刘志诚
近年来,移动互联网已经呈现出势不可挡的发展态势,因此,网络安全也越来越被关注。而且关注的安全范围已经超越了信息安全的范围,更多关注的是网络空间的身份、行为、信息、数据以及影响网络空间的人、系统、网络、业务、环境等综合性风险因素的安全治理。在移动互联网信息安全的全局中,移动互联网业务安全是关键所在。互联网业务安全一方面要建立保障措施和手段,另一方面需要完善管理体系和治理机制。
技术和商业模式制约传统安全企业
传统安全企业面对的窘境不仅是传统的技术,还有僵化的思维和商业模式。
中央网络安全和信息化领导小组的成立,标志着对中国信息安全达到了前所未有的战略高度。不过,网络安全的说法也会引起一些歧义,这里的网络安全不是指传统意义上的网络安全(network security),而是指网络空间安全(cyber security)。从这个术语的定义来看,关注的安全范围已经超越了信息安全的范围,关注的是网络空间的身份、行为、信息、数据以及影响网络空间的人、系统、网络、业务、环境等综合性风险因素的安全治理。但对于大多数人来说,概念的含混却存在着庞大的市场空间,相关概念的股票飙升说明了资本市场不加分辨地追捧概念和逐利的贪婪,同时也在有意和无意地混扰视听、转移焦点。但对关注自身利益的网民以及奋斗在信息安全第一线的技术人员来说,只有对概念充分了解才利于讨论目前面对的需求,分析潜在可行的解决方案。
2013年12月,CNNIC统计数据显示,中国网民用户达到6.18亿户;2014年3月6日,工业和信息化部统计数据显示,目前手机用户达到12.35亿户,其中8.38亿户为移动互联网接入用户。这两个数据的对比颇为耐人寻味,不过即使把统计口径、统计误差等因素排除在外,也可以清晰地看到移动互联网势不可挡的发展态势,可以说现在已经进入全民移动互联网时代。
传统安全厂商依然在关注相对封闭环境的领域安全,例如:专网、企业网、互联网以及时间和空间更加可控的互联网接入方式,面对的风险相对可管可控,这些技术、手段和思路,针对互联网环境一定程度上解决和减少了网络安全问题。而面向移动互联网随时随地的特性,时间和空间的局限性被打破,复杂的终端环境、接入网络环境和业务使用环境,造成无死角的风险暴露,对信息安全的管控要求更加苛刻。同时,移动终端的便捷性,促使移动互联网业务模式也在不断地被突破,信息流占主导业务地位的互联网,在移动互联网时代信息流、资金流和业务流三足鼎立,O2O业务茁壮成长,跨越了虚拟和现实,虚拟空间的安全和现实的安全实现了交界。
在此,我们也可以畅想一下,也许有一天虚拟空间的安全战略和公共安全战略悄然融合,安全也不再区分彼此,溶为一体。面对如此日新月异的环境,如果解决问题的思路依然是终端的个人防火墙、防病毒,系统的隔离、防火墙、入侵检测、入侵防护等,可想而知,传统安全体系势必落入千疮百孔的尴尬。
面对窘境的不仅是传统的技术,还有传统安全企业僵化的思维和已成桎梏的商业模式。在移动互联网蓬勃发展的过程中,最早解救陷身重围、四处求援用户的不是传统安全厂商,而是新兴的和安全无关的互联网企业,无论是巨头BAT、360、网秦,还是名不见经传的各种大师、助手,无不以免费的互联网商业模式迅速地占领了终端用户,保护这个相对领域狭小但基数庞大的移动互联网终端安全市场。当然,互联网公司抢占移动互联网入口安全免费的思维模式,没有留给传统安全企业看明白的时间窗口,也许传统安全厂商刚开始看不明白其中潜存的机会和模式,不过等看明白时,一定会发现已经错过了移动互联网信息安全这个狂欢盛宴的关键部分。
在移动互联网信息安全的全局中,促使我们进一步思考的是目前为止依然相对缺失的一环,在这个贯穿虚拟与现实、以实现商务运作为用户提供最终服务和虚拟产品的移动互联网运营的根本,我们称之为业务,它是吸引用户的关键所在。
智能终端安全是主战场
业务承载的具体应用即客户端、APP以及传输通道的安全是业务安全中重点关注的领域。
拨云见日需要条分缕析,分析移动互联网业务安全保障首先需要分析的是业务承载和运作的环境。
智能终端的安全是目前各大助手的主战场,通过对终端操作系统和传统智能终端关键能力的监控和控制,以病毒、木马、白名单和特征过滤等技术手段来解决终端运行环境的安全问题,对用户的利益有一定的保护。
业务承载的具体应用即所说的客户端、APP,这是第一个需要在业务安全中重点关注的领域。如何确保应用的身份、避免应用被假冒、篡改、监控,如何确保应用的设计、编码、逻辑、调用的第三方(库、控件、应用、服务)的安全是目前相对空白和缺少整体解决方案的部分。
传输通道的安全,是另一个在业务安全中被关注的领域。网络是传统网络安全厂商的主要竞争领域,操作系统、数据库、中间件的安全竞争虽然不那么劲爆,但依然有为数不少的厂商在该领域深耕细作,但大部分是以专家个人能力为基础的利用工具以及个人经验的安全服务。这也是一个相对奇特的景观,在以信息安全为主战场的领域缺少信息系统的支持,手工作坊式的工匠模式依然大行其道。
而对于业务系统的安全,业界也有三同步的优良传统,即:同步规划、同步实施和同步维护。但从实际效果来看,往往是系统上线后面对问题的补救和面对检查的应付。而对于代码审查、安全流程、安全设计的方法论和工具,贯彻下来还是可以解决一部分问题的,而更为关键的业务流程分析、风险分析、参照最佳实践的设计是业务安全保障欠缺的重要组成部分。
参照APDRR模型的信息安全生命周期管理,信息安全一方面要建立保障措施和手段,另一方面需要完善管理体系和治理机制。目前互联网企业关注的终端安全和传统安全厂商关注的网络和系统安全,都具备相对完善的预防和检测方法、工具。
在移动互联网业务信息安全保障和管理体系中,应及时规划并建立统一的预警、响应、修复的机制。
保障措施和管理体系要健全
在应用方面作为预防手段的测试、加固、渠道监测等机制在一定程度上实现了应用层面的安全预防机制。在业务方面,综上所述,即使预防这个方面有一定的手段和措施,做得也不够完善。应用和业务方面的检测相对而言依然是相对空白。当然,业务的复杂性和独特性,实现应用和业务的检测很难做到准确和透彻是这一部分领域始终空白的原因之一。虽然渗透测试作为检测的一种手段,可以对业务和应用的安全性进行检测,渗透测试非系统化的模式对安全的检测作用相对有限。
预警、响应、恢复是从管理的角度出发对信息安全生命周期的要求。在网络和系统领域,不同安全组织、厂商发布广播式预警以及终端领域也逐步纳入预警的范围。不过,这种预警模式的广播式特点,决定了预警接收的不确定性和处理的不及时性,很多重大安全风险的爆发均源自于漏洞公布后,网络生产系统未及时修复而引起的。虽然,已经建立了自动升级机制,但基于稳定性的考虑和网络的制约,系统覆盖范围有限。因此,广播式预警和自动升级模式对网络、系统安全的强制性保障需求无所助益。现在,需要改进预警模式,实现预警模式与预防模式的结合,通过预警风险以及对应的解决方案在预防层面建立强制的保护机制。
应用、业务在信息安全层面缺少相应的预警机制和技术保障手段,其中的难点是在应用和业务的个性化、多样性的基础上,寻找共性的安全保障需求,在不影响应用和业务运作的情况下,针对业务类型、应用建立预警的机制和服务,解决应用和业务层面的预警问题。
响应和恢复是风险暴露后具体的解决方案,目前,通用模式是以点对点的单点解决为主。虽然,国家层面的应急服务中心承担互联网层面的全局性应急响应,对于危害网络和社会安全的重大专项、重大系统进行支撑的应急响应服务,却不能涵盖个性化的移动互联网业务系统,细化到具体业务系统、具体用户的应急响应和修复服务缺少强有力的技术手段和服务资源解决。
比较流行的SOC模式在中国的整体发展并不如意,大型企业建设的SOC、SMP平台运作仍局限于网络、系统安全领域,基于区域、企业的应急响应和修复机制还缺少统一的标准、制度、流程,具体服务的开展十分有限。在移动互联网业务信息安全比较关键的终端、应用、业务领域,缺少统一的信息化保障和管理平台预警、检测、响应、修复相应的信息安全问题。具体安全问题的应急响应和修复的用户接口一般在客服系统中,修复和解决依赖专家模式的单点处理解决方案。
根据移动互联网业务的环境特征和业务特征,结合传统的信息安全厂商和互联网企业的安全运营模式,转换思维是建设行之有效的移动互联网业务安全保障和管理体系的有效方法。在整个移动互联网业务信息安全保障和管理体系中,一方面,需要针对目前应用和业务层面的空白及时规划,在技术上、产品上实现突破,弥补信息安全保障中的短板。另一方面,面对移动互联网时代的业务特征,转变移动互联网业务信息安全保障和管理思路,建立统一的预警、响应、修复机制。聚集、分析移动互联网业务信息安全关联数据,实现预警机制和预防机制的结合,强化预警机制的强制性,主动、及时地控制风险。依据大数据技术建立移动互联网业务的信息安全态势感知和风险预警、控制、通报机制,利用云计算技术针对风险暴露问题的响应和修复建立自动化的辅助响应和恢复机制,提升响应和服务的效率,降低专家依赖模式的资源限制,是未来适应移动互联网业务安全保障思路的服务模式。
