移动安全：链条复杂应对难

2013年全球安全软件营收总计199亿美元，与2012年的190亿美元相比增长4.9%%。

2013年中国安全软件市场营收达约35亿人民币，较2012年增长12%%。

今天，中国的智能手机和终端用户已经非常多，在移动终端上办公、生活、娱乐、消费的事情也越来越常见。而随着用户的增多，移动安全也成为瞩目的焦点。

移动安全有着很长的链条，关系到移动设备、移动应用以及移动网络。移动设备上最怕预装应用产生安全威胁，因为这些应用可能会窃听、会定位、会追踪，而用户不知道，也可能是在越狱、云端同步时泄露隐私;移动应用方面，从第三方应用商店下载的应用，不小心就可能产生恶意扣费、垃圾短信、窃取隐私等问题;移动网络上，移动设备和网络接入的管理、伪基站、移动流量的应用识别等等。无论哪个环节出现问题，都会构成移动安全问题。

今年上半年，出了几件安全大事件，都算得上与移动安全有关。先是携程的APP最早被发现将用户的银行卡信息存在本地服务器，而支付日志在这部分接口的地方又存在安全漏洞，可导致用户银行卡信息被窃取。紧接着又发现各大电商网站广泛采用的OpenSSL协议有漏洞，黑客可以利用该漏洞窃取用户登录账号和密码信息。不仅各大网站在使用OpenSSL协议，安卓4.1.1版本也采用OpenSSL协议库，而安卓版系统在移动终端中应用又是非常多的。

仔细来看，这两个大的安全事件中，携程漏洞是在手机应用上被发现的，但其实不是手机的问题，也不完全是手机软件的问题，而是后面服务器的问题;OpenSSL协议主要影响的是电脑端的网页，是通信协议，但是用在了手机系统中，也会造成大面积的APPs安全隐患。

另外，从另一个角度来看移动安全的复杂性，例如假设黑客想窃取信息，他可以用很多方法：在终端里面窃听，冒充成用户;通过伪基站截获通信数据;用钓鱼劫持网络;在社交网络里获取针对性信息;还有复杂的社会工程学手段等等。除了窃听，黑客还能发起攻击，破坏或是压制信号，或是从第三方认证的漏洞下手。

移动安全的链条如此之长，黑客下手的途径和方式如此之多，使得移动安全的应对其实是非常复杂的过程，并不能用简单的一两句话就说清楚。

突出的应对之一，是预装软件的问题。预装软件的黑色利益实现细节不用多说，不外乎是和运营商进行流量分成、为广告商做展示广告、部分不法开发者售卖用户个人数据等等。给预装软件留下牟利空间的最可能的环节是多级经销渠道的分发环节。治理预装软件其实并不难，只要管理部门下定决心，其实是可以办到的。手段狠一点的，想根治的话，就除了指定的几款用户必备软件之外，其余软件均不得预装;如果想给市场放开一个口子，活跃市场，那么在渠道环节加强监督监管，制定行之有效的监督政策，也是能大大减少预装软件的安全威胁的。

突出的应对之二，是移动应用的规范问题。现在曝出的一些安全事件，例如携程泄密，是应用开发过程不规范导致。移动软件开发，和传统的软件开发最大的不同之处在于，它是边开发边用边修改，因为移动时代强调以最快的速度抓住和实现用户的需求，还不等程序调试完整就上线APP的现象其实是非常多的，所以我们常常可以见到开发团队讲自己的程序其实是两三天开发出来的，上线后初期的使用过程就是测试的过程。对于软件开发的规范，在桌面时代有一些标准可依，它们主要是为企业客户交付时使用。而在移动时代，似乎大家都不在意这个环节了，尤其是面向终端个人用户的APPs，因为是免费，所以开发者不需负责;因为是免费，所以用户也抱着试一试玩一玩的态度。安全是被双方都忽视的环节，但是安全隐患却是实时存在，像定时炸弹一样。从管理层来说，对移动应用开发的规范，其实是可以完善的，制定相应的标准，在各平台级应用中进行推广或强制执行，对于净化移动网络环境十分必要。

这些应对，只是保障移动安全的几个小小的片段。移动安全一定是大的系统性的工程，想做好并非易事。不过，知难而上考验的是执政者的智慧和情商，做好移动安全，关系国计民生。

专家观点

中国工程院院士沈昌祥

尽快完善网络安全风险管理制度

网络空间安全威胁已成为国家所面临的最严重的公共安全和经济安全的威胁，要把网络安全，按照危险程度、风险程度不同建立风险管理制度，完善网络安全的建设。

如何保障国家安全体系呢?一是要有良好的信息基础设施，加强网络安全平台及密码基础设施建设。二是要有技术，要解决关键技术受制于人的问题，抵御高强度的进攻。

在网络安全与信息化领导小组领导下，完善国家网络安全组织管理体系，尤其是应该明确党政军情一体化、军民融合军民一体的框架，制定立法规则，建立网络安全法治体系，确立信息领域法律法规，制定国家网络安全经费支持规划，发展信息经济，在资源、政策方面给予大力支持。

网络安全应急技术国家工程实验室主任杜跃进

移动终端正在吸引高级别威胁

移动安全威胁来自很多环节。技术上安全问题可能出现在操作系统、应用软件、软件商店上。市场流通环节也可能出问题。另外，如果软件后面所承载的面向用户的服务在业务逻辑上有缺陷，那么会被不法分子所利用的。

在移动安全上，政府、企业、软件商店需要行动，第三方测评机构应承担一定的角色，用户要提高安全意识。现在，技术对抗正在升级，越来越多反分析、反跟踪的技术正在出现，而且移动智能终端也在吸引高级威胁，类似国家势力或者恐怖势力正在有组织、有目标地对移动网络作出威胁行为。维护移动安全，在技术上的挑战和难点很多。

长安通信科技有限公司高级技术研究员戴帅夫

网络安全产品发展呈现三个趋势

安全事件推动安全产品的发展，2000年的“蠕虫”事件推动了安全企业发展，2005年的恶意软件催生了IDS和IPS，2010年的APP发展推动了相应的安全技术，现在，智能和大数据技术也开始运用于安全分析。

信息安全产品呈现三个发展趋势，第一是功能上越来越集成，但是技术点上更加分化，大的公司把所有的功能全部加进去，小的公司在某个点上进行深入;第二是云端处理、大数据分析、安全可操作性凸显;第三是可视化，从可视化中获得更多宏观上的信息，例如安全公司FireEye，实际上有很多合作伙伴，包括网络的、终端的、监测的等等，形成开放的技术平台，共同推出安全产品。