【学院要闻】你“预约点单” 我“沉浸授课”——吉林杨靖宇干部学院积极开展党的二十大精神宣传培训******

　　“如果说，我们今天的物质富足、精神富有是社会主义现代化的根本要求。那么不断加强理想信念教育，就会让每个人都成为弘扬优秀文化、坚定文化自信的主体。”；

　　“谈起东北抗联，想必大家脑海中立马浮现出一个名字——‘杨靖宇’。英雄是民族最闪亮的坐标，在新时代，我们就是要宣传、弘扬杨靖宇精神与东北抗联精神，发挥红色文化引领作用，为全省乃至全国党员干部培根铸魂、增劲赋能，奋力谱写红色教育培训事业高质量发展新篇章。”；

　　“我们的学习书苑通过主题文化墙、核心研读区、教研沙龙区、学习大讲堂等沉浸式教学功能，围绕推动习近平新时代中国特色社会主义思想入脑入心、走深走实，深刻领会执政理念，实现课与课的联通、教与学的互动、知与学的融合，进一步促进党的创新理论进课堂、进教材、进头脑，成为学院‘第一课堂’。”……

　　一段时间以来，吉林杨靖宇干部学院将学习宣传贯彻党的二十大精神融入到干部教育培训中，精心设置课程，采取你“预约点单”，我“沉浸授课”方式，从多个维度积极开展党的二十大精神宣传培训。

　　与此同时，全面建设社会主义现代化国家的行动纲领、牢牢把握习近平新时代中国特色社会主义思想的世界观和方法论、“数说”二十大等一系列以精神之光照亮奋斗之路激发复兴之志的党的二十大专题课程和精品微课程，也将陆续“走心”“出新”。

　　“来吉林杨靖宇干部学院参加培训真的是一次难忘的学习经历，在这里，我深学细悟党的二十大精神，聆听革命先烈的英雄事迹，感悟到了东北抗联精神和杨靖宇精神。作为党员干部，要以本次培训为契机，大力弘扬东北抗联精神和杨靖宇精神，不断提升综合素质，以能担重任、善谋大局、完成使命为目标方向，在奋进新征程中体现政法干部的使命担当。”听着党的二十大报告中描绘的宏伟蓝图、东北抗联精神的伟大意义一一展开，参加辽源市政法系统领导干部政治素养提升班的学员朱建勇，情不自禁鼓起掌来。

　　学习形式的多种多样，课堂教学的有声有色，学员听讲的有滋有味，让一个个宣讲学习现场气氛十分热烈。

　　“通过这些天的学习，让我学有所悟，学有所得，收获颇丰。专题教学《全面建设社会主义现代国家的行动纲领——学习领会党的二十大精神》，授课教师深入浅出地讲解，使我深刻领会党的二十大的重大政治意义、历史意义和实践意义，进一步夯实理论根基、提高政治站位。通过专题教学《东北抗联抗日斗争的启示》，令我感悟到：以杨靖宇将军为代表的东北抗联将士们勇赴国难的爱国情怀、绝对忠诚的理想信念、战天斗地的艰苦作风、团结战斗的大局观念。在今后工作中，我将牢记新时代共产党人的初心使命，继承和发扬东北抗联精神和杨靖宇精神，在本职工作上取得新突破、迈上新台阶。”集安市新任职乡科级领导干部综合素质能力提升培训班学员郭玉泉感慨道。

　　纸上谈兵不如严抓落实。《吉林省党员干部教育培训“铸魂赋能”工程四项配套行动计划》下发以来，吉林杨靖宇干部学院紧紧围绕党的二十大主题，以组织一场集中收看、召开一次传达会议、开展一次理论学习、举办一次高端讲坛、实施一轮专题培训、搞好一次基层宣讲等“六个一”形式，在全院范围内组织开展好党的二十大精神学习宣传系列活动，聚力做二十大报告的学习先行者、理论宣传者、践行示范者。

　　在此基础上，围绕二十大精神谋划《吉林杨靖宇干部学院2023年课程设置规划》，迅速推出学习贯彻的教研成果。将党的二十大精神融入学习书苑第一课堂教学、沉浸式情景教学馆和红色吉林主题教室建设、红色资源系列现场教学点打造提升等学院重点工作中，将培训线路进一步向全省“三地三摇篮”红色标识相关地市拓展延伸，满足学员体验式教学培训需求，不断提升学院红色教育品牌的影响力和知名度。

　　“我们要先学一步、深学一层、多悟一分，把党的二十大精神落实到教学培训、理论研究、队伍建设和管理服务各方面全过程。深入挖掘东北抗联精神和红色吉林精神的时代价值，讲好党的故事、革命的故事、英雄的故事，为推动吉林振兴取得新突破激发前进动能、汇聚精神力量。”吉林杨靖宇干部学院常务副院长韩冬言之凿凿。

　　文字来源：隋二龙

　　图片来源：信息技术部

　　主审 | 曲相东

　　编审 | 孙吉麟

　　编辑 | 孙晓亮

　　李 坤

　　校对 | 于 淼

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）