【这是“大数据专栏”的推送文章，本专栏由中关村大数据产业联盟与科技杂谈合作提供】

文 / 阚志刚，本文为阚志刚在中关村大数据产业联盟“大数据100分”论坛上的交流探讨实录

　　主讲嘉宾：阚志刚

　　主 持 人：中关村大数据产业联盟 副秘书长 陈新河

　　承 办：中关村大数据产业联盟

　　嘉宾介绍

　　阚志刚：北京洋浦伟业科技发展有限公司（梆梆安全）董事长、CEO。阚志刚有超过10年移动通信和移动安全领域的工作经验，曾任职于Symantec、Nokia、Sony-Ericsson等公司，担任技术总监和首席软件架构师等职务。为中国公安部移动安全专家，中国移动电子商务安全专家，拥有四项国际专利，两项国内专利。共发表论文60多篇，专著5本。被评为2012年中关村高端科技创新领军人才。

　　以下为分享实景全文：

　　大家晚上好，我是梆梆安全的阚志刚，首先感谢论坛负责人的安排，也谢谢大家的时间。很高兴与大家分享关于移动互联网安全的一些新的想法和经验，望大家斧正。今天的主题是：移动互联网安全新体系。

　　移动互联网发展迅猛，根据思科公司统计，2013年全球移动数据流量增长了81%，预计到2018年还将较2013年增长11倍。2013年底我国4G牌照的发放加快了移动互联网的发展。按照工信部统计，截至2014年1月，我国移动互联网用户数占移动电话用户的67.8%，移动互联网接入流量同比增长46.9%，户均移动互联网接入流量达到165.1MB，其中手机上网流量占比提升至80.8%。

　　同时移动互联网也面临严重安全问题。大量移动互联网用户的增加导致了移动终端设备越来越多样，这也意味着管理起来将更加困难。移动终端受功耗等限制，无法像个人计算机那样内置功能强大的防火墙。安卓移动操作系统尽管已经使用了针对应用软件的签名系统，但黑客仍然能使用匿名的数字证书来签署他们的病毒并发放。安卓4.0版本中内置的无线通信接入的密码远程备份功能可被用来定位用户，苹果公司的手机云计划能够读取用户在手机云中所存的信息。

　　基于智能终端的移动支付方便了用户，但传统的账号+密码+短信的身份验证方式存在安全风险，手机卡可能被复制，验证短信有可能被劫持，支付指令在传输中也可能被篡改。

　　移动互联网等的发展对大数据、云计算带来了很大的推动作用，同时，移动互联网、大数据和云计算的安全问题也是相互关联和相互影响的。

　　为什么是移动互联网安全新体系？

　　谈到移动安全，大家可能首先想到的是手机上安装的360安全卫士，腾讯手机管家，百度手机卫士等这样的移动安全产品，对于我们普通消费者来说，这些移动安全产品都是C端用户“可以看见的”，利用这些安全产品，估计大家可能最常用的功能包括：清理手机内存让手机跑更快，拦截骚扰电话，查杀病毒等等，这些功能更多是为消费者来服务的。

　　我们认为，移动互联网安全的新体系包括三个层面（如下图所表示）：设备安全，运行环境安全，App安全，梆梆安全专注在App安全这个领域。

　　每一个App都会经历开发制作，渠道发布传播，设备上运行使用。梆梆安全的安全服务努力保障App在所有环节的安全，比如在渠道传播阶段不会被破解、篡改、注入病毒重新打包，在手机上使用时不会被遭受各种调式攻击、APT攻击、DDoS攻击、窃取用户信息等等。目前梆梆安全已经为超过20万个app提供了安全保护服务。

　　大家可能会问，App到底有哪些安全问题呢？梆梆安全的App安全服务价值在哪里？我举一些例子，大家可以快速地了解为什么这个领域需要安全。

　　例子1：国内某个海外上市视频公司的移动视频App，他们担心的风险：App里面的播放节目之前的广告被去掉、用户信息被窃取。

　　例子 2：国内某个知名手机网游公司的游戏App，他们担心的风险：黑客通过分析协议，进行游戏外挂、加速、协议对抗等等。

　　例子3：国内某个用户数过亿的手机照相App（行业最大），他们担心的风险：照相效果处理的一些参数数值（这些数字可以使得相片处理效果最好）被竞争对手了解，并直接拷贝走。

　　例子4：某个领先的基于音频技术支付的App公司，他们担心的风险：支付的核心算法被窃取。

　　例子5：国内某个最大唱歌类App，他们担心的是：App的协议被破解后，可以去刷分数，比如通过改协议给某个喜欢的明星献花10万朵，这就破坏了原来的用户公平性。

　　例子6：某个专营机票的知名电商App，他们担心的风险：黑客破解协议后恶意下单但不真正支付，比如飞机上有200个舱位，他可以全部占了。还有逻辑漏洞被发现，比如有买机票不花钱的漏洞。

　　例子7：某个基于NFC技术的公交充值app， 他们担心的风险：代码缺陷和逻辑漏洞被发现，存在不花钱能充值的漏洞。

　　例子8：某个知名单机手机游戏，他们担心的风险：计费SDK被破解，金币和道具系统被破解等，简单说，原来的付费游戏现在可以随意免费玩，随意不花一分钱将自己的金币改成数百万。

　　例子9：某个专注海外市场的App, 他们担心的风险，自己的App被国外开发者下载后进行破解，仿制，或者重新发布，或者计费系统被破解。

　　例子10：某个政府App, 他们担心的风险：app被篡改后发布反动新闻，被病毒二次打包，从移动端进入内网系统等等。

　　还有近期某网站发布的中国最大的火车票购票手机客户端存在逻辑漏洞，使得票贩子能够控制票源等。

　　还有很多很多的例子，也包括梆梆安全正在服务移动金融领域的app，如手机银行、手机股票、手机基金等。实际上，所有的App都有安全服务需求，几乎方方面面的需求：包括算法，知识产权，盈利体系，协议，用户信息，交易篡改，用户的产品公平性，系统性风险，广告等等。这些都是梆梆安全的移动app安全服务体系试图去解决的。

　　存在风险是因为App安全措施没有做好，从梆梆安全的观察来看，绝大多数移动App的安全机制都是存在很大脆弱性的，也就是说你的App安全手段是不给力的，更普遍的情况App根本没做什么安全防护。

　　实际上，目前绝大多数Java版Android应用或者IOS应用均可以在数分钟内就可以用免费工具轻松破解。

　　大家知道，银行App的安全性比普通App是要高很多的。但是实际上，移动金融安全也都是很严峻的。2014年5-6月间，我们参考人民银行在2013年初发布的《中国金融移动支付-客户端技术规范》对国内50家银行进行的Android手机安全评估调研分析中，发现绝大多数银行都存在严重的移动安全风险，下表是部分比较集中和突出的风险。

　　目前在网银和手机银行的安全上存在严重的不平衡性，原来的web端投入很多，就像一个屋子外面包裹了一个铜墙铁壁，为了防止小偷和坏人入侵，做了很多安全机制。但是移动银行这个端点呢，由于重视不够，就像在屋子外面开了一个玻璃窗，这就给别人留下了可能攻击的入口。

　　邦梆选择了tob业务，并且很专业。躲开了其他安全企业

　　总体上，我们认为移动App最大的风险是给后台系统带来的入侵风险，比如今年发生的某个大型旅游网站泄露用户信息和信用卡信息的事件也是因为移动端没做好安全措施，前面举的很多例子，比如网游加速，电商网站被修改协议恶意下单等等。

　　基于上面所述的移动app安全的普遍脆弱性以及这些安全脆弱性带来的各种风险，梆梆安全认为应该建立一个多层次、大数据、情报式的主动防御安全体系，来解决这些移动App的风险。这也是目前梆梆安全在做的事情。

　　这个体系的逻辑在哪里呢？我们是基于发现问题（各种测试和扫描），解决问题（加固），预警的逻辑，基本上涵盖一个app的整个生命周期。

　　不像手机卫士类安全产品的可见，梆梆安全的安全加固其实是“看不见的”，我们以银行客户端为例来说明和解释加固。简单的说，加固就是给你的银行客户端加一个坚固的壳，就像前面我们提到移动安全就像玻璃窗户，那么这个工作就是把原来的玻璃窗口改成一个铜墙铁壁一样的，非常坚实的窗户。

　　在这个环节，会把各种防护性的安全机制打进来，比如你的客户端代码会进行高强度的加密，黑客会看不到业务逻辑源代码，你的银行客户端所存储资料也会被加密，所有的用户信息，相关文件也都会被保护。会加入很多的防交易劫持机制，防止交易相关的信息被修改，还有非常多的安全机制。比如很多银行的软键盘在输入时没有全程加密，很容易被拿到密码，或者从系统底层来攻击，甚至很容易被轻松去掉，因为这些安全机制本身是缺乏自保护功能。

　　还有像有一些移动银行会使用杀毒引擎，但是这个功能也非常容易被绕过或者去掉，国外也有安全公司做过一个实验，他们在使用了奇虎，腾讯，百度等杀毒引擎的手机银行上做实验，在输入账号等信息时，通过劫持的形式，覆盖一个页面，结果所有的杀毒引擎都不起作用。这些也都可以通过加固来解决。

　　当然，更重要的是，如果客户端保护起来的，黑客也很难去分析他的代码缺陷和漏洞，也很难从这个入口去入侵系统。

　　目前我们的加固服务提供云加固、独立的“梆梆黑盒”部署等多种形式。从我们目前的来看，许多金融客户都在接受云安全加固的形式，许多大型国有银行，股份制银行，大型城市商业银行，政府部委等等都在使用我们的云安全加固。除了金融领域，我们也为国内许多移动互联网app提供安全服务，比如陌陌，我叫MT等等这样用户上亿或者数亿的app。

　　同时，我们也提供免费的app安全加固，目前有超过20万app在使用梆梆安全的免费App加固，大概覆盖了超过4亿多手机用户。

　　此外我们配合加固，还提供了许多的安全控件，比如手机游戏领域的防外挂安全控件，安全键盘，风险大数据监控等等，这些安全控件除了本身能发挥安全作用，自身也起到了加固的保护，也就是说梆梆安全的加固功能同时保护自有的安全控件，形成了一个闭环的“情报式”的大数据安全系统。

　　接下来谈谈：App渠道和钓鱼监测体系

　　梆梆安全从2011年开始做app监测，我们跟踪了全球600个渠道，部署了几百个节点进行监控，现在系统中有超过1000万的App样本，累计了近百万的证书。

　　这个大数据监测系统一方面帮助我们最快速的发现你的App在哪些渠道出现了盗版，如果有盗版出现就会第一时间提醒。 同时，这个监测系统也帮助监测你的App出现在哪些渠道。如下图，各个大圈代表每一个版本，在每一个大圈（app）里面,各个渠道用不同的色彩表示，下载量代表半径。大家可以看到这个App的某个版本（最中间的大圈），在360，应用汇，豌豆荚等渠道下载量是最大的。

　　最后我们还有业务和系统风险评估体系，就是刚才大家看到的事前阶段的各种测试和评估，这块有人工的，也有全自动的云端服务。梆梆安全也做了很多创新，比如我们推出了移动App漏洞扫描和渗透系统。鉴于时间原因，不做太多的赘述了。

　　移动互联网安全新体系包括方方面面的内容，我们只是研究和实现了非常皮毛的东西，与一个牛X的安全公司还相距甚远，请大家别见笑！但是现在的机会非常好，我们有机会成为”新一代的安全公司“，这是我们的梦想！

　　再次感谢各位，很多东西没法细节展开，希望以后有机会可以再继续分享，也欢迎大家来梆梆安全参观指导。祝大家晚安！

　　陈新河：联盟副秘书长；《软件定义世界，数据驱动未来》非常感谢志刚的精彩分享！

　　【入中关村大数据产业联盟500人微信群指南】

　　您只需在中关村大数据产业联盟500人微信群中分享一次大数据思想、案例，即可进入500人微信群，与众多大数据朋友沟通、交流、合作！（入联盟500人微信群，请把代表您能力和水平的PPT及姓名、单位、职务、联系方式发chenxinhe2020@126.com。详情请订阅微信公众号：软件定义世界（SDX）后，查询500）

　　【中关村大数据产业联盟主旨与目标】

　　落实国家战略，聚合产业势能，促进商学互动，

　　助力企业成长，倡导数据伦理，探寻数字文明

　　【中关村大数据产业联盟活动】

　　〖大数据100分〗以500人圈大数据技术、资本、专家和政策专业人士为依托，每晚9点进行的线上活动。

　　〖大数据地平线〗以大数据执委会和中关村大数据产业联盟成员为依托，进行的走入企业现场调研活动。

　　〖大数据香山汇〗以“运动、分享、进步”为宗旨的爬山、PPT分享、研讨活动。

　　〖大数据沙龙〗以“数据驱动，创新未来”为主题的高端大数据沙龙活动。

　　【中关村大数据产业联盟联盟网站】

　　http://www.zgc-bigdata.org/

　　【大数据媒体方阵】

　　〖软件定义世界（SDX）〗、〖大数据文摘〗、〖大数据栋察〗、〖科技杂谈〗、〖CSDN〗、〖天云融创〗、〖大数据邦〗、〖199IT〗、〖大数据实验室〗、〖云里数里〗、〖中云网〗、〖云华时代〗、〖大数据问答〗等，目前已覆盖20多万订阅用户。

　　欢迎加入大数据媒体方阵，第一时间获得〖大数据100分〗等中关村大数据产业联盟提供的独家信息，请在公众号留言或加入个人微信号沟通。

　　【联系方式】

　　地址：北京市海淀区东北旺西路8号中关村软件园软件广场C座3层

　　电话：010-56380808

　　电子邮件：sdxtime@gmail.com

　　个人微信号：sdxtime

　　欢迎大家加入科技杂谈菁英汇，交流思想、分享信息。仅限行业商端人士参与。参与方式：点击左下方“阅读原文”填写您的加入信息，科技杂谈通过审核后，会添加入群。

本文仅代表作者观点，科技杂谈授权刊登。

转载必须注明作者与科技杂谈，侵权必究。

科技杂谈文章，均同步发布于犀牛财经网。

已入驻搜狐新闻客户端，网易阅读客户端。