摘要第五届开发者大会

 

  6月13日,由人民网与艾媒咨询集团(iiMedia Research Group)联合主办的2014移动互联发展大会暨第五届中国手机应用开发者大会(2014cmadc.iimedia.cn/)在北京国际饭店举行。

奇虎360副总裁石晓虹

  360公司副总裁石晓虹出席论坛活动,同时也为带来了演讲,他的演讲主题是4G时代下的移动互联网安全。演讲中石晓虹提到,4G已经到来,但是互联网安全问题却比3G时代更加严重。但同样面对挑战,安全行业也会对即将出现的问题进行升级,包括在数据安全问题,手机个人防盗安全,隐私安全等等方面,而安全卫士问题也会成为未来互联网行业的核心业务。

     (点击文章底部附件可查看演讲PPT)

  以下是演讲原文:

  石晓虹:谢谢大家。360是做安全的,所以我想跟大家分享一下我们关于移动互联问安全方面的看法,尤其是随着4G的到来。

  我们看到,4G已经到来了,风一样的速度,带来了更快的速度,更高的带宽,更多的应用和服务,还有多网融合,多屏互动。但是,互联网安全问题仍然存在,甚至有可能比3G时代更加严重,包括我们现在已经看到的,有可能在4G时代出现超级病毒的木马。随着移动支付的开始使用,支付安全的相关问题怎么解决。还有,4G时代大家可能会很担心,一夜之间输掉一座房子,流量的消耗仍然是很严重的问题。还有,个人的数据,商业的机密等等,在4G网络下的传输会碰到什么问题。那么多的应用的爆发,大量的仿冒的、伪造的、篡改的应用的问题怎么解决。还有,手机一定会成为黑客攻击的重要目标,并且以手机为跳板,攻击更重要的企业的信息系统。

  我们遇到一些挑战,这是过去一两年360捕捉到的安卓手机上的恶意软件和安卓上恶意软件所占的争端数量都有快速的增长。其中包括盗取个人用户手机信息的隐私窃取的问题,包括你的地理位置,你的通讯录,你的手机号等等。

  对于企业来说,这些第三方的调查报告也可以看到,有非常高比例,有85%的企业采取了安全措施,但是仍然有23%的企业发生过泄密事件,给企业带来巨大损失。终端设备的丢失,手机是丢失概率比较高的设备,占到非常大的比例。

  在4G时代,我们在互联网上的APP的应用非常多,应用商店成为用户获得应用主要的地方,包括Gartner也做过统计,2013年全球应用商店下载量达到超过一千亿次的数据。根据我们的统计,应用商店里面,恶意手机软件的数量还是非常大的,不同类型的,尤其是在一些中小学的应用商店里面存在恶意软件的数量比例最高可以超过20%。这些恶意软件里面还有大量的仿冒,山寨的APP,基本上有将近80%的知名APP都曾经被盗版过。

  在4G时代,有可能会出现软件的体积非常大,设计非常复杂、非常隐蔽,有非常强的攻击性和破坏性非常强的超级手机木马病毒的出现。

  另外,随着支付或者购物越来越普及,针对支付和移动购物的安全问题也会变得非常严重,在去年我们截获的支付类或者购物类的恶意软件就将近3000个,最多用户的案子损失金额超过10万元。几乎所有在线支付、购物也好、网银客户端也好,都有被仿冒的山寨软件。另外,吸费、吸流量的情况也存在,消耗用户资费,大量流量的下载,造成你的损失。

  对于企业来说,面临的问题可能更加复杂,有越来越多的员工来着他的移动终端设备,手机也好、PAD也好,能够进入企业内部网络办公,所谓BIOD的趋势越来越明显。但是由于这种公司的私人应用场景和办公应用场景在同一台终端上使用,如果没有办法隔离的话,会给企业带来非常大的安全隐患。而对企业来说,也存在这样一个需要谨慎处理的问题,就是说我需要对员工终端进行一定的管理,但是怎么样去避免牵涉到用户手机上面个人数据、个人隐私,这种平衡怎么解决。

  面对这么多在移动互联网上看到的问题,无论对企业还是对个人,我们怎么去解决,有哪些解决方案?

  首先,面向个人用户,我想这个领域,国内包括360在内的很多安全厂商在给广大手机用户提供安全解决方案。对广大个人用户来说,应该安装这样一个智能终端的安全软件,包括对于手机漏洞的修复、安全体检、恶意软件的查杀、二维码的扫描、支付的保护、网上购物的保护等等,提供防护功能。

  第二,你手机上的APP,要尽可能到一些安全的市场上下载,包括这些安全市场需要对收录的APP要进行非常严格的安全审核。这个国家工信部也会出台很多新的管理规定或者相关的机制,能够对你的手机应用商店安全性等等方面进行规范,能够给用户提供一个更好的获取应用的渠道。

  第三,对于应用开发者来说,要解决的一个问题,就是怎么避免自己的应用被别人仿冒或者重新打包、被篡改等等,相应的有这样一些解决方案。比如说360推出一个加固保的解决方案,可以给APP提供安全加固,避免被其他人逆向破解和篡改。

  另外,对于个人来说,非常关键的东西是手机是非常隐私化的设备,手机里面重要的敏感信息,比如说你的短信,你各种各样的帐号、密码,你的视频、图片等等,如何能够提供一种加密的保护,在安全软件里面能够提供这样一些功能,即使你的手机被盗或者丢失之后,也能够使你的重要信息不被泄露。

  还有,对于手机的丢失问题,丢失或者被盗怎么办?现在很多安全软件里面也提供了一系列功能,对于手机被盗之后,可以启动鸣响功能,远程摄像,对设备进行远程定位,包括数据可以提前备份。最近我们还推出一个“安全换机”,很多用户会经常更换手机,比如你一年或者几个月会换一个更好的手机,原来的手机可能会用某种方式处理掉,可能到了一个二手的手机渠道之前,你做这个之前,会把一些数据删除,但是这种删除不是彻底的,某种情况下可以恢复的,这给你的个人信息会带来一些隐患。360安全换机,可以给用户彻底删除你手机上原有的信息。

  还有防吸费。我们用户需要明明白白地知道我的手机上面有哪些APP,他们都分别消耗了什么样的流量,有哪些APP在我手机锁屏的时候还在消耗流量,包括对你使用的运营商的套餐,能够跟它进行关联,看流量是否即将到了,给适时的提醒。

  还有其他方面,包括清理、安全检测、扫描等等附加功能,跟安全相关的。这都是跟个人相关的安全方面需要注意的,很多可以通过手机上的安全软件起到防护作用。

  对于企业来说,可能有更多的要求,这里面可能需要考虑三个方面:第一,对手机终端这样的设备,我们怎么样去限制。当一个员工带着他自己的终端接入到企业内部网络的时候,怎么去对这种终端设备的能力进行相应的管控或者能力的限制。第二,对于手机上的应用,在企业办公环境下,能装什么应用,装的这些应用从哪里来,以及这些应用是否都是真正的官方的应用,是否是被篡改、山寨的应用,以及对于安装和卸载的统一管理。还有,更关心的可能是对于数据或者内容,企业办公环境下,你的终端上面的数据,凡是跟企业办公业务相关的数据,如何实现加密等等,包括丢失之后,如何实现远程的擦除,这都是跟内容相关的管理需求,对企业、员工所使用移动终端的要求有更多管理方面的需求。

  对于数据的加密。360有个产品,叫“360天机”,进入企业办公场景时,里面所有的应用以及数据存储进行加密,一旦切到办公应用里,手机本地的数据都是加密的存储,包括加密存储相关的存储以外,包括跟服务器之间的通信,都通过SSL加密,密钥要有非常好的管理方式,这是非常重要的要求,对于数据的安全保护。还有对设备的管控,一个更加严格的管控。对于设备来说,如果丢失,是否可以通过企业的管理终端,自动地实现远程的擦除,或者把手机设备锁定,不让进入手机工作,包括手机设备在什么位置的定位。当员工带着设备进入企业网络的时候,相关的能力,比如拍照、截屏、录音、USB、WIFI、SD卡等等能力进行限制。

  在企业内部,我们要给他提供企业级APP移动商店,从这里面下载的用于企业移动办公的应用,应该有安全加固的措施,防止被山寨和篡改。

  在企业提供的移动终端和管理系统里面,要提供这样一他应用商店,对于应用的安装和卸载,包括是否有白名单、黑名单等等,都整合在里面。

  对于企业来说,要有统一的管理能力,我在后台,对一个员工,按照不同的部门、不同的组,移动终端的设备,设置安全管理策略,能够统一下发,能够统一看到每一台移动终端设备的状况等等。

  还有一个基本的功能,就是对手机上的恶意软件的查杀。

  我们对企业的移动终端尤其是BIOD的需求,我们提供360天机移动终端安全管理产品。

  这是面向个人以及面向企业的两个不同类型用户移动终端安全的解决方案。今天我们讨论的是移动互联网未来的发展,但是不管怎么样的应用或者发展,它最基本的首先还是要保证安全的问题。这里面终端的安全显然是个非常核心的问题,360会专注在这一块,我们希望跟更多的合作伙伴们一起来让手机用户使用移动互联网更加安全。谢谢各位。

 

下载附件:1. 《4G时代下的移动互联网安全-v1.3》(size:2.7MB)