杰伦
移动安全,并不是PC安全的简单复制
说到安全软件,从传统互联网时代走过来的用户们会第一时间想到那些国际知名的大品牌:卡巴斯基、诺顿、NOD32和BitDefender等。可是,在进入移动互联时代的之后,这些传统的安全名门却声势渐微,最近一两年更是在市场上几乎完全没了声音。反而是百度和腾讯这些安全软件的新玩家在市场里干得风生水起,各种广告铺天盖地,这到底是为什么呢?
在传统互联网时代,用户安装安全软件最大的出发点是防止病毒的入侵,保障用户的信息安全,这也正好催生了早期安全软件的收费商业模式。但随着搅局者奇虎360的出现,免费安全软件开始大行其道,于是安全软件市场的商业模式也有了变化,那就是通过免费安全业务获取大量的用户并推出更多产品形成广告和电商等新模式。
可是,在进入到移动互联时代之后,传统安全软件市场的商业模式却有些难以为继,原因主要来自三个方面。一是PC端的病毒生产和扩散方式在移动互联网水土不服,没有网络、设备和系统条件的支撑。二是基于免费客户端再导入到浏览器或者其他产品的模式也难以奏效,APP之间相互独立的关系阻断了不同业务的导入。三是基于应用市场的中心化APP分发机制,改变了不安全内容的传播路径。综合这三方面的因素,再加上早期(2010年~2011年)手机安全软件的主要发展方向是以优化管理智能硬件为主,这就导致在移动互联网初期,手机安全软件已经偏离了安全这个主题,很多厂商都走上了错误的道路。
但是,从2012年开始,市场对移动安全的需求渐渐变化。尤其是在2013年之后,随着BAT巨头耗费大量资源推动O2O、移动支付和移动电商等业务以及移动金融的发展,交易安全成为关注的焦点。由此,移动互联网也开始与现实世界结合得愈加紧密,生活安全也初露雏形(譬如基于云端通讯录的防电信诈骗),未来还会有智能家居和智能汽车的安全。目前已经有黑客通过入侵远程控制特斯拉的案例存在了,黑客开锁和攻入家庭摄像头这些情况也会发生。还有一点是云端安全,中心化内容分发机制下需要开发者和应用市场具有更强大的安全能力。
整体而言,移动时代安全业务已经不再以传统的信息安全为主题,而是涵盖了信息、交易、生活、设备和云端在内的深度安全业务,其重要性正在日渐凸显。
移动时代,网络安全受到更加严峻挑战
随着人们对移动安全的重视,其中存在的问题也开始日益凸显。工信部部长苗圩就在一次演讲中说过,网络与信息安全的问题日益突出,其复杂性和危害性开始进一步显现,已经成为事关国家的政治安全、经济安全、社会安全、文化安全和国防安全的重大问题。
前文中我们就已经提到今年上半年移动互联网新增恶意程序超过36.7万个,存在移动恶意程序的应用商店更是超过300家,而传播移动互联网恶意程序的网站域名更是多达811个。国家互联网应急中心工程师何能强则将移动互联网虚拟环境的生存法则比喻为“地上世界”和“地下世界”。在“地上世界”,大家熟知的一些知名移动应用带动着移动互联网经济的发展。而在“地下世界”,有很多恶意程序通过窃取用户手机和账户信息恶意营销,追求不正当的经济目的,损害着用户的切身利益。目前,手机用户使用的操作系统多为Android系统,而移动恶意程序99%以上针对的正是Android,其中恶意扣费类的程序占到62%以上。由此,我们可以发现黑客制作恶意程序带有明显的趋利性,一旦用户安全意识放松,就可能在应用商店里下载到恶意程序。
除了恶意程序之外,大数据和云技术的发展也给移动互联网的安全带来了新的挑战。从数据上来看,互联网上的数据量以每年50%的速度增长,每两年翻一番,目前全球互联网90%以上的数据是近几年才产生的。腾讯高级副总裁丁珂就表示,目前大数据也已经成为黑客攻击的主要目标,从今年以来发生的“携程拖库”等事件就可以看出,黑客利用大数据分析向企业发起的攻击已经十分精准。除了大数据,云端服务的安全性也越来越让人担心,今年上半年曝出的Heartbleed漏洞就是一次体现。一位安全行业人士在某著名电商网站上利用该漏洞尝试读取数据200次后,获得了40多个用户名及7个密码,他用这些密码成功地登录了该网站。
当前,用户面临着隐私被窃,病毒、诈骗和骚扰的威胁,开发者层面则面临着心血被山寨或是产品漏洞遭遇攻击,商业利益蒙受损失的风险,应用商店则成为了恶意应用和病毒传播的温床,垂直类专业应用更是成为不法分子攻击和破解的重灾区。从上游到下游,全新的安全威胁让移动互联网面临着巨大的挑战,想要构建起一个良好的生态,安全是一个不容忽视的问题。中国互联网协会秘书长卢卫认为:“移动互联网的安全保护就像自行车防偷,不是加一把锁或两把锁能够解决的,只研究锁也是没有用的。移动互联网的安全也不仅是保护某一环节的安全,更要把安全放到整个产业链上去,构建一个良性的生态环境。”
构建重要屏障,安全需要再出发
既然安全问题事关整个产业链的良性发展,那么安全业务就应该上升到全局的高度,作为一个屏障护卫产业的发展。可是,从目前的情况来看,各大厂商提供的安全业务还有没上升到这样的高度。要知道,面临移动互联网产生的新威胁和新变化,做传统安全业务的理念已经不再适用了。
首先,移动互联网所采用的通信网络与传统的多级和多层网络不同,主要采用扁平网络架构,但依旧采用IP协议。由于IP协议有其自身的安全缺陷,所以在移动互联核心网上,可以完成对数据管理和控制,以及实现用户数据的传输。但是,该核心网能够被终端用户登录和访问,这就使得核心网在用户层面存在数据泄露的可能,近期爆发的“好莱坞艳照门”就是其例证。
其次,移动互联网所采用的终端与传统网络不一样。因为在传统网络中的PC只是整个通信网络的从属设备,与之相反的是,移动互联网上所采用的智能手机和平板电脑在功能上更加多样化,这也导致了移动终端逐渐发展为移动网络中的病毒新领域,让移动网络的风险不断提高,今年七夕在全国爆发的“XX神器”手机病毒就证明了这一点。
再次,在移动互联网的运维环节中,主要以业务为核心。现在,移动互联网中所包含的内容和服务非常广泛,使得业务和服务逐渐成为移动网络的基础,而各种业务和服务的提供商也就逐渐成为移动网络发展的主要推动者。这样也就带来了一些网络问题,比如,一些网站为了能够获得不菲的点击率,会添加非法或者色情内容,严重给社会道德和稳定带来隐患,成为移动互联网领域中需要重点整治的问题。
可是,目前还有很多手机端安全软件沿用的是以前的老办法。以《360手机卫士》为例,它依然采用了传统终端防护的办法,几乎和PC端一模一样。但是,从目前奇虎360公司在移动互联时代面临的困境就可以看出,这样的防护方式在用户那里并不讨好。既然老办法不适用了,现在该怎么办呢?要从根本上解决移动互联网所面临的安全问题,就需要在不同的层面,采用不一样的安全技术。腾讯CEO马化腾就曾多次提到,手机安全不是一家公司就可以完全解决的,必须所有行业与所有开发者都应该共同参与,这也可以看做是腾讯在安全方面的大战略。相比腾讯,百度的脚步似乎要更快一些。今年9月3日,百度宣布将自身安全技术开放出来,打造开放的移动安全平台,与开发者、应用商店和垂直领域(银行和支付)等行业各方共同构建健康的移动互联网安全生态体系。
“在移动互联网时代,安全比发展更重要,发展需要建立在安全的基础上”,这样的观点也已经得到了业内人士的普遍认同。可是,目前传统的以端级防护和单点布防为主安全解决方案能起到的作用已经很小。在这种形式下,安全产业链协同就成为了一种必然的趋势,从技术、法律和开放性等多个方面为移动互联网构建起一个牢固的安全屏障。