高曉松老師說：“人生不是故事是事故”,。人們習(xí)慣把安全“外包”給專業(yè)機(jī)構(gòu)，只有當(dāng)?shù)準(zhǔn)乱u來(lái)才會(huì)痛定思痛,，這大概是人性的最大bug,，因此安全從來(lái)不能一勞永逸。如今,，全國(guó)有12億人像我們一樣,，每天與手機(jī)為伴。越來(lái)越多的安全隱患是從“手機(jī)”這個(gè)最薄弱環(huán)節(jié)攻入的,，很多網(wǎng)絡(luò)犯罪分子也已紛紛“轉(zhuǎn)型”線上了,。

在第5屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC2017）上，360掌門人周鴻祎關(guān)于“大安全”的演講刷新了人們對(duì)網(wǎng)絡(luò)安全認(rèn)知高度,，比如萬(wàn)物皆可編程,，只有軟件是由人編寫就一定存在漏洞，就有被攻破的可能性,；在未來(lái)網(wǎng)絡(luò)戰(zhàn),，系統(tǒng)漏洞是最寶貴的戰(zhàn)略資源；網(wǎng)絡(luò)安全方向?qū)⑹擒娒窈献鞯取按蟀踩�”新觀念不勝枚舉,。鑒于移動(dòng)安全重要性及復(fù)雜形勢(shì),，由360公司組織了ISC2017“移動(dòng)終端安全論壇”，邀請(qǐng)工信部旗下安全實(shí)驗(yàn)室,、中國(guó)移動(dòng),、華為、螞蟻金服,、360等活躍在安全產(chǎn)業(yè)第一線重要角色參加,。

筆者作為媒體代表有幸受邀觀摩學(xué)習(xí)，感慨作為一名安全小白享受著移動(dòng)互聯(lián)網(wǎng)帶來(lái)便捷和繁榮，很少設(shè)想網(wǎng)絡(luò)底層“地基”是否牢固,？憂慮過是否有不速之客闖入手機(jī)“安樂窩”的可能,？如果被攻破還沒有察覺，就像被人騙了還在給人數(shù)錢一樣昏聵,，那么，我們的手機(jī)未來(lái)會(huì)真的更安全嗎,？

一,、手機(jī)系統(tǒng)漏洞爆發(fā)，智能手機(jī)產(chǎn)業(yè)鏈讓安全形勢(shì)更嚴(yán)峻

主流的智能手機(jī)操作系統(tǒng)要么是iOS,，要么是Android,，國(guó)產(chǎn)手機(jī)幾乎全部基于安卓的開源系統(tǒng)，安卓機(jī)市場(chǎng)占據(jù)智能手機(jī)份額的70%以上,。據(jù)CVE Details年初的報(bào)告,，去年安卓軟件的漏洞高達(dá)523處，高居所有軟件漏洞之首,；此前360互聯(lián)網(wǎng)安全中心就出具報(bào)告顯示,，超9成安卓機(jī)處于系統(tǒng)高危狀態(tài)。

好在安卓系統(tǒng)更新非常勤快,，升級(jí)新版塊一般會(huì)把以往公布的漏洞進(jìn)行修補(bǔ),，那漏洞應(yīng)該會(huì)越來(lái)越少才對(duì)。讓人沮喪的是,，在ISC移動(dòng)安全終端論壇上,，360 Alpha小組安全研究員楊文林公布了一組數(shù)字，2015年谷歌官方公布了64個(gè)漏洞,，2016年則公布了498個(gè),，2017年上半年谷歌官方已披露了1000個(gè)，其安全漏洞數(shù)量不降反增,，預(yù)計(jì)2018年系統(tǒng)漏洞還將數(shù)以千計(jì)爆發(fā),。

在ISC2017移動(dòng)終端安全論壇上，中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部副主任楊正軍在其演講中,，就移動(dòng)安全形勢(shì)越來(lái)越嚴(yán)峻的原因做了梳理：

1. 智能手機(jī)上下游產(chǎn)業(yè)鏈極其龐雜,，其中芯片廠商、手機(jī)廠商,、App應(yīng)用開發(fā)者等每個(gè)環(huán)節(jié)都可能產(chǎn)生漏洞,。

2. 各個(gè)手機(jī)廠商之間相互競(jìng)爭(zhēng)、各自為政,，對(duì)自身UI的安全程度不一,，比如谷歌發(fā)布CV1漏洞后國(guó)內(nèi)各個(gè)手機(jī)廠商及主要應(yīng)用修復(fù)、升級(jí)較為滯后。

3. 用戶手機(jī)安裝眾多App,，有的App存在敏感信息泄露,；隨著智能手機(jī)所連接的智能設(shè)備越來(lái)越多，云端密碼,、用戶隱私信息泄露風(fēng)險(xiǎn)加大,。

（摘自《2017年中國(guó)手機(jī)安全生態(tài)報(bào)告》，不同App對(duì)用戶隱私權(quán)限不一樣,，整體來(lái)看非常嚴(yán)重）

   要按以往PC時(shí)代安全思維,，用戶安全直接交給專業(yè)網(wǎng)絡(luò)安全公司、裝個(gè)殺毒軟件或手機(jī)安全管家就OK了,，但移動(dòng)安全產(chǎn)業(yè)鏈牽一發(fā)而全身,，系統(tǒng)漏洞防不慎防，如果不能從全產(chǎn)業(yè)鏈上“團(tuán)結(jié)”起來(lái),，很難打擊網(wǎng)絡(luò)犯罪分子及黑客大盜的囂張氣焰,。據(jù)了解，去年全球網(wǎng)絡(luò)犯罪所造成的損失高達(dá)3萬(wàn)億美金,，預(yù)計(jì)2021年會(huì)達(dá)到6億美金,。

二、打擊網(wǎng)絡(luò)犯罪,，移動(dòng)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈大協(xié)作才能“治本”   

智能手機(jī)不僅是人們的認(rèn)證中心（手機(jī)號(hào)與社交資料構(gòu)成人的身份證及通行證）,；還是個(gè)人的財(cái)富中心（支付寶和微信在很多城市已經(jīng)取代現(xiàn)金支付，還與銀行卡進(jìn)行綁定）,。

這意味著網(wǎng)絡(luò)犯罪分子只要搞定用戶手機(jī),，絕不可能空手而歸，網(wǎng)絡(luò)犯罪離廣大網(wǎng)民并不遙遠(yuǎn),，據(jù)2017年Q2手機(jī)安全報(bào)告,，360獵網(wǎng)平臺(tái)共接到網(wǎng)絡(luò)詐騙舉報(bào)達(dá)6807起，涉案金融高達(dá)1.2億元,，人均損失17582元,，其人均損失基數(shù)有逐年上漲態(tài)勢(shì)。

打響移動(dòng)安全保護(hù)戰(zhàn)首先要升級(jí)的全行業(yè)的憂患意識(shí),，以系統(tǒng)漏洞偵查甄別及修復(fù)為“牛鼻子”順藤摸瓜,。從這個(gè)角度講，安全互聯(lián)網(wǎng)公司向手機(jī)廠商公布或提示漏洞并非要“砸場(chǎng)子”或“搞事情”,，而是幫助手機(jī)廠商提升自身的防御力,。

以蘋果為例，去年iOS系統(tǒng)開始嘗試安全接口的開放,，以攔截騷擾電話,、垃圾短信,、釣魚鏈接等，360推出防騷擾大師等安全軟件,；而谷歌,、微軟也會(huì)對(duì)系統(tǒng)漏洞舉報(bào)者給予獎(jiǎng)勵(lì)，其中全球安全廠商之中,，360提供的漏洞數(shù)量最多,。

國(guó)內(nèi)運(yùn)營(yíng)商、手機(jī)廠商,、開發(fā)者對(duì)系統(tǒng)漏洞也應(yīng)秉持這樣的開放態(tài)度,。要知道，任一手機(jī)廠商,、互聯(lián)網(wǎng)公司只備選某方面的數(shù)據(jù)，無(wú)法做到全面的安全監(jiān)測(cè),，要從源頭上解決移動(dòng)安全問題,，就需要政府單位、安全互聯(lián)網(wǎng)公司,、運(yùn)營(yíng)商,、手機(jī)廠商、開發(fā)者加強(qiáng)合作,。出席ISC2017“移動(dòng)終端安全分論壇”有中國(guó)移動(dòng),、華為、螞蟻金服的科學(xué)家及專家建言獻(xiàn)策,。

（ISC2017首屆移動(dòng)終端安全論壇專家）

1．政府及行業(yè)管理層面：移動(dòng)終端安全由于手機(jī)廠商規(guī)范不統(tǒng)一,，驅(qū)動(dòng)力不夠，需政府主管部門統(tǒng)籌,，比如對(duì)電信設(shè)備入網(wǎng)進(jìn)行安全檢測(cè),、抽查入網(wǎng)設(shè)備、對(duì)系統(tǒng)安全更新備案,；推動(dòng)手機(jī)廠商建立移動(dòng)智能設(shè)備持續(xù)性監(jiān)測(cè)與安全管理標(biāo)準(zhǔn)體系,，以及全行業(yè)安全產(chǎn)業(yè)聯(lián)盟。

2．運(yùn)營(yíng)商與移動(dòng)互聯(lián)網(wǎng),、金融機(jī)構(gòu)合作：中國(guó)移動(dòng)已開放自身的用戶號(hào)碼能力,，提供實(shí)名、短信,、號(hào)碼,、數(shù)字簽名等認(rèn)證，這些成為移動(dòng)金融征信的一部分,；使手機(jī)號(hào)碼與業(yè)務(wù)安全結(jié)合在一起,，讓越來(lái)越多App基于移動(dòng)手機(jī)號(hào)碼注冊(cè)，并進(jìn)行賬戶權(quán)限管理和各站點(diǎn)的互聯(lián)互通。

3．安全互聯(lián)網(wǎng)企業(yè)與手機(jī)廠商,、第三方應(yīng)用分發(fā)平臺(tái)合作：如華為手機(jī)就下架了近3000多個(gè)問題應(yīng)用,；360對(duì)安全隱患的App進(jìn)行跟蹤，對(duì)有漏洞或病毒程序的溯源,，再做風(fēng)險(xiǎn)分析和應(yīng)急預(yù)警等,。

   此外，用戶數(shù)據(jù)安全管理需要保護(hù)用戶隱私不被非法獲取,，手機(jī)安全管理軟件防止偽基站WiFi熱點(diǎn)竊取用戶賬戶密碼,；云服務(wù)公司尤其需重視云數(shù)據(jù)存儲(chǔ)及下發(fā)安全等，都需要安全互聯(lián)網(wǎng)公司與最新云計(jì)算,、大數(shù)據(jù)等公司協(xié)作,。

以往移動(dòng)互聯(lián)網(wǎng)行業(yè)中各個(gè)參與者都在想如何做安全產(chǎn)品，專業(yè)水平暫且不論,，但往往只能“馬后炮”修補(bǔ)迭代,，面對(duì)不斷變異的病毒程序形同虛設(shè)。唯有移動(dòng)安全生態(tài)中的芯片廠商,、終端廠商,、手機(jī)廠商、運(yùn)營(yíng)商及安全互聯(lián)網(wǎng)公司開放協(xié)作,，才能提升移動(dòng)安全的根本,。

三、安全產(chǎn)業(yè)永遠(yuǎn)要道高一尺,，安全互聯(lián)網(wǎng)企業(yè)是協(xié)調(diào)者+賦能者

對(duì)廣大用戶來(lái)說,，移動(dòng)安全也是“武功再高，也怕菜刀”,，無(wú)數(shù)耳釣魚網(wǎng)站及網(wǎng)絡(luò)詐騙讓互聯(lián)網(wǎng)充滿陷阱,，以手機(jī)端勒索軟件為例，據(jù)360烽火實(shí)驗(yàn)室技術(shù)經(jīng)理陳宏偉表示,，在2017年上半年,，總共截獲了勒索病毒41萬(wàn)個(gè)，其中一些勒索病毒甚至能以語(yǔ)音或二維碼解鎖形式,，制作成本低廉,，而且每天新增約2萬(wàn)個(gè)勒索病毒，這些病毒甚至被一些00后群體作為謀財(cái)工具進(jìn)行經(jīng)營(yíng)和散布,。

今年5月WannaCry勒索病毒事件開始顯示其猙獰的一面,。很多國(guó)家、地區(qū)的加油站沒法加油,，交通指揮系統(tǒng)失靈,、醫(yī)生做不了手術(shù),、銀行系統(tǒng)被攻入等，其勒索支付手段是查無(wú)實(shí)證的比特幣,；更令人細(xì)思極恐的是,，該事件使用的竟是美國(guó)泄露的網(wǎng)絡(luò)戰(zhàn)武器之一。不僅移動(dòng)安全是一個(gè)系統(tǒng),，整個(gè)網(wǎng)絡(luò)安全也與金融安全,、公共設(shè)施安全、國(guó)家安全聯(lián)系成為一個(gè)生態(tài)系統(tǒng),，而移動(dòng)安全可能就是大安全系統(tǒng)之中最薄弱,、也最常見的環(huán)節(jié)。

有數(shù)據(jù)統(tǒng)計(jì),，目前黑色產(chǎn)業(yè)鏈的規(guī)模是網(wǎng)絡(luò)安全產(chǎn)業(yè)的10倍以上,。在電影《速度與激情8》中的大反派賽弗搶走“天眼系統(tǒng)”，從而把所有人的手機(jī),、城市里的攝像頭成為她隨時(shí)可調(diào)用的監(jiān)控,，馬路上行駛的汽車瞬間成為“僵尸”和自殺性襲擊武器。這是一個(gè)IOT時(shí)代預(yù)言,，當(dāng)人們不安分地接近自動(dòng)化、智能化的AI世界時(shí),，如果沒有強(qiáng)有力的網(wǎng)絡(luò)安全技術(shù)作為保障,，那將是歷史災(zāi)難！

樂觀主義者認(rèn)為“魔高一尺,、道高一丈”,。移動(dòng)安全痛點(diǎn)越強(qiáng)、人們市場(chǎng)需求越旺盛,，政府對(duì)安全產(chǎn)業(yè)的重視和扶持,，可以說，當(dāng)前也處于安全產(chǎn)業(yè)“雙創(chuàng)”的黃金期,，由360主辦的ISC2017“安全雙創(chuàng)周”及“安全訓(xùn)練營(yíng)”活動(dòng)就給予國(guó)內(nèi)的白帽子創(chuàng)客以資金,、技術(shù)和平臺(tái)支持，安全創(chuàng)業(yè)的風(fēng)口正在猛烈刮起,。據(jù)艾瑞的研究報(bào)告顯示,，在2016年全球安全投入增長(zhǎng)至7356.8億美元，占據(jù)IT總投入的16%,；而在2017年達(dá)到9104.4億美元,，與全球IT產(chǎn)業(yè)同步的中國(guó)更須在安全產(chǎn)業(yè)上厚積薄發(fā)。

在這個(gè)過程之中,，360的格局似乎從以往為用戶服務(wù)的產(chǎn)品型公司逐步升級(jí)為一家輸出安全能力,，為互聯(lián)網(wǎng)公司,、企業(yè)、銀行提供安全技術(shù)保障的社會(huì)型組織,，而在打造移動(dòng)安全全產(chǎn)業(yè)鏈過程之中,，政府與市場(chǎng)之間，各個(gè)手機(jī)廠商之間,、手機(jī)廠商與安全廠家之間,、互聯(lián)網(wǎng)公司與安全互聯(lián)網(wǎng)公司、安全產(chǎn)業(yè)創(chuàng)客與資本市場(chǎng)之間絕少不了360的“穿針引線”,，能否在“安全”上求同存異,，如何逐漸化解互聯(lián)網(wǎng)公司由來(lái)已久的數(shù)據(jù)封鎖、戰(zhàn)略對(duì)峙等“小九九”,，摒棄零和博弈思維,，相當(dāng)考慮智慧，但這是營(yíng)建移動(dòng)安全生態(tài)鏈的希望,。

結(jié)語(yǔ)

互聯(lián)網(wǎng)本身是代碼編寫的的比特世界,，隨之智能手機(jī)在滲透人們生活，連WiFi上網(wǎng)與安全一樣成為最底層的剛需,，而移動(dòng)互聯(lián)網(wǎng)一步步把“人和物聯(lián)網(wǎng)”,，越來(lái)越多智能硬件會(huì)成為移動(dòng)終端，系統(tǒng)漏洞的疏忽,、被利用,，都會(huì)對(duì)物理世界、對(duì)人造成實(shí)質(zhì)性的損傷,。只有在移動(dòng)安全內(nèi)“積跬步”,、全產(chǎn)業(yè)鏈上“手牽手”，才有可能在萬(wàn)物互聯(lián)（IOT）時(shí)代“行千里”,，因?yàn)闊o(wú)論科技多么發(fā)達(dá),，人的“安全感”將構(gòu)成用戶體驗(yàn)及商業(yè)價(jià)值的支點(diǎn)。

作者：李星,，公眾號(hào)：靠譜的阿星,，靠譜匯創(chuàng)始人，科技媒體專欄作家,，個(gè)人微信號(hào)即QQ：1598145405,，歡迎交流