【大数据专栏】腾讯张华锐:移动互联网信息安全
【这是“大数据专栏”的推送文章,本专栏由中关村大数据产业联盟与科技杂谈合作提供】
文 / 张华锐,本文为张华锐在中关村大数据产业联盟“大数据100分”论坛上的交流探讨实录
主讲嘉宾:张华锐
主持人:中关村大数据产业联盟副秘书长陈新河
承办:中关村大数据产业联盟
嘉宾介绍:
张华锐:腾讯无线安全产品部渠道合作总监。
以下为分享实景全文:
张华锐
大家好,今天非常荣幸可以在这个群里跟大家分享一下。腾讯在移动互联网安全方面的收获或者是启发。可能跟大数据没有直接的关系,但我觉得未来肯定有非常大的关系。
更精准的隐私收集:Qzone、微博、朋友圈,淘宝、京东等SNS和电商的兴起,带来方便的同事,也可能泄露了很多隐私。通过木马、爆库、社会工程,可以获取很多隐私信息:姓名,身份证,银行卡号,家庭住址(如爆库去登录淘宝?),工作身份(留学生,公司财务…),好友关系(同事,同学,夫妻,亲人…),甚至可以冒充你身份,跟你的好友闲聊,来获取你的详细信息。2、更巧妙的冒名诈骗:2014年2月27日,受害人王某(女,40岁,淳安县千岛湖镇)。骗子冒称其丈夫余某的QQ与其聊天,谎称朋友从国外回国,因海关检查把现金放在其丈夫处,但因银行系统升级钱暂不能转入到国内朋友账户上,现朋友急需用钱,让其去银行汇款。王某给骗子汇去10万元人民币,后发现被骗。盗一个人的号码,通过群定位留学生等利用时差和国际长途不好验证身份各种话术,骗7W-9W不等3、偷虚拟财产进而偷真钱,作案模式:第一步:获取用户姓名,身份证,银行卡号。第二步:通过诈骗或者基站群发短信,使用户中木马,偷偷转发短信,洞穿短信身份验证。第三步:通过1和2的信息可以开通网上支付,然后通过游戏点卡充值、手机话费充值、水电物业、实物电商消费等获利。
我们看一个数据吧,这个是2013年的手机病毒的增长趋势。之所以这么猛也跟移动终端增长是相关的。
由于目前移动电商的各种环境已经非常成熟,所以我们认为2014年会是手机支付病毒爆发的一年。
第二块呢我分析一下黑产情况
第三块呢,就是说目前安全公司都可以提供什么手段。几家公司应该都有类似的服务
第一呢,可以提供终端保护,就是保护终端的环境是安全的;
第二呢就是软件的加固,防止被二次打包;第三应该是针对一些新型的问题进行云查杀。
最后呢,我想说大数据有可能被黑客所利用,就是他们会在大数据的掩盖下,做一些我们关注不到的事情。
这个也是大数据未来的一个考量,就是我们如何去关注哪些零散的小数据,以及这些大数据中的一些小数据的变化。
黑客的定义我都说不准,应该说黑客有几个阶段吧。第一个阶段属于炫耀型,他们没有任何诉求,只是想显示一下自己的技术能力,进行炫耀。
目前这个阶段是黑产,他们分工明确。可以快速的进行原始的积累。
移动互联网的黑产,之前大部分靠运营商sp分成。后期做垃圾广告,经过这几年的治理。这两个方面已经好很多了
今天晚上我的ppt有一部分内容没有讲就是关于垃圾短信和我们经常接到的陌生电话。你装一个安全软件,来了陌生电话以后会自动显示,营销的,快递的,餐饮的。
其中广告骚扰电话是典型的通过众包的模式,一种我为人人,人人为我的服务。安全公司作为云端,收集用户的标记。继而通过客户端为其他用户进行提醒,和展示。
对了刚才没有做自我介绍,目前我在腾讯负责移动安全的商务工作,来到腾讯已经有三年时间。之前与几个朋友一起做塞班上的防木马的客户端。喜欢研究各种商业模式,曾经在高德和12580负责过客户端工作。
移动安全目前是一个非常泛的工作,他的防范治理也比pc时代要难很多。更多的黑产会通过不同地区,不同时间进行。
最后打一个小广告吧,腾讯目前在pc安全、手机安全和云安全三个方向都有积累。我们将以最开放的方式与业界展开合作,目前我们构建的中国支付联盟,会与银行、支付企业、线下企业、app类开发者合作。另外我们的合作的模式通常不向b端收费。
交流互动
虞文明:
支付会用到人脸认证吗?在安全方面是否有大范围应用可能
张华锐:
人脸?目前支付比较多的是二维码吧,这块其实风险还是比较高的
虞文明:
13年芬兰推出的人脸支付系统,你们是否考虑尝试过,在安全角度讲,国内主要差在哪里了?
张华锐:
目前没有,腾讯安全策略,首先从自身的业务线出发。我们是略带防御性质的。比如现在微信支付非常火,那我们从平台的角度去为微信支付去服务。
虞文明:
如果在微信支付中加入人脸验证会更方便些,也能提高一定安全性。但可能与您上边提到的是两回事,一个是业务本身功能,一个是业务的安全防护手段。
胥正川:
感谢@张华锐的分享!请教贵公司在移动安全的管理机制方面是如何做的?
张华锐:
移动安全的管理机制是指什么内网的管理嘛
胥正川:
@张华锐我的安全管理机制的意思,是指治理手段是否有闭环的机制,我认为安全不仅仅是技术更加是管理,当然包括内网的管理
张华锐:
安全包括网络安全、系统安全和信息安全以及其他。目前移动安全挑战非常多,整个治理手段现在没有闭环的机制。
浦俊懿:
另外,请教一下张总,手机助手类的应用是不是会成为未来移动端安全管理的控局者,传统的安全企业(比如赛门铁克、瑞星)很难获得大的市场份额?
张华锐:
其实安全涉及的东西会非常多,我不认为手机助手类的会成为安全管家的控局者。目前来看传统的安全企业在移动安全上确实比较难获得大的市场份额。不过他们在pc、服务器端的积累比较多,未来可能会在企业移动安全市场保持领先。
浦俊懿:
谢谢张总的解答。另外,我想,目前安全管家是显性的,让用户能直接看到相关应用,而一些app内涉及到支付、安全保护等应用,是不是还是传统安全企业在做
胥正川:
@张华锐那么在安全管理上有无将人的行为考虑进来呢?
张华锐:
每个企业都在做自己的一部分,有些需要监管层一起来管理。之前公安系统在管理pc侧的,最早的安全软件都需要有销售许可证,目前移动互联网参与的更多是工信部,但是工信部没有执法权。
张华锐:
我所知道的目前传统企业做移动安全的动作比较慢,阿里在构建自己的支付安全团队,百度也有一个大的安全团队,腾讯目前也是。当然360还是最大的,并且360在企业安全市场做的也非常不错。
浦俊懿:
是的,360已经把企业端安全市场作为公司整体的重要战略方向了
张华锐:
您说的对,安全管理上。人的风险也非常大,这块我们是有考虑的,就是不同的级别可以做不同事情吧。腾讯目前还是通过技术手段在做,我们离顶尖的安全公司确实还有差距。不管从技术还是管理到理念上,这个我们也是在进入安全这个圈子以后逐步发现的问题,不过近两年公司正在通过并购的方式引入了很多新的资源和人才。
胥正川:
@张华锐谢谢张总的解答!
张华锐:
另外现在手机助手类产品,还是一个分发工具。跟安全距离比较远。360呢通过自身pc优势,快速的在分发市场站住了脚。
张华锐:
目前豌豆荚算是一个比较独立发展的公司吧。
胥正川:
@张华锐张总客气了:)如何检测用户行为,并构建完善的管理机制,目前国际上也在探索研究,路还很长!
张华锐:
其他公司均是通过pc流量优势,引导到移动端上的。所以国内移动互联网纯粹的app创业确实比较难
张华锐:
创业者获取用户的成本非常高,团队开发人员的成本也非常高。今天我跟一家安全公司开发聊天86年,本科生。月薪30k,还有股票。一般创业公司怎么能养活的起啊。
陈新河:联盟副秘书长;《软件定义世界,数据驱动未来》再次感谢张总的精彩分享!
【入中关村大数据产业联盟500人微信群指南】
您只需在中关村大数据产业联盟500人微信群中分享一次大数据思想、案例,即可进入500人微信群,与众多大数据朋友沟通、交流、合作!(入联盟500人微信群,请把代表您能力和水平的PPT及姓名、单位、职务、联系方式发chenxinhe2020@126.com。详情请订阅微信公众号:软件定义世界(SDX)后,查询 500 )
【中关村大数据产业联盟主旨与目标】
落实国家战略,聚合产业势能,促进商学互动,
助力企业成长,倡导数据伦理,探寻数字文明
【中关村大数据产业联盟活动】
〖大数据100分〗以500人圈大数据技术、资本、专家和政策专业人士为依托,每晚9点进行的线上活动。
〖大数据地平线〗以大数据执委会和中关村大数据产业联盟成员为依托,进行的走入企业现场调研活动。
〖大数据香山汇〗以“运动、分享、进步”为宗旨的爬山、PPT分享、研讨活动。
〖大数据沙龙〗以“数据驱动,创新未来”为主题的高端大数据沙龙活动。
【中关村大数据产业联盟联盟网站】
http://www.zgc-bigdata.org/
【大数据媒体方阵】
〖软件定义世界(SDX)〗、〖大数据文摘〗、〖大数据栋察〗、〖科技杂谈〗、〖CSDN〗、〖天云融创〗、〖大数据邦〗、〖199IT〗、〖大数据实验室〗、〖云里数里〗、〖中云网〗、〖云华时代〗、〖大数据问答〗等,目前已覆盖20多万订阅用户。
欢迎加入大数据媒体方阵,第一时间获得〖大数据100分〗等中关村大数据产业联盟提供的独家信息,请在公众号留言或加入个人微信号沟通。
【联系方式】
地址:北京市海淀区东北旺西路8号中关村软件园软件广场C座3层
电话:010-56380808
电子邮件:sdxtime@gmail.com
个人微信号: sdxtime
欢迎大家加入科技杂谈菁英汇,交流思想、分享信息。仅限行业商端人士参与。参与方式:点击左下方“阅读原文”填写您的加入信息,科技杂谈通过审核后,会添加入群。
本文仅代表作者观点,科技杂谈授权刊登。
转载必须注明作者与科技杂谈,侵权必究。
科技杂谈文章,均同步发布于犀牛财经网。
已入驻搜狐新闻客户端,网易阅读客户端。