“互聯網+”時代的移動安全實踐

隨著移動業務蓬勃發展，移動安全問題也逐漸被重視。2015阿里安全峰會上，阿里巴巴無線安全首席架構師潘愛民就移動安全的發展問題發表了自己的觀點和看法。

移動安全的本質問題

潘愛民認為，從移動安全本質來講，主要有兩方面的威脅，一方面是APP模式，APP版本不像以前單一，現在APP模式迭代周期很快，不斷新老版本并存，老版本總是會有漏洞，APP模式本身就存在這樣的挑戰。第二方面是業務欺詐，移動業務離錢太近，自然會吸引所有的注意力，黑色產業鏈滲透越來越深。賬號被盜、垃圾注冊、虛假交易、作弊行為等等，現如今很多互聯網公司都面臨這些問題。

移動安全的應對策略

現狀如此，那么要做什么樣的應對策略呢？潘愛民談到：首先，移動安全是“云”+“端”的平衡，過去模式里很多業務通過瀏覽器，在瀏覽器里所有業務都是后臺完全控制的，服務器端所有風控可以建立好體制，客戶端只要基于比較弱的業務邏輯的假設，這在過去有很好的實踐，基本上做得比較好的。還有一種模式是：網絡銀行會給你硬件的認證，可以在PC上使用。現在APP的模式，邏輯的比重放到客戶端，客戶端能力越來越強，所以做得很多的處理是在客戶端進行的。相應的風控的比重也要做“云”+“端”結合，不能把風控全部放在服務端，如果全部放在服務端企業也好不了，對網絡的依賴，對用戶很多信息都不能夠有效應用。

其次，APP要做安全加固，不安全的系統環境里要讓你的一個應用能夠很大程度上抵抗常規的攻擊，加固是比較有效的手段，相對來講成本比較低，因為它并不需要再做二次開發，或者需要源代碼級的修改。加固可以讓基本攻擊變得不那么容易，而且這也是道高一丈，魔高一尺，相互攻防的過程。因為漏洞帶來的威脅，漏洞修復以及響應也需要在移動互聯網有不一樣處理手段。

第三，需要做APP的風險掃描。漏洞通常是供給最初的源頭，對于這些，掃描可以在實際攻擊發生的時候提前感知風險。

最后，接入層的控制。客戶端總有不可控，但是接入層是可以第一個點控制的。接入層如果沒有設計好，將來很容易做DDoS，或者讓你后端好多防控失去效應，接入層適合接口層/通訊層的邏輯。我們過去防止有人扒信息，刷單，這比較容易在接入層做好的。通過做對軟件版本的控制，一個軟件版本可以軟化禁止掉，相當于做了應用下線的動作。把“云”和“端”連接起來的重要控制點。再加上安全審計，就形成了這樣一套安全模型。

移動安全的實踐總結

最后簡單的總結，所有的安全工作，最終都是為了業務風控，我們在不斷積累業務風控模型的策略和實踐，過去發展過程當中從互聯網，到移動互聯網，覆蓋了PC端，HTML5，原生態APP，有完整的實踐過程。我們把在移動安全方面的所有努力凝結，形成了一套完整的可執行方案，在“互聯網+”時代不斷摸索前進。