掘金移動互聯(lián)網(wǎng)安全

0 評論 1621 瀏覽 0 收藏 10 分鐘

哪里需要“安全”,哪里就有“戰(zhàn)場”。互聯(lián)網(wǎng)的發(fā)展熱潮從固定轉向移動,安全的“戰(zhàn)場”也從傳統(tǒng)桌面轉移到移動終端。移動互聯(lián)網(wǎng)時代的到來,為安全產(chǎn)業(yè)帶來新的契機,而當我們跨進這扇大門四處觀察后發(fā)現(xiàn),一些互聯(lián)網(wǎng)的掘金者已經(jīng)先一步到來。

眾所周知,在互聯(lián)網(wǎng)信息安全領域進行著兩場曠日持久的戰(zhàn)爭,一場是安全產(chǎn)品與病毒、木馬、流氓軟件、網(wǎng)絡詐騙之間的戰(zhàn)爭,另一場是某些功能相近的安全軟件在網(wǎng)民桌面掀起的內(nèi)戰(zhàn)。理想情況下,我們希望互聯(lián)網(wǎng)世界一片安定祥和,但是,在現(xiàn)實中人們尚不能建立“路不拾遺、夜不閉戶”的理想之邦,更不要寄希望于遍布隱蔽、陰暗角落的互聯(lián)網(wǎng),所以第一場戰(zhàn)爭的存在是必然的。而對于安全產(chǎn)品的內(nèi)戰(zhàn),我們極不愿意看到,卻又無可奈何地接受——將所有的責任都推給廠商是不合理的,因為“免費”是他們的商業(yè)模式,而非發(fā)展公益和慈善事業(yè)。

在紅海中逐利,移動互聯(lián)網(wǎng)照搬了傳統(tǒng)互聯(lián)網(wǎng)的競爭模式,安全領域也未能幸免。移動信息安全涉及的內(nèi)容也大體類似,終端物理安全、系統(tǒng)安全、應用安全、數(shù)據(jù)安全等等。當然,移動互聯(lián)網(wǎng)下終端設備的移動屬性使得物理安全較固定設備更為突出,而目前尚未形成統(tǒng)一可行的防范方法;移動支付、移動金融的崛起又將系統(tǒng)和業(yè)務安全重新定義,帶來更多的“寶藏”。

 

移動互聯(lián)網(wǎng)安全 終端安全先行

移動互聯(lián)網(wǎng)伴隨移動終端的出現(xiàn)而誕生,又隨著智能移動終端的普及而發(fā)展成熟。今天,人們手中的智能設備已經(jīng)集掌上計算機、MP3、游戲機、相機、GPS等多種功能于一體,不僅可以使用互聯(lián)網(wǎng)服務、數(shù)據(jù)計算、文件存儲,還可以實現(xiàn)多媒體娛樂、數(shù)碼影像攝制等用途?,F(xiàn)在,這些智能設備已經(jīng)深入人們工作、學習、生活的方方面面,其業(yè)務應用也越來越多地涉及商業(yè)秘密和個人隱私等敏感信息,所以它的安全性變得更加重要。

與桌面PC的情況相同,移動智能設備面臨多種安全威脅,比如病毒、木馬等惡意軟件入侵,設備丟失,數(shù)據(jù)泄露等等。智能設備系統(tǒng)安全領域早已是一片紅海,安全產(chǎn)品內(nèi)戰(zhàn)的激烈程度與桌面端有過之而無不及。好在經(jīng)歷了幾次“戰(zhàn)火紛爭”之后,用戶已經(jīng)明白這些安全產(chǎn)品爭斗的實質,所以這類爭斗的反面效果越來越明顯,到現(xiàn)在戰(zhàn)火雖未停息,但也不再像以前那樣喧囂。

人們需要安全的移動互聯(lián)網(wǎng),需要真正的終端安全,因此,一些標準化組織針對移動終端提出了信息安全技術要求,比如中國通信標準化協(xié)會(CCSA)明確提出移動終端需提供措施保證系統(tǒng)參數(shù)和數(shù)據(jù)、用戶數(shù)據(jù)、密鑰信息和證書以及應用程序的完整性、機密性,終端關鍵器件的完整性、可靠性以及用戶身份的真實性。

CCSA規(guī)定移動終端應用開發(fā)、設計時應充分考慮和提供一系列安全策略:對操作系統(tǒng)、應用程序和終端關鍵器件進行一致性檢驗;對用戶的身份進行認證然后根據(jù)用戶的授權提供資源及對象的訪問和操作權限;對終端的密鑰、證書、系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)等進行有效的安全管理,保證存儲數(shù)據(jù)的安全;對終端各種接口提供接入安全控制,安全的接入各種網(wǎng)絡;終端中的關鍵器件還應具有抵抗防篡改等物理攻擊的能力,以提高移動終端的自身安全防護能力。

對安全標準的研究和認證服務,是第一處值得思考的“寶藏”。

不過,在全球范圍內(nèi)移動智能設備的硬件方案屈指可數(shù),以智能手機為例,芯片方案僅有高通、蘋果、三星、英特爾、聯(lián)發(fā)科、美滿電子、華為海思等,而軟件系統(tǒng)平臺更少,由蘋果ios、谷歌Andriod和微軟Windows Phone統(tǒng)領。因此,不論是硬件還是應用軟件的安全認證,系統(tǒng)級別的認證離不開大平臺的支持,所以在應用層面發(fā)揮的余地更大。

圍繞終端安全的周邊,依然大有可為。目前面市的一些終端采用了生物特征識別認證,過去在筆記本電腦上比較普遍,如今在摩托羅拉、蘋果手機上都相繼出現(xiàn)。這是安全的另一種思路,從硬件上進行安全保護,比打著免費的旗幟在用戶那里扮演“炸彈”要高明得多。另外,移動終端往往配備最先進的無線傳輸功能,比如最新標準的藍牙4.1、NFC等,都是移動場景下帶來的應用,瞄準無線傳輸?shù)陌踩?,也能挖出“寶藏”?/p>

 

移動支付熱潮喚醒移動金融安全意識

時下最熱鬧的移動應用莫過于打車軟件,而讓打車軟件火起來的原因是騰訊、阿里兩家企業(yè)在移動支付領域的角逐。數(shù)月以來,騰訊、阿里燒錢補貼用戶,在移動支付方面“打”的不可開交,這也說明了移動互聯(lián)網(wǎng)的發(fā)展給移動支付帶來巨大的市場空間。與此同時,不少金融產(chǎn)品也開通了移動理財通道,移動金融安全付出水面。

包括移動支付在內(nèi)的移動金融涉及互聯(lián)網(wǎng)服務端和移動用戶終端之間的信息互聯(lián),所以傳統(tǒng)互聯(lián)網(wǎng)安全的內(nèi)容完全適用:服務器安全需要維護,阻止網(wǎng)絡攻擊,阻止黑客竊取數(shù)據(jù);終端安全需要維護,要阻止病毒、木馬竊取用戶隱私信息,要加密敏感數(shù)據(jù),等等。近日,國內(nèi)漏洞報告平臺烏云曾發(fā)布淘寶和支付寶認證存在安全缺陷的消息,黑客可利用漏洞登錄他人淘寶/支付寶賬號進行操作,另一大移動支付平臺微信也被曝存在安全漏洞,偽裝成為微信紅包的釣魚鏈接能夠利用該漏洞竊取用戶手機信息,用戶微信綁定的銀行卡也將面臨泄露風險。移動金融安全還應該有業(yè)務方面的安全保障。有報道稱,今年1月廣州天河一市民遇到手機丟失、手機卡被他人冒名補辦導致余額寶內(nèi)49000元被盜的情況。

移動金融業(yè)務涉及的系統(tǒng)、應用和業(yè)務流程的漏洞防護是移動互聯(lián)網(wǎng)安全的基礎內(nèi)容,也是一般人們對“安全防護”的認識。然而,換一種思維去保障安全,也能夠在移動金融領域得到肯定,比如支付寶引入平安保險為期業(yè)務風險作保障。移動金融安全的本質是保障用戶的資金安全,當用戶資金遭受損失后能獲得賠償,這也是一種安全保障。由此可見,保險業(yè)在為移動互聯(lián)網(wǎng)安全提供保障的時候也獲得了一份“寶藏”。

業(yè)界有一種聲音是共建移動金融生態(tài)系統(tǒng),這是非常美好的設想,但是目前并未形成移動金融、移動支付方面的安全標準體系,這樣就無法促進產(chǎn)業(yè)鏈的形成。然而,問題總是伴隨著機遇,誰抓住了機遇,誰就占得先機。我們不妨從小處著實,比如目前各大銀行的網(wǎng)銀系統(tǒng)多采用高安全級別的U盾作為安全認證,那么,指紋識別是否可以作為移動終端上的“U盾”?這是包含硬件、軟件、認證服務在內(nèi)的機遇。

我們應該認識到,移動互聯(lián)網(wǎng)安全不僅僅是系統(tǒng)、應用的安全,挖掘金礦也不限于占領入口這種簡單粗暴的方式。移動互聯(lián)網(wǎng)的價值在于每一個人都將真實的生活參與進來,因此帶來了更多的機遇,而安全的寶藏就藏在其中。

來源:互聯(lián)網(wǎng)安全

更多精彩內(nèi)容,請關注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
評論
評論請登錄
  1. 目前還沒評論,等你發(fā)揮!