【IT168 评论】编者按:移动支付在刚刚过去的春节掀起了2016中国互联网第一阵风潮,随之而来的是安全圈的一片质疑声。首先我们需要强调的是产品体验与安全机制是两个层面的问题。春节前夕,笔者发起了关于移动安全话题的讨论,从企业安全和用户安全角度,移动设备本身带来的便捷性就是一把双刃剑,如果说移动设备和移动应用提供给开发者无数的机遇,那么也正意味着有更多的诸如后门之类的可乘之机开放给了攻击者。
安全本身是一个悖论,针对移动安全笔者针对传统IT企业、互联网安全公司以及专业安全企业进行了采访。业内专家各抒己见,从不同层面阐释了移动安全的本质。首先,我们来看国内最大的互联网安全企业奇虎360产品经理薛欢如何看待移动安全。
1,移动端安全威胁的主要特征是什么,与传统安全威胁相比有哪些共性?
设备的移动性,丢失的风险;设备丢失后,从移动OS本身的漏洞来窃取其中数据。这点与传统的电脑安全相似,但设备本身的风险大于电脑。另外,随着移动设备逐渐成为人体的新器官,在个人生活和工作中起着不可或缺的作用,其应用的广泛性和全面性使其自身具有更高价值。恰恰这种高价值,已成为例如制作木马传播木马等黑色产业链牟取非法利益的对象。
与传统安全危险相比,黑客都会进行资产侵害和盗取个人隐私的行为,但移动终端的侵害目的更加利益化更加赤裸直白,远不再像传统PC时代黑客还会单纯的炫耀技术。
2,安全审计和数据加密如何与移动安全解决方案结合?
审计与加密有相对的矛盾性,数据加密了,就不容易做审计。若果想使其完美结合,就要在服务端加以管控,通过还原数据流量的方法加以审查,同时还应在应用程序的开发初期,把安全需求考虑进去。
3,远程办公的安全隐患有哪些?应该如何应对潜在的安全威胁?
安全隐患在于企业对数据的可控性。有别于移动数据本身的安全,设备的安全,员工的安全意识,也是要考虑的安全隐患。另外远程办公其实相当于给内网打开一个口子,建立一个安全通道,如何穿透内网并保证内网和数据通道的安全性,需要全面的安全风险考量和技术支持。
4,移动安全解决方案涵盖范围广泛,如何从身份认证,通信加密,应用加密等专业角度审视企业安全
这些安全手段在传统的安全产品中都有涉及,同时也是黑客进攻的主要手段。目前身份认证,通信加密,数据加密,都是相对成熟的技术,如果能确实落实,已经能做到相对安全。同时,如果能从数据本身出发,对终端的使用行为加以分析,预判,可以从未知的角度和风险防范角度对企业安全予以加强。
5,企业针对内部终端设备应该设置何种程度的安全管控?
根据不同业务应用来设计不同的安全管控策略,安全性加强的代价会是用户使用体验上的妥协。如何权衡才是企业着重考虑的问题。
6,除去企业用户之外,公众可能会面临哪些广泛存在的移动安全威胁,移动支付或者是无线安全?
公共Wi-Fi,骚扰信息,钓鱼短信,诈骗电话,吸费木马,移动支付陷阱,设备恶意偷盗,欺诈二维码等,基本与移动终端本身的安全问题相似。
7,移动安全如何与云查杀向结合?
云查杀,或是说云数据,是安全防卫的新趋势。对于可预知的安全问题在认知范围内通过技术手段,只要准备到位,大多都可以预防。但是对于未知的威胁,传统的手段这种后知后觉的方法,就显得有些力不从心。通过和大数据的结合,通过行为分析,威胁感知技术,从另外一个维度,用另外一种思想,考虑安全问题。
综上所述,互联网企业显然关注的是安全和业务的并行能力,移动安全与公众息息相关的还是传统诈骗、骚扰等行为。显然,360在此方面的积累和造诣已经年深日久。根据不同企业的业务需求以及不同人群的使用习惯去制定相关的安全策略是互联网安全机制的落地的切入点,云查杀的结合也引申出新的攻击防范方式。