付傑：移動網際網路時代的全新安全思考

2016年7月27日，由暢享網主辦，上海市經濟和資訊化委員會指導，上海國有資產資訊中心、上海計算機使用者協會協辦，上海資訊長聯盟、上海大資料聯盟、上海超級計算中心、上海智慧園區發展促進會、AMT（上海企源科技股份有限公司）支援的“論道新技術最佳實踐”2016上海CIO高峰論壇隆重舉辦。來自全國各地的CIO齊聚一堂，探討新技術在行業企業中的最佳實踐經驗，探索新時代下CIO面臨的機遇與挑戰，探尋“新技術”時代下的最新願景。

會上，梆梆安全副總裁付傑以“移動網際網路時代的全新安全思考”為主題發表了精彩演講。

梆梆安全是一家專門從事於移動安全技術和服務的公司，也是現在國內和整個全球市場規模技術最為領先的移動安全公司。直至目前，梆梆安全已向國內的金融、政企、運營商、能源、交通、物聯網、智慧裝置、家電、機器人、無人機提供了全套的解決方案，是面向全行業、全方案的移動安全公司。

反病毒、入侵檢測及資料防護代表了安全行業的終端安全、網路安全和資料安全幾大模組解決方案。也正是這幾個詞彙，伴隨著資訊保安行業走過了過去的二十年。在反病毒軟體剛剛出現的時候，反病毒行業便代表了整個安全行業的所有特質。那時，談到安全行業，第一反應就是反病毒及防毒軟體。隨後，有了網路防護及資料防護，也有今天更為高階的安全防護概念。

安全，首要考慮。

付總談到：“我們用網際網路的方式來提供購票業務、移動支付業務、網銀業務的時候，第一個考慮的往往是安全性的問題。我們看到很多全新的技術，人臉支付、指紋支付、密碼支付等等，這些所有的支付手段，還有說用APPA可以去完成的網際網路交易和網際網路業務行為，如果真的涉及到了核心業務或者是關鍵業務的時候，我們考慮的第一點仍然是安全。”

但是整個移動網際網路的安全在今天具有強有力的需求背景下，是否還能夠以簡單的一個反病毒、入侵檢測和資料防洩漏問題來解決呢？

“今天的APP這種商業模式和這種IT模式，把整個的IT邊緣推到了一個你完全不可控的環境下去。今天一個使用者在手機上使用APP的時候，請問你對此有什麼樣的安全控制能力呢？我可以說，是安全控制能力為0。”接下來，付總分享了幾個資料。“在網際網路上，幾乎可以買到全中國70%的人的完整的商業資訊，包括姓名、手機號、身份證號及家庭住址等最基本的資訊。”同時，“在網際網路上我們可以買到12000萬的完整的金融商業資訊。”除此之外，還有外加的是，銀行卡號。“可以買到大概4000萬的高價值金融資訊，包括銀行卡號、密碼。”最後，“只要做一件事情就可以拿到他的錢了，就是簡訊驗證碼。”“一個不存在的手機銀行超過17000個下載量，而這些人，都是受害者。”

關於漏洞。

“我們把國內100個以上的高價值應用來做一個分析得出一個結論，你會發現他們都普遍存在各種各樣的高危漏洞，這些可以達成什麼攻擊目的？竊取資金賬號，竊取資料，達成伺服器的非授權轉換。”

綜上，移動平臺上，整個的攻擊呈現四種完全不同的形式。第一是攻擊界定的模糊；第二是攻擊手段的多樣化；第三是傳統安全手段失效；最後是未知威脅防禦尤為重要。

對於移動安全的三個最基本的想法，付總做出瞭如下的說明：第一，針對移動平臺和移動應用安全，可以針對特定的防護技術，不能夠把傳統的技術生搬硬套套過來。第二個是基於端-管-運的縱深防禦體系，這不是移動平臺特有的，但是在今天移動平臺上是顯得尤為重要。最後一點，大資料。“大資料探勘，對位置威脅和模糊地帶威脅的時候，具有先天性優勢表現出來了。”

演講的最後，付總提出梆梆安全所希望的核心思想，即“讓資料變成我們的威脅情報的來源，而不僅僅是一個日誌放在那裡供以後審計，我們希望通過大資料的採集，去發現真正的威脅情報。”

本文出處：暢享網

本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。