折腾NAS笔记

0x00 需求

  • 存储正经电影
  • 存储相机的RAW底图
  • 存储一些游戏和不太好找的软件
  • 可能会折腾一下docker之类的
  • 以上需要远程访问,其他环境也能访问

因为用的Office 365,PC上办公文件和相册的备份也还够用,所以NAS上暂时没有备份同步的需求。

所以综上,在没有all in one需求的情况下,这台NAS的存储稳定性会比其他更重要一些。

0x01设备

设备直接在淘宝上买的星际蜗牛A款整机,4个3.5HDD,机箱支撑架上可以绑1个2.5的SSD,CPU N5095,内存单通道8G DDR4,还有一个空余内存插槽,板载1个SATA控制器,1个SATA口,1个M2口,1个M2WIFI口,板载M2口使用2280尺寸的扩展卡扩展出5个SATA,1个Intel 千兆网卡,2个USB 3.0,2个USB 2.0,支持VGA和HDMI输出,主板是DC供电,12V10A,120W。

硬盘这里在淘宝上买的希捷 ST4000VX000-2AG166 4T监控盘,共4块,是清零盘,店家反应通电时间是几千小时,这个咱也没法验证,只能赌一波了。

买回来用diskgenius跑了一下几块硬盘,盘片质量还行,二手盘主要问题在磁头上,这个也没法验证,听着也没有什么异响,噪音比较小,放在机箱里基本听不到什么声音。

每块硬盘的功耗大概在3~5W,CPU TDP 15W,整机满负荷功耗下来应该不超过50W。

0x02系统

系统这里选的是黑裙,设备对应918+,最开始折腾的是6.2.3,后来升级不小心弄到7.2beta版,最后降级到7.1。

0x03系统安装

因为是买的整机,店家送了个6.2.3的引导优盘,安装及其傻瓜,因为群晖的系统是分布在每一块硬盘上的,所以群晖其实是没有系统盘这个说法的。

需要自编译引导的可以看大佬的文章【授人鱼不如授人以渔】史上最简单的黑群晖DSM7.X引导编译方法,小学生都能操作!(黑群晖DSM7.X引导用arpl编译教程) – GXNAS博客

确定要用的几个硬盘里没有数据,也没有分区,全部是RAW状态。

关机断电情况下,引导优盘插到主板的USB口,硬盘只插1块,前端面板USB插上键盘,HDMI接一个输出的显示器,通电,开机。

过了BIOS检查后直接进入引导,没有要点的的地方,全部是自动的😂,等到引导在屏幕上不动进入命令行一闪一闪的时候,在同一局域网环境下打开另一台电脑,安装Synology Assistance,搜索设备,这时候应该是能搜到设备,状态是DSM未安装。

双击DSM未安装,需要系统安装文件,后缀名pat。这里系统店家也有提供,也可以去群晖官网下对应设备型号的系统,这里选择是的DS918+,6.2.3版本的pat,然后就是等待安装。

安装完以后有个10分钟左右的倒计时,等到6分钟左右刷新一下网页,看能不能进到登录界面,也可以在倒计时的时候用Synology Assistance一直搜索设备,等到搜出来设备,状态变成已就绪的时候就可以双击进入群晖的网页登陆界面了。

进入系统桌面以后,插入剩下的3块硬盘,打开群晖的存储管理,在HDD/SDD里面发现4块硬盘都已经全部识别到了以后就可以新建存储池了。

在存储管理器-总览里面看到硬盘信息可能会顺序不对,或者少几个硬盘,这个没有关系,因为群晖系统默认的只有前面的几个盘位,这个和你选择安装的系统引导和设备型号有关。

存储池可以使用群晖官网的raid计算器来进行计算,我选的raid 5,组完存储池后,4块4T的硬盘实际存储空间是10.1T。

新建完存储池后会有一个持续几个小时的数据校验,等着就行了,校验期间也可以正常使用读写数据。

0x04系统洗白

洗白码其实就是算号器出来的SN和MAC,这个已经硬破了,但是会不会被封号取决于群晖的库里面有没有这个对应的SN和MAC,如果库里没有,那就有大概率被封。

洗白主要是为了在没有公网环境的情况下,可以使用群晖的quickconnect连接到NAS上,DSM7.0以后的部分套件也需要洗白才能使用,比如photo里面的人脸识别,videostation的HEVC插件等。如果没这几个需求,也可以不洗白。

洗白可以参考大佬文章黑群晖不关机快速修改SN/MAC的方法 – GXNAS博客

算号可以参考已完全破译SN,发布算号器 | OPENOS-服务器-路由器-黑群晖-NAS-网络存储-虚拟化

可以去淘宝上买洗白码,也可以自己算。

0x05系统升级

此处升级参考的大佬文章黑群晖升级DSM7的教程(黑群晖DS918-6.23升级到DS918-7.01保姆级教程) – GXNAS博客

结果安装的时候arpl编译的是7.1.1的版本,我安装的系统版本是7.2beta版,正常来说7.x后的arpl是可以在编译引导的过程中识别出来对应的硬盘的,结果不知道哪里的的问题,不管我怎么改引导里的grub.cfg还是user-config.yml里面的DiskIdxMap、SataPortMap、SasIdxMap,总是会有1个硬盘位置识别不出来,最后没办法一块硬盘一块硬盘的试,因为组的是raid 5,所以只要前3块盘能读出来就能先把数据备份了。

备份完成后把4块硬盘删除所有数据和分区,删除引导文件中的DiskIdxMap、SataPortMap、SasIdxMap参数,4块硬盘插进机器重新进入arpl编译引导安装7.1.1 update4的系统即可。

0x06互联网访问

没有公网环境的情况下,最简单的方法是用群晖自带的quickconnect,这个需要洗白,优点是相对稳定,不调环境上手简单,缺点速度慢,上传下载只有一两百k,很多套件不能在quickconnect下打开。

自己采用的是IPV6 DDNS+端口映射的方式实现互联网访问,但是缺点是如果访问的时候网络不支持IPV6就没办法访问,比如家里NAS是IPV6,但是公司网络是IPV4,这种时候就只能要么VPN要么代理,不然也访问不了。

IPV6 DDNS+端口映射方法:

第一步:光猫拨号的时候模式选成NATIVE,保证局域网里每个设备都能拿到独立的公网IPV6地址。

第二部:买个DDNS解析服务,因为域名一直在腾讯买,所以买了个DNSPOD的解析,在DNSPOD的管理界面申请一个API ,申请结束会给你一个ID和KEY,这个API相当于任意人只要拿到ID和KEY,就可以对你的DNSPOD解析记录进行更改,所以千万不要泄露。

第三步:群晖安装DDNSGO套件,添加解析,选择DNSPOD,输入你的ID和KEY,然后右侧日志开始刷新,等到提示正常添加了你现在的IPV6地址到DDNS解析记录后即可(也可以到DNSPOD控制台去查看有没有正常添加解析)。

第四步:进入光猫设置,打开端口转发,选择IPV6端口转发,添加NAS的IPV6,将web访问DSM的端口5000(http)和5001(https)进行转发,协议选择TCP/UDP。

第五步:等待5到10分钟左右,打开浏览器,输入域名+端口,比如xxx.sds.xyz:5000测试访问,局域网范围内如果能正常访问,使用手机流量再测试一下是否能正常访问。

0x07Jellyfin硬解码

经测试,在N5095的情况下,RR 23.10.X系列的引导都无法硬解,需要使用24.1.X之后的RR引导,配合使用SA6400的固件,再使用套件版的Jellyfin(10.8.12版本)或者nyanmisaka版本的docker版jellyfin(10.8.13版本)都可以,在Jellyfin控制台内打开硬件加速QSV,启用硬件解码即可。

0x08挂载云盘到Jellyfin的媒体库

此部分需要使用套件版Alist和套件版的CloudDrive2,逻辑是先将网盘挂载到Alist,再使用CloudDrive2将Alist用webdav的方式挂载到群晖的文件管理中心,最后在Jellyfin中添加本地挂载点作为媒体库文件。

首先安装套件版的Alist,默认端口5244,在Alist的存储菜单里添加需要添加的网盘,不同网盘添加方式不一样,可以查看Alist的官方文档,其中的挂载路径直接输入/XX即可,比如迅雷网盘在路径那里就写成/xunlei,注意parentID参数,这里表示根目录的ID,不同网盘的获取方式不一样,建议在网盘内总分的结构单独建立需要挂载的文件夹。例如:

*迅雷网盘

**sharedFiles

***Movie

***TVshow

此时parentID直接填写sharedFiles文件夹的parentID即可,这样后续方便归纳。

然后安装套件版的CloudDrive2,打开后添加需要挂载的类型,选择webdav,地址输入http://127.0.0.1:5244/dav,127.0.0.1:5244表示Alist的地址是主机的5244端口,/dav表示Alist中所有挂载了的网盘,如果在Alist中挂在了多个网盘且都需要挂载到本地直接用/dav即可,如果只需要挂载个别网盘则需要使用/dav/XX,比如http://127.0.0.1:5244/dav/xunlei就表示把Alist中挂载的迅雷网盘挂载到本地,用户名密码输入Alist的账户密码,完成添加,此时在群晖的文件管理器中就会出现对应的本地文件夹。

最后进入Jellyfin的媒体库中添加对应需要的文件夹即可。

设置工具

类型端口号码协议
Synology Assistant9999、9998、9997UDP
备份
类型端口号码协议
Data Replicator、Data Replicator II、
Data Replicator III
9999、9998、9997、137、138、
139、445
TCP
网络备份873(数据)、3260(iSCSI LUN)TCP
加密的网络备份(远程 Time Backup)22TCP
下载
类型端口号码协议
eMule4662(TCP)、4672(UDP)TCP/UDP
BT6890 ~ 6999(用于 DSM 版本早于 v2.0.1-3.0401 的机型);  
16881(用于 DSM 版本 v2.0.1 以上的机型)
TCP/UDP
网页应用程序
类型端口号码协议
DSM5000(HTTP)、5001(HTTPS)TCP
Download Station5000TCP
Photo Station、Web Station80(可添加另外的端口)、443(HTTPS)TCP
Mail Station80(HTTP)、443(HTTPS)TCP
Audio Station5000(HTTP,可添加另外的端口)、5001(HTTPS,可添加另外的端口)、5353(Bonjour 服务)、6001-6010(AirPlay 控制/定时)TCP/UDP
File Station5000(HTTP,可添加另外的端口)、5001(HTTPS,可添加另外的端口)TCP
Surveillance Station9900(HTTP)、9901(HTTPS)TCP
媒体服务器1900(UPnP)、50001(内容浏览)、50002(内容串流)TCP/UDP
Video Station5000(HTTP)、5001(HTTPS)、9025-9040、
5002、5004、65001(使用 HDHomeRun 网络调谐器的情况下)
TCP
邮件服务器
类型端口号码协议
SMTP25TCP
POP3110TCP
IMAP143TCP
IMAP 含 SSL/TLS993TCP
POP3 含 SSL/TLS995TCP
文件传输
类型端口号码协议
FTP、FTP 含 SSL、FTP 含 TLS21(命令)、20(主动模式的数据连接)、55536-55663(被动模式的数据连接)TCP
AFP548TCP
CIFSsmbd:139(netbios-ssn)、445(microsoft-ds)
Nmbd:137、138
TCP/UDP
UDP
NFS111、892、2049TCP/UDP
WebDAV、CalDAV5005、5006(HTTPS)TCP
iSCSI3260TCP
TFTP69UDP
套件
类型端口号码协议
Cloud Station6690TCP
VPN Server(OpenVPN)1194UDP
VPN Server(PPTP)1723TCP
Syslog Server514(可添加另外的端口)TCP/UDP
iTunes Server3689TCP
Directory Server389(LDAP)、636(LDAP 含 SSL)TCP
DHCP Server67、68UDP
行动应用程序
类型端口号码协议
DS photo+80、443(HTTPS)TCP
DS audio5000、5001(HTTPS)TCP
DS cam5000TCP
DS fileAndroid/iOS 设备:5005、5006(HTTPS)
Windows Phone:5000
TCP
DS finder5000(HTTP)、5001(HTTPS)TCP
DS video5000(HTTP)、5001(HTTPS)TCP
DS download5000(HTTP)、5001(HTTPS)TCP
DS cloud6690TCP
打印机、UPS和外围设备
类型端口号码协议
LPR515UDP
网络打印机(IPP)/CUPS631TCP
Bonjour5353UDP
网络 MFP3240-3259TCP
UPS3493TCP
系统
类型端口号码协议
SSH/SFTP22TCP
Telnet23TCP
资源监视器/SNMP161TCP/UDP
MySQL3306TCP
LDAP389、636(SLAPD)TCP

0x07一些可能遇到的问题

黑群晖安装和使用的常见问题及解决办法(累计116个) (yinxiang.com)

0x08学习网站

  ①.https://wp.gxnas.com/  

  ②.https://imnks.com/

  ③.黑群晖学习教程网站(什么值得买)

0x09一些后续遇到的问题

Q:最近突然很多官方套件在更新后无法正常启动,日志中心没有具体的错误信息,套件可以正常下载和安装,但是无法启动。

A:查看日志中心,发现是在使用了ame72-3005.py半洗白脚本之后,所有官方套件均无法在关闭后正常启动,查看py文件后认为可能是关闭了apparmor的保护导致的官方package无法正常写入profile导致的。

sudo /usr/syno/etc/rc.sysv/apparmor.sh status
##查看apparmor的状态,发现没有载入任何profile
sudo /usr/syno/etc/rc.sysv/apparmor.sh restart
#重启apparmor,发现已经重新载入部分官方套件的profile

重启apparmor后回到套件中心,重新安装或者修复异常的套件,问题解决。


Q:使用RR的引导编译启动后synology assistant无法搜索到设备,路由器中显示握手只有10M。

A:编译启动后在NAS上重新拔插网线。

C#设置程序开机自启动

//设置自启动    
    private void setStart_Click(object sender, EventArgs e)
        {
            RegistryKey R_local = Registry.LocalMachine; 
            RegistryKey R_run = R_local.CreateSubKey(@"SOFTWARE\Microsoft\Windows\CurrentVersion\Run");
            R_run.SetValue("test", Application.ExecutablePath);
            R_run.Close();
            R_local.Close();
        }
//取消自启动
        private void button3_Click(object sender, EventArgs e)
        {
            RegistryKey R_local = Registry.LocalMachine; 
            RegistryKey R_run = R_local.CreateSubKey(@"SOFTWARE\Microsoft\Windows\CurrentVersion\Run");
            R_run.DeleteValue("test", false);
            R_run.Close();
            R_local.Close();
        }

【Win UI 3.0 contentdialog 报错 Value does not fall within the expected range】

0x00.相关

  • Win UI 3.0
  • ContentDialog
  • XamlRoot

0x01.现象

使用win ui 3.0,创建content dialog,使用showasync(),报错Value does not fall within the expected range.

                            ContentDialog contentDialog = new ContentDialog();
                            contentDialog.Content = new RSSEditContentDialog();
                            var res = contentDialog.ShowAsync();

0x02.纠正方法

                            ContentDialog contentDialog = new ContentDialog();
                            contentDialog.Content = new RSSEditContentDialog();
                            contentDialog.XamlRoot = Content.XamlRoot;//增加这一行
                            var res = contentDialog.ShowAsync();

等级保护测评师(初级)知识点

第一章:物理环境安全

物理位置选择

  1. 机房场地应选择在具有防震、防风和防雨等能力的建筑内。
  2. 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。

物理访问控制

  1. 机房出入口应配置电子门禁系统,控制,鉴别和记录进入的人员。

防盗窃和防破坏

  1. 应将设备或主要部件进行固定,并设置明显的不易除去的标识。
  2. 应将通信线缆设在隐蔽安全处。
  3. 应设置机房防盗报警系统或设置有专人值守的视频监控系统。

防雷击

  1. 应将各类机柜、设施和设备等通过接通系统安全接地。
  2. 应采取措施防止感应雷,例如设置防雷安保器或过压保护装置等。

防火

  1. 机房应设置火灾自动消防系统,能够自动检测火情、自动报警、并自动灭火。
  2. 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
  3. 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。

防水和防潮

  1. 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
  2. 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
  3. 应安装对水敏感的检测仪表和元件,对机房进行防水检测和报警。

防静电

  1. 应采取防静电地板或地面并采用必要的接地防静电措施。
  2. 应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。

温湿度控制

  1. 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。

电力供应

  1. 应在机房供电线路上配置稳压器和过电压防护设备。
  2. 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
  3. 应设置冗余或并行的电力电缆线路为计算机系统供电。

电磁防护

  1. 电源线和通信线缆应隔离铺设,避免互相干扰。
  2. 应对关键设备实施电磁屏蔽。

第二章:安全通信网络

网络架构

  1. 应保证网络设备的业务处理能力满足业务高峰期需要。
  2. 应保证网路各个部分的带宽满足业务高峰期需要。
  3. 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
  4. 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
  5. 应提供通信线路,关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

通信传输

  1. 应采用校验技术或密码技术保证通信过程中数据的完整性。
  2. 应采用密码技术保证通信过程中数据的保密性。

可信验证

  1. 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

第三章:安全区域边界

边界防护

  1. 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
  2. 应能够对非授权设备私自联到内部网络的行为进行检查或限制。
  3. 应能够对内部用户非授权联到外部网络的行为进行检查或限制。
  4. 应限制无线网络的使用,保证无线网络通过受控边界设备接入内部网络。

访问控制

  1. 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下允许通信外受控接口拒绝所有通信。
  2. 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。
  3. 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
  4. 应能根据会话状态信息实现基于应用协议和应用内容的访问控制。
  5. 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

入侵防范

  1. 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
  2. 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
  3. 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
  4. 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。

恶意代码和垃圾邮件防范

  1. 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
  2. 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。

安全审计

  1. 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要用户的行为和重要安全事件进行审计。
  2. 审计记录应包括时间的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
  3. 应对审计记录进行保护,定期备份,避免受到未预期的删除,修改或覆盖等。
  4. 应能对远程访问的用户行为,访问互联网的用户行为等进行行为审计和数据分析。

可信验证

  1. 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

第四章:安全计算环境

网络设备(路由器、交换机)

身份鉴别

  1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
  2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登陆链接超时自动退出等相关措施。
  3. 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
  4. 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术只要应使用密码技术来实现。

访问控制

  1. 应对登录的用户分配账户和权限。
  2. 应重命名或删除默认账户,修改默认账户的默认口令。
  3. 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
  4. 应授予管理用户所需的最小权限,实现故案例用户的权限分离。
  5. 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
  6. 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据表级。
  7. 应对重要主体和客体设置安全标记,并控制主体对安全标记信息资源的访问。

安全审计

  1. 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计。
  2. 审计记录包括时间的日期和时间、用户、事件类型、时间是否成功及其他与审计相关的信息。
  3. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
  4. 应对审计进程进行保护,防止未授权的终端。

入侵防范

  1. 应遵循最小安装的原则,仅安装需要的组件和应用程序。
  2. 应关闭不需要的系统服务、默认共享和高危端口。
  3. 应通过设定终端接入方式或网络地址范围对通过网络进行管理的终端进行限制。
  4. 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
  5. 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
  6. 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

可信验证

  1. 可基于可信根对计算设备的引导程序、系统程序、重要配置参数和应用程序进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证解雇哦形成审计记录送至安全管理中心。

安全设备(防火墙)

身份鉴别

  1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
  2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登陆链接超时自动退出等相关措施。
  3. 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
  4. 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术只要应使用密码技术来实现。

访问控制

  1. 应对登录的用户分配账户和权限。
  2. 应重命名或删除默认账户,修改默认账户的默认口令。
  3. 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
  4. 应授予管理用户所需的最小权限,实现故案例用户的权限分离。
  5. 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
  6. 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据表级。
  7. 应对重要主体和客体设置安全标记,并控制主体对安全标记信息资源的访问。

安全审计

  1. 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计。
  2. 审计记录包括时间的日期和时间、用户、事件类型、时间是否成功及其他与审计相关的信息。
  3. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
  4. 应对审计进程进行保护,防止未授权的终端。

入侵防范

  1. 应遵循最小安装的原则,仅安装需要的组件和应用程序。
  2. 应关闭不需要的系统服务、默认共享和高危端口。
  3. 应通过设定终端接入方式或网络地址范围对通过网络进行管理的终端进行限制。
  4. 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
  5. 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
  6. 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

可信验证

  1. 可基于可信根对计算设备的引导程序、系统程序、重要配置参数和应用程序进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证解雇哦形成审计记录送至安全管理中心。

服务器(Linux服务器、Windows服务器)

身份鉴别

  1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
  2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登陆链接超时自动退出等相关措施。
  3. 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
  4. 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术只要应使用密码技术来实现。

访问控制

  1. 应对登录的用户分配账户和权限。
  2. 应重命名或删除默认账户,修改默认账户的默认口令。
  3. 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
  4. 应授予管理用户所需的最小权限,实现故案例用户的权限分离。
  5. 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
  6. 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据表级。
  7. 应对重要主体和客体设置安全标记,并控制主体对安全标记信息资源的访问。

安全审计

  1. 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计。
  2. 审计记录包括时间的日期和时间、用户、事件类型、时间是否成功及其他与审计相关的信息。
  3. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
  4. 应对审计进程进行保护,防止未授权的终端。

入侵防范

  1. 应遵循最小安装的原则,仅安装需要的组件和应用程序。
  2. 应关闭不需要的系统服务、默认共享和高危端口。
  3. 应通过设定终端接入方式或网络地址范围对通过网络进行管理的终端进行限制。
  4. 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
  5. 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

恶意代码防范

  1. 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

可信验证

  1. 可基于可信根对计算设备的引导程序、系统程序、重要配置参数和应用程序进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证解雇哦形成审计记录送至安全管理中心。

终端设备

身份鉴别

  1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
  2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登陆链接超时自动退出等相关措施。
  3. 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

访问控制

  1. 应对登录的用户分配账户和权限。
  2. 应重命名或删除默认账户,修改默认账户的默认口令。
  3. 应及时删除或停用多余的、过期的账户,避免共享账户的存在。

入侵防范

  1. 应遵循最小安装的原则,仅安装需要的组件和应用程序。
  2. 应关闭不需要的系统服务、默认共享和高危端口。
  3. 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

恶意代码防范

  1. 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

可信验证

  1. 可基于可信根对计算设备的引导程序、系统程序、重要配置参数和应用程序进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证解雇哦形成审计记录送至安全管理中心。

系统管理软件(Oracle、MySQL)

身份鉴别

  1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
  2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登陆链接超时自动退出等相关措施。
  3. 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
  4. 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术只要应使用密码技术来实现。

访问控制

  1. 应对登录的用户分配账户和权限。
  2. 应重命名或删除默认账户,修改默认账户的默认口令。
  3. 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
  4. 应授予管理用户所需的最小权限,实现故案例用户的权限分离。
  5. 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
  6. 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据表级。
  7. 应对重要主体和客体设置安全标记,并控制主体对安全标记信息资源的访问。

安全审计

  1. 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计。
  2. 审计记录包括时间的日期和时间、用户、事件类型、时间是否成功及其他与审计相关的信息。
  3. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
  4. 应对审计进程进行保护,防止未授权的终端。

入侵防范

  1. 应遵循最小安装的原则,仅安装需要的组件和应用程序。
  2. 应通过设定终端接入方式或网络地址范围对通过网络进行管理的终端进行限
  3. 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

应用系统

身份鉴别

  1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
  2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登陆链接超时自动退出等相关措施。
  3. 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
  4. 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术只要应使用密码技术来实现。

访问控制

  1. 应对登录的用户分配账户和权限。
  2. 应重命名或删除默认账户,修改默认账户的默认口令。
  3. 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
  4. 应授予管理用户所需的最小权限,实现故案例用户的权限分离。
  5. 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
  6. 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据表级。
  7. 应对重要主体和客体设置安全标记,并控制主体对安全标记信息资源的访问。

安全审计

  1. 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计。
  2. 审计记录包括时间的日期和时间、用户、事件类型、时间是否成功及其他与审计相关的信息。
  3. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
  4. 应对审计进程进行保护,防止未授权的终端。

入侵防范

  1. 应遵循最小安装的原则,仅安装需要的组件和应用程序。
  2. 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
  3. 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

数据备份恢复

  1. 应提供重要数据处理系统的热冗余,保证系统的高可用性。

剩余信息保护

  1. 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
  2. 应保证敏感数据所在的存储空间被释放或重新分配前得到完全清除。

个人信息保护

  1. 应仅采集和保存业务必须的用户个人信息。
  2. 应禁止未授权访问和非法使用用户个人信息。

数据

鉴别数据

  1. 数据完整性
    • 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
    • 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
  2. 数据保密性
    • 应采用密码技术保证重要数据在传输过程中的保密性。包括但不限于鉴别数据,重要业务数据和重要个人信息等。
    • 应采用密码技术保证重要数据在存储过程中的保密性。包括但不限于鉴别数据,重要业务数据和重要个人信息等。

重要业务数据

  1. 数据完整性
    • 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
    • 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
  2. 数据保密性
    • 应采用密码技术保证重要数据在传输过程中的保密性。包括但不限于鉴别数据,重要业务数据和重要个人信息等。
    • 应采用密码技术保证重要数据在存储过程中的保密性。包括但不限于鉴别数据,重要业务数据和重要个人信息等。
  3. 数据备份恢复
    • 应提供重要数据的本地备份与恢复功能。
    • 应提供异地实时备份功能,利用通信网络将重要数据实施备份至备份场地。

重要审计数据

  1. 数据完整性
    • 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
    • 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
  2. 数据备份恢复
    • 应提供重要数据的本地备份与恢复功能。

主要配置数据

  1. 数据完整性
    • 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
    • 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
  2. 数据备份恢复
    • 应提供重要数据的本地备份与恢复功能。

重要个人信息

  1. 数据完整性
    • 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
    • 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要个人信息等。
  2. 数据保密性
    • 应采用密码技术保证重要数据在传输过程中的保密性。包括但不限于鉴别数据,重要业务数据和重要个人信息等。
    • 应采用密码技术保证重要数据在存储过程中的保密性。包括但不限于鉴别数据,重要业务数据和重要个人信息等。
  3. 数据备份恢复
    • 应提供重要数据的本地备份与恢复功能。

第五章:安全管理中心

系统管理

  1. 应对系统管理员进行身份鉴别,只允许通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计
  2. 应对系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

审计管理

  1. 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计。
  2. 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。

安全管理

  1. 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计。
  2. 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主主体、客体进行统一安全标记,对主题进行授权,配置可信验证策略等。

集中管控

  1. 应划分出特定的管理区域,对分布在网络中的设备或安全组件进行管控。
  2. 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。
  3. 应对网络链路、安全设备、网络设备和服务器等设备的运行情况进行集中监测。
  4. 应对分散在各个设备上的审计数据进行手机汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
  5. 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。
  6. 应能对网络中发生的各类安全事件进行识别、报警和分析。

第六章:安全管理制度

安全策略

  1. 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架。

安全制度

  1. 应对安全管理活动中的各类管理内容建立安全管理制度。
  2. 应对管理人员或操作人员执行的日常管理操作建立操作规程。
  3. 应形成由安全策略、管理制度、操作规程、记录表单构成的安全管理制度体系。

制定与发布

  1. 应指定或授权专门的部门或人员负责安全管理制度的制定。
  2. 安全管理制度通过正式、有效的方式发布,并进行版本控制

审核与修订

  1. 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。

第七章:安全管理机构

岗位设置

  1. 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导应由单位主管领导担任或授权
  2. 应设立网络安全管理工作的职能部门,设立安全主管、安全管理等各个方面的负责人岗位,并定义各负责人的职责。
  3. 应设立系统管理员、审计管理员、安全管理员等岗位,并定义部门及各个工作岗位的职责。

人员配置

  1. 应配置一定数量的系统管理员、审计管理员、安全管理员等。
  2. 应配置专职的安全管理员,不可兼任。

审批与授权

  1. 应根据各个部门和岗位的职责,明确授权审批事项、审批部门和批准人等。
  2. 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,并按照审批程序执行审批过程,对重要活动建立逐级审批制度。
  3. 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。

沟通与合作

  1. 应加强各类管理人员、组织内部机构和网络安全管理部门之间的沟通合作,定期召开协调会议,共同协作处理网络安全问题。
  2. 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通。
  3. 应建立外联单位审批表,包括外联单位名称、合作内容、联系人和联系方式等信息。

审核与检查

  1. 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
  2. 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
  3. 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对检查结果进行通报。

第八章:安全管理人员

人员录用

  1. 应制定专门的人员或部门负责人员录用。
  2. 应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其具有的技术技能进行考核。
  3. 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。

人员离岗

  1. 应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
  2. 应办理严格的调离手续,并承诺调离后的保密义务后方可离开。

安全意识教育和培训

  1. 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
  2. 应针对不同的岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训。
  3. 应定期对不同岗位的人员进行技能考核。

外部人员访问管理

  1. 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案。
  2. 应在外部人员接入受控网络访问系统前提出书面申请,批准后由专人开设账户、分配权限、并登记备案。
  3. 外部人员离场后应及时清除所有的访问权限。
  4. 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。

第九章:安全建设管理

定级和备案

  1. 应以书面的形式说明保护对象的等级保护等级及确定等级的方法和理由。
  2. 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定。
  3. 应保证定级结果经过相关部门的批准。
  4. 应将备案材料报主管部门和相应公安机关备案。

安全方案设计

  1. 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
  2. 应根据保护对象的安全保护等级及其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件。
  3. 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。

安全产品采购和使用

  1. 应确保网络产品采购和使用符合国家的有关规定。
  2. 应确保密码产品与服务的采购和使用符合国家密码主管部门的要求。
  3. 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。

自行软件开发

  1. 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制。
  2. 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
  3. 应制定代码编写安全规范,要求开发人员参照规范编写代码。
  4. 应具备软件设计的相关文档和使用指南,并对文档使用进行控制。
  5. 应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。
  6. 应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制。
  7. 应保证开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。

外包软件开发

  1. 应在软件交付前检测其中可能存在的恶意代码。
  2. 应保证开发单位提供软件设计文档和使用指南。
  3. 应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。

工程实施

  1. 应制定或授权专门的部门或人员负责工程实施过程的管理。
  2. 应制定安全工程实施方案控制工程实施过程。
  3. 应通过第三方工程监理控制项目的实施过程。

测试验收

  1. 应制定测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告。
  2. 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应安全性测试相关内容。

系统交付

  1. 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。
  2. 应对负责运行维护的技术人员进行相应的技能培训。
  3. 应提供建设过程文档和运行维护文档。

等级测评

  1. 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改。
  2. 应在发生重大变更或级别发生变化时进行等级测评。
  3. 应确保测评机构的选择符合国家有关规定。

服务供应商管理

  1. 应确保服务供应商的选择符合国家的有关规定。
  2. 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。
  3. 应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。

第十章:安全运维管理

环境管理

  1. 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。
  2. 应建立机房安全管理制度,对有关物理方位、物品带进出和环境安全等方面的管理做出规定。
  3. 应不在重要区域接待来访人员,不随意防止含有敏感信息的纸质文档和移动介质等。

资产管理

  1. 应编制并保存与保护对象相关的资产清单,包含资产责任部门、重要程度和所处位置等。
  2. 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
  3. 应对信息分类与标识方法做出规定,并对信息的使用、传输和存储进行规范化管理。

介质管理

  1. 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点。
  2. 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询进行登记记录。

设备维护管理

  1. 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。
  2. 应建立配到设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。
  3. 信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密。
  4. 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用。

漏洞和风险管理

  1. 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患进行修补或评估可能的影响后进行修补。
  2. 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。

网络和系统安全管理

  1. 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。
  2. 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制。
  3. 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管日常操作、升级与打补丁、口令更新周期等方面作出规定。
  4. 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等。
  5. 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。
  6. 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为。
  7. 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可变更的审计日志,操作结束后应同步更新配置信息库。
  8. 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据。
  9. 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。
  10. 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。

恶意代码防范管理

  1. 应提高所有用户的恶意代码防范意识,对外来计算机或存储设备接入系统前进行恶意代码检查等。
  2. 应定期验证防范恶意代码攻击的技术措施的有效性。

配置管理

  1. 应急和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。
  2. 应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时跟新基本配置信息库。

密码管理

  1. 应遵循密码相关国家标准和行业标准。
  2. 应使用国家密码管理主管部门认证核准的密码技术和产品。

变更管理

  1. 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。
  2. 应建立变更的申报和审批控制程序,以及程序控制所有的变变更,记录变更实施过程。
  3. 应建立中止变更并从变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。

备份与恢复管理

  1. 应识别需要定期备份的重要业务信息、系统数据及软件系统等。
  2. 应规定备份信息的备份方式、备份频度、存储介质、保存期等。
  3. 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。

安全事件处置

  1. 应及时向安全管理部门报告所发现的安全弱点和可疑事件。
  2. 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。
  3. 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据记录处理过程,总结经验教训。
  4. 对造成系统中断和造成信息泄露的重大安全事件应采用不同的处理程序和报告程序。

应急预案管理

  1. 应规定统一的应急预案框架,包括启动预案的条件、应急组织结构、应急资源保障、事后教育和培训等内容。
  2. 应制定重要事件的应急预案、包括应急处理流程、系统恢复流程等内容。
  3. 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。
  4. 应定期对原有的应急预案重新评估,修订完善。

外包运维管理

  1. 应确保外包运维服务商的选择符合国家的有关规定。
  2. 应与选定的外包运维服务是签订相关的协议,明确约定外包运维的范围、工作内容。
  3. 应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确。
  4. 应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。

第十一章:云计算安全扩展要求

概述

云计算技术

  1. 定义:云计算是一种模式,是一种无处不在的、便捷的、按需的、基于网络访问的、共享使用的、可配置的计算资源(例如网络、服务器、存储、应用和服务),可以它通过最少的管理工作与服务提供商的互动快速置备并发布
  2. 五个基本特征
    • 按需自助
    • 无所不在的网络访问
    • 资源池化
    • 快速弹性
    • 可度量的服务
  3. 三种服务模式
    • 软件即服务(SaaS):通过网络为最终用户提供服务。
    • 平台即服务(PaaS):主要提供一些基础资源、包括服务器、网络、存储等服务。
    • 基础设施即服务(IaaS):主要提供一些基础资源,包括服务器、网络、存储等服务。
  4. 四个部署模式
    • 公有云:云计算基础设施为公众或大型行业团体提供服务,由销售云计算服务的云平台所有。
    • 私有云:云计算基础设施为单一的云平台专门运作,可以由该云平台或第三方管理并可以位于云平台内部或外部。
    • 社区云:云计算基础设施由若干个云平台共享,支持特定的、有共同关注点的社区(例如使命、安全要求、政策或合规性考虑等),可以由该云平台或第三方管理并可以位于该云平台内部或外部。
    • 混合云:云基础设施由两个或多个云(私有云、社区云和公共云)组成,以独立实体的形式存在(通过标准的或专有的技术绑定在一起,这些技术促进了数据和应用的可移植性,例如云间的负载均衡),通常用于描述非云化数据中心与云服务提供商的互联。

云安全等级测评对象及安全职责

  1. 测评范围
    • IaaS模式下,云计算平台/系统由设施、硬件、资源抽象控制层组成。
    • PaaS模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台。
    • SaaS模式下:云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用平台。
  2. 测评对象及安全责任
    • IaaS模式
      1. 云服务商责任对象:基础架构层硬件、虚拟化及服务层的安全防护。
      2. 云租户的责任对象:虚拟机、数据库、中间件、业务应用、数据的安全防护。
    • Paas模式
      1. 云服务商责任对象:基础架构层硬件、虚拟化及服务层、虚拟机、数据库的安全防护。
      2. 云租户的责任对象:软件开发平台中间件、应用、数据的安全防护。
    • SaaS模式
      1. 云服务商责任对象:基础架构层硬件、虚拟化及服务层、虚拟机、数据库、中间件、业务应用的安全防护。
      2. 云租户的责任对象:与由于业务应用相关的安全配置、用户访问、用户账户、数据的安全防护。

安全物理环境

  1. 基础设施位置:应保证云计算基础设施位于中国境内。

安全通信网络

网络架构

  1. 应保证云计算平台不承载高于其安全等级保护的业务应用系统。
  2. 应实现不同云服务客户虚拟网络之间的隔离。
  3. 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。
  4. 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略。
  5. 应提供开放式接口或开放性安全服务,允许云客户接入第三方安全产品或在云计算平台选择第三方安全服务。

安全区域边界

访问控制

  1. 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则。
  2. 应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。

入侵防范

  1. 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。
  2. 应能检测到虚拟网络节点的攻击行为,并能记录攻击类型、攻击时间、攻击流量等。
  3. 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。
  4. 应在检测到网络攻击行为、异常流量情况时进行告警。

安全审计

  1. 应对云服务商和云服务客户在远程管理时执行的特权命令进行审审计,至少包括虚拟机删除、虚拟机重启。
  2. 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

安全计算环境

身份鉴别

  1. 当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。

访问控制

  1. 应当保证虚拟机迁移时,访问控制策略随其迁移。
  2. 应允许云服务客户设置不同虚拟机之间的访问控制策略。

入侵防范

  1. 应能检测虚拟机之间的资源隔离失效,并进行告警。
  2. 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警。
  3. 应能够检测恶意代码感染以及在虚拟机间蔓延的情况,并进行告警。

镜像和快照保护

  1. 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务。
  2. 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改。
  3. 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。

数据完整性和保密性

  1. 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定。
  2. 应确保只有在云服务客户收取按下,云服务商或第三方才具有云服务客户数据的管理权限。
  3. 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。
  4. 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加密解密过程。

数据备份恢复

  1. 云服务客户应在本地保存其业务数据的备份。
  2. 应提供查询云服务客户数据及备份存储位置的能力。
  3. 云服务商的云存储服务应保证云服务客户数据存在若干可用的副本,各副本之间的内容应保持一致。
  4. 应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术支持手段,并协助完成迁移过程。

剩余信息保护

  1. 应保证虚拟机所使用的内存和存储空间回收时得到完全清除。
  2. 云服务客户删除业务应用数据时,云计算平台应将存储中所有副本删除。

安全管理中心

集中管控

  1. 应能对物理资源和虚拟资源按照策略统一管理调度和分配。
  2. 应保证云计算平台管理流量与云服务客户业务流量分离。
  3. 应根据云服务商和云服务客户的职责划分,手收集各自控制部分的审计数据并实现各自的集中审计。
  4. 应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中检测。

安全建设环境

云服务商选择

  1. 应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务系统提供相应等级的安全保护能力。
  2. 应在服务水平协议中规定云服务的各项服务内容和具体技术指标。
  3. 应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准备、违约责任等。
  4. 应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。
  5. 应与选定的云服务商签订保密协议,要求其不得泄露云服务客户数据。

供应链管理

  1. 应确保供应商的选择符合国家有关规定。
  2. 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户。
  3. 应该将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对危险进行控制。

安全运维管理

云计算环境管理

云计算平台的运维地点位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。


第十二章:移动互联安全扩展要求

安全物理环境

无线接入点的物理位置

  1. 应为无限接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。

安全区域边界

边界防护

  1. 应保证有线网络与无线网络之间的访问和数据流通过无线接入网关设备。

访问控制

  1. 无线接入的设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。

入侵防范

  1. 应能够检查测到非授权无线接入设备和非授权移动终端的接入行为。
  2. 应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为。
  3. 应能够检测到无线接入设备的SSID广播、WPS等高风险功能的额开启状态。
  4. 应禁用无线接入设备和无线接入网关存在风险的的功能,如:SSID广播、WEP认证等。
  5. 应禁止多个AP使用同一个认证密钥。
  6. 应能够阻断非授权接入设备或非授权移动终端。

安全计算环境

移动终端管控

  1. 应保证移动终端安装、注册并运行终端管理客户端软件。
  2. 移动终端应接受移动管理服务中断的设备生命管理周期、设备远程控制,如:远程锁定、远程擦除等。

移动应用管控

  1. 应具有选择应用软件安装、运行的功能。
  2. 应只允许指定证书签名的应用软件安装和运行。
  3. 应具有软件白名单功能,应能根据白名单控制应用软件安装、运行。

安全建设管理

移动应用软件采购

  1. 应保证移动移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名。
  2. 应保证移动终端安装、运行的应用软件由指定的开发者开发。

移动应用软件开发

  1. 应对移动业务应用软件开发者进行资质审查。
  2. 应保证开发移动业务应用软件的签名证书具有合法性。

安全运维管理

配置管理

应建立合法无线接入设备和和合法移动终端配置库,用于对非法无线接入设备和非法移动终端的识别。


第十三章:物联网安全扩展要求

安全物理环境

感知节点设备物理防护

  1. 感知节点设备所处的物理环境应不对感知节点设备造成物理破环,如挤压、强振动。
  2. 感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在阳光直射区域)。
  3. 感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响,如强干扰、阻挡屏蔽等。
  4. 关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的电力供应能力)。

安全区域边界

接入控制

  1. 应保证只有授权节点可以接入。

入侵防范

  1. 应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为。
  2. 应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为。

安全计算环境

感知节点设备安全

  1. 应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更。
  2. 应具有对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力。
  3. 应具有对其连接的其他感知节点设备(包括路由节点)进行身份标识和鉴别的能力。

网关节点设备安全

  1. 应具备对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别的能力。
  2. 应具备过滤非法节点和伪造节点所发送的数据的能力。
  3. 授权用户应能够在设备使用过程中对关键密钥进行在线更新。
  4. 授权用户应能够在设备使用过程中对关键配置参数进行在线更新。

抗数据重放

  1. 应能够鉴别数据的新鲜性,避免历史数据的重放攻击。
  2. 应能够鉴别历史数据的非法修改,避免数据的修改重放攻击。

数据融合处理

  1. 应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。

安全运维管理

感知节点管理

  1. 应指定人员定期巡视感知节点设备、网关节点设备的部署环境,对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护。
  2. 应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定,并进行全程管理。
  3. 应加强对感知节点设备、网关节点设备部署环境的保密性管理,包括负责检查和维护的人员调离工作岗位应立即交还相关检查工具和检查维护记录等。

第十四章:工业控制系统安全扩展要求

安全物理环境

室外控制设备物理防护

  1. 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;
    箱体或装置具有透风、散热、防盗、防雨和防火能力等。
  2. 室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时
    做好应急处置及检修,保证设备正常运行。

安全通信环境

网络架构

  1. 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的
    技术隔离手段。
  2. 工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用
    技术隔离手段。
  3. 涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在
    物理层面上实现与其他数据网及外部公共信息网的安全隔离。

通信传输

  1. 在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

安全区域边界

访问控制

  1. 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-mail、Web、Telnet、Rlogin、FTP等通用网络服务。
  2. 应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。

拨号使用控制

  1. 工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用
    户数量,并采取用户身份辨别和访问控制等措施。
  2. 拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认
    证、传输加密和访问控制等措施。

无线设置控制

  1. 应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标
    识和鉴别。
  2. 应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及
    执行使用进行限制。
  3. 应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护。
  4. 对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射
    的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。

安全计算环境

控制设备安全

  1. 控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制。
  2. 应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作。
  3. 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确保需保留的应通过相关的技术措施实施严格的监控管理。
  4. 应使用专用设备和专用软件对控制设备进行更新。
  5. 应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。

安全建设环境

产品采购和使用

  1. 工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。

外包软件开发

  1. 应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。

记一次魔兽争霸战役汉化

0x00.对象

本次汉化的对是基于魔兽争霸3重制版制作的魔兽争霸2黑暗之潮战役,该战役由Tamplier777等人发布在蜂房

0x01.安装

使用天下正义制作的淬火mod完成该战役mod的安装。

安装完成后打开魔兽争霸3重制版根目录定位战役文件。

X:\Warcraft III\_retail_\Campaign\Custom9

目录下的c0~c4分别为战役4个章节的对印文件。

0x02.w3x文件分析

使用HkeW3mModifier(俗称火龙,以下简称火龙)打开w3x文件。

操作顺序“打开地→分析文件”,通过 filelist.txt(该文件位于火龙根目录下HkeData文件夹内) 获取w3x文件内文件结构。

w3x其本质为mpq文件,mpq文件是一种压缩文件,mpq文件通过内部自带的filelist来进行文件读取,如果mpq文件内没有filelist,那么便无法读取到mpq的内部文件,简言之就是如果mpq文件内的filelist被删除,那么我们便不知道mpq到底压缩了哪些文件。

filelist通过各种手段进行隐藏或修改,而且不同地图作者导入地图的路径各不相同,所以对filelist文件进行删除或加密是一种常见的mpq文件加密方式。

本次汉化的第一章文件c1.w3x内部包含的filelist仅有部分地图数据,如.wts等文件,其余的素材路径均不可见,常见的文件类型及其功能对印如下:

war3map.wts 字符串,所有外文文本的原始存放位置
war3map.j   jass数据库,剧情、任务文本(在根目录下或在/scrtips目录下)
war3map.w3u单位名字,描述等
war3map.w3t 物品名字,描述等
war3map.w3a 技能名字,描述、学习提示等
war3map.w3h 魔法特效名字,描述等
war3map.w3q升级名字,描述等
war3map.w3b 可破坏物的名字,描述等。如:箱子
war3map.w3d 装饰物的名字,描述等。如:民房
war3map.w3i 地图信息,基本介绍
war3mapSkin.txt  界面,系统提示信息

本次汉化中,大量的任务文本在.wts文件中,使用ultraEdit打开wts文件,如旁白字幕,人物对话,物品介绍,提示等。常见的例如:

string 595第595个字符串
unit该字符串用于单位
ubertip鼠标悬浮扩展提示内容,{}符号内就是扩展内容
description描述
tip提示,将鼠标放在物品上,显示的名字
|n换行
|c????????|r 表示该字符串使用的颜色
Buffs/Effects:buff或者效果

部分触发类的对话文本存在于.j文件中,常见的对印关系例如:

DisplayTimedTextToForce给所有玩家的屏幕文字(指定计时)
CreateTextTagLocBJ地形的漂浮文字
DisplayTextToForce给单个玩家的屏幕文字(自动计时)
CreateTextTagUnitBJ单位的漂浮文字
DialogSetMessageBJ菜单文字
CreateQuestBJF9文本
Multiboard右上角多面板文字
SetDialogueTextKey设置对话内容

将wts和j文件完成汉化后,还有少量文本存在于war3mapskin.txt文件中,补充翻译完即可。

0x03.载入背景修改

魔兽争霸地图载入通常为mdx模型,模型作为素材,其路径在filelist中通常被删除,本次汉化也不例外,通过上面的对印列表可知,地图信息通常在w3i文件中,使用ultraEdit打开w3i文件,发现:

其中,每个trigStr均代表地图在载入过程中调用的触发器,通过wts文件发现这些触发器分别代表了作者的名字,而UI/GLUES…..mdx这个路径则代表了载入背景的模型。

我们将这一串路径复制到火龙的filelist的中,重新使用火龙解析w3x文件,并没有发现该文件的存在,说明该路径有误,我们重新查阅wts和j文件中部分触发器和功能对素材资源的调用,发现大量贴图和模型文件的路径均省略了根目录的全局变量,该变量为_hd.w3mod。

将该路径添加到UI/GLUES前,重新添加到filelist中,解析w3x文件,成功获得载入背景的mdx文件,然而该mdx文件预览后什么也没有,且文件大小2kb,说明其中并没有模型文件。

将获得的mdx文件用ultraEdit打开,发现其中包含了一张dds文件路径,该dds文件才有可能是载入背景的图片,同样其路径有省略,添加全局变量_hd.w3mod后使用火龙重新解析文件,获得该dds文件。

前往Photoshop的dds插件下载地址下载对应的dds插件,即可用PS编辑dds文件,编辑完成后使用火龙替换进w3x文件即可完成载入背景的汉化。

0x04.参考

  1. MPQ加密介绍_改图教学
  2. [经验向]ps的dds插件下载安装
  3. mpq加密和破解的一些方法

《社会心理学》笔记

[美] 戴维·迈尔斯 《社会心理学》 人民邮电出版社 第11版

部分摘抄,仅作记录,忌断章取义.


第一章:社会心理学导论

  1. 我们总是有一种不可抑制的冲动,想要解释行为,对其归因,以使其变得秩序井然,具有可预见性,使一切竟在掌握中。-P5
  2. 客观事实的却存在,但我们观察时总是带着信念与价值观的有色眼镜。-P6
  3. 思维、记忆和态度都是同时在两个水平上运作的:一个是有意识的、有目的的;另一个是无意识的、自动的。今天的学者称之为“双重加工”。我们的所知比我们想象的要多。我们有两种思维模式:“直觉”和“深思熟虑”。-P7
  4. 科学并非简单地对自然加以描述与解释;它是自然与我们地自我之间互相影响地产物;它对自然地描述基于我们向自然提问的方式。-P11
  5. 价值观隐含于我们对心里健康地文化定义中,隐含于我们对于有关生活的心理学建议中,隐含于我们地概念以及我们的心里标签之中。-P13
  6. “如果我们一开始就给出了真正的研究结论(正如施莱辛格所感觉到地那样),读者也许会认为那些事实‘显而易见’。”-P14
  7. 在评估调查地时候,我们必须将一下四个可能会造成偏差地潜在影响因素牢记在心;不具有代表性的样本,问题的顺序,答案的选项和问题的措辞。-P22
  8. 时验使社会心理学家得以发现社会思维、社会影响以及社会关系的及基本原则。-P25
  9. 我们的行为可能千差万别,但却受同样的社会因素影响。在千差万别的表象之下,我们之间有更多的相似而非不同。-P29

第二章:社会中的自我

  1. 实际注意到我们的人比我们认为的要少。我们总能敏锐地察觉到自己地情绪,于是就常常出现透明度错觉。-P34
  2. 我们和他人地交往是双向的。我们对自己的想法和感觉会影响我们对事件地解释和会议,也会影响其他人的反应。而他人也有利于我们进行自我塑造。-P36
  3. 我们把自己和他人进行比较,并思考自己为何不同。-P38
  4. 当面对竞争时,我们常常承认竞争对手本来就固有一些优势,以此来保护我们业已动摇的自尊。-P39
  5. 一个具有相互依赖自我地人会有更强烈地归属感。当相互依赖型的人于家人、同事和朋友完全分开后,会失去那些定义自我的社会联系。-P42
  6. 相互依赖型的自我存在于社会关系中,袒露心声的交流比较少,大多是礼貌性交谈,并且人们更多聚焦于寻求社会支持。-P42
  7. 自我概念是有弹性的(与特定的情境有关),而不是固定不变的(跨情境的持久性)。-P43
  8. 我们关于人或事的自动的内隐态度通常与受意识控制的外显态度不同。-P49
  9. 过度自恋骄傲的可能并非只是你自己,二十你所处的整个群体。波兰大学表现出一种“集体自恋”,坚信自己的国家比其他国家优越,他们对犹太人存在更多偏见。高度集体自恋额墨西哥大学生更可能把美墨边境看成对墨西哥的侮辱,进而以支持抵制美国货进行报复。因此,不论某个人还是某个群体过度骄傲自大时,其他人最终都会跟着遭殃。-P53
  10. 经过这些年,很抱歉我的建议是:忘掉自尊,把更多的精力集中到自我控制和自律上。近期的研究表明这将对个人和社会都有好处。-P53
  11. 自律远比自尊更有价值。-P53
  12. 许多人分不清自我效能和自尊。如果你相信你有能力做一些事,这就是自我效能。如果你由衷地资环你自己,这就是自尊。-P56
  13. 感觉发生在自己身上的事是被外部力量支配地,而还有一些人则感觉发生的事在很大程度上是受自己的努力和机桥所支配的。-P56
  14. 直面你的局限性,毫无疑问它们是你的。-P57
  15. 更多的选择可能会带来信息超载,也带来更多后悔的机会。和那些今今依循课程学习地人相比,自己选择下学期学习课程的学生,更少为重要的考试而努力,且更容易被游戏和杂志所吸引。-P59
  16. 自我服务归因(把好的结果归因于自己,而把坏的结果归因于其他)现象是人民最强有力的偏见之一。-P61
  17. 一般的规律是:群体的每个成员对自己为共同工作所作贡献的评价之和总是超过百分之百。-P63
  18. 虚假普遍性之所以会发生,是因为我们的归纳性结论只是来自一个有限的样本,而这个样本显然还包括我们自己在内。-P67
  19. 不抑郁的人通常显示出自我服务偏差。不抑郁的人将他们的失败归于试验任务或者觉得它超出了自己的控制。而抑郁的自我评价及其对他人如何看待他们的评价都没有表现出夸大。-P69
  20. 真正的谦卑,与其说是虚伪的谦逊,而更像是不太在意自己。它一方面让人们为自己的专长而信息,另一方面也实事求是地认可他人的专长。-P70
  21. 过分相信自己,使我们显现出对未来的盲目乐观。-P70
  22. 自我服务偏差可以让我们尽情享受生活中发生地美好事情,这点是可取的。但是当不好的事情发生时,自我服务偏差会产生适应不良的影响,导致我们责备他人,或者因应得的东西没有得到而有受骗的感觉。-P70
  23. 有时,人们通过设置障碍来阻挠自己获得成功。这种行为绝不是一种故意破坏自我的行为,而恰恰是为了达到自我保护的目的。-P71
  24. 在任务刚开始时不好好干,这样就不至于对自己产生过高的期望。-P71
  25. 在那些关系到自我形象的困难任务中并不尽全力。-P71
  26. 无论我们是引人注意、胁迫他人还是表现出无助的样子,作为一种社会性动物,我们总是在向周围的观众表演。-P71
  27. 你可以想象,一个低自我监控的个体有可能是粗野迟钝的,而一个高自我监控的个体可能会有与行骗专家相似的不诚实行为。我们大多数人处于行骗专家式的高自我监控和榆木疙瘩式的低自我监控这两个极端之间。-P73

第三章:社会信念和判断

  1. 解释的过程也会左右他人对我们的认知。当我们说某人的好话或者坏话时,人们会试图将那些特质和我们联系在一起。-P81
  2. 我们通过自己的信念、态度和价值观来看待我们的社会。-P81
  3. 一旦人们为错误的信息建立了理论基础,那么就很难再让他们否定这条错误的信息。-P82
  4. 我们越是激励想证明我们的理论和解释可能是正确的,我们就挑战自己信念和信息越封闭。-P82
  5. 我们听到和领会到的其实只是我们一知半解的东西。-P83
  6. 有什么方法能够纠正我们的信念固执吗?唯一的方法是:解释相反的观点。-P83
  7. 旅行只有在回味时才是迷人的。-P84
  8. 在记忆中,事情有必要按照期望的方式发生。-P84
  9. 我们的先入之见会强烈地影响我们对事件地解释和记忆。在许多被称之为启动的现象中,人们事前的判断会强烈影响他们知觉和解释信息的方式。-P85
  10. 我们对一些事务——事实、名字和过去的竞艳——的记忆时外显的(有意识的)。而对其他一些事务——技能和条件特征——的记忆则是内隐的,意识无从知晓。-P87
  11. 能力不足反而会促进过度自信倾向。-P89
  12. 简言之,我们越容易会想起某个东西,哪个东西就越可能是真的。-P93
  13. 与较难图像化的事件相比,为什么那些生动的、更易形象化的事件(例如鲨鱼袭击),或那些症状更易图像化的疾病似乎更可能发生?易得性启发式判断可以解答这一问题。-P94
  14. 简言之,我们为了小概率事件忧心忡忡,却忽略了高概率事件。这就是凯斯·桑斯坦所谓的”概率性忽视“现象。-P94
  15. 至此,事实已经相当明确了,我们天真的统计直觉,以及对统计结果的恐惧,并不是建立在计算和推理的基础上,而是受易得性启发式判断所带来的情绪的影响。-P95
  16. 反事实思维是构成我们幸运感的基础。如果我们刚刚好逃过了一场灾难——避免了因为最后一分钟的失球而败北或者站在里一根坠落的冰柱非常紧的地方——我们很容易想象一种负面的反事实情景(输掉比赛,被击中),并因此而觉得自己”运气好“。从另一方面讲,”坏运气“则于那些本来可以不发生但却发生了的糟糕事件相连。-P96
  17. 另一些实验也证实了人们很容易将随机事件直觉为自己信念的支持。-P97
  18. 人们更经常地为作为而非不作为感到歉意。-P97
  19. 将随机时间知觉为有联系的倾向往往容易产生一种控制错觉,——认为各种随机事件受我们影响。这会驱使赌徒不断下赌注,也令我们其余的人干各种不可能之事。-P97
  20. 我们都喜欢控制感,因此,当觉得控制感丧失时,我们会设法创造某种预测感。在实验中,控制感丧失导致参与者对股市信息产生错觉联系,知觉到并不存在的阴谋,还变得迷信。-P98
  21. 趋均数回归这一统计学现,由于测验分数在一定程度上会随机上下波动,所以绝大部分上一次考试得分很高的人下一次考试分数将稍有下降。因为他们第一次的分数达到了最高值,所以第二次的分数可能下降(“回归”),趋向其自身的均值而不是继续将最高值推向更高。-P98
  22. 事实上,当事情处于最低谷时,我们会尝试任何行为,而无论我们尝试什么——去看心理治疗师,开始一个新的节食和锻炼计划,阅读一本自助书——都更可能带来改善而并非进一步恶化。-P98
  23. 男人比女人更容易想到性,男人也通常假定其他人,包括女人,和他们有着同样的感觉。因此,男人很容易会将女人友善的微笑夸大为性需要。-P101
  24. 一致性:个体在这种情况下出现类似行为的一致性该如何?区别性:个体的这种行为是否具有对应于该特定情境?共同反应:其他人在这种情境下出现类似行为的可能性如何?-P103
  25. 在日常生活中,那些拥有社会权力的人通常发起并控制着谈话,而这常常会导致人们高估他们的知识或智力水平。-P105
  26. 即使人们清楚地意识到某人的行为反应是自己引起的,他们仍然低估外在因素的影响。-P105
  27. 我们通常忽略情景所起的重要作用。-P106
  28. 当观察他人和我们自己的亲身经历时,我们的观点会有所不同。当我们作为行动者时,环境会支配我们的的注意;而当我们观察别人的行为时,作为行为载体的则会成为我们注意的中心,而环境变得相对模糊。-P106
  29. 当我们感觉一个行为是有意而为并且值得赞赏的,就会将它归因为我们自己的优点,而忽略情景的作用,只有当我们表现得不好的时候,我们才更有可能将行为归因于外部环境,而此时,某个观察者则会不自觉地从我们行为中推断出我们的内部特质。-P107
  30. 我们从自己关注的地方寻找原因。-P108
  31. 基本归因错误的基本性在于它在本质上影响着我们做解释的方式。-P108
  32. 虽然说我们的错觉和自欺能力让人惊讶,但是请记住:我们的思维模式总的来说具有一定的适应性。错觉通常是我们将复杂信息简单化的策略的副产品。这有点类似我们的知觉机制,一般情况下会带给我们有用的信息,但有时又会使我们误入歧途。-P109
  33. 吉洛维奇和艾巴赫提出,社会心理学家所传递的一条“人道主义信息”就是,人们不应该总是因为自己的问题而被责备,人们更愿意承认”失败、残疾和不幸是现实环境导致的结果。“-P109
  34. 我们的社会信念和判断非同小可。它们会影响我们的感受和行动,并以此有助生成它们自己的现实。当观念引导我们以证实自己的方式行动时,这就成为社会学家罗伯特·默顿所说的自我实现预言(self-fulfilling prophecies),即信念能够导向自我实现。-P110
  35. 在实验室游戏中,敌意几乎总是招致敌意:那些认为对手不合作的人很容易诱发对手的不合作。如果每一个团体都将其他团体视为攻击性的、怨恨的和报复性的,自然会招致其他团体表现出这样的行为以自我防御,从而形成一个自我延续的恶性循环。-P113
  36. 当约会中的情侣处理争执时,充满希望的乐天派和他们的伴侣倾向于认为双方都在做有建设性的努力。和那些持有更为悲观预期的人相比,他们会感觉到更多的相互支持,对争端处理结果的满意度也更高。在夫妻之间同样如此,那些担心伴侣不爱和不接受自己的人将微小的伤害解释为拒绝,导致他们贬损并疏远伴侣。那些对伴侣的爱和接受抱有信心的人表现出较少的自我防御与伴侣的关系也更亲密。爱的确有助于创造出想象中的真实。-P113
  37. 一旦形成错误的社会信念,就可能引发他人做出某些行为反应以支持这些信念,这种现象叫做行为确证(behavioral confirmation)-P113
  38. 某些思维规则会令人们产生错误信念,而且导致了直觉思维中的缺陷,但它们在人类生活中却运转得不错。通常情况下,这些错误我们对复杂信息进行简化加工的心理捷径的副产品。-P116
  39. 诺贝尔奖获得者心理学家赫伯特·西蒙第一次提出了人类理性的有限性。西蒙指出,为了应对现实,我们会简化思维过程。设想一盘国际象棋游戏的复杂性:其中可能的变数比整个宇宙中的粒子数还要多。那么我们应该如何应对呢?我们可能会采用某些简化的规则–启发式判断。这些启发式判断有时会使我们误人政途,但是它们确实可以帮我们做出高效而迅速的决定。-P116
  40. 对社会判断中的错误和错觉的研究提醒我们去“判断不”–带着少许谦逊,牢记我们出现错误判断的可能性。它同样鼓励我们不要被那些看不到自己的偏见和错误的人的自大吓住。我们人类是一种了不起的智慧和错误的混合生物,具有高贵的尊严,但并不是神。-P117
  41. 这种对人类能力的自谦和怀疑是科学和宗教的核心所在。许多现代科学的奠基者是宗教信徒,他们虔诚地在自然和对人类能力的怀疑面前保持谦卑的态度也就不足为奇了。科学同样包括直觉和严格检验之间的相互作用。从错觉中寻找现实需要开放的好奇心和冷静的头脑。这种观点被证明是对待生活的正确态度:批判而不愤世嫉俗,好奇而不受蒙蔽,开放而不被操纵。-P117

《娱乐至死》笔记

[美] 尼尔·波兹曼 《娱乐至死》 中信出版社 2015年5月第1版

部分摘抄,仅作记录,忌断章取义.


第一章、媒介即隐喻

  1. 书面形式把语言凝固下来,并由此诞生了语法家、逻辑家、修辞学家、历史学家和科学家——所有这些人都需要把语言放在眼前才能看清它的意思,找出它的错误,明白它的启示。-P14
  2. 隐喻是一种通过把某一事物和其他事物做比较来揭示该 事物实质的方法。通过这种强大的暗示力,我们脑中也形成了这样一个概念,那就是要理解一个事物必须引入另一个事物:光是波,语言是一棵树,上帝是一个明智而可敬的人,大脑是被知识照亮的洞穴。如果这些隐喻不再有效,我们一定会找到其他适用的:光是粒子,语言是一条河,上帝是一个微分方程(正如罗素曾经宣称的),大脑是一个渴望栽培的花园。-P15

第二章、媒介即认识论

  1. 媒介的变化带来了人们思想结构或认知能力的变化。我的观点仅仅是说,一种重要的新媒介会改变话语的结构。-P30
  2. 印刷术树立了个体的现代意识,却毁灭了中世纪的集体感和统一感;印刷术创造了散文,却把诗歌变成了一种奇异的表达形式;印刷术使现代科学成为可能,却把宗教变成了迷信;印刷术帮助了国家民族的成长,却把爱国主义变成了一种近乎致命的狭隘情感。-P32,P33
  3. 随着印刷术退至我们文化的边缘以及电视占据了文化的中心,公众话语的严肃性、明确性和价值都出现了危险的退步。-P33

第三章、印刷机统治下的美国

  1. 关于这个变化,刘易斯·芒福德写道:“印刷书籍比任何其他方式都更有效地把人们从现时现地的统治中解放出来。”-P38
  2. 如果有读者认为我的这个观点过于“麦克卢汉化”,那么我可以引用马克思在《德意志意识形态》中的一段话:“如果印刷机存在,这世上是否还可能有《伊利亚特》?”他反问道:“有了印刷机,那些吟唱、传说和思考难道还能继续吗?这些史诗存在的必备条件难道不会消失吗?”马克思完全明白,印刷机不仅是一种机器,更是话语的一种结构,它排除或选择某些类型的内容,然后不可避免地选择某一类型的受众。-P51

第四章、印刷机统治下的思想

  1. 在讨论这些问题的时候,沉默比掌声更得体,我希望你们能够用自己的批判力、理解力和良知来听我的演讲,而不是用你们的激情或热情。-P55
  2. 阅读过程能促进理性思维,铅字那种有序排列的、具有逻辑命题的特点,能够培养沃尔特·翁所说的“对于知识的分析管理能力”。-P62
  3. 阅读文字意味着要跟随一条思路,这需要读者由相当强的分类、推理和判断能力。-P62
  4. “如果只拘泥于耳熟能详的专门术语,就会丧失对事物进行宏观全面认识的能力,即使在熟悉的领域里也一样”。-P69,P70
  5. 文字不能保证内容的真实性,而是形成一个语境,让人们可以问“这是真的还是假的”。-P73
  6. 即使在1890年,广告里仍然除了文字别无他物,广告被看作一项严肃而理性的事业,其目的是用文字形式传播信息、发表主张。-P73
  7. 我们完全可以相信,美国的前15位总统如果走在街上,没有人会认出他们是谁。那个时期的著名律师,他们的社会地位、观点和知识都是在印刷文字中得到体现的。如果想想那些近年来成为公众人物的总统、牧师、律师和科学家,你也许会意识到现在的情况有多么不同。想想尼克松或吉米·卡特,或者比利·格林厄姆,或爱因斯坦,首先进入你脑海的是一个图像、一张图片上的脸,或一张电视屏幕上的脸(对于爱因斯坦,则是一张照片上的脸)。而至于他们说过些什么,你可能一无所知。这就是思维方法在以文字为中心的文化和以图像为中心的文化中的不同体现。-P74,P75

第五章、躲猫猫的世界

  1. 但我们生活中的大多数新闻都是不起作用的,至多是为我们提供一点谈资,却不能引导我们采取有益的行动。这正是电报的传统:通过生产大量无关的信息,它完全改变了我们所称的“信息统一比”-P84
  2. 不管是在口头文化还是在印刷术文化中,信息的重要性都在于它可能促成某种行动。-P84
  3. 电报只适合于传播转瞬即逝的信息,因为会有更多更新的信息会很快取代他们。这些信息后浪推前浪地进出于人们的意识,不需要也不容你稍加思索。 -P86
  4. 电报引入的这种公众对话形式有着鲜明的特征:其语言是新闻标题的语言——耸人听闻、结构零散、没有特别的目标受众。新闻的形式类似口号,容易为记住,也容易被忘记。新闻的语言是完全不连贯的,一个消息和 它前面或后面的另一则消息毫无关系。每个“标题”都是独立存在的。-P86
  5. “了解”实施开始有了新的意义,因为“了解”并不意味着人们能够“理解”事实的言下之意、背景知识和与其他事实的关联。-P86
  6. 加夫里尔·萨罗蒙曾经说过:“看照片只需要能辨认,看文字却需要能理解。”他这样说的意思是,照片把世界表现为一个物体,而语言则把世界表现为一个概念。即使最简单的命名,也是一个思考的过程——把一样东西和其他东西进行比较,选择共同的某些特征,忽略不同之处,然后进行归类-P89
  7. 照片表现的是事实,而不是关于这些事实的讨论或从这些事实中得出的结论。但这并不意味着照片没有认识倾向。苏珊·苏塔格说过,照片是“我们通过照相机表现出来的东西对世界的理解”-P89,-P90
  8. 以照片为中心的这些图像不仅仅满足于对语言起到一个补充的作用,而且试图要替代语言全是、理解和验证现实的功能。-P91
  9. “看”取代了“读”而成为他们进行判断的基础。-P92
  10. 电子和图像革命所产生的最令人不安的后果是:电视呈现出来的世界在我们眼里已经不再是奇怪的,而是自然的。这种陌生感的丧失是我们适应能力的一种标志,而且我们的适应程度在一定程度上反映了我们的变化程度。-P97
  11. 如果我们中的某些人不能适应这个时代的模式,那么在我们看来,是这些人不合时宜、行为乖张,而绝不是这个时代有什么问题。-P98

第六章、娱乐业时代

  1. 这样的愿望正是马歇尔·麦克卢汉所说的“后视镜”思维:认为一种新媒介知识旧媒介的延伸和扩展,比如汽车知识坑快的马,电灯是功率更大的蜡烛。-P102
  2. 大脑和技术都是物质装置,思想和媒介都是使物质装置派上用场的东西。一旦技术使用了某种特殊的象征符号,在某种特殊的社会环境中找到了自己的位置,或融入到了经济和政治领域中,它就会变成媒介。换句话说,一种技术只是一台机器,媒介是这台机器创造的社会和文化环境。-P102
  3. 只有那些对技术的历史一无所知的人,才会相信技术是完全中立的。-P102
  4. 随着娱乐业和非娱乐业的分界线变得越来越难划分,文化语的性质也改变了。-P118

第七章、好······现在

  1. 如果我们不喜欢播报新闻的人,是否也要驱逐他呢?难道电视为了迎合观众的喜好可以是非不分吗?-P122
  2. 如果在电视上,可信度代替了事实而成为检验讲述是否可信的决定性因素的话,那么我们的政治领导人就不必关心事实真相,而只要努力让自己的表演达到最佳感就可以了。-P122
  3. “同一语境”是个关键词,因为只有通过语境我们才能判断出一个表述是否自相矛盾。-P130
  4. 简单地说,自相矛盾的存在需要具备一些条件,只有在一个前后连贯的语境中,观点和事件彼此相关,自相矛盾才能成立。如果语境消失了,或者割裂了,那么自相矛盾也会随之消失。-P131
  5. 在这样一个被割裂的世界里,我们无法通过识别自相矛盾来检验正误,因为自相矛盾根本不存在。-P131
  6. 我们已经彻底适应了电视中“好······现在”的世界——所有的事件都是独立存在的,被剥夺了与过去、未来和其他任何事件的关联——连贯性消失了,自相矛盾存在的条件也随之消失了。-P131
  7. 谎言没有被定义成真理,真理性也没有被定义成谎言。真正发生的是公众已经适应了没有连贯性的世界,并且已经被娱乐德麻木不仁了。-P132

第八章、走向伯利恒

  1. 电视最大的长处就是它让具体的形象进入我们的心里,而不是让抽象的概念停留才我们的脑海中。-P146
  2. 大众教育的危险在于它可能真的变成一种娱乐。-P147,148

第九章、伸出你的手投上一票

  1. 通过最凝练的方式集中展示娱乐业的各种形式——音乐、戏剧、图像、幽默和名人——电视广告对资本主义意识形态进行了自《资本论》发表以来最猛烈的进攻。-P152
  2. 资本主义与科学和自由民主一样,是启蒙运动的产物。资本主义的理论家们都相信,买卖双方应该具有相当的成熟程度,了解足够的信息,然后理智地进行双方互惠的交易,这些是资本主义的基础。如果贪欲是资本主义的燃料,那么理性就应该是机车的司机。根据这个理论,市场中的竞争要求买者不仅要知道什么产品对他来说是好的,而且要知道什么是好的产品。 如果卖方生产了没有价值的东西,那么根据市场的规律,他就应该败出。他们认为,买方的理性激励竞争者成为赢家,并且敦促赢家不断进步。在买方无法做出理性决定的情况下,法律就应该接入使交易无效。-P152
  3. 因为在电视上,政治家们给观众的不是他们自己的形象,而是观众想要的形象。-P160
  4. 这就是所有成功电视广告的经验:他们给我们一个口号、一个象征或一个为观众创造出引人注目的形象的焦点。-P161
  5. 就像电视广告为了起心理疗法的作用而必须舍弃真实可信的产品信息一样,形象政治为了同样的目的也必须舍弃真实可信的政治内容。-P162
  6. 由此我们可以推断,历史在形象政治中发挥不了重要作用,因为历史只有对于那些相信过去能够滋养现在的人才有价值。-P162
  7. 我觉得历史学家卡尔·肖斯科的观点非常切中要害,他说,现代人对于历史已经变得漠不关心,因为历史对他们来说没有实用价值。换句话说,导致历史消失的是人们事不关己的态度,而不是他们的固执和无知。-P163
  8. 特伦斯·莫兰认为,在一个本身结构就是偏向图像和片段的媒介里,我们注定要丧失历史的视角。他说,没有了连续性和语境,“零星破碎的信息无法汇集成一个连贯而充满智慧的整体”。我们不是拒绝记忆,我们也没有认为历史不值得回忆,问题的症结在于我们已经被改造得不会记忆了。-P163,P164
  9. 历史的消失根本不需要如此残酷的手段,表面温和的现代技术通过为民众提供一种政治形象、瞬间快乐和安慰疗法,能够同样有效地让历史销声匿迹,也许还更恒久,并且不会遭到任何反对。-P164

第十章、教学是一种娱乐活动

  1. 在学校里,你必须遵守各种行为规范,而看电视的时候,你不必顾及任何规章制度或行为规范;在教室里,娱乐不过是达到目的的一种手段,而在电视上,娱乐本身就是一种目的。-P171
  2. 这并不意味着《芝麻街》没有教育性,事实上,它绝对具有教育性——每一个节目都有教育性。就像阅读能培养人们对于学习的某种倾向一样(不管是怎样的书),看电视也能起到同样的作用。-P172
  3. 约翰·杜威曾经说过,课程的内容是学习过程中最不重要的东西。我们这里也许可以借用他的观点作为指导。他在《经验与教育》中写道:“也许人们对于教育最大的错误认识是,一个人学会的只有他当时正在学习的东西。其实,伴随学习的过程形成持久的态度······也许比拼写课程或地理历史课更为重要······因为这些态度才是在未来发挥重要作用的东西。”换句话说,一个人学到的最重要的东西的学习的方法-P172,P173
  4. 我想指出的第一点是,电视对教育哲学的主要贡献是它提出了教学和娱乐不可分的理念。从孔子到柏拉图到洛克到杜威,没有人在他们对教育的论述中提出过这样的观点。如果你博览教育文献,你会发现有人说过,孩子在学习自己有兴趣的东西时掌握得最好;你还会发现有人说过——柏拉图和杜威对此也十分强调——理性只有在情感的肥沃土壤里才能得到最好的培养;你甚至会发现有人说,一个慈爱的老师会使学习成为一件轻松的事情。但是从来没有人说过或暗示过,只有当教育成为娱乐时,学习才能最有效、最持久、最真实。-P175
  5. 西塞罗说过,教育的目的是让学生们摆脱现实的奴役,而现在的年轻人正竭力做着相反的努力——为了适应现实而改变自己-P175
  6. 电视提出的三条戒律并由此形成了的教育哲学:你不能有前提条件;你不能令人困惑;你应该像躲避瘟神一样避开阐述-P175,P176
  7. 萨罗蒙得出一个结论:“从电视上获得的意义往往是一些具体的片段,不具备推论性,而从阅读中获得的意义往往和我们原来储存的知识相关,所以具有较强的推论性。”-P181,P182

第十一章、赫胥黎的警告

  1. 有两种方法可以让文化枯萎,一种是奥威尔式的——文化成为一个监狱,另一种时赫胥黎式的——使文化成为一场滑稽戏。-P185
  2. 如果一个民族分心于繁杂琐事,如果文化生活被重新定义为娱乐的周而复始,如果严肃的公众对话变成了幼稚的婴儿语言,总而言之,如果人民蜕化为被动的受众,而一切公共事务形同杂耍,那么这个民族就会发现自己危在旦夕,文化灭亡的命运就在劫难逃。-P186
  3. 通讯模式中的技术变化比交通模式中的技术变化更能影响人们的意识形态。-P188
  4. 人们感到痛苦的不是他们用笑声代替了思考,而是他们不知道自己为什么笑以及为什么不再思考。-P194

【NASA APIs】APOD

APOD

Astronomy Picture of the Day(每日天文图片)

NASA每日天文图片中最受欢迎的一个网站,事实上,这个网站也是联邦机构网站中最受欢迎的,它比贾斯汀比伯的视频更有吸引力,这个接受数据的终端地址构造了APOD图像和相关的元数据以便其他应用调用。此外,如果concept_tags参数设置为true,则图像的关键字会从返回数据中的图像解释中自动生成,这些关键字可以用作twitter或instagram的图片标签,这通常有助于发现相关联的图片。

Example image:


HTTP Request

GET  https://api.nasa.gov/planetary/apod

concept_tags are now disabled in this service. Also, an optional return parameter copyright is returned if the image is not public domain.

Query Parameters

ParameterTypeDefaultDescription
dateYYYY-MM-DDtodayThe date of the APOD image to retrieve
hdboolFalseRetrieve the URL for the high resolution image
api_keystringDEMO_KEYapi.nasa.gov key for expanded usage

Example query

https://api.nasa.gov/planetary/apod?api_key=DEMO_KEY

返回Json

{
  "date(日期)": "2019-10-29",
  "explanation(解释)": "Why is there clay on Mars? On Earth, clay can form at the bottom of a peaceful lake when specific minerals trap water.  At the pictured site on Mars, the robotic rover Curiosity drilled into two rocks and found the highest concentration of clay yet.  The clay cache is considered addition evidence that Gale Crater once held water in the distant past.  Pictured, 57 images taken by Curiosity have been combined into a selfie. The images were taken by a camera at the end of its robotic arm. Many details of the car-sized rover are visible, including its rugged wheels, numerous scientific instruments, and a high mast that contains camera \"eyes\", one of which can shoot out an infrared laser beam.  Curiosity continues to roll around and up Mount Sharp -- in the center of Gale Crater -- in a search for new clues about the ancient history of Mars and whether or not the red planet once had conditions that could support life.",
  "hdurl(高清图片地址)": "https://apod.nasa.gov/apod/image/1910/ClayCache_Curiosity_9990.jpg",
  "media_type(媒体信息)": "image",
  "service_version(服务版本)": "v1",
  "title(标题)": "Curiosity Rover Finds a Clay Cache on Mars",
  "url(图片地址)": "https://apod.nasa.gov/apod/image/1910/ClayCache_Curiosity_960.jpg"
}

【NASA APIs】Asteroids – NeoWs

NeoWs (Near Earth Object Web Service) 近地小行星网络服务。

This API is maintained by SpaceRocks Team: David Greenfield, Arezu Sarvestani, Jason English and Peter Baunach.


Neo – Feed

按照最近的近地日期来选择对应的小行星列表。

GET https://api.nasa.gov/neo/rest/v1/feed?start_date=START_DATE&end_date=END_DATE&api_key=API_KEY

Query Parameters

ParameterTypeDefaultDescription
start_dateYYYY-MM-DDnone Starting date for asteroid search
end_dateYYYY-MM-DD 7 days after start_date Ending date for asteroid search
api_keystringDEMO_KEYapi.nasa.gov key for expanded usage

Example query

https://api.nasa.gov/neo/rest/v1/feed?start_date=2015-09-07&end_date=2015-09-08&api_key=DEMO_KEY

返回Json解析

{
  "links": {
    "next(下一日)": "http://www.neowsapp.com/rest/v1/feed?start_date=2015-09-10&end_date=2015-09-11&detailed=false&api_key=DEMO_KEY",
    "prev(前一日)": "http://www.neowsapp.com/rest/v1/feed?start_date=2015-09-08&end_date=2015-09-09&detailed=false&api_key=DEMO_KEY",
    "self(当日)": "http://www.neowsapp.com/rest/v1/feed?start_date=2015-09-09&end_date=2015-09-10&detailed=false&api_key=DEMO_KEY"
  },
  "element_count(天体数量)": 17,
  "near_earth_objects": {
    "2015-09-10": [
      {
        "links": {
          "self": "http://www.neowsapp.com/rest/v1/neo/3754387?api_key=DEMO_KEY"
        },
        "id": "3754387",
        "neo_reference_id": "3754387",
        "name": "(2016 NZ)",
        "nasa_jpl_url": "http://ssd.jpl.nasa.gov/sbdb.cgi?sstr=3754387",
        "absolute_magnitude_h": 21.389,
        "estimated_diameter": {
          "kilometers": {
            "estimated_diameter_min": 0.1402022478,
            "estimated_diameter_max": 0.3135017567
          },
          "meters": {
            "estimated_diameter_min": 140.2022478229,
            "estimated_diameter_max": 313.5017567302
          },
          "miles": {
            "estimated_diameter_min": 0.0871176109,
            "estimated_diameter_max": 0.1948009001
          },
          "feet": {
            "estimated_diameter_min": 459.9811427472,
            "estimated_diameter_max": 1028.5491035508
          }
        },
        "is_potentially_hazardous_asteroid": false,
        "close_approach_data": [
          {
            "close_approach_date": "2015-09-10",
            "close_approach_date_full": null,
            "epoch_date_close_approach": 1441868400000,
            "relative_velocity": {
              "kilometers_per_second": "9.9745968985",
              "kilometers_per_hour": "35908.5488345684",
              "miles_per_hour": "22312.175802235"
            },
            "miss_distance": {
              "astronomical": "0.4835076765",
              "lunar": "188.0844861585",
              "kilometers": "72331718.533049055",
              "miles": "44944845.776244759"
            },
            "orbiting_body": "Earth"
          }
        ],
        "is_sentry_object": false
      }
    ]
  }
}

***注意*** 上述JSON中每一个”near_earth_objects”下“日期节点”下的天体信息节点除轨道信息(”orbital_data”)外,其余天体信息符合下文Neo – Lookup返回JSON内容格式,翻译详见下文。


Neo – Lookup

依据 NASA JPL small body (SPK-ID) ID 来查询具体小行星信息。

GET https://api.nasa.gov/neo/rest/v1/neo/

Path Parameters

ParameterTypeDefaultDescription
asteroid_id int none Asteroid SPK-ID correlates to the NASA JPL small body
api_key string DEMO_KEY api.nasa.gov key for expanded usage

Example query

https://api.nasa.gov/neo/rest/v1/neo/3542519?api_key=DEMO_KEY

返回Json解析

{
  "links(链接)": {
    "self(链接本身)": "http://www.neowsapp.com/rest/v1/neo/3092164?api_key=DEMO_KEY"
  },
  "id(id)": "3092164",
  "neo_reference_id(Neo引用id)": "3092164",
  "name(名称)": "(1997 VG)",
  "designation(命名名称)": "1997 VG",
  "nasa_jpl_url(nasa图片库地址)": "http://ssd.jpl.nasa.gov/sbdb.cgi?sstr=3092164",
  "absolute_magnitude_h(绝对星等)": 22.2,
  "estimated_diameter(估测直径)": {
    "kilometers(千米)": {
      "estimated_diameter_min": 0.096506147,
      "estimated_diameter_max": 0.2157943048
    },
    "meters(米)": {
      "estimated_diameter_min": 96.5061469579,
      "estimated_diameter_max": 215.7943048444
    },
    "miles(英里)": {
      "estimated_diameter_min": 0.059966121,
      "estimated_diameter_max": 0.134088323
    },
    "feet(英尺)": {
      "estimated_diameter_min": 316.6212271853,
      "estimated_diameter_max": 707.9865871058
    }
  },
  "is_potentially_hazardous_asteroid(是否是具有潜在威胁的小行星)": false,
  "close_approach_data(接近数据)": [
    {
      "close_approach_date(接近日期)": "1997-10-30",
      "close_approach_date_full(接近日期完整格式)": "1997-Oct-30 13:16",
      "epoch_date_close_approach(纪元日期)": 878217360000,
      "relative_velocity(相对速度)": {
        "kilometers_per_second(Km/s)": "17.7898822371",
        "kilometers_per_hour(Km/h)": "64043.576053592",
        "miles_per_hour(M/h)": "39794.1875761889"
      },
      "miss_distance(飞越偏差)": {
        "astronomical(天文学单位)": "0.0825160739",
        "lunar(地月距离单位)": "32.0987527471",
        "kilometers(千米)": "12344228.896202593",
        "miles(米)": "7670348.1573300634"
      },
      "orbiting_body(轨道天体)": "Earth"
    }
  ],
  "orbital_data(轨道数据)": {
    "orbit_id(轨道id)": "13",
    "orbit_determination_date(轨道测定日期)": "2017-04-06 09:17:57",
    "first_observation_date(首次观测日期)": "1997-10-30",
    "last_observation_date(末次观测日期)": "1997-11-09",
    "data_arc_in_days": 10,
    "observations_used(曾观测到次数)": 79,
    "orbit_uncertainty(不确定轨道)": "8",
    "minimum_orbit_intersection(最小轨道面交线)": ".0818401",
    "jupiter_tisserand_invariant(木星蒂塞朗参数)": "3.887",
    "epoch_osculation(观察纪元)": "2450756.5",
    "eccentricity(偏心率)": ".4013047640621201",
    "semi_major_axis(半长轴)": "1.748717422635951",
    "inclination(倾斜度)": "30.9280379318637",
    "ascending_node_longitude(上升节点经度)": "219.5594769011091",
    "orbital_period(轨道周期)": "844.652131471439",
    "perihelion_distance(近日点距离)": "1.046948789933712",
    "perihelion_argument(近日点角距)": "154.4455716615414",
    "aphelion_distance(远日点距离)": "2.45048605533819",
    "perihelion_time(近日点时间)": "2450730.094677552260",
    "mean_anomaly(平近点角)": "11.25423796021976",
    "mean_motion(平均运动)": ".4262109649482048",
    "equinox(二分日)": "J2000",
    "orbit_class(轨道类)": {
      "orbit_class_type(轨道类型)": "AMO",
      "orbit_class_description(轨道描述)": "Near-Earth asteroid orbits similar to that of 1221 Amor",
      "orbit_class_range(轨道范围)": "1.017 AU < q (perihelion) < 1.3 AU"
    }
  },
  "is_sentry_object(是否是哨兵天体)": false
}

Neo – Browse

查询所有小行星。

GET https://api.nasa.gov/neo/rest/v1/neo/browse/

Example query

https://api.nasa.gov/neo/rest/v1/neo/browse?api_key=DEMO_KEY

返回Json解析

{
  "links": {
    "next(下一页)": "http://www.neowsapp.com/rest/v1/neo/browse?page=1&size=20&api_key=DEMO_KEY",
    "self(本页)": "http://www.neowsapp.com/rest/v1/neo/browse?page=0&size=20&api_key=DEMO_KEY"
  },
  "page": {
    "size(每页展示星体数量)": 20,
    "total_elements(总星体个数)": 22154,
    "total_pages(总页数)": 1108,
    "number(页码)": 0
  },
  "near_earth_objects": [
    {
      "links": {
        "self": "http://www.neowsapp.com/rest/v1/neo/2021277?api_key=DEMO_KEY"
      },
      "id": "2021277",
      "neo_reference_id": "2021277",
      "name": "21277 (1996 TO5)",
      "designation": "21277",
      "nasa_jpl_url": "http://ssd.jpl.nasa.gov/sbdb.cgi?sstr=2021277",
      "absolute_magnitude_h": 16.1,
      "estimated_diameter": {
        "kilometers": {
          "estimated_diameter_min": 1.6016033798,
          "estimated_diameter_max": 3.5812940302
        },
        "meters": {
          "estimated_diameter_min": 1601.6033797856,
          "estimated_diameter_max": 3581.2940301941
        },
        "miles": {
          "estimated_diameter_min": 0.9951898937,
          "estimated_diameter_max": 2.2253122528
        },
        "feet": {
          "estimated_diameter_min": 5254.6044325359,
          "estimated_diameter_max": 11749.652706022
        }
      },
      "is_potentially_hazardous_asteroid": false,
      "close_approach_data": [
        {
          "close_approach_date": "1945-06-07",
          "close_approach_date_full": "1945-Jun-07 22:35",
          "epoch_date_close_approach": -775272300000,
          "relative_velocity": {
            "kilometers_per_second": "15.5094751736",
            "kilometers_per_hour": "55834.1106249398",
            "miles_per_hour": "34693.1450158133"
          },
          "miss_distance": {
            "astronomical": "0.0334235374",
            "lunar": "13.0017560486",
            "kilometers": "5000090.002905338",
            "miles": "3106911.8583881444"
          },
          "orbiting_body": "Mars"
        }
      ],
      "orbital_data": {
        "orbit_id": "160",
        "orbit_determination_date": "2019-02-25 06:46:25",
        "first_observation_date": "1990-02-04",
        "last_observation_date": "2019-02-22",
        "data_arc_in_days": 10610,
        "observations_used": 641,
        "orbit_uncertainty": "0",
        "minimum_orbit_intersection": ".312604",
        "jupiter_tisserand_invariant": "3.267",
        "epoch_osculation": "2458600.5",
        "eccentricity": ".520679713558904",
        "semi_major_axis": "2.377072796215251",
        "inclination": "20.95132822546138",
        "ascending_node_longitude": "167.3838999709471",
        "orbital_period": "1338.634919322609",
        "perihelion_distance": "1.139379213573231",
        "perihelion_argument": "250.19366847",
        "aphelion_distance": "3.61476637885727",
        "perihelion_time": "2458492.623748312731",
        "mean_anomaly": "29.01123379260778",
        "mean_motion": ".2689306806535207",
        "equinox": "J2000",
        "orbit_class": {
          "orbit_class_type": "AMO",
          "orbit_class_description": "Near-Earth asteroid orbits similar to that of 1221 Amor",
          "orbit_class_range": "1.017 AU < q (perihelion) < 1.3 AU"
        }
      },
      "is_sentry_object": false
    }
  ]
}

***注意*** 上述JSON中每一个”near_earth_objects”的子节点均符合上文Neo – Lookup返回JSON内容格式,翻译也与之相同,详见 Neo – Lookup 中JSON解析。


Reference

UWP下制作简单时间轴控件

0x00.相关

0x01.声明类

    class Html_TimeLineClass
    {
        public string Content { get; set; }
        public string DateTime { get; set; }
        public string Id { get; set; }
        public int Index { get; set; }
    }

0x02.自定义模板

        <DataTemplate x:Key="RightTimeLineItemTemplate">
            <ListViewItem>
                <Grid>
                    <Grid.ColumnDefinitions>
                        <ColumnDefinition Width="1*"/>
                        <ColumnDefinition Width="14"/>
                        <ColumnDefinition Width="1*"/>
                    </Grid.ColumnDefinitions >
                    <Border Height="14" Width="14"
                                CornerRadius="6" BorderThickness="2" 
                                BorderBrush="LightGray"
                                Grid.Column="1" VerticalAlignment="Bottom">
                        <Border.Background>
                            <AcrylicBrush 
                                BackgroundSource="HostBackdrop" TintColor="{ThemeResource SystemChromeMediumColor}" TintOpacity=".7"/>
                        </Border.Background >
                    </Border >
                    <StackPanel Orientation="Horizontal" HorizontalAlignment="Left" 
                                Grid.Column="2">
                        <StackPanel Orientation="Vertical">
                            <StackPanel Orientation="Horizontal">
                                <HyperlinkButton Content="{Binding Id}"/>
                                <TextBlock Text="{Binding DateTime}" Margin="8,0,0,0" Foreground="Gray" VerticalAlignment="Center"/>
                            </StackPanel >
                            <TextBlock Text="{Binding Content}"/>
                            <Border Height="1" Background="LightGray" CornerRadius="2"/>
                        </StackPanel >
                    </StackPanel>
                </Grid >
            </ListViewItem >
        </DataTemplate >
        <DataTemplate x:Key="LeftTimeLineItemTemplate">
            <ListViewItem>
                <Grid>
                    <Grid.ColumnDefinitions>
                        <ColumnDefinition Width="1*"/>
                        <ColumnDefinition Width="14"/>
                        <ColumnDefinition Width="1*"/>
                    </Grid.ColumnDefinitions >
                    <Border Height="14" Width="14"
                                CornerRadius="6" BorderThickness="2" 
                                BorderBrush="LightGray"
                                Grid.Column="1" VerticalAlignment="Bottom">
                        <Border.Background>
                            <AcrylicBrush 
                                BackgroundSource="HostBackdrop" TintColor="{ThemeResource SystemChromeMediumColor}" TintOpacity=".7"/>
                        </Border.Background >
                    </Border >
                    <StackPanel Orientation="Horizontal" HorizontalAlignment="Right" 
                                Grid.Column="0" >
                        <StackPanel Orientation="Vertical">
                            <StackPanel Orientation="Horizontal">
                                <HyperlinkButton Content="{Binding Id}"/>
                                <TextBlock Text="{Binding DateTime}" Margin="8,0,0,0" Foreground="Gray" VerticalAlignment="Center"/>
                            </StackPanel >
                            <TextBlock Text="{Binding Content}"/>
                            <Border Height="1" Background="LightGray" CornerRadius="2"/>
                        </StackPanel >
                    </StackPanel>
                </Grid >
            </ListViewItem >
        </DataTemplate >

0x03.自定义模板选择器

XAML

        <local:TimeLineItemTemplateSelector
            x:Key="TimeLineItemTemplateSelector"
            LeftTimeLineItemTemplate="{StaticResource LeftTimeLineItemTemplate}"
            RightTimeLineItemTemplate="{StaticResource RightTimeLineItemTemplate}" />

C#

    public class TimeLineItemTemplateSelector : DataTemplateSelector
    {
        public DataTemplate LeftTimeLineItemTemplate { get; set; }
        public DataTemplate RightTimeLineItemTemplate { get; set; }
        protected override DataTemplate SelectTemplateCore(object item)
        {
            int index= ((Html_TimeLineClass)item).Index;
            if (index % 2 == 1)
                return RightTimeLineItemTemplate;
            else return LeftTimeLineItemTemplate;
        }//奇按照偶性左右分布
    }

0x04.绘制中轴和Listview容器

                <Grid>
                    <Border HorizontalAlignment="Center" Width="3" Background="Gray"
                        CornerRadius="2" Margin="0,10,0,10"/>
                    <ListView x:Name="TimeLineListview" Margin="0,10,0,10"
                               SelectionMode="None"
                               ItemContainerStyle="{StaticResource LVCstretch}" 
                               ItemTemplateSelector="{StaticResource TimeLineItemTemplateSelector}"
                               IsItemClickEnabled="True">
                    </ListView >
                </Grid >

0x05.数据绑定

TimeLineListview.ItemsSource = your datasource;

0x06.效果图