移動時代，安全業務再出發

杰倫

移動安全，并不是PC安全的簡單復制

說到安全軟件，從傳統互聯網時代走過來的用戶們會第一時間想到那些國際知名的大品牌：卡巴斯基、諾頓、NOD32和BitDefender等。可是，在進入移動互聯時代的之后，這些傳統的安全名門卻聲勢漸微，最近一兩年更是在市場上幾乎完全沒了聲音。反而是百度和騰訊這些安全軟件的新玩家在市場里干得風生水起，各種廣告鋪天蓋地，這到底是為什么呢？

在傳統互聯網時代，用戶安裝安全軟件最大的出發點是防止病毒的入侵，保障用戶的信息安全，這也正好催生了早期安全軟件的收費商業模式。但隨著攪局者奇虎360的出現，免費安全軟件開始大行其道，于是安全軟件市場的商業模式也有了變化，那就是通過免費安全業務獲取大量的用戶并推出更多產品形成廣告和電商等新模式。

可是，在進入到移動互聯時代之后，傳統安全軟件市場的商業模式卻有些難以為繼，原因主要來自三個方面。一是PC端的病毒生產和擴散方式在移動互聯網水土不服，沒有網絡、設備和系統條件的支撐。二是基于免費客戶端再導入到瀏覽器或者其他產品的模式也難以奏效，APP之間相互獨立的關系阻斷了不同業務的導入。三是基于應用市場的中心化APP分發機制，改變了不安全內容的傳播路徑。綜合這三方面的因素，再加上早期（2010年～2011年）手機安全軟件的主要發展方向是以優化管理智能硬件為主，這就導致在移動互聯網初期，手機安全軟件已經偏離了安全這個主題，很多廠商都走上了錯誤的道路。

但是，從2012年開始，市場對移動安全的需求漸漸變化。尤其是在2013年之后，隨著BAT巨頭耗費大量資源推動O2O、移動支付和移動電商等業務以及移動金融的發展，交易安全成為關注的焦點。由此，移動互聯網也開始與現實世界結合得愈加緊密，生活安全也初露雛形（譬如基于云端通訊錄的防電信詐騙），未來還會有智能家居和智能汽車的安全。目前已經有黑客通過入侵遠程控制特斯拉的案例存在了，黑客開鎖和攻入家庭攝像頭這些情況也會發生。還有一點是云端安全，中心化內容分發機制下需要開發者和應用市場具有更強大的安全能力。

整體而言，移動時代安全業務已經不再以傳統的信息安全為主題，而是涵蓋了信息、交易、生活、設備和云端在內的深度安全業務，其重要性正在日漸凸顯。

移動時代，網絡安全受到更加嚴峻挑戰

隨著人們對移動安全的重視，其中存在的問題也開始日益凸顯。工信部部長苗圩就在一次演講中說過，網絡與信息安全的問題日益突出，其復雜性和危害性開始進一步顯現，已經成為事關國家的政治安全、經濟安全、社會安全、文化安全和國防安全的重大問題。

前文中我們就已經提到今年上半年移動互聯網新增惡意程序超過36.7萬個，存在移動惡意程序的應用商店更是超過300家，而傳播移動互聯網惡意程序的網站域名更是多達811個。國家互聯網應急中心工程師何能強則將移動互聯網虛擬環境的生存法則比喻為“地上世界”和“地下世界”。在“地上世界”，大家熟知的一些知名移動應用帶動著移動互聯網經濟的發展。而在“地下世界”，有很多惡意程序通過竊取用戶手機和賬戶信息惡意營銷，追求不正當的經濟目的，損害著用戶的切身利益。目前，手機用戶使用的操作系統多為Android系統，而移動惡意程序99%以上針對的正是Android，其中惡意扣費類的程序占到62%以上。由此，我們可以發現黑客制作惡意程序帶有明顯的趨利性，一旦用戶安全意識放松，就可能在應用商店里下載到惡意程序。

除了惡意程序之外，大數據和云技術的發展也給移動互聯網的安全帶來了新的挑戰。從數據上來看，互聯網上的數據量以每年50%的速度增長，每兩年翻一番，目前全球互聯網90%以上的數據是近幾年才產生的。騰訊高級副總裁丁珂就表示，目前大數據也已經成為黑客攻擊的主要目標，從今年以來發生的“攜程拖庫”等事件就可以看出，黑客利用大數據分析向企業發起的攻擊已經十分精準。除了大數據，云端服務的安全性也越來越讓人擔心，今年上半年曝出的Heartbleed漏洞就是一次體現。一位安全行業人士在某著名電商網站上利用該漏洞嘗試讀取數據200次后，獲得了40多個用戶名及7個密碼，他用這些密碼成功地登錄了該網站。

當前，用戶面臨著隱私被竊，病毒、詐騙和騷擾的威脅，開發者層面則面臨著心血被山寨或是產品漏洞遭遇攻擊，商業利益蒙受損失的風險，應用商店則成為了惡意應用和病毒傳播的溫床，垂直類專業應用更是成為不法分子攻擊和破解的重災區。從上游到下游，全新的安全威脅讓移動互聯網面臨著巨大的挑戰，想要構建起一個良好的生態，安全是一個不容忽視的問題。中國互聯網協會秘書長盧衛認為：“移動互聯網的安全保護就像自行車防偷，不是加一把鎖或兩把鎖能夠解決的，只研究鎖也是沒有用的。移動互聯網的安全也不僅是保護某一環節的安全，更要把安全放到整個產業鏈上去，構建一個良性的生態環境。”

構建重要屏障，安全需要再出發

既然安全問題事關整個產業鏈的良性發展，那么安全業務就應該上升到全局的高度，作為一個屏障護衛產業的發展。可是，從目前的情況來看，各大廠商提供的安全業務還有沒上升到這樣的高度。要知道，面臨移動互聯網產生的新威脅和新變化，做傳統安全業務的理念已經不再適用了。

首先，移動互聯網所采用的通信網絡與傳統的多級和多層網絡不同，主要采用扁平網絡架構，但依舊采用IP協議。由于IP協議有其自身的安全缺陷，所以在移動互聯核心網上，可以完成對數據管理和控制，以及實現用戶數據的傳輸。但是，該核心網能夠被終端用戶登錄和訪問，這就使得核心網在用戶層面存在數據泄露的可能，近期爆發的“好萊塢艷照門”就是其例證。

其次，移動互聯網所采用的終端與傳統網絡不一樣。因為在傳統網絡中的PC只是整個通信網絡的從屬設備，與之相反的是，移動互聯網上所采用的智能手機和平板電腦在功能上更加多樣化，這也導致了移動終端逐漸發展為移動網絡中的病毒新領域，讓移動網絡的風險不斷提高，今年七夕在全國爆發的“XX神器”手機病毒就證明了這一點。

再次，在移動互聯網的運維環節中，主要以業務為核心。現在，移動互聯網中所包含的內容和服務非常廣泛，使得業務和服務逐漸成為移動網絡的基礎，而各種業務和服務的提供商也就逐漸成為移動網絡發展的主要推動者。這樣也就帶來了一些網絡問題，比如，一些網站為了能夠獲得不菲的點擊率，會添加非法或者色情內容，嚴重給社會道德和穩定帶來隱患，成為移動互聯網領域中需要重點整治的問題。

可是，目前還有很多手機端安全軟件沿用的是以前的老辦法。以《360手機衛士》為例，它依然采用了傳統終端防護的辦法，幾乎和PC端一模一樣。但是，從目前奇虎360公司在移動互聯時代面臨的困境就可以看出，這樣的防護方式在用戶那里并不討好。既然老辦法不適用了，現在該怎么辦呢？要從根本上解決移動互聯網所面臨的安全問題，就需要在不同的層面，采用不一樣的安全技術。騰訊CEO馬化騰就曾多次提到，手機安全不是一家公司就可以完全解決的，必須所有行業與所有開發者都應該共同參與，這也可以看做是騰訊在安全方面的大戰略。相比騰訊，百度的腳步似乎要更快一些。今年9月3日，百度宣布將自身安全技術開放出來，打造開放的移動安全平臺，與開發者、應用商店和垂直領域（銀行和支付）等行業各方共同構建健康的移動互聯網安全生態體系。

“在移動互聯網時代，安全比發展更重要，發展需要建立在安全的基礎上”，這樣的觀點也已經得到了業內人士的普遍認同。可是，目前傳統的以端級防護和單點布防為主安全解決方案能起到的作用已經很小。在這種形式下，安全產業鏈協同就成為了一種必然的趨勢，從技術、法律和開放性等多個方面為移動互聯網構建起一個牢固的安全屏障。