掘金移动互联网安全
哪里需要“安全”,哪里就有“战场”。互联网的发展热潮从固定转向移动,安全的“战场”也从传统桌面转移到移动终端。移动互联网时代的到来,为安全产业带来新的契机,而当我们跨进这扇大门四处观察后发现,一些互联网的掘金者已经先一步到来。
众所周知,在互联网信息安全领域进行着两场旷日持久的战争,一场是安全产品与病毒、木马、流氓软件、网络诈骗之间的战争,另一场是某些功能相近的安全软件在网民桌面掀起的内战。理想情况下,我们希望互联网世界一片安定祥和,但是,在现实中人们尚不能建立“路不拾遗、夜不闭户”的理想之邦,更不要寄希望于遍布隐蔽、阴暗角落的互联网,所以第一场战争的存在是必然的。而对于安全产品的内战,我们极不愿意看到,却又无可奈何地接受——将所有的责任都推给厂商是不合理的,因为“免费”是他们的商业模式,而非发展公益和慈善事业。
在红海中逐利,移动互联网照搬了传统互联网的竞争模式,安全领域也未能幸免。移动信息安全涉及的内容也大体类似,终端物理安全、系统安全、应用安全、数据安全等等。当然,移动互联网下终端设备的移动属性使得物理安全较固定设备更为突出,而目前尚未形成统一可行的防范方法;移动支付、移动金融的崛起又将系统和业务安全重新定义,带来更多的“宝藏”。
移动互联网安全 终端安全先行
移动互联网伴随移动终端的出现而诞生,又随着智能移动终端的普及而发展成熟。今天,人们手中的智能设备已经集掌上计算机、MP3、游戏机、相机、GPS等多种功能于一体,不仅可以使用互联网服务、数据计算、文件存储,还可以实现多媒体娱乐、数码影像摄制等用途。现在,这些智能设备已经深入人们工作、学习、生活的方方面面,其业务应用也越来越多地涉及商业秘密和个人隐私等敏感信息,所以它的安全性变得更加重要。
与桌面PC的情况相同,移动智能设备面临多种安全威胁,比如病毒、木马等恶意软件入侵,设备丢失,数据泄露等等。智能设备系统安全领域早已是一片红海,安全产品内战的激烈程度与桌面端有过之而无不及。好在经历了几次“战火纷争”之后,用户已经明白这些安全产品争斗的实质,所以这类争斗的反面效果越来越明显,到现在战火虽未停息,但也不再像以前那样喧嚣。
人们需要安全的移动互联网,需要真正的终端安全,因此,一些标准化组织针对移动终端提出了信息安全技术要求,比如中国通信标准化协会(CCSA)明确提出移动终端需提供措施保证系统参数和数据、用户数据、密钥信息和证书以及应用程序的完整性、机密性,终端关键器件的完整性、可靠性以及用户身份的真实性。
CCSA规定移动终端应用开发、设计时应充分考虑和提供一系列安全策略:对操作系统、应用程序和终端关键器件进行一致性检验;对用户的身份进行认证然后根据用户的授权提供资源及对象的访问和操作权限;对终端的密钥、证书、系统数据和用户数据等进行有效的安全管理,保证存储数据的安全;对终端各种接口提供接入安全控制,安全的接入各种网络;终端中的关键器件还应具有抵抗防篡改等物理攻击的能力,以提高移动终端的自身安全防护能力。
对安全标准的研究和认证服务,是第一处值得思考的“宝藏”。
不过,在全球范围内移动智能设备的硬件方案屈指可数,以智能手机为例,芯片方案仅有高通苹果、三星、英特尔、联发科、美满电子、华为海思等,而软件系统平台更少,由苹果ios、谷歌Andriod和微软Windows Phone统领。因此,不论是硬件还是应用软件的安全认证,系统级别的认证离不开大平台的支持,所以在应用层面发挥的余地更大。
围绕终端安全的周边,依然大有可为。目前面市的一些终端采用了生物特征识别认证,过去在笔记本电脑上比较普遍,如今在摩托罗拉、苹果手机上都相继出现。这是安全的另一种思路,从硬件上进行安全保护,比打着免费的旗帜在用户那里扮演“炸弹”要高明得多。另外,移动终端往往配备最先进的无线传输功能,比如最新标准的蓝牙4.1、NFC等,都是移动场景下带来的应用,瞄准无线传输的安全,也能挖出“宝藏”。
移动支付热潮唤醒移动金融安全意识
时下最热闹的移动应用莫过于打车软件,而让打车软件火起来的原因是腾讯、阿里两家企业在移动支付领域的角逐。数月以来,腾讯、阿里烧钱补贴用户,在移动支付方面“打”的不可开交,这也说明了移动互联网的发展给移动支付带来巨大的市场空间。与此同时,不少金融产品也开通了移动理财通道,移动金融安全付出水面。
包括移动支付在内的移动金融涉及互联网服务端和移动用户终端之间的信息互联,所以传统互联网安全的内容完全适用:服务器安全需要维护,阻止网络攻击,阻止黑客窃取数据;终端安全需要维护,要阻止病毒、木马窃取用户隐私信息,要加密敏感数据,等等。近日,国内漏洞报告平台乌云曾发布淘宝和支付宝认证存在安全缺陷的消息,黑客可利用漏洞登录他人淘宝/支付宝账号进行操作,另一大移动支付平台微信也被曝存在安全漏洞,伪装成为微信红包的钓鱼链接能够利用该漏洞窃取用户手机信息,用户微信绑定的银行卡也将面临泄露风险。移动金融安全还应该有业务方面的安全保障。有报道称,今年1月广州天河一市民遇到手机丢失、手机卡被他人冒名补办导致余额宝内49000元被盗的情况。
移动金融业务涉及的系统、应用和业务流程的漏洞防护是移动互联网安全的基础内容,也是一般人们对“安全防护”的认识。然而,换一种思维去保障安全,也能够在移动金融领域得到肯定,比如支付宝引入平安保险为期业务风险作保障。移动金融安全的本质是保障用户的资金安全,当用户资金遭受损失后能获得赔偿,这也是一种安全保障。由此可见,保险业在为移动互联网安全提供保障的时候也获得了一份“宝藏”。
业界有一种声音是共建移动金融生态系统,这是非常美好的设想,但是目前并未形成移动金融、移动支付方面的安全标准体系,这样就无法促进产业链的形成。然而,问题总是伴随着机遇,谁抓住了机遇,谁就占得先机。我们不妨从小处着实,比如目前各大银行的网银系统多采用高安全级别的U盾作为安全认证,那么,指纹识别是否可以作为移动终端上的“U盾”?这是包含硬件、软件、认证服务在内的机遇。
我们应该认识到,移动互联网安全不仅仅是系统、应用的安全,挖掘金矿也不限于占领入口这种简单粗暴的方式。移动互联网的价值在于每一个人都将真实的生活参与进来,因此带来了更多的机遇,而安全的宝藏就藏在其中。