣，即使某臺服務(wù)器宕機，負載均衡能迅速感知到，排除故障節(jié)點，而對 DNS 而言，因為虛 IP 不變而不受影響。

DNS 安全相關(guān)

本章節(jié)部分內(nèi)容參考自： OneAPM blog

犯罪分子會抓住任何互聯(lián)網(wǎng)服務(wù)或協(xié)議的漏洞發(fā)動攻擊，這當(dāng)然也包括域名系統(tǒng)（ DNS ）。他們會注冊一次性域名用于垃圾郵件活動和僵尸網(wǎng)絡(luò)管理，還會盜用域名進行釣魚和惡意軟件下載。他們會注入惡意查詢代碼以利用域名服務(wù)器的漏洞或擾亂域名解析過程。他們會注入偽造的響應(yīng)污染解析器緩存或強化 DDOS 攻擊。他們甚至將 DNS 用作數(shù)據(jù)滲漏或惡意軟件更新的隱蔽通道。

你可能沒辦法了解每一個新的 DNS 漏洞攻擊，但是可以使用防火墻、網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)或域名解析器報告可疑的 DNS 行為跡象，作為主動防范的措施。

先講下最常用的手段：DNS劫持和DNS污染。

什么是DNS劫持

DNS劫持就是通過劫持了DNS服務(wù)器，通過某些手段取得某域名的解析記錄控制權(quán)，進而修改此域名的解析結(jié)果，導(dǎo)致對該域名的訪問由原IP地址轉(zhuǎn)入到修改后的指定IP，其結(jié)果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址，從而實現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的。DNS劫持通過篡改DNS服務(wù)器上的數(shù)據(jù)返回給用戶一個錯誤的查詢結(jié)果來實現(xiàn)的。

DNS劫持癥狀：在某些地區(qū)的用戶在成功連接寬帶后，首次打開任何頁面都指向ISP提供的“電信互聯(lián)星空”、“網(wǎng)通黃頁廣告”等內(nèi)容頁面。還有就是曾經(jīng)出現(xiàn)過用戶訪問Google域名的時候出現(xiàn)了百度的網(wǎng)站。這些都屬于DNS劫持。

什么是DNS污染

DNS污染是一種讓一般用戶由于得到虛假目標主機IP而不能與其通信的方法，是一種DNS緩存投毒攻擊（DNS cache poisoning）。其工作方式是：由于通常的DNS查詢沒有任何認證機制，而且DNS查詢通?；诘腢DP是無連接不可靠的協(xié)議，因此DNS的查詢非常容易被篡改，通過對UDP端口53上的DNS查詢進行入侵檢測，一經(jīng)發(fā)現(xiàn)與關(guān)鍵詞相匹配的請求則立即偽裝成目標域名的解析服務(wù)器（NS，Name Server）給查詢者返回虛假結(jié)果。

而DNS污染則是發(fā)生在用戶請求的第一步上，直接從協(xié)議上對用戶的DNS請求進行干擾。

DNS污染癥狀：目前一些被禁止訪問的網(wǎng)站很多就是通過DNS污染來實現(xiàn)的，例如YouTube、Facebook等網(wǎng)站。

解決方法:

• 對于DNS劫持，可以采用使用國外免費公用的DNS服務(wù)器解決。例如OpenDNS（208.67.222.222）或GoogleDNS（8.8.8.8）。
• 對于DNS污染，可以說，個人用戶很難單單靠設(shè)置解決，通常可以使用VPN或者域名遠程解析的方法解決，但這大多需要購買付費的VPN或SSH等，也可以通過修改Hosts的方法，手動設(shè)置域名正確的IP地址。

為什么要DNS流量監(jiān)控

預(yù)示網(wǎng)絡(luò)中正出現(xiàn)可疑或惡意代碼的 DNS 組合查詢或流量特征。例如：

• 1.來自偽造源地址的 DNS 查詢、或未授權(quán)使用且無出口過濾地址的 DNS 查詢，若同時觀察到異常大的 DNS 查詢量或使用 TCP 而非 UDP 進行 DNS 查詢，這可能表明網(wǎng)絡(luò)內(nèi)存在被感染的主機，受到了 DDoS 攻擊。
• 2.異常 DNS 查詢可能是針對域名服務(wù)器或解析器（根據(jù)目標 IP 地址確定）的漏洞攻擊的標志。與此同時，這些查詢也可能表明網(wǎng)絡(luò)中有不正常運行的設(shè)備。原因可能是惡意軟件或未能成功清除惡意軟件。
• 3.在很多情況下，DNS 查詢要求解析的域名如果是已知的惡意域名，或具有域名生成算法( DGA )（與非法僵尸網(wǎng)絡(luò)有關(guān)）常見特征的域名，或者向未授權(quán)使用的解析器發(fā)送的查詢，都是證明網(wǎng)絡(luò)中存在被感染主機的有力證據(jù)。
• 4.DNS 響應(yīng)也能顯露可疑或惡意數(shù)據(jù)在網(wǎng)絡(luò)主機間傳播的跡象。例如，DNS 響應(yīng)的長度或組合特征可以暴露惡意或非法行為。例如，響應(yīng)消息異常巨大（放大攻擊），或響應(yīng)消息的 Answer Section 或 Additional Section 非?？梢桑ň彺嫖廴?，隱蔽通道）。
• 5.針對自身域名組合的 DNS 響應(yīng)，如果解析至不同于你發(fā)布在授權(quán)區(qū)域中的 IP 地址，或來自未授權(quán)區(qū)域主機的域名服務(wù)器的響應(yīng)，或解析為名稱錯誤( NXDOMAIN )的對區(qū)域主機名的肯定響應(yīng)，均表明域名或注冊賬號可能被劫持或 DNS 響應(yīng)被篡改。
• 6.來自可疑 IP 地址的 DNS 響應(yīng)，例如來自分配給寬帶接入網(wǎng)絡(luò) IP 段的地址、非標準端口上出現(xiàn)的 DNS 流量，異常大量的解析至短生存時間( TTL )域名的響應(yīng)消息，或異常大量的包含“ name error ”( NXDOMAIN )的響應(yīng)消息，往往是主機被僵尸網(wǎng)絡(luò)控制、運行惡意軟件或被感染的表現(xiàn)。

DNS 流量監(jiān)控

如何借助網(wǎng)絡(luò)入侵檢測系統(tǒng)、流量分析和日志數(shù)據(jù)在網(wǎng)絡(luò)防火墻上應(yīng)用這些機制以檢測此類威脅?

防火墻

我們從最常用的安全系統(tǒng)開始吧，那就是防火墻。所有的防火墻都允許自定義規(guī)則以防止 IP 地址欺騙。添加一條規(guī)則，拒絕接收來自指定范圍段以外的 IP 地址的 DNS 查詢，從而避免域名解析器被 DDOS 攻擊用作開放的反射器。

接下來，啟動 DNS 流量檢測功能，監(jiān)測是否存在可疑的字節(jié)模式或異常 DNS 流量，以阻止域名服務(wù)器軟件漏洞攻擊。具備本功能的常用防火墻的介紹資料在許多網(wǎng)站都可以找到（例如 Palo Alto、思科、沃奇衛(wèi)士等）。Sonicwall 和 Palo Alto 還可以監(jiān)測并攔截特定的 DNS 隧道流量。

入侵檢測系統(tǒng)

無論你使用 Snort、Suricata 還是 OSSEC，都可以制定規(guī)則，要求系統(tǒng)對未授權(quán)客戶的 DNS 請求發(fā)送報告。你也可以制定規(guī)則來計數(shù)或報告 NXDomain 響應(yīng)、包含較小 TTL 數(shù)值記錄的響應(yīng)、通過 TCP 發(fā)起的 DNS 查詢、對非標準端口的 DNS 查詢和可疑的大規(guī)模 DNS 響應(yīng)等。DNS 查詢或響應(yīng)信息中的任何字段、任何數(shù)值基本上都“能檢測”。唯一能限制你的，就是你的想象力和對 DNS 的熟悉程度。防火墻的 IDS （入侵檢測系統(tǒng)）對大多數(shù)常見檢測項目都提供了允許和拒絕兩種配置規(guī)則。

流量分析工具

Wireshark 和 Bro 的實際案例都表明，被動流量分析對識別惡意軟件流量很有效果。捕獲并過濾客戶端與解析器之間的 DNS 數(shù)據(jù)，保存為 PCAP （網(wǎng)絡(luò)封包）文件。創(chuàng)建腳本程序搜索這些網(wǎng)絡(luò)封包，以尋找你正在調(diào)查的某種可疑行為。或使用 PacketQ （最初是 DNS2DB ）對網(wǎng)絡(luò)封包直接進行 SQL 查詢。

（記?。撼俗约旱谋镜亟馕銎髦?，禁止客戶使用任何其他解析器或非標準端口。）

DNS 被動復(fù)制

該方法涉及對解析器使用傳感器以創(chuàng)建數(shù)據(jù)庫，使之包含通過給定解析器或解析器組進行的所有 DNS 交易（查詢/響應(yīng)）。在分析中包含 DNS 被動數(shù)據(jù)對識別惡意軟件域名有著重要作用，尤其適用于惡意軟件使用由算法生成的域名的情況。將 Suricata 用做 IDS （入侵檢測系統(tǒng)）引擎的 Palo Alto 防火墻和安全管理系統(tǒng)，正是結(jié)合使用被動 DNS 與 IPS （入侵防御系統(tǒng)）以防御已知惡意域名的安全系統(tǒng)范例。

解析器日志記錄

本地解析器的日志文件是調(diào)查 DNS 流量的最后一項，也可能是最明顯的數(shù)據(jù)來源。在開啟日志記錄的情況下，你可以使用 Splunk 加 getwatchlist 或是 OSSEC 之類的工具收集 DNS 服務(wù)器的日志，并搜索已知惡意域名。

盡管本文提到了不少資料鏈接、案例分析和實際例子，但也只是涉及了眾多監(jiān)控 DNS 流量方法中的九牛一毛，疏漏在所難免，要想全面快捷及時有效監(jiān)控 DNS 流量，不妨試試 DNS 服務(wù)器監(jiān)控。

DNS 服務(wù)器監(jiān)控

應(yīng)用管理器可對域名系統(tǒng)（ DNS ）進行全面深入的可用性和性能監(jiān)控，也可監(jiān)控 DNS 監(jiān)控器的個別屬性，比如響應(yīng)時間、記錄類型、可用記錄、搜索字段、搜索值、搜索值狀態(tài)以及搜索時間等。

DNS 中被監(jiān)控的一些關(guān)鍵組件：

指標 描述 響應(yīng)時間 給出 DNS 監(jiān)控器的響應(yīng)時間，以毫秒表示 記錄類型 顯示記錄類型連接到 DNS 服務(wù)器的耗時 可用記錄 根據(jù)可用記錄類型輸出 True 或 False 搜索字段 顯示用于 DNS 服務(wù)器的字段類型 搜索值 顯示在DNS 服務(wù)器中執(zhí)行的搜索值 搜索值狀態(tài) 根據(jù)輸出信息顯示搜索值狀態(tài)：Success (成功)或 Failed (失敗) 搜索時間 DNS 服務(wù)器中的搜索執(zhí)行時間

監(jiān)控可用性和響應(yīng)時間等性能統(tǒng)計數(shù)據(jù)。這些數(shù)據(jù)可繪制成性能圖表和報表，即時可用，還可以按照可用性和完善性對報表進行分組顯示。

若 DNS 服務(wù)器或系統(tǒng)內(nèi)任何特定屬性出現(xiàn)問題，會根據(jù)配置好的閾值生成通知和警告，并根據(jù)配置自動執(zhí)行相關(guān)操作。目前，國內(nèi)外 DNS 監(jiān)控工具主要有 New relic、appDynamic、OneAPM。

參考文章

• 【網(wǎng)易MC】DNS 調(diào)度原理解析
• DNS 原理入門
• DNS原理及其解析過程【精彩剖析】
• 當(dāng)我們談網(wǎng)絡(luò)時，我們談些什么(2)–DNS的工作原理
• 企業(yè)如何抵御利用DNS隧道的惡意軟件?
• 監(jiān)控 DNS 流量，預(yù)防安全隱患五大招！
• DNS協(xié)議詳解及報文格式分析

此外，由于 5G 速度的引入和數(shù)十億連接設(shè)備的增加，移動和物聯(lián)網(wǎng)流量正在增加。

這些趨勢正在創(chuàng)造新的安全挑戰(zhàn)，需要網(wǎng)絡(luò)安全的新方向來維持足夠的保護。IT 部門和防火墻必須檢查成倍增加的數(shù)據(jù)，并深入查看流量內(nèi)部，以應(yīng)對新的威脅。他們必須能夠檢查在同一主機上運行的虛擬機和容器之間的流量，這些流量是傳統(tǒng)防火墻設(shè)備無法看到的。

運營商必須部署足夠多的防火墻來處理總流量吞吐量，但在不犧牲性能的情況下這樣做的成本可能極其高昂。這是因為通用處理器（服務(wù)器 CPU）未針對數(shù)據(jù)包檢查進行優(yōu)化，無法處理更高的網(wǎng)絡(luò)速度。這會導(dǎo)致性能欠佳、可擴展性差，并增加了昂貴的 CPU 內(nèi)核的消耗。

下一代防火墻（NGFW）等安全應(yīng)用程序正努力跟上更高的流量負載。雖然軟件定義的 NGFW 提供了在現(xiàn)代數(shù)據(jù)中心的任何位置部署防火墻的靈活性和敏捷性，但在性能、效率和經(jīng)濟性方面對其進行擴展對當(dāng)今的企業(yè)來說是一個挑戰(zhàn)。

下一代防火墻

為了應(yīng)對這些挑戰(zhàn)，NVIDIA 與 Palo Alto Networks 合作，通過 NVIDIA BlueField DPU（數(shù)據(jù)處理器）加快其 VM 系列下一代防火墻。DPU 通過將流量從主機處理器卸載到 BlueField DPU 上的專用加速器和 ARM 內(nèi)核來加速數(shù)據(jù)包過濾和轉(zhuǎn)發(fā)。

該解決方案將 Palo Alto Networks 的虛擬 NGFW 的入侵防御和高級安全功能提供給每臺服務(wù)器，而不會犧牲網(wǎng)絡(luò)性能或消耗業(yè)務(wù)應(yīng)用程序所需的 CPU 周期。這種硬件加速、軟件定義的 NGFW 是提高防火墻性能、最大化數(shù)據(jù)中心安全覆蓋率和效率的里程碑。

DPU 作為智能網(wǎng)絡(luò)過濾器來運行，以零 CPU 開銷實現(xiàn)基于預(yù)定義策略解析和引導(dǎo)流量，使 NGFW 能夠在典型用例中支持接近 100Gb/s 的吞吐量。與僅在 CPU 上運行 VM 系列防火墻相比，這是 5 倍的性能提升，與傳統(tǒng)硬件相比，資本支出節(jié)省高達 150%。

智能流量卸載服務(wù)

Palo Alto Networks – NVIDIA 聯(lián)合解決方案創(chuàng)建了智能流量卸載（ITO）服務(wù)，克服了性能、可擴展性和效率方面的挑戰(zhàn)。VM 系列 NGFW 與 NVIDIA BlueField DPU 的集成為 NGFW 解決方案提供了強大動力，從而提升了成本經(jīng)濟性，同時提高了威脅檢測和緩解能力。

圖 1 . ITO 將 Palo Alto Networks NGFW 與 BlueField DPU 結(jié)合使用，可以幫助面臨性能、安全性和成本挑戰(zhàn)的企業(yè)

在某些客戶環(huán)境中，多達 80% 的網(wǎng)絡(luò)流量不需要或無法通過防火墻進行檢查，例如加密流量或來自視頻、游戲和會議的流式流量。NVIDIA 和 Palo Alto Networks 的聯(lián)合解決方案通過 ITO 服務(wù)解決了這個問題，該服務(wù)檢查網(wǎng)絡(luò)流量以確定每個會話是否會受益于深度安全檢查。

ITO 通過檢查所有控制數(shù)據(jù)包來優(yōu)化防火墻資源，但只檢查需要深入安全檢測的有效負載流。假設(shè)防火墻確定會話不會從安全檢測中受益。在這種情況下，防火墻檢測流的初始數(shù)據(jù)包，然后 ITO 指示 DPU 將該會話中的所有后續(xù)數(shù)據(jù)包直接轉(zhuǎn)發(fā)到其目的地，而無需通過防火墻發(fā)送（圖 2）。

圖 2 . NGFW 的 DPU 加速提供了前所未有的性能和效率提升

通過只檢查可以從安全檢測中受益的流并將其余的流卸載到 DPU ，可以減少防火墻和主機 CPU 上的總體負載，并在不犧牲安全性的情況下提高性能。

ITO 使企業(yè)能夠使用 NGFW 保護最終用戶，NGFW 可以在零信任環(huán)境下在每臺主機上運行，幫助加快其數(shù)字化轉(zhuǎn)型，同時使他們免受各種網(wǎng)絡(luò)威脅。

首款上市的 NGFW

為了比新興的威脅快一步，Palo Alto Networks 聯(lián)合開發(fā)了第一款由 BlueField DPU 加速的虛擬 NGFW 。VM 系列防火墻通過將應(yīng)用程序感知分段、防止惡意軟件、檢測新威脅和阻止數(shù)據(jù)泄露任務(wù)從主機處理器卸載到 BlueField DPU 以更高的速度和更少的 CPU 消耗來實現(xiàn)所有這些任務(wù)。

DPU 作為智能網(wǎng)絡(luò)過濾器來運行，以零 CPU 開銷解析、分類和引導(dǎo)流量，使 NGFW 能夠在典型用例中支持每臺服務(wù)器接近 100Gb/s 的吞吐量。最近發(fā)布的 DPU 賦能的 Palo Alto Networks VM 系列 NGFW 就采用了零信任網(wǎng)絡(luò)安全原則。

NVIDIA 往期精彩內(nèi)容

“我與代碼的那些事兒” —— NVIDIA DOCA 開發(fā)者社區(qū)有獎?wù)魑谋荣愰_啟

NVIDIA 授權(quán)合作伙伴 DPU & DOCA 卓越中心開放免費 DOCA 開發(fā)環(huán)境

NVIDIA 人工智能開講 | NVIDIA DPU 在網(wǎng)絡(luò)計算中的應(yīng)用

HPC 研究人員借助 NVIDIA BlueField DPU 為網(wǎng)絡(luò)計算的未來打下堅實基礎(chǔ)

更多精彩仍在繼續(xù)…

敬請關(guān)注

直播行業(yè)的風(fēng)頭還未過，一對一視頻聊天系統(tǒng)作為后來者其威力也是不容小覷。今天我們從兩個方面簡單分析一下一對一視頻互動暴利產(chǎn)生的原因。

第一是平臺使用體驗：

“一對一視頻直播”是突破傳統(tǒng)直播的一種方式，與傳統(tǒng)一對多直播平臺不同的是，一對一視頻直播更具有私密性，直觀上拉近用戶與主播的距離。

在傳統(tǒng)的視頻直播中，大家都擠在一個直播間里，無法體驗到與喜歡的主播真正“零距離”接觸的感覺。并且通過一對一的視頻直播，借助與小麥連接的功能，可以在獨立的一對一直播室內(nèi)實現(xiàn)主播與粉絲之間的語音視頻互動。

試想一下——剛打開APP，在主頁面看到主播后，不是讓你直接進入直播室，而是讓你進入主播的詳細頁面，里面包含了主播的詳細信息。這樣就可以先了解主播的各種信息，從而對主播做出初步的判斷。感興趣后，進入聊天頁面會增強你的使用感。

第二是平臺優(yōu)勢：

相比傳統(tǒng)的一對多視頻直播平臺，一對一視頻直播平臺更符合互聯(lián)網(wǎng)發(fā)展的趨勢和社會發(fā)展的需要，能更加滿足人們?nèi)粘５纳缃恍枨蟆?/p>

傳統(tǒng)視頻直播巨頭大部分普通主播很難有人問津，只有寥寥幾個優(yōu)秀的主播才可以脫穎而出，從而導(dǎo)致主播對平臺失去信任和價值認同。

一對一視頻直播平臺的出現(xiàn)，降低了普通人申請主播的門檻，在一對一視頻直播平臺，主播只需要滿足一個用戶的要求，無需考慮大眾口味，就可以快速獲得盈利。

其實不難看出，用戶群體社交需求的不斷提高是促進一對一視頻互動興起的重要原因，用戶群體的個性增強間接掀起了行業(yè)風(fēng)潮形成流量風(fēng)口。

《國務(wù)院辦公廳關(guān)于加快推進電子證照擴大應(yīng)用領(lǐng)域和全國互通互認的意見》（國辦發(fā)〔2022〕3號）強調(diào)，要以電子營業(yè)執(zhí)照為依托，以電子認證服務(wù)為支撐，助力優(yōu)化營商環(huán)境，拓展企業(yè)電子證照應(yīng)用領(lǐng)域。電子證照的應(yīng)用推廣離不開電子認證服務(wù)手段的有力支持。目前，在政府采購領(lǐng)域，電子認證服務(wù)已有較廣泛的應(yīng)用——通過CA數(shù)字證書實現(xiàn)有效的電子簽名、電子印章和數(shù)字加密等，可為供應(yīng)商參與政府采購活動提供便捷、高效、安全的技術(shù)支持，從而降低企業(yè)成本，推動優(yōu)化營商環(huán)境政策落實。

然而，隨著各地政府采購電子交易平臺的不斷投入使用， 各平臺的CA數(shù)字證書卻各不相同、互不通用，出現(xiàn)了“狗（數(shù)字證書）比人多”的情況， 造成供應(yīng)商購買、維護CA數(shù)字證書成本高、管理難、使用不便等問題。在政府采購領(lǐng)域，數(shù)字證書如何兼容互認？簡單來說，兼容即同一采購平臺能夠適配多個不同的CA數(shù)字證書，同時，新的CA數(shù)字證書也能與平臺適配；互認即不同采購平臺能夠與同一電子認證機構(gòu)頒發(fā)的CA數(shù)字證書進行適配。從實踐來看，電子認證是政府采購信息化不可或缺的“支點”，未來具有廣闊的發(fā)展和應(yīng)用空間。

以電子認證為支點打通數(shù)據(jù)栓塞

政府采購全流程線上辦理，需要保證投標人身份的唯一性以及確保文件不可篡改?；跀?shù)字證書的身份認證以及投標文件加密解決了上述問題，為投標人身份及文件蓋上戳、加把鎖。

電子認證是政府采購信息化的關(guān)鍵“支點”。

回顧國內(nèi)關(guān)于電子認證的相關(guān)法律法規(guī)，不難發(fā)現(xiàn)，我國最早于2005年發(fā)布《中華人民共和國電子簽名法》，明確電子簽名與傳統(tǒng)的手寫簽名和蓋章具有同等的法律效力。此后，2009年，國家密碼管理局發(fā)布《電子政務(wù)電子認證服務(wù)管理辦法》，對電子認證基礎(chǔ)設(shè)施、服務(wù)機構(gòu)和服務(wù)應(yīng)用予以規(guī)范。從2013年到2021年，各部委相繼印發(fā)了適用于不同行業(yè)的對電子簽名予以認定的相關(guān)文件。2020年發(fā)布的GB/T38540—2020《信息安全技術(shù)安全電子簽章密碼技術(shù)規(guī)范》更是為統(tǒng)一推廣電子認證技術(shù)互認奠定了技術(shù)基礎(chǔ)。

從技術(shù)層面來看，電子認證的核心技術(shù)之一是數(shù)字簽名。數(shù)字簽名是近年來各級黨政機關(guān)、事業(yè)單位在電子政務(wù)中常用的技術(shù)，該技術(shù)以PKI（Public Key Infrastructure，公開密鑰基礎(chǔ)設(shè)施）為體系基礎(chǔ)，本質(zhì)上和物理空間各機構(gòu)間運用實體證書進行身份互認邏輯一致。PKI依托“計算機軟硬件+權(quán)威機構(gòu)（背書）+應(yīng)用系統(tǒng)”，即有專門的軟硬件設(shè)備設(shè)施做底層數(shù)字支持、權(quán)威機構(gòu)對企業(yè)的數(shù)字身份進行背書，最終將配套的應(yīng)用系統(tǒng)輸送給黨政機關(guān)單位各部門。

從應(yīng)用層面來看，近年來，政府采購線上招投標極大地提升了政府采購項目的辦理效率。CA數(shù)字證書廣泛應(yīng)用于政府采購活動中的身份認證，方便供應(yīng)商、評審專家、代理機構(gòu)等參與方使用。目前已有部分公共資源交易項目鼓勵采購人使用CA數(shù)字證書在網(wǎng)上進行項目委托辦理。

此外，業(yè)內(nèi)借助CA數(shù)字證書已實現(xiàn)投標文件加解密，方便相關(guān)部門在線開標、唱標。供應(yīng)商遠在“千里之外”便可將加密后的電子投標文件上傳投遞，在線等待解密和唱標，大大減輕了其投標負擔(dān)。目前，中央和多個省份采購機構(gòu)已實現(xiàn)了遠程評審。借助CA數(shù)字證書的身份識別及認證，代理機構(gòu)和評審專家分處兩地或多地，也能夠共同完成評審工作。

一把鑰匙難開所有門

電子認證服務(wù)在加速發(fā)展的同時，采用CA數(shù)字證書的應(yīng)用數(shù)量成倍增加。但CA數(shù)字證書之間無法通用，給參與政府采購活動的供應(yīng)商帶來了新的負擔(dān)，也為信息部門運維和支持工作增加了難度。

在政府采購領(lǐng)域，各地CA數(shù)字證書互不相認、“單打獨斗”，或?qū)⒊蔀殡娮诱J證推廣應(yīng)用的最大障礙，制約著政府采購高質(zhì)量發(fā)展的進程。

以北京地區(qū)集采機構(gòu)為例，多家集采機構(gòu)均采用了北京數(shù)字認證股份有限公司的CA數(shù)字證書。但不同集采機構(gòu)即便都采用同一家機構(gòu)頒發(fā)的CA數(shù)字證書，其應(yīng)用的CA數(shù)字證書版本也各不相同。也就是說，供應(yīng)商每參與一家集采機構(gòu)的項目，就需要辦理一個CA數(shù)字證書。把該情況放大到全國范圍，供應(yīng)商若要參加不同省份的政府采購活動，僅辦理CA數(shù)字證書及續(xù)繳年費就是一筆不小的開支。此外，供應(yīng)商的一把私鑰（以下簡稱Key）對應(yīng)一個驅(qū)動程序，多個驅(qū)動程序安裝在同一臺電腦，驅(qū)動程序間互相“打架”，偶爾“誤傷”投標文件。這一情況發(fā)生后，往往技術(shù)排查定位困難、責(zé)任難以界定，只能提示供應(yīng)商更換電腦環(huán)境重新操作。

在增加供應(yīng)商成本的同時，數(shù)字證書兼容互認不落地，政府采購扶持中小企業(yè)、紓困助企等政策功能也被打了“折扣”。

《國務(wù)院辦公廳關(guān)于加快推進電子證照擴大應(yīng)用領(lǐng)域和全國互通互認的意見》（國辦發(fā)〔2022〕3號）強調(diào)進一步助力深化“放管服”改革和優(yōu)化營商環(huán)境，要實現(xiàn)更多政務(wù)服務(wù)事項網(wǎng)上辦、掌上辦、一次辦。然而，參加不同平臺政府采購項目的供應(yīng)商卻面臨著CA數(shù)字證書次次辦的苦惱?！巴稑瞬恢烙媚陌袺ey”“每年要對多把Key進行續(xù)費，管理起來很困難”“明明都是政府的網(wǎng)站，為什么用的Key還不一樣？”這些問題長久以來都困擾著投標企業(yè)。

在疫情防控常態(tài)化背景下，政府采購更要承擔(dān)為中小企業(yè)減負紓困的政策功能，做好CA數(shù)字證書兼容互認，才能有效為投標人尤其是中小企業(yè)的投標人減負。然而現(xiàn)實中，諸多政府采購信息系統(tǒng)在建設(shè)中回避了數(shù)字證書兼容互認的難題。

回顧政府采購信息化的發(fā)展歷程，政府采購從“紙上談兵”走向了“無紙化”“數(shù)字化”，在節(jié)約采購成本的同時也提高了采購效率。在政府采購信息化的初期，電子認證發(fā)揮了重要作用，也和信息系統(tǒng)形成了“緊耦合”——一個系統(tǒng)支持一個CA數(shù)字證書。這樣“一對一”的匹配模式，簡化了系統(tǒng)開發(fā)流程，減少了適配不同CA數(shù)字證書的工作量，卻增加了供應(yīng)商“跨界”參與政府采購的難度和管理CA數(shù)字證書的難度，在一定程度上也制約了供應(yīng)商“走出去”的積極性。也就是說，信息系統(tǒng)只能服務(wù)于有限地域范圍內(nèi)的供應(yīng)商。目前，政府采購已進入高質(zhì)量發(fā)展階段，信息化建設(shè)也要順應(yīng)要求，通過數(shù)字證書兼容互認，為廣大供應(yīng)商更便捷參與政府采購提供助力。

打通“信息孤島” 推動兼容互認

要破解政府采購數(shù)字證書兼容互認難題，則須厘清哪些因素制約著政府采購數(shù)字證書兼容互認。

在筆者看來，主要有三大因素。

一是內(nèi)部原因，即政府采購信息化建設(shè)過程中已出現(xiàn)“信息孤島”，導(dǎo)致數(shù)字證書兼容互認難度大。CA數(shù)字證書在政府采購領(lǐng)域難以兼容互認由來已久。一方面，各政府采購業(yè)務(wù)系統(tǒng)建設(shè)初期，以節(jié)約開發(fā)成本、盡快實現(xiàn)流程電子化為首要目的。到了電子認證應(yīng)用環(huán)節(jié)，才考慮CA數(shù)字證書適配系統(tǒng)的問題。這就形成了系統(tǒng)不同、CA數(shù)字證書不同的現(xiàn)狀。另一方面，CA數(shù)字證書互認的建設(shè)難度較大，需要不同機構(gòu)間加強合作、協(xié)同推進。值得一提的是，信息系統(tǒng)和CA數(shù)字證書適配難，阻礙了思維方式和工作方法的創(chuàng)新。筆者認為，推動CA數(shù)字證書兼容互認，打造CA數(shù)字證書互認平臺，服務(wù)全國統(tǒng)一大市場，是順應(yīng)貫徹新發(fā)展理念、構(gòu)建新發(fā)展格局的有力舉措和大膽創(chuàng)新。

二是外部原因。具體而言，政府采購在體量上缺乏拉動CA數(shù)字證書兼容互認的“引力”。近年來，電子認證在國內(nèi)電子政務(wù)、金融、電子商務(wù)、醫(yī)療衛(wèi)生等方面得到了廣泛的應(yīng)用。從應(yīng)用場景的規(guī)模和數(shù)量來看，政府采購市場對電子認證行業(yè)的“引力”尚不足。因此，政府采購領(lǐng)域數(shù)字證書兼容互認的需求，既難以令電子認證機構(gòu)投入更多的關(guān)注，也難以吸引第三方平臺實現(xiàn)CA數(shù)字證書接口統(tǒng)一。

三是市場原因。對CA數(shù)字證書提供方而言，數(shù)字證書兼容互認影響收益。數(shù)字證書以數(shù)字簽名認證、時間戳和實名認證三種技術(shù)為基礎(chǔ)，對應(yīng)的三類機構(gòu)——CA機構(gòu)、時間戳機構(gòu)、實名認證機構(gòu)組成了電子簽名產(chǎn)業(yè)鏈的上游。對于相關(guān)企業(yè)來說，各行業(yè)、各平臺彼此隔離就意味著市場總量能夠不斷增長，而彼此兼容互認，對廠商而言，會導(dǎo)致存量業(yè)務(wù)和增量業(yè)務(wù)“雙減”。因此，考慮到經(jīng)濟效益，廠商并無助推CA數(shù)字證書兼容互認的直接動力。因此，在政府采購領(lǐng)域，要想推進數(shù)字證書兼容互認，要充分發(fā)揮政府部門的調(diào)控作用，用更有為的治理手段，實現(xiàn)資源的最優(yōu)配置。

筆者認為，破解政府采購數(shù)字證書兼容互認難題需要多方發(fā)力，共同推進。就政府采購代理機構(gòu)而言，可以從管理和技術(shù)兩方面著手，努力促進數(shù)字證書兼容互認。

在管理方面，應(yīng)當(dāng)兼顧政策法規(guī)和特定行業(yè)管理機制兩方面的制度建設(shè)。目前，政府采購領(lǐng)域缺乏適用于本行業(yè)的數(shù)字證書互認方案，各機構(gòu)間的“身份認證孤島”問題比較普遍。各采購代理機構(gòu)在選擇CA數(shù)字證書服務(wù)公司時可考慮要求認證公司具有CA數(shù)字證書互認的行業(yè)經(jīng)驗或技術(shù)方案，引導(dǎo)行業(yè)良性發(fā)展。此外，還可以考慮建立政府采購CA數(shù)字證書互認企業(yè)白名單，并進行公示。采購代理機構(gòu)應(yīng)當(dāng)加快政府采購領(lǐng)域電子證照的應(yīng)用進程，將該功能運用到供應(yīng)商注冊、交易等方面。相關(guān)行業(yè)監(jiān)管部門可以引導(dǎo)數(shù)字認證服務(wù)企業(yè)開展技術(shù)革新，推動CA數(shù)字證書兼容互認。

在技術(shù)方面，采購代理機構(gòu)應(yīng)當(dāng)加強與電子認證機構(gòu)合作，加強調(diào)研，設(shè)計加解密技術(shù)方法及路徑，在信息系統(tǒng)開發(fā)中積極拓展新技術(shù)、新應(yīng)用，做到和市場通用技術(shù)對接、共同研究既能兼顧自身業(yè)務(wù)特點，又可對外進行兼容互通的數(shù)字認證技術(shù)方案。加強不同采購平臺之間的技術(shù)交流合作，積極分享、謀求共贏，設(shè)計利于實現(xiàn)CA數(shù)字證書互認的系統(tǒng)方案，共同促進政府采購CA數(shù)字證書兼容互認。

（作者單位：中央國家機關(guān)政府采購中心）

來源：中國政府采購報

近期，法治網(wǎng)研究院調(diào)查團隊，密集接觸追蹤了多個聲稱可以提供“微信監(jiān)控”服務(wù)的機構(gòu)，力圖揭開“微信監(jiān)控”生意的真相。

實測：揭開“微信監(jiān)控”生意的全流程

法治網(wǎng)研究院調(diào)查團隊在百度搜索平臺上，輸入“監(jiān)控微信聊天記錄”，一些廣告會堂而皇之地被推送在百度首頁。

近期，調(diào)查團隊密集聯(lián)系了多家聲稱能夠提供“微信監(jiān)控”服務(wù)的機構(gòu)，在與其客服或技術(shù)人員交流過程中，有的剛聊就露出“狐貍尾巴”，有的談幾句就迫不及待催著交錢，有的云里霧里瞎侃，基本沒有“技術(shù)含量”，也很容易被識破。

最終，調(diào)查人員在一個論壇上，鎖定了一個“專業(yè)性”“典型性”都較強的公司。該公司發(fā)布了這樣一則“廣告”——“對自己老婆不信任？想實時監(jiān)控她微信？這樣操作……”。

調(diào)查人員添加了留在廣告下方的QQ號碼。很快，一個名為“專業(yè)高手”的人通過了小編的好友請求，像機器人提示一般發(fā)送了另外一個QQ號，提示讓小編繼續(xù)添加。

隨后，“技術(shù)2”人員通過了小編的好友請求，并展開對話?！凹夹g(shù)2”并沒有采取打字的方式進行交流，而是全程以發(fā)送圖片文字的形式，似乎“儲備”了大量應(yīng)答詞條。

當(dāng)調(diào)查人員提出需要監(jiān)控別人微信的服務(wù)后，這名技術(shù)人員直接發(fā)送了這樣的內(nèi)容。

可見業(yè)務(wù)十分嫻熟，話術(shù)訓(xùn)練到位，而且走的還是“工業(yè)化批量生產(chǎn)”。

在交談過程中，調(diào)查人員追問了幾個監(jiān)控效果的問題——“對方真的不會知道我在監(jiān)控他嗎？”“隨時可以監(jiān)控對方嗎？”“什么原理啊，不會騙我錢吧？”

對于這些問題，對方避而不答，隨之發(fā)來這樣的“標準”答復(fù)。

而當(dāng)調(diào)查人員提出收費太高時，對方表示，第一次合作，可以先交定金，滿意了再交剩余尾款。

調(diào)查人員接話說，正是第一次合作，互相不熟悉，自己怕被騙，能否介紹一下貴公司之前的監(jiān)控微信的成功案例。對方隨后提供了一段視頻內(nèi)容。視頻中顯示，在手機中下載對方提供的軟件，登陸這個軟件，輸入被查詢?nèi)说奈⑿盘枺憧梢赃h程監(jiān)控被查詢?nèi)说奈⑿帕奶靸?nèi)容。但是這個視頻十分模糊，聊天記錄里顯示的頭像和文字，也并不像真實生活發(fā)生的場景。

視頻截圖

當(dāng)調(diào)查人員看過視頻之后，詢問“技術(shù)2”這項服務(wù)是否有人購買。對方表示有很多人在購買，監(jiān)控效果都很好。

幾輪對話過后，當(dāng)調(diào)查人員強烈要求“技術(shù)2”對監(jiān)控微信的相關(guān)軟件進行一些演示，并詢問軟件是否可以免費試用時，對方開始表現(xiàn)出不耐煩的態(tài)度。

調(diào)查人員之后再次發(fā)送消息，對方已經(jīng)不予回應(yīng)。

調(diào)查人員隨后查看了該技術(shù)人員的主頁，在個人相冊中掛著一張證明其“信譽”的圖片。該圖片顯示的是一個辦公室場所，墻上掛著兩行字：“專業(yè)的資深調(diào)查專家信譽第一 保密第一”。

除了辦公室照片，還有對公司服務(wù)項目的介紹：

甚至還有一張“百度信譽檔案”，上面清晰地顯示了公司名稱為：聯(lián)訊網(wǎng)絡(luò)科技有限公司。調(diào)查人員在企查查搜索中顯示，確實存在多家名為聯(lián)訊網(wǎng)絡(luò)科技有限公司的企業(yè)，但驗證號與備案時間并沒有與這家公司相符合的。

對此，《法治日報》律師專家?guī)斐蓡T、北京中銀律師事務(wù)所全國刑事專業(yè)委員會主任周俊利律師分析，這個案例中的行為人，利用人們普遍對信息網(wǎng)絡(luò)技術(shù)的盲區(qū)和輕信，以及急于想通過信息網(wǎng)絡(luò)技術(shù)掌握被調(diào)查對象隱私、動向的急迫心理，通過偽裝成專業(yè)的網(wǎng)絡(luò)服務(wù)機構(gòu)進行詐騙。心理學(xué)上有個名詞叫做“確信偏誤”，簡單說，就是人們只相信自己愿意相信的東西，而不在意真相。心理學(xué)家麥基說過，當(dāng)一個人內(nèi)心充滿某種情緒或想法時，心里就會帶上強烈的個人偏好暗示，繼而就會去現(xiàn)實中搜尋相關(guān)信息，最終形成一種“真是如此”的心理定勢?！爱?dāng)你強烈希望能看到對方的微信聊天記錄，并希望能有公司提供技術(shù)支持時，當(dāng)有人說可以做到時，你就選擇相信了，心想萬一可以行得通呢，不妨試一試，所有的詐騙都是利用了人們易于輕信的這種心理特點?！?/span>

技術(shù)：當(dāng)真能夠?qū)崿F(xiàn)對他人微信的監(jiān)控嗎？

隨著互聯(lián)網(wǎng)技術(shù)的進步，人們在生活中越來越依賴聊天軟件進行交流。一些社交通訊軟件，留存著大量的生活日常記錄以及個人隱私。

出于種種目的，一些人想通過社交通訊軟件窺探他人隱私，甚至想借助一些非法手段監(jiān)控他人聊天內(nèi)容，而這也成了騙子實施詐騙的切入口。

近日，江蘇南通的高先生就因疫情無法團圓，心生“疑心病”，想偷偷查看老婆的微信聊天記錄，結(jié)果輕信網(wǎng)絡(luò)彈窗廣告，在花費2400元后，他才發(fā)現(xiàn)自己被騙。

金額雖不是很大，但足以看出，腦子進的水可真不少。

事實上，通過這樣的方式上當(dāng)受騙的，還不在少數(shù)，全國多地都曾發(fā)生過此類詐騙案。

有關(guān)技術(shù)人員告訴法治網(wǎng)研究院，微信聊天內(nèi)容基本是不可能通過第三方進行遠程監(jiān)控的，除非在對方的手機軟件中植入木馬病毒、裝外掛軟件等?！皬募夹g(shù)上講，任意輸入對方微信號或手機號，就能看到對方的微信聊天內(nèi)容，就是一個偽邏輯?！?/span>

法治網(wǎng)研究院在調(diào)查中還了解到，聲稱能夠監(jiān)控微信的基本都是騙局，此類詐騙案件中，不法分子通過一些話術(shù)誘導(dǎo)相關(guān)咨詢者掏錢，利用一些P圖軟件，制作出幾個假的實時聊天對話記錄截圖，用來騙取信任。在相關(guān)咨詢者下單付款或者交付定金后，不法分子一般還會發(fā)來一個所謂的壓縮包，以解密為由，收取密碼押金等。如果“戲碼”再足一點，后續(xù)還會編造出虛假的“用戶協(xié)議書”，索要保證金，一直將咨詢者“詐”到覺察受騙為止，最后將受害人拉入黑名單。

不過，一旦在對方手機上植入相關(guān)外掛APP軟件，監(jiān)控對方微信在技術(shù)上應(yīng)該是能夠?qū)崿F(xiàn)的。

2019年，江蘇南京警方在“凈網(wǎng)2019”行動中，就偵破一起用手機軟件竊取個人隱私信息的案件。妻子懷疑其丈夫出軌，在網(wǎng)上以990元的價格購買了一個APP軟件安裝在其丈夫手機上。借此APP軟件，該男子的微信聊天記錄、通話記錄、行蹤定位、照片等等幾乎所有個人信息，其妻子都牢牢掌握。警方據(jù)此順藤摸瓜，查詢到該軟件的開發(fā)者，還發(fā)現(xiàn)另外三款定位監(jiān)控軟件，收集了多達400余萬條極為隱私的公民個人信息，且全國總共有6萬余名被監(jiān)控的受害人。

律師：監(jiān)控或者窺探他人微信所犯何法？

對于那些宣傳能提供微信監(jiān)控服務(wù)的騙局，周俊利表示，從法律上講，上述行為已經(jīng)實施了詐騙行為，如果詐騙的金額只是幾百元數(shù)額，達不到詐騙犯罪的立案標準，但小額詐騙會受到行政治安管理處罰，比如罰款、行政拘留等。根據(jù)我國刑法和相關(guān)司法解釋，詐騙數(shù)額要至少達到3000元才能滿足詐騙罪的立案標準。

“不過，在我國，如果犯罪分子是連續(xù)實施詐騙行為是可以累計的，就是把所有的詐騙金額加起來，再比照法律的條款進行量刑。”周俊利解釋，這在法律上叫做連續(xù)犯，是處斷的一罪，也就是把數(shù)個詐騙行為當(dāng)成一個犯罪處理，只要總金額達到一定標準，就能判處相應(yīng)刑罰，詐騙金額越多量刑越重，最高能處以無期徒刑。所以，如果一旦被騙，不論金額多少都要及時報案，這樣才能盡早將犯罪分子繩之以法。

另外，那些咨詢購買微信監(jiān)控服務(wù)的個人或企業(yè)，因輕信而陷入騙局的，其身份不僅僅是“受害者”，也可能會面臨法律的處罰。

對此，《法治日報》律師專家?guī)斐蓡T、北京市京都律師事務(wù)所高級合伙人梁雅麗律師分析，在他人未授權(quán)、不明知的情況下，對他人的聊天信息進行監(jiān)控這一行為的本質(zhì)，也是對被監(jiān)控人個人信息的侵犯，還可能涉及他人的知識產(chǎn)權(quán)等其他權(quán)利的侵犯。我國已有多部法律對公民的個人信息、知識產(chǎn)權(quán)及正當(dāng)競爭秩序確立了明確的保護框架。以個人信息保護為例，《中華人民共和國個人信息保護法》第10條規(guī)定任何組織、個人不得非法收集、使用、買賣、提供或者公開他人個人信息。也就是說，非法獲取他人個人信息而實施的買賣行為，應(yīng)當(dāng)承擔(dān)法律責(zé)任。

“盡管在此類案件中，基本都是騙局，購買微信監(jiān)控服務(wù)的人尚無法造成獲取他人個人信息的結(jié)果，使得行政處罰或刑事犯罪的認定上缺乏結(jié)果要件，但并不意味著絕對無需承擔(dān)法律責(zé)任”。梁雅麗解釋，就刑事法律而言，行為人存在非法獲取他人信息、商業(yè)秘密（符合立案數(shù)額或情節(jié)）的故意并付諸了行動，只因行為方式錯誤而未實現(xiàn)結(jié)果的，仍涉嫌犯罪未遂，應(yīng)當(dāng)承擔(dān)刑事責(zé)任。尤其是此類案件中如果是企業(yè)主體購買監(jiān)控服務(wù)的，一旦利用非法手段獲取商業(yè)秘密，造成權(quán)利人損失或自身獲利五十萬元以上的，即可構(gòu)成侵犯商業(yè)秘密罪，最高可被判處三年以上十年以下有期徒刑。

對于防詐騙，周俊利提醒，日常生活中，人們切記不要有任何僥幸心理，以免落入騙子的陷阱。遇到疑似陷阱和騙局，要多方求證，理智分析，學(xué)會自我反問和深入推演復(fù)盤。很多問題上，要回歸到基本生活常識上去思考，這樣就能避開心理誤區(qū)，不落入騙子的陷阱。

對于個人信息保護，梁雅麗則提醒，在我國個人信息保護、知識產(chǎn)權(quán)保護及反不正當(dāng)競爭的法律體系日趨完善的今天，不論是個人還是企業(yè)，都應(yīng)當(dāng)注重將他人“信息”作為一種權(quán)利表現(xiàn)形式，而不允許對“個人信息”隨意獲取、買賣的法律常識。社會各主體都應(yīng)當(dāng)了解權(quán)利內(nèi)容、明確法律邊界，既能避免自身承擔(dān)法律風(fēng)險，又能合法保護自身權(quán)益。

選題策劃/法治網(wǎng)研究院

文/重案組小六、法不阿、沈若水

聲明/文中圖片均來自網(wǎng)絡(luò)公開渠道，不能識別其來源，如有版權(quán)爭議，請聯(lián)系我們刪除。

監(jiān)制/余瀛波

編輯/黃美玲

【版權(quán)聲明】本文著作權(quán)歸法治網(wǎng)獨家所有，未經(jīng)授權(quán)，不得轉(zhuǎn)載。

婚姻隨著時間的推移，慢慢會讓夫妻之間變得枯燥無味，沒有了激情，機械般日復(fù)一日，少了溝通，少了交流，感情就會進入一個危險期和疲憊期，如果再加上各種客觀上的因素，很容易讓夫妻兩人對彼此產(chǎn)生厭煩感。曾經(jīng)恩愛夫妻，從信任有加走向互不信任，變成了互相猜忌多疑，這就是當(dāng)今時下的婚姻現(xiàn)狀。

雖然感情平淡如水，歷經(jīng)風(fēng)雨同舟共濟，也舍不得這份情感，又怕另一方杏出墻，于是乎就會有一方就產(chǎn)生了監(jiān)控另一方言行的念頭。網(wǎng)上所傳監(jiān)控對方微信的軟件真的存在嗎？其實遠程監(jiān)控是真實存在的，只不過并非網(wǎng)上說得那么神奇，這種軟件開發(fā)初衷是用于青少年監(jiān)管或用于老年人的關(guān)愛，功能有事情位置、行蹤軌跡、同屏錄音等功能，主要監(jiān)管青少年是否去了不該去了地方，老年人具體位置等。

而這種軟件被不法分子演變成了斂財工具，非法給他人安裝，同時具有隱藏圖標功能，且?guī)в?span id="7cv38ze8gk" class="candidate-entity-word" data-gid="5872476">木馬病毒，不僅會竊取他人隱私，而且還會使手機中病毒感染，甚至數(shù)據(jù)被盜導(dǎo)致錢財受損。據(jù)《法制日報》2019年11月份曾經(jīng)報道有過這種非法軟件。

如何鑒定出是否被遠程監(jiān)控？打開手機管家一鍵檢測，就會提示手機已被某種木馬病毒感染，提示卸載這種軟件，同時手機會提高耗電量，縮短電池續(xù)航能力，后臺也會提示某種軟件不斷更新位置，甚至?xí)杏X手機發(fā)燙發(fā)熱。

如何避免被遠程監(jiān)控？手機設(shè)有屏保密碼，如果你用指紋或人臉識別開鎖也不是絕對安全的，這句話你自己品。假如是你，你會給你的另一半安裝這種軟件嗎？我個人觀點是夫妻需要溝通。需要交流，需要信任，需要互相尊重，朋友們覺得呢？

（題材來源網(wǎng)絡(luò)，如有侵權(quán)第一時間刪除）