掘金移動互聯(lián)網(wǎng)安全

0 評論 1628 瀏覽 0 收藏 10 分鐘

哪里需要“安全”,哪里就有“戰(zhàn)場”。互聯(lián)網(wǎng)的發(fā)展熱潮從固定轉(zhuǎn)向移動,安全的“戰(zhàn)場”也從傳統(tǒng)桌面轉(zhuǎn)移到移動終端。移動互聯(lián)網(wǎng)時(shí)代的到來,為安全產(chǎn)業(yè)帶來新的契機(jī),而當(dāng)我們跨進(jìn)這扇大門四處觀察后發(fā)現(xiàn),一些互聯(lián)網(wǎng)的掘金者已經(jīng)先一步到來。

眾所周知,在互聯(lián)網(wǎng)信息安全領(lǐng)域進(jìn)行著兩場曠日持久的戰(zhàn)爭,一場是安全產(chǎn)品與病毒、木馬、流氓軟件、網(wǎng)絡(luò)詐騙之間的戰(zhàn)爭,另一場是某些功能相近的安全軟件在網(wǎng)民桌面掀起的內(nèi)戰(zhàn)。理想情況下,我們希望互聯(lián)網(wǎng)世界一片安定祥和,但是,在現(xiàn)實(shí)中人們尚不能建立“路不拾遺、夜不閉戶”的理想之邦,更不要寄希望于遍布隱蔽、陰暗角落的互聯(lián)網(wǎng),所以第一場戰(zhàn)爭的存在是必然的。而對于安全產(chǎn)品的內(nèi)戰(zhàn),我們極不愿意看到,卻又無可奈何地接受——將所有的責(zé)任都推給廠商是不合理的,因?yàn)椤懊赓M(fèi)”是他們的商業(yè)模式,而非發(fā)展公益和慈善事業(yè)。

在紅海中逐利,移動互聯(lián)網(wǎng)照搬了傳統(tǒng)互聯(lián)網(wǎng)的競爭模式,安全領(lǐng)域也未能幸免。移動信息安全涉及的內(nèi)容也大體類似,終端物理安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全等等。當(dāng)然,移動互聯(lián)網(wǎng)下終端設(shè)備的移動屬性使得物理安全較固定設(shè)備更為突出,而目前尚未形成統(tǒng)一可行的防范方法;移動支付、移動金融的崛起又將系統(tǒng)和業(yè)務(wù)安全重新定義,帶來更多的“寶藏”。

 

移動互聯(lián)網(wǎng)安全 終端安全先行

移動互聯(lián)網(wǎng)伴隨移動終端的出現(xiàn)而誕生,又隨著智能移動終端的普及而發(fā)展成熟。今天,人們手中的智能設(shè)備已經(jīng)集掌上計(jì)算機(jī)、MP3、游戲機(jī)、相機(jī)、GPS等多種功能于一體,不僅可以使用互聯(lián)網(wǎng)服務(wù)、數(shù)據(jù)計(jì)算、文件存儲,還可以實(shí)現(xiàn)多媒體娛樂、數(shù)碼影像攝制等用途?,F(xiàn)在,這些智能設(shè)備已經(jīng)深入人們工作、學(xué)習(xí)、生活的方方面面,其業(yè)務(wù)應(yīng)用也越來越多地涉及商業(yè)秘密和個(gè)人隱私等敏感信息,所以它的安全性變得更加重要。

與桌面PC的情況相同,移動智能設(shè)備面臨多種安全威脅,比如病毒、木馬等惡意軟件入侵,設(shè)備丟失,數(shù)據(jù)泄露等等。智能設(shè)備系統(tǒng)安全領(lǐng)域早已是一片紅海,安全產(chǎn)品內(nèi)戰(zhàn)的激烈程度與桌面端有過之而無不及。好在經(jīng)歷了幾次“戰(zhàn)火紛爭”之后,用戶已經(jīng)明白這些安全產(chǎn)品爭斗的實(shí)質(zhì),所以這類爭斗的反面效果越來越明顯,到現(xiàn)在戰(zhàn)火雖未停息,但也不再像以前那樣喧囂。

人們需要安全的移動互聯(lián)網(wǎng),需要真正的終端安全,因此,一些標(biāo)準(zhǔn)化組織針對移動終端提出了信息安全技術(shù)要求,比如中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)明確提出移動終端需提供措施保證系統(tǒng)參數(shù)和數(shù)據(jù)、用戶數(shù)據(jù)、密鑰信息和證書以及應(yīng)用程序的完整性、機(jī)密性,終端關(guān)鍵器件的完整性、可靠性以及用戶身份的真實(shí)性。

CCSA規(guī)定移動終端應(yīng)用開發(fā)、設(shè)計(jì)時(shí)應(yīng)充分考慮和提供一系列安全策略:對操作系統(tǒng)、應(yīng)用程序和終端關(guān)鍵器件進(jìn)行一致性檢驗(yàn);對用戶的身份進(jìn)行認(rèn)證然后根據(jù)用戶的授權(quán)提供資源及對象的訪問和操作權(quán)限;對終端的密鑰、證書、系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)等進(jìn)行有效的安全管理,保證存儲數(shù)據(jù)的安全;對終端各種接口提供接入安全控制,安全的接入各種網(wǎng)絡(luò);終端中的關(guān)鍵器件還應(yīng)具有抵抗防篡改等物理攻擊的能力,以提高移動終端的自身安全防護(hù)能力。

對安全標(biāo)準(zhǔn)的研究和認(rèn)證服務(wù),是第一處值得思考的“寶藏”。

不過,在全球范圍內(nèi)移動智能設(shè)備的硬件方案屈指可數(shù),以智能手機(jī)為例,芯片方案僅有高通、蘋果、三星、英特爾、聯(lián)發(fā)科、美滿電子、華為海思等,而軟件系統(tǒng)平臺更少,由蘋果ios、谷歌Andriod和微軟Windows Phone統(tǒng)領(lǐng)。因此,不論是硬件還是應(yīng)用軟件的安全認(rèn)證,系統(tǒng)級別的認(rèn)證離不開大平臺的支持,所以在應(yīng)用層面發(fā)揮的余地更大。

圍繞終端安全的周邊,依然大有可為。目前面市的一些終端采用了生物特征識別認(rèn)證,過去在筆記本電腦上比較普遍,如今在摩托羅拉、蘋果手機(jī)上都相繼出現(xiàn)。這是安全的另一種思路,從硬件上進(jìn)行安全保護(hù),比打著免費(fèi)的旗幟在用戶那里扮演“炸彈”要高明得多。另外,移動終端往往配備最先進(jìn)的無線傳輸功能,比如最新標(biāo)準(zhǔn)的藍(lán)牙4.1、NFC等,都是移動場景下帶來的應(yīng)用,瞄準(zhǔn)無線傳輸?shù)陌踩?,也能挖出“寶藏”?/p>

 

移動支付熱潮喚醒移動金融安全意識

時(shí)下最熱鬧的移動應(yīng)用莫過于打車軟件,而讓打車軟件火起來的原因是騰訊、阿里兩家企業(yè)在移動支付領(lǐng)域的角逐。數(shù)月以來,騰訊、阿里燒錢補(bǔ)貼用戶,在移動支付方面“打”的不可開交,這也說明了移動互聯(lián)網(wǎng)的發(fā)展給移動支付帶來巨大的市場空間。與此同時(shí),不少金融產(chǎn)品也開通了移動理財(cái)通道,移動金融安全付出水面。

包括移動支付在內(nèi)的移動金融涉及互聯(lián)網(wǎng)服務(wù)端和移動用戶終端之間的信息互聯(lián),所以傳統(tǒng)互聯(lián)網(wǎng)安全的內(nèi)容完全適用:服務(wù)器安全需要維護(hù),阻止網(wǎng)絡(luò)攻擊,阻止黑客竊取數(shù)據(jù);終端安全需要維護(hù),要阻止病毒、木馬竊取用戶隱私信息,要加密敏感數(shù)據(jù),等等。近日,國內(nèi)漏洞報(bào)告平臺烏云曾發(fā)布淘寶和支付寶認(rèn)證存在安全缺陷的消息,黑客可利用漏洞登錄他人淘寶/支付寶賬號進(jìn)行操作,另一大移動支付平臺微信也被曝存在安全漏洞,偽裝成為微信紅包的釣魚鏈接能夠利用該漏洞竊取用戶手機(jī)信息,用戶微信綁定的銀行卡也將面臨泄露風(fēng)險(xiǎn)。移動金融安全還應(yīng)該有業(yè)務(wù)方面的安全保障。有報(bào)道稱,今年1月廣州天河一市民遇到手機(jī)丟失、手機(jī)卡被他人冒名補(bǔ)辦導(dǎo)致余額寶內(nèi)49000元被盜的情況。

移動金融業(yè)務(wù)涉及的系統(tǒng)、應(yīng)用和業(yè)務(wù)流程的漏洞防護(hù)是移動互聯(lián)網(wǎng)安全的基礎(chǔ)內(nèi)容,也是一般人們對“安全防護(hù)”的認(rèn)識。然而,換一種思維去保障安全,也能夠在移動金融領(lǐng)域得到肯定,比如支付寶引入平安保險(xiǎn)為期業(yè)務(wù)風(fēng)險(xiǎn)作保障。移動金融安全的本質(zhì)是保障用戶的資金安全,當(dāng)用戶資金遭受損失后能獲得賠償,這也是一種安全保障。由此可見,保險(xiǎn)業(yè)在為移動互聯(lián)網(wǎng)安全提供保障的時(shí)候也獲得了一份“寶藏”。

業(yè)界有一種聲音是共建移動金融生態(tài)系統(tǒng),這是非常美好的設(shè)想,但是目前并未形成移動金融、移動支付方面的安全標(biāo)準(zhǔn)體系,這樣就無法促進(jìn)產(chǎn)業(yè)鏈的形成。然而,問題總是伴隨著機(jī)遇,誰抓住了機(jī)遇,誰就占得先機(jī)。我們不妨從小處著實(shí),比如目前各大銀行的網(wǎng)銀系統(tǒng)多采用高安全級別的U盾作為安全認(rèn)證,那么,指紋識別是否可以作為移動終端上的“U盾”?這是包含硬件、軟件、認(rèn)證服務(wù)在內(nèi)的機(jī)遇。

我們應(yīng)該認(rèn)識到,移動互聯(lián)網(wǎng)安全不僅僅是系統(tǒng)、應(yīng)用的安全,挖掘金礦也不限于占領(lǐng)入口這種簡單粗暴的方式。移動互聯(lián)網(wǎng)的價(jià)值在于每一個(gè)人都將真實(shí)的生活參與進(jìn)來,因此帶來了更多的機(jī)遇,而安全的寶藏就藏在其中。

來源:互聯(lián)網(wǎng)安全

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
評論
評論請登錄
  1. 目前還沒評論,等你發(fā)揮!