安全問題的本質是信任問題。捍衛移動互聯網的健康發展，打造安全和諧的網絡環境需要全方面地構建維護信任體系。

　　事實上，網絡空間的信任問題在網絡安全領域的探討由來已久。早在2012年底，全國人大審議通過的《關于加強網絡信息保護的決定》和國務院發布的《互聯網信息服務管理辦法》，就為采用安全有效的技術措施識別和驗證互聯網上公民真實身份，解決互聯網身份信任問題提供了基本法律依據。

　　2014年，在中央網絡安全和信息化領導小組第一次會議上，習近平總書記以“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”的清晰戰略，提出了建設網絡強國的戰略目標。在其后一系列國際國內相關會議上，習近平總書記還多次強調“要樹立正確的網絡安全觀”。網絡安全問題已經上升到國家層面，也為解決互聯網產品與服務的信任問題提出了新的要求。

　　我們所要做的，就是結合區塊鏈、人工智能、大數據分析及移動安全等新興技術，對移動互聯網應用場景中的用戶、設備、應用以及行為進行可信度判斷。進而構建一種全方位的移動互聯網應用與服務信任基礎體系。

　　網絡安全事件中不可信問題凸顯

　　想象一下日常生活中的移動互聯網使用場景：一個用戶將自己的手機連上Wi-Fi或4G網，下載安裝一個應用；通過掃描二維碼完成支付、乘車、注冊、社交等服務；所有這些都是大家習以為常的、非常便捷的手機操作，但卻隱藏著諸多安全風險。

　　近年來移動互聯網在移動終端、網絡接入、應用服務、安全與隱私保護等方面已不斷暴露出各種各樣的安全問題，如賬號盜用、資金盜取、虛假交易、仿冒盜版等惡意行為已層出不窮。

　　這些安全問題很大程度都是由移動互聯網應用與服務的不可信引發的。網絡黑產在利益的驅使下對用戶個人信息的盜取和售賣在很大程度上加劇了這種信任危機。

　　根據央視近期曝光的銀行卡信息網上買賣黑市的調查中，在黑市上，只需5分鐘便可買到上千條銀行卡信息，包括卡主的姓名、卡號、身份證、電話號碼、銀行卡密碼等，并且準確率極高，這讓所有人感到不可思議的同時也倍感不安。

　　在網絡上，其實存在著一個規模龐大的盜取銀行卡的黑色產業鏈。這些對外售賣的信息，大多來自于一些非法釣魚網站。不法分子會冒充正規企業炮制惡意網站，而用戶一旦在此類網站上填寫了姓名、身份證號、銀行卡號、密碼等信息，將會直接導致個人信息泄露，被不法分子搜集起來通過販賣或直接設法轉走錢財獲取利益。而這一切，都時時刻刻削弱網民對互聯網企業的信任度，消減他們在網絡上消費時的信心。

　　安全問題的本質是信任問題

　　安全問題的本質是信任問題。在我看來，一切的安全方案設計的基礎都是建立在信任關系上的，我們必須相信一些東西，必須有一些最基本的假設，安全方案才能得以建立。如果我們否定一切，安全方案就會如無源之水、無本之木，無法設計也無法完成。

　　舉例來說，假設我們有份很重要的文件要好好保管起來，能想到的一個方案是把文件“鎖“到抽屜里。這里就包含了幾個基本的假設：首先，制作這把鎖的工匠是可以信任的，他沒有私藏一把鑰匙；其次，制作抽屜的工匠沒有私自給抽屜裝一個后門；最后，鑰匙還必須要保管在一個不會出問題的地方，或者交給值得信任的人保管。反之，如果我們一切都不信任，那么也就不可能認為文件放在抽屜里是安全的。

　　與之類似，要解決移動互聯網應用與服務的安全問題，就要從安全的本質——信任問題出發。一種可行的途徑是，通過將網絡安全技術（如：區塊鏈、人工智能、大數據分析及移動安全等）的有機結合，對移動互聯網應用場景中的用戶、設備、移動應用環境以及用戶行為等進行可信度判斷，從而構建一種全方位的移動互聯網應用與服務信任基礎體系。

　　解讀移動互聯網應用與服務信任基礎體系

　　事實上，移動互聯網應用與服務的風險點主要集中在四個方面，暨身份識別風險、設備識別風險、軟件環境風險和業務行為風險。與此同時，在移動互聯網服務的各個場景，如APP安全、云身份識別與管理、風控反欺詐、金融大數據應用等場景中，都存在上述風險，導致移動互聯網環境中的信任基礎薄弱。

　　打造安全和諧的網絡環境，構建移動互聯網應用與服務信任基礎體系，需要從四個方面入手。首先是對身份的信任。需要確保是用戶本人而非其他人在操作這臺設備，而且用戶掃描的二維碼需對應真實的互聯網服務提供商，而不是含有惡意網絡鏈接的二維碼；第二是對設備的信任。需要確保用于支付設備確實是用戶本人的設備、且是安全合法的設備。在黑客使用的不被信任的設備上將無法偽造用戶的服務請求；第三是對應用的信任。需要確保用戶下載安裝的移動應用是安全并且合法的。這里包含兩點，一是該應用并非仿冒和盜版應用，二是該應用本身不存在已知的安全漏洞；第四是對用戶業務行為的信任。需要確保用戶的網絡操作是基于完成正常業務需求的意愿，而不是出于欺詐、誤導或隱瞞事實的意愿。這四大關鍵環節的信任問題直接決定了移動互聯網應用和服務的安全現狀。

　　此外，構建移動互聯網信任基礎體系，有兩個關鍵點，其一是確認信息的可信度，其二是保障信息節點的安全性。在這方面，區塊鏈等前沿網絡安全技術的應用則顯得至關重要。

　　在移動互聯網應用與服務信任基礎體系中，區塊鏈技術是作為底層技術支撐，其作用是確認信息的可信度。這種去中心化的分布式數據存儲技術，通過節點間的信息檢驗，能夠將那些真實有效的信息永久保存下來，并且不可篡改。因此，我們可以通過區塊鏈的功能實現對所有的身份信息、設備信息、應用信息及用戶行為的記錄和可信性篩選；不僅如此、在此基礎上，通過機器學習、數據挖掘等人工智能技術對用戶、設備、應用及行為進行歷史行為分析，可以做出更精準、可靠的可信度判斷。

　　構建移動互聯網應用與服務信任基礎體系的另一個關鍵點是區塊鏈節點的安全性需要得到保障。對此，先進的移動安全技術可以在用戶的手機上創建一個安全可信的計算環境，黑客難以入侵或操縱用戶的區塊鏈客戶端，從而保障用戶能夠通過手機來可靠地獲取我們這個信任基礎體系提供的服務。

　　一個完整的移動互聯網應用與服務信任基礎體系，還需要具備兩項基本功能，暨生成風險分與信任分。對于B端用戶來說，風險分有助于輔助企業評估自己的用戶是不是有風險行為或風險意向；而對于C端用戶來說，信任分則能夠幫助用戶評估自己在信任基礎體系中所處的位置，了解自己是不是被信任。

　　在構建移動互聯網應用與服務信任基礎體系上的嘗試

　　筆者在區塊鏈身份認證、移動安全與大數據反欺詐領域進行了持續多年的嘗試，在構建移動互聯網應用與服務信任基礎體系方面，也有了一定的技術和行業積累。

　　在服務政府、公安以及SAAS企業時，我和我的團隊注意到：各行各業都涵蓋流程審批、權限分配、賬號登錄等諸多涉及身份認證的環節，更有甚者，在金融和支付業務較多的場景中，無論是傳統金融、互聯網金融、還是電子商務、第三方支付，均涉及大量用戶登錄、支付、交易、充值、提現、借貸放貸、信息修改等環節，無一不對身份認證提出強需求。

　　因此，我們嘗試將時空碼、設備指紋、區塊鏈等多項核心安全技術整合運用于身份認證領域，通過人工智能的方式，在毫秒內綜合判斷時間、空間、設備、生物、行為等多重因子，以期幫助企業客戶解決平臺用戶賬號登錄、管理授權、轉賬匯款、支付交易、資金提現等關鍵環節的二次身份確認問題。

　　我們研究發現，在身份認證需求相對較弱，但使用場景更加廣泛的注冊和登錄環節，批量注冊、賬號撞庫、惡意登錄和灌水行為等安全問題普遍存在。這些問題，在我看來，通過人工智能、機器學習、設備指紋等技術對軟、硬件屬性和行為特征的快速風險分析，可以高效識別人機特征，從而有效規避注冊登錄風險。

　　在保證信息節點安全性這一環節上，我的經驗是：要在盡可能多的移動設備上完成對可信計算環境的創建，要實現移動設備全兼容、運行性能零損耗、安全防破解，高效防逆向、防篡改、防竊取的移動應用加固效果。從這個角度來說，將虛擬機保護技術應用于移動應用加固或許是一個有效的嘗試。

　　此外，在對用戶業務行為風險防范方面，及時動態預警風險和阻斷欺詐操作是關鍵。在我看來，整合運用人工智能與大數據、設備指紋、規則引擎、深度學習等技術，有助于全方位實時監控風險、實現多維度關聯分析和可信度分析，防范業務行為風險。

　　目前來看，雖然構建一個基于技術創新的、全方位的信任基礎體系仍然存在著一些技術挑戰，但這將是我和我的團隊努力的方向，我們將致力于把習近平總書記“讓互聯網更好造福國家和人民”的號召真正落到實處。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：陳愛