使命光荣 任务艰巨******

使命光荣 任务艰巨

讲述人：兰州大学动物医学与生物安全学院青年研究员 朱国梁

　　作为一名刚踏入高校工作的青年教师，我深刻感受到党和国家对教育、科技的高度重视，也深刻认识到作为高校科研工作者的光荣使命和艰巨任务。

兰州大学校园景色 兰州大学供图

　　今年7月，我从位于北京的中国科学院生物物理研究所毕业，怀着忐忑和憧憬，第一次来到甘肃兰州。这次旅行的目的是实地考察国内几所高校，以便选择其中一所入职，第一站便是兰州大学。尽管晚上10点多才到酒店，学院领导仍然非常热情地带我去参观实验室，深情讲述科研团队的发展历史和未来规划，我们畅谈到12点多才结束。躺在酒店的床上，我久久不能入睡，做出了人生中最重大的决定：我要留在兰州，加入建设西部、发展西部的大军中。

　　我所在的动物医学与生物安全学院是兰州大学和中国农业科学院兰州兽医研究所着眼科教兴国战略、人才强国战略、创新驱动发展战略而展开强强联合的成果。学院着力在动物医学和生物安全两大学科领域开展高水平基础研究与应用研究，致力于在生物安全、动物医药、动物养殖等领域和行业为国家培养高层次创新人才。

　　我的研究方向是结构生物学，简而言之就是利用结构生物学技术和手段，研究重要生物大分子的结构和功能。疫情期间，结构生物学家攻坚克难，为新冠疫苗研发、抗病毒药物设计提供了重要的理论基础，也是从那时起，我深刻意识到自己研究方向的重大意义。未来，我将认真学习贯彻党的二十大精神，深入思考如何将结构生物学与病原致病及免疫机制研究、宿主抗病机制及抗病育种研究、新型疫苗与诊断技术创新研究等方向相结合，为重要动物疫病、人畜共患病防控提供理论和技术支撑。

　　作为高校青年教师，我们要始终牢记党和人民赋予的光荣使命和艰巨任务，立大志、明大德、成大才、担大任，敢想敢为又善作善成，直面问题、迎难而上，瞄准世界科技前沿，勇做新时代科技创新的排头兵，为建设世界科技强国作出自己的贡献。

　　（光明日报记者宋喜群、王冰雅采访整理）

　　《光明日报》（ 2022年12月20日 05版）

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）