动态控制

    2017年8月1日，站酷网公布了2017首届站酷奖入围作品名单，涵盖海报设计、包装设计、创意字型、品牌设计、出版物设计、网站设计、APP设计、H5设计、商业插画、漫画、绘本、动画片等12个类别。 

    站酷奖是由中国人气设计师社区站酷网主办的综合性设计奖项，旨在发现优秀的创意&设计，鼓励各个设计领域同时具有商业价值和美学价值的杰出作品和个人，并依托互联网建立自由交流和沟通的机制，提升设计在全行业中的价值占比。 

    2017站酷奖力邀设计创意领域极具权威性的十五位国际国内大师组成重量级评委团，以“发现与提升设计的价值”为宗旨，通过针对商业价值、审美价值、适用性、创意表现等不同视点的审视与判断，选出最终入围作品。而每一个分类的唯一金奖获奖结果将于2017年9月23日站酷CUBE盛典上揭晓和颁发。 

    2017站酷奖入围作品名单如下： 

    

　文/薛洪言

　　第三方支付的快速渗透、传统金融机构布局扫码支付、便捷支付相关的金融科技技术持续进步，在各种因素的推动下，无现金社会正加速向我们走来。

　　资金流通是市场经济运转的润滑剂，主流支付手段的非现金化，其影响绝不仅仅是支付体验的优化，还会带来货币统计口径的变动，也必然会加速各类金融业务和模式的重构。某种程度上，对于无现金社会，不得不慎重待之。

　　在本文中，笔者尝试从几个方面设想一下无现金社会可能带来的新问题，权作抛砖引玉之言。当然，只是猜想而已。

　　货币口径失真及货币政策失灵风险

　　谈到货币供应，一般有三个概念，分别为M0、M1和M2。一般认为，M0是狭义的货币供应；M1是现实的货币供应，可直接用于支付；M2是潜在的货币供应，因为其中的定期存款和储蓄存款不是即时的购买力。

　　在无现金社会中，M0的占比会越来越低，该指标也就越来越不重要。那谁的占比会增加呢？M1还是M2？

　　关键是替代性的支付工具是谁？如果银行卡成为主流的电子支付手段，对应的应该是M1；如果第三方支付账户中的货币基金，如余额宝、零钱宝等成为主流的支付工具，则对应的是M2中的非存款类金融机构存款；如果信用卡和蚂蚁花呗、苏宁任性付等消费金融产品成为主流的支付工具，则并不在央行的货币统计口径之中。

　　基于目前的趋势来看，包括信用卡在内的消费金融产品成为主流支付工具的概率更大，而此类工具并未被统计到央行货币口径之中，会使货币统计口径与社会中的真实购买力脱节，统计口径小于真实购买力。

　　举个例子，央行统计的即时购买力M1约为50万亿元人民币，而考虑到大量的消费金融产品（尤其是其分期功能）的存在，社会真实的购买力可能在60万亿元左右，这种真实货币供应的增大可能会带来潜在的通胀风险。

　　除此之外，实际购买力结构的变化还会对现有的货币政策传导机制带来影响。央行的货币政策，大致分为调整利率的价格政策和调整货币供应量的数量政策。

　　央行调整货币供应量，一般通过调整基础货币和货币乘数两个手段进行，其主要媒介是存款性金融机构，影响的主要是银行存款。而在无现金社会中，真实的购买力隐藏在消费金融产品而非银行存款中，便会导致央行的数量型工具在特定情境下失去效果。

　　支付工具进化与金融业态重构的潜在影响

　　回顾支付工具的演变历程，从快捷支付、到扫码支付、再到Amazon Go推出的“买完即走”的自动支付模式创新，货币的电子化程度一直在层层深入。货币作为一切经济活动的媒介，货币形式的改变必将对经济运行产生深刻影响，并反过来改变金融业务的应用场景和业务模式，某种程度上甚至完成对行业的重构。

　　不妨以物联网技术普及对支付行业数字化进程的促进为例来开这个脑洞。智能手机的普及使得手机成为第三方支付的主要载体，推动了第三方支付行业开启了第一波繁荣发展阶段。

　　而随着物联网技术的逐步成熟和普及，支付领域有望进入“万物皆载体”的新阶段，智能手环、手表、汽车、空气净化器、冰箱、空调、电视等都可以成为支付的“账户载体”和“受理终端”，作为货币电子化的重要表现形式，支付清算在更广泛范围内实现数字化和虚拟化，引领行业发展再上新台阶。

　　对支付行业而言，“万物皆载体”要求重构业务流程，针对特定交易场景实现无验证式支付，进而实现自动化订购的目的，同时还要在便捷和安全上面寻找均衡点。此外，正如智能手机作为支付载体，为手机制造企业布局第三方支付带来机遇一样，“万物皆载体”时代的来临将为更多的跨界巨头进入支付行业提供机遇窗口，届时，目前稳固的市场竞争格局有望再次重塑。

　　对整个互联网金融行业而言，“万物皆载体”意味着“万物皆是数据源”，数据源极速扩容后，基于大数据的机器学习模型将大大推动信用评价的透明化和营销方式的智能化。

　　届时，信用融资变得更为容易，风控能力或不再是贷款类企业的核心竞争力，基于场景和体验基础上的客户黏性成为致胜的关键。而营销手段的智能化，则有望改变目前粗放式的无差异投放的营销手段，在大幅降低营销成本的同时提升营销精准度。

　　对于监管机构而言，金融业态的重构以及金融业务与场景的高度融合，需要重新评估现有机构监管模式的有效性。举例来讲，在万物载体的模式下，支付行为的参与者不再局限于银行和非银行支付机构，智能硬件制造者等更多的跨界巨头也将成为重要一环。

　　届时，该如何界定被监管主体？如何界定被监管金融业务？如何确保在保证监管效率的前提下减少监管空白和监管套利的现象？都是新形势下监管机构需要应对的新问题。

　　金融强监管时代，效率与安全的再平衡

　　2017年7月中旬结束的全国金融工作会议，对金融监管提出了一些新的要求，金融业正迎来金融监管新时代。

　　在机构层面，设立国务院金融稳定发展委员会，是适应金融业务混业经营大趋势的监管应对措施。同时，对于强化金融监管，金融工作会议有三个比较新的提法：

　　一是强调“所有金融业务都要纳入监管”，即所谓的无死角监管。

　　二是强调“更加重视行为监管”，注重从被监管主体的金融行为属性来对应监管机构，大大降低监管套利的空间。

　　三是强调“有风险没有及时发现就是失职、发现风险没有及时提示和处置就是渎职”，即监管问责。

　　在强监管及监管问责的新形势下，面对无现金社会等新技术、新业态的降临，如何把握好安全与效率的平衡，无疑也会成为监管机构需要面临的一个挑战。

　　对于新技术与旧业态的冲突与合作，站在从业者的角度看，主要是一个资源与利益的重新分配问题，大家争的，无非是在未来的行业格局中，谁的份额大一些，谁的利益多一些。

　　而站在监管和政策层面去看，更多的则是一个效率与安全的问题，新技术通常会提升行业效率，政策是欢迎的，但也会再带来很多不确定性，如对现有模式的冲击可能会产生安全的问题，需要综合考量，既要预防系统性风险的发生，又不能因为监管因素削弱本国金融科技企业的国际竞争力。

　　问题在于，安全与效率，几乎是一对永远的矛盾统一体，既相辅相成，又对立统一，最难的就是平衡度的把握。

　　若过于强调安全和风险防控，则可能会延缓无现金社会的到来速度，甚至对支付机构和银行的业务创新乃至生存发展都带来较大影响；若从效率的角度出发，创新和便捷性是没有问题，但又难免会带来一些安全上的隐患。

　　谈四点建议，权作抛砖引玉之言

　　这种情境下，笔者从个人角度谈四点建议，权作抛砖引玉之言。

　　一是大力发展监管科技。

　　综合利用大数据、人工智能等技术大幅提升监管效率，提高监管能力和覆盖范围。就现阶段来看，在对部分互金机构的监管中，已经出现了基于系统对接和公开数据挖掘的风险预警体系，这属于监管科技的初步应用。

　　随着更多数据信息的接入和人工智能、区块链等技术的应用，监管科技还应有更多的表现形式，比如推动金融业务对区块链技术的应用速度，充分利用区块链的不可篡改特性，降低违规行为发生概率。

　　二是借鉴监管沙盒思路，实现安全与效率的动态平衡。

　　通过沙盒测试，一方面可以在监管机构的控制下实现小范围内的真实环境测试，在沙盒测试中，受测试者不因测试本身而丧失任何合法的权益；另一方面，沙盒测试可以为监管机构提供清晰的视角来看待监管规定与金融创新的辩证关系，及时发现因限制创新而有损消费者长远利益的监管规定，并第一时间调整，真正让适度监管、包容监管等创新监管精神落地。

　　三是实施分类监管策略。

　　细分不同业态、不同机构甚至不同业务的潜在风险概率，针对性实施不同的监管策略。这里，可以借鉴第三方支付行业的监管经验，为兼顾账户实名制要求和便捷支付的效率要求，监管机构对个人银行账户和支付账户实施了分类管理，账户开立时要求越严格，账户功能便越齐全，反之则反之。

　　同时，在支付环节，按照“大额支付侧重安全、小额支付侧重便捷”的管理思路，在要求大额支付必须采用多重认证方式确保安全的同时，也允许在“云闪付”、“扫码付”等小额便捷支付中采用免密方式。

　　四是正视货币口径和货币政策传导机制的潜在变化，对货币政策有效性进行实时评估，并作动态调整。 

相关新闻

2016-07-19

2016-08-15

2017-04-11

2017-07-10

2017-08-22

DDoS攻击素来以成本低廉（相比防御）、效果显著、影响深远为攻击者所青睐，经过长时间的发展，DDoS攻击方式有很多种，最基本的DoS攻击利用单个合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DoS攻击通常采用一对一的方式，在目标系统带宽、内存、CPU等各项性能指标都不高时，具有明显的效果。随着网络技术的发展，计算机的处理能力迅速增长，内存大大增加，千兆级别的网络出现，目标系统的“消化能力”倍增，这时候，分布式的拒绝服务攻击手段——DDoS就出现了。

利用网络上已被攻陷的电脑作为“肉鸡”，通过一定方式组合形成数量庞大的“僵尸网络”，采用一对多的方式进行控制，向目标系统同时提出服务请求，杀伤力大幅度增加。DDoS攻、防对抗多年，从DoS到DDoS，从以流量取胜到以技巧取胜，从单一攻击到混合攻击，攻击手段正不断进化，本文将一一介绍最常见、最具代表性的攻击方式，企业运营者做到知己知彼，才能有备无患。

一、攻击带宽：以力取胜

如同城市堵车一样，当数据包超过带宽上限，就会出现网络拥堵、响应缓慢的情况。流量型DDoS攻击就是如此，发送海量数据包，顷刻占满目标系统的全部带宽，正常请求被堵在门外，拒绝服务的目的达成。

ICMPFlood

ICMP（Internet控制报文协议）用于在IP主机、路由器之间传递控制消息，控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息，虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。通过对目标系统发送海量数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

UDPFlood

UDP协议是一种无连接的服务，在UDPFlood中，攻击者通常发送大量伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100kbps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。

上述传统的流量型攻击方式技术含量较低，伤人一千自损八百，攻击效果通常依赖受控主机本身的网络性能，而且容易被查到攻击源头，单独使用的情况已不常见。于是，具有四两拔千斤效果的反射型放大攻击就出现了。

NTPFlood

NTP是标准的基于UDP协议传输的网络时间同步协议，由于UDP协议的无连接性，方便伪造源地址。攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，反射器接收到数据包时就被骗了，会将响应数据发送给被攻击目标，耗尽目标网络的带宽资源。一般的NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，就可给目标服务器带来几百上千Mbps的攻击流量。

因此，“问-答”方式的协议都可以被反射型攻击利用，将质询数据包的地址伪造为攻击目标地址，应答的数据包就会都被发送至目标，一旦协议具有递归效果，流量就被显著放大了，堪称一种“借刀杀人”的流量型攻击。

面对洪水般的流量，花高价进行抗D带宽扩容和多运营商链路冗余，虽一定程度可提升抗D能力，但面对大量攻击仍旧于事无补，而且浪费资源。知道创宇旗下抗DDoS云防御平台——抗D保，横跨全国的分布式数据中心，600G以上带宽抗DDoS，并可随时应急调用腾讯自有带宽1.5Tb，这使得抗D保拥有超过2个Tb的防御能力。 

二、攻击系统/应用：以巧取胜

这类型的DDoS攻击走的是巧劲，利用各种协议的行为特性、系统的缺陷、服务的脆弱性、软件的漏洞等等发起攻击，不断占用目标系统的资源以阻止它们处理正常事务和请求。

SYNFlood

这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。建立TCP连接，需要三次握手——客户端发送SYN报文，服务端收到请求并返回报文表示接受，客户端也返回确认，完成连接。

SYNFlood就是用户向服务器发送报文后突然死机或掉线，那么服务器在发出应答报文后就无法收到客户端的确认报文（第三次握手无法完成），这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题，但恶意攻击者大量模拟这种情况，服务器端为了维护数以万计的半连接而消耗非常多的资源，结果往往是无暇理睬客户的正常请求，甚至崩溃。从正常客户的角度看来，网站失去了响应，无法访问。

CC 攻击

CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。我们都有这样的体验，访问一个静态页面，即使人多也不需要太长时间，但如果在高峰期访问论坛、贴吧等，那就很慢了，因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。

CC攻击就充分利用了这个特点，模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的请求，网络拥塞，正常访问被中止。这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。

之所以选择代理服务器是因为代理可以有效地隐藏自己的身份，也可以绕开防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡来发动CC攻击，攻击者使用CC攻击软件控制大量肉鸡发动攻击，肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包，相比前者来说更难防御。

CC攻击是针对Web服务在第七层协议发起的攻击，在越上层协议上发动DDoS攻击越难以防御，上层协议与业务关联愈加紧密，防御系统面临的情况也会更复杂。比如CC攻击中最重要的方式之一HTTPFlood，不仅会直接导致被攻击的Web前端响应缓慢，对承载的业务造成致命的影响，还可能会引起连锁反应，间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。

由于CC攻击成本低、威力大，知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗，网站瘫痪；CPU、内存利用率飙升，主机瘫痪；瞬间快速打击，无法快速响应。知道创宇顶级安全研究团队为抗D保自主研发的Anti-CC防护引擎可以根据访问者的URL、频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。

抗D保-抗CC攻击数据（监控）

DNSQueryFlood

DNS作为互联网的核心服务之一，自然也是DDoS攻击的一大主要目标。DNSQueryFlood采用的方法是操纵大量傀儡机器，向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时，首先会在服务器上查找是否有对应的缓存，若查找不到且该域名无法直接解析时，便向其上层DNS服务器递归查询域名信息。

通常，攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名，由于在本地无法查到对应的结果，服务器必须使用递归查询向上层域名服务器提交解析请求，引起连锁反应。解析过程给服务器带来很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。

抗D保在全国多个城市采用分布式集群方式部署了上千台高效DNS服务器，从而保证各个地区的查询响应速度。抗D保的高防DNS服务，可有效解决突发的上亿级别的随机HOSTA记录查询攻击、递归DNS穿透攻击、DNS流量攻击等多种针对域名解析的攻击请求。

抗D保防御DNS攻击效果示意

三、混合攻击：流量与技巧并用

在实际情况中，攻击者只求达到打垮对方的目的，发展到现在，高级攻击者已经不倾向使用单一的攻击手段作战了，而是根据目标系统的具体环境灵动组合，发动多种攻击手段，既具备了海量的流量，又利用了协议、系统的缺陷，尽其所能地展开攻势。

对于被攻击目标来说，需要面对不同协议、不同资源的分布式的攻击，分析、响应和处理的成本就会大大增加。

抗D保拥有国内最大的抗D集群，使用腾讯宙斯盾流量清洗设备并结合由知道创宇研发的Anti-DDoS引擎，5秒发现恶意攻击，10秒快速阻断，2T带宽储备，通过多种防御手段，防御各种类型、形态的DDoS攻击，包括基于网络层的攻击，如TCPFlood、UDPFlood、ICMPFlood，以及应用层攻击，类似HTTPFlood这种试图耗尽服务器资源的攻击，同时可以有效防御各种反射攻击和僵尸网络攻击。

面对一次次攻击，即使是去年10月让美国半个互联网瘫痪的DDoS攻击事件，也只是让很多人小心脏稍微颤抖了几下，在大家的印象中，DDoS只是一阵海啸，很快就能恢复了往日的平静。但是，DDoS在互联网发展进程中已经留下了太多不可磨灭的破坏，许多企业就此一蹶不振。而且随着互联网+的不断推进，商业竞争的愈演愈烈，它的危害越来越大，任何企业组织都应该考虑自己的DDoS防护方案，而不是成为攻击的炮灰，也尽量避免遭受攻击后再亡羊补牢。

相关新闻

2016-12-20

2017-03-06

2017-07-28

2017-08-17

2017-09-04