“作為信息安全的從業者，我們經常會換位思考，從普通用戶的角度、客戶企業的角度，當然還有攻擊者——犯罪分子的角度來看問題。對于攻擊者而言，一個非常明顯的趨勢就是：‘炫技’已不是主流，‘牟利’才是關鍵?！?/span>

4月24日，在由北京移動金融產業聯盟、移動支付網主辦的“2019第三屆中國移動金融發展大會”上，中國金融認證中心（CFCA）業務部助理總經理、電子認證與移動端身份認證技術專家張翼，以獨特的視角開啟了他對于目前移動端問題的應對解讀。

中國金融認證中心（CFCA）業務部助理總經理張翼發表演講

提及“牟利”，張翼表示，犯罪分子其實也相當于“運營”了一家“企業”，甚至是一條產業，比如“網絡犯罪黑色產業鏈”，所以同樣需要面臨這些問題：減少“成本”、增加“利潤”、降低“風險”。

分析當前攻擊者的“牟利”思路，攻擊手段主要可分為非接觸式與接觸式兩大類。比如，誘導被害人主動操作，或通過已有數據主動攻擊被害者，這都屬于非接觸式攻擊；對被害人和設備進行直接攻擊，甚至是通過多次獲取被害人設備實施攻擊，皆為接觸式攻擊。

張翼指出，攻擊者更傾向于非接觸式攻擊，因為它成本低、效率高，對技術的要求相對較低。接觸式攻擊，雖然也有簡單高效的模式，但總體來說很難大范圍使用，不少很強的技術依舊停留在實驗室和測評中心里，甚至部分攻擊手段的主要場景是“同行競爭”。

因此眼下，真正已進入“刻不容緩”階段，亟待解決的是“黑色產業鏈”造成的系列問題，如個人利益的“間接損失”。當一個人的隱私數據，進入黑產之后，可能會被多次售賣：售賣給攻擊者，就可以以此進行非接觸式攻擊；售賣給某些商戶，就可以以此來推銷，甚至部分數據被洗白，公開售賣。

個人信息的嚴重泄露究竟來源于哪里？CFCA在與南方都市報聯合進行的2019年315抽樣調查中發現，某些移動端APP對于個人信息的收集行為，已經嚴重到了非?？鋸埖牡夭?。大量個人信息包括短信、位置、通訊錄、行為習慣、證件號碼、生物識別信息等等都在被收集的范疇，而部分不法APP所有者甚至可能直接出售這部分資料使其進入黑產，或者因其防護能力較低被拖庫從而使巨量隱私數據進入黑產。

2019年1月底，中央網信辦聯合工信部、公安部、市場監管總局等四部門表態，今年將在全國范圍內發起專項治理活動。嚴重違法違規收集個人信息的App運營者，將被依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。從目前趨勢來看，有關部門對此重視程度迅速增加，很有可能從專項治理推動立法。

如何提升移動端安全？張翼建議，第一種可以使用更強力的手段來應對非接觸式攻擊，特別是設備強的相關技術；第二種，關于信息特別是生物識別信息，存儲在用戶側移動端本地比存儲在服務器上有更高的安全度。如FIDO等相關技術，就可以實現生物識別信息不在網絡上傳輸、也不在后臺存儲，各大銀行和支付類公司均已開始應用。

然而，“單項技術實際上現已無法滿足新技術趨勢下的企業安全需求，全流程防護更為重要?！睆堃韽娬{。CFCA全流程移動端安全框架提供了一種很好的解決思路，覆蓋事前、事中、事后各個環節。

事前，身份的初次識別，如何證明你是誰？如何開通高級別的認證手段？如果開通不規范，高級別防護真的能防護嗎？

事中，身份的應用，如何證明你是還是注冊的時候的那個你？如何證明你做了什么？在什么場景可以應用？流程是否安全？移動端APP本身是否安全？是否合法合規？

事后，信息收集，如何合法收集信息？如何獲取可信認證結果？認證的法律效力如何證明？是否被認可？

作為國內領先的信息安全綜合解決方案提供商，CFCA旗下的產品與服務已覆蓋事前事中事后全流程，目前已在銀行、第三方支付、大型企業集團等得到廣泛應用。面對新技術趨勢下移動端安全面臨的各種挑戰，CFCA將繼續深耕細作，發揮自身優勢，為企業移動端安全構筑牢固的信息安全基石。

責任編輯：韓希宇