移动计算时代应该严肃对待安全漏洞

从城市到乡村,走一走,看一看,智能手机和平板电脑几乎无处不在了。虽然移动数据通讯的昂贵资费问题仍然是搞活移动互联网经济的最后一道障碍,但是大的趋势需要我们来积极拥抱,商业以及家庭WIFI几乎覆盖到城乡的各个角落,虚拟移动运营商必将打破电信业务的垄断,移动信息化就在眼前。

各厂商纷纷摩拳擦掌,要决胜移动终端,让用户可以随时随地随意购物。市场营销、业务创新与IT部门开始专为移动设备创建入口网站,设计开发移动APP,唯恐落后被行业竞争者或颠覆者抢了先。于是,移动平台软件开发人员开始供不应求,程序员的春天来了……

不过,心中痒痒欲上马移动互联网的主儿们却比较小心翼翼,甚至有些犹豫不决,因为人们忘不了当年的互联网泡沫。其实,两者并不具可比性,互联网泡沫时候人们在纯玩互联网,拉带宽,建网站,与实体经济关系不大甚至完全无关。不同的是,移动互联网是为了帮助商业模式创新,通过改进客户体验来获得更好的竞争力,并不是纯粹局限在技术层面玩一玩。

所以,不要迟疑,立即行动起来吧!可是也不能盲目投资,谁都不想让真金白银统统打了水漂,弄的个血本无归吧?那怎么开始呢?昆明亭长朗然科技有限公司的移动应用安全分析师James Dong说:及早行动抢得市场先机很必要,但是不能忘了这不是一蹴而就的事儿,俗话说“欲速则不达”,先进入者也不见得能赢在后面。

基于iOS和Android平台的移动应用已经汗牛充栋,如何能让那些被海量移动应用冲击的疲惫不堪的用户使用呢?需要不断改进消费者体验。亭长朗然公司的James说:消费者体验,好说,难做。今天,随便在国内发达城市的街头找个IT人都能做出个UI豪华的APP来,可是往往华而不实,缺乏内涵。反观海外的软件如SAP等,则恰恰相反,界面简陋的有些像丑八怪,内在功能却强大实用无比。拜托,用户来这儿是花钱买产品和服务的,是来享受的或找实惠的,不是看网络店面装修是否豪华的。当然啦,门面也不能太寒碜的吓跑用户。

关键的移动应用功能还需要不少,特别在数据安全方面,无疑用户的数据搜集、分析和利用是商业创新和制胜的法宝。同时,我们还需要遵循行业内的高安全标准和严格的个人信息和用户隐私保护法规,这可不是可以轻视的。计算机黑客、竞争对手和商业间谍也对这些数据虎视眈眈呢!

数据安全保护最关键的无疑是移动应用程序的安全漏洞,几乎所有的移动App都用被恶意利用的“空子”,这就是所谓的安全漏洞或安全弱点。软件有安全漏洞是正常的,并非说软件开发人员的安全意识不够,或安全水平太次,在个人电脑上不也是每个月都要修补嘛!

移动应用的安全漏洞应该被严肃对待,这并不简单只是定期刷新一下小功能,更新一下版本让用户去下载这么简单。除了程序更新相关流程之外,我们还需要一个安全通知机制,及时告知用户相关的安全问题,并引导其进行正确的软件补丁修复行动。

对于移动应用开发能力并不充足的机构组织来讲,我们的建议是制作移动版本的Web门户,再基于此开发设计出“轻量级”的移动应用APP,这样可在提升安全性的同时,节省开发成本。典型的“轻量级”移动应用有FT中文网,对于一般的读者来说,其实使用体验也还是很不错的。

企业移动设备安全引关注

前两天和一名安全界资深人士聊起金融安全,说到如U盾等身份认证动态令牌的市场被移动金融化冲击严重,近来出货量大减,不仅有些感叹这个消费时代变迁之快。现在,无论是谁,都敢大胆地预测:步消费市场移动化进程之后,企业应用的移动化进程也将持续加速,移动计算的安全问题将越来越突出。

说到企业级的移动应用,昆明亭长朗然科技有限公司移动安全专员董志军表示有话要说。移动设备在企业级的应用主要包括两个方面:一、业务流程的移动化,餐饮、电商、物流、客服等行业为提升作业效率和便利性,早已实施了移动化战略;二、协同沟通系统的移动化,包括移动办公、邮件会议、即时通讯等等,在链锁型或有分支机构的企业,以及员工经常外出工作的企业非常突出。

即使在移动化进程非常保守的企业级客户也面临两方面的压力:一、苹果、谷歌、三星、华为、联想等国际大厂商在成功占领大众消费市场后,纷纷发力布局企业级移动计算市场,企业移动计算及安全管理解决方案日渐成熟,其商业价值和优越性也越来越明显;二、几年来个人移动终端市场一直保持高速增长,企业用户们也都有了大量的移动计算消费体验,他们渴望有更多的企业移动应用。

综上所述,企业应用的移动化进程无疑仍将加速紧追消费者市场。同时,企业级移动计算的安全问题也将越来越受到重视。为什么这么说呢?昆明亭长朗然公司董志军说:有如下几点原因。

一、PC端的安全防范日益成熟和稳固,与此同时,移动计算设备却越来越普及,在终端出货量上已经甩出PC一大截。针对移动计算设备和应用的恶意代码开发、漏洞挖掘和入侵渗透都成为近几年黑客们相互追赶的一种时尚,而企业界对此的研究以及应对却显得落后很多。移动计算设备是个大舞台,而在短期内,攻防双方的力量差距相当悬殊,基于移动计算设备的安全事故自然会越来越多。

二、让我们从黑客经济学的角度思考,黑客入侵个人用户移动终端的主要目标是以网络诈骗、金钱勒索等等为主。针对企业级用户的移动设备入侵目标在于窃取机密商业数据、损毁企业形象和进行网络破坏,相关的移动应用及终端难以避免地会成为攻击者的目标或工具。入侵移动计算设备的商业价值,首先会被人们想到的是硬件的利益,除了前沿而高端的设备尚有一些市场价值之外,普通移动终端的价值显然只能引起街头窃贼们的兴趣,黑客们更在乎的是窃取用户的身份,并通过冒用身份进行更多企业信息的获取。除此之外,在获取了移动设备的访问权限之后,黑客还可以利用它们做跳板,来入侵更多企业级的应用和获取更多信息数据。

三、攻击者的互联网思维影响移动设备中的其它应用,早在2014,我们就已经看到“固若金汤”的iOS中的不少应用都陷落了,而安卓市场虽然经历了不少行政监管方面的整治,但是安卓系统存在的先天性应用分发缺陷并不是那么容易解决的。所以,包括企业移动设备在内的海量智能移动终端无疑仍然将是黑客们的目标,通过批量制造和颁发恶意应用,进而达到控制终端设备、建立移动僵尸网络并通过进一步利用来谋取不法利益的罪恶目的。

四、开放式的无线网络不断增加,只要存在免费的无线网络,用户就会尝试使用移动计算终端进行连接和使用,当然网络犯罪分子也不例外,他们可能通过建立假的免费无线热点、实施ARP欺骗等手段来进行网络窃听甚至发起中间人攻击以篡改信息通信。

五、随着移动支付等的应用越来越广泛,移动POS机等必将成为黑客热衷挑战的目标,近几年就有不少关于POS安全漏洞的问题。非接触式手机支付也逐渐从概念提出、少量商用进入到生态链搭建的阶段,尽管广泛使用可能仍然需要一些时间,但是这些占领跑钱的系统无疑是所有黑客们的梦想。

六、移动计算设备的便携性不仅让其流离于传统的网络边界保护之外,更让传统的防病毒、防火墙、IPS等安全保障系统无用武之地。而移动系统版本的快速而频繁的升级,也让独立移动安全管理软件开发商们疲于追赶,同时也在严重挤压着他们的生存空间。少了独立移动安全管理软件厂商的帮助,企业用户似乎只能受制于原厂商了。

七、关键领域如电子政务、电力通讯、金融能源、航空交通、电商配送等重点监管行业往往是移动化需求急切的行业,也是最为关注移动安全问题的行业,但是在考虑到国家政治安全时,显然没有人敢完全信任谷歌和苹果这些美国公司的系统,中国自己建立移动操作系统并非不可能,但解决移动生态链的问题才是关键。

八、移动计算设备是获取企业信息的计算终端,与PC相比,移动应用往往将用户身份验证信息存储在设备本地,这样可以免去每次登录的输入,提升工作效率。同时,这也方便了犯罪分子们,借助被控制的移动计算终端,他们可以轻易盗用企业用户的身份,进行涉密信息的攫取。

受消费性移动应用的影响,企业计算移动化的潘多拉魔盒已经开启,请重视起来,及早制定应对之策吧!昆明亭长朗然科技有限公司专注于帮助企业级的单位提升职员的信息安全意识,其中包括移动安全意识,我们的课程内容也特定为移动计算用户所设计,适合移动工作和学习。欢迎联系我们了解更多详情。

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:info@securemymind.com
QQ:1767022898

mobile-computing-security