付杰：移动互联网时代的全新安全思考

2016年7月27日，由畅享网主办，上海市经济和信息化委员会指导，上海国有资产信息中心、上海计算机用户协会协办，上海首席信息官联盟、上海大数据联盟、上海超级计算中心、上海智慧园区发展促进会、AMT（上海企源科技股份有限公司）支持的“论道新技术最佳实践”2016上海CIO高峰论坛隆重举办。来自全国各地的CIO齐聚一堂，探讨新技术在行业企业中的最佳实践经验，探索新时代下CIO面临的机遇与挑战，探寻“新技术”时代下的最新愿景。

会上，梆梆安全副总裁付杰以“移动互联网时代的全新安全思考”为主题发表了精彩演讲。

梆梆安全是一家专门从事于移动安全技术和服务的公司，也是现在国内和整个全球市场规模技术最为领先的移动安全公司。直至目前，梆梆安全已向国内的金融、政企、运营商、能源、交通、物联网、智能设备、家电、机器人、无人机提供了全套的解决方案，是面向全行业、全方案的移动安全公司。

反病毒、入侵检测及数据防护代表了安全行业的终端安全、网络安全和数据安全几大模块解决方案。也正是这几个词汇，伴随着信息安全行业走过了过去的二十年。在反病毒软件刚刚出现的时候，反病毒行业便代表了整个安全行业的所有特质。那时，谈到安全行业，第一反应就是反病毒及杀毒软件。随后，有了网络防护及数据防护，也有今天更为高级的安全防护概念。

安全，首要考虑。

付总谈到：“我们用互联网的方式来提供购票业务、移动支付业务、网银业务的时候，第一个考虑的往往是安全性的问题。我们看到很多全新的技术，人脸支付、指纹支付、密码支付等等，这些所有的支付手段，还有说用APPA可以去完成的互联网交易和互联网业务行为，如果真的涉及到了核心业务或者是关键业务的时候，我们考虑的第一点仍然是安全。”

但是整个移动互联网的安全在今天具有强有力的需求背景下，是否还能够以简单的一个反病毒、入侵检测和数据防泄漏问题来解决呢？

“今天的APP这种商业模式和这种IT模式，把整个的IT边缘推到了一个你完全不可控的环境下去。今天一个用户在手机上使用APP的时候，请问你对此有什么样的安全控制能力呢？我可以说，是安全控制能力为0。”接下来，付总分享了几个数据。“在互联网上，几乎可以买到全中国70%的人的完整的商业信息，包括姓名、手机号、身份证号及家庭住址等最基本的信息。”同时，“在互联网上我们可以买到12000万的完整的金融商业信息。”除此之外，还有外加的是，银行卡号。“可以买到大概4000万的高价值金融信息，包括银行卡号、密码。”最后，“只要做一件事情就可以拿到他的钱了，就是短信验证码。”“一个不存在的手机银行超过17000个下载量，而这些人，都是受害者。”

关于漏洞。

“我们把国内100个以上的高价值应用来做一个分析得出一个结论，你会发现他们都普遍存在各种各样的高危漏洞，这些可以达成什么攻击目的？窃取资金账号，窃取数据，达成服务器的非授权转换。”

综上，移动平台上，整个的攻击呈现四种完全不同的形式。第一是攻击界定的模糊；第二是攻击手段的多样化；第三是传统安全手段失效；最后是未知威胁防御尤为重要。

对于移动安全的三个最基本的想法，付总做出了如下的说明：第一，针对移动平台和移动应用安全，可以针对特定的防护技术，不能够把传统的技术生搬硬套套过来。第二个是基于端-管-运的纵深防御体系，这不是移动平台特有的，但是在今天移动平台上是显得尤为重要。最后一点，大数据。“大数据挖掘，对位置威胁和模糊地带威胁的时候，具有先天性优势表现出来了。”

演讲的最后，付总提出梆梆安全所希望的核心思想，即“让数据变成我们的威胁情报的来源，而不仅仅是一个日志放在那里供以后审计，我们希望通过大数据的采集，去发现真正的威胁情报。”