光明网记者 李政葳

　　如今，移动互联网发展带来的安全问题越来越突出。从近日国家互联网应急中心发布的《2019年上半年我国互联网网络安全态势》来看，我国移动App违法违规使用个人信息问题突出，大量App存在读写用户设备文件等异常行为。

　　记者近日遇到指掌易创始人王伟，是在第七届互联网安全大会的展会现场。一副黑框眼镜、一身深色着装，看起来颇具文人气质。单看外表很难想象，这是一位扎根移动安全领域10多年的IT“老炮”。“移动App存在强制授权、过度索权、超范围收集个人信息现象；数字化转型中，企业移动业务安全存在隐患……”对于移动安全行业现状，王伟这样分析。

　　（图片来源于网络）

　　从内外网到云管端，移动安全防护“边界”去哪儿了

　　在网络安全发展的进程中，安全老三样（入侵检测、防火墙、反病毒）一直占据主导地位，也就是常说的“边界安全产品”。这些产品设计的基础理念是认为企业边界的外部是危险的，存在着病毒、木马等各种安全威胁，安全产品通过在企业的边界网关处加上各种各样的“锁”，就能将危险挡在外部。

　　然而，万物互联时代，简单的上“锁”变得不够有效；同时，有数据显示，超60%的网络安全事故来自企业内部违规操作，而边界安全产品对内部威胁的预知与防范并无行之有效的解决方案。

　　与上“锁”的说法类似，王伟打了这样一个比喻：好比一间屋子，在传统安全时代里面有墙、有门，在门上做好防控就能保证安全；但到了移动互联网时代，不要说门了，甚至连墙都被“拆”了。“安全业务移动化，从内网外网‘边界’转变为云管端‘无边界’的网络状态。”

　　王伟介绍，“云、管、端”是移动业务安全的三个重要节点。简单来说，“云”是企业为用户提供服务所需的应用系统和数据库；“端”是用户使用的所有智能设备，手机、电脑、智能穿戴设备等；“管”就是连接两者的智能管道，是两者数据交互的通路。

　　谈到“安全与业务的关系”，王伟认为，以前做边界安全，安全与业务的关系不大，但在移动互联网时代人们越来越频繁地在“端”上，业务与安全联系地越来越紧密。“只有了解企业业务是什么，才能更好地做好安全服务；反过来对企业而言，只有了解底层安全如何防护，才能更好地开展业务”。

　　担心“太懂我”，应对App过度索权怎么做

　　显然，随着移动互联网端口的大量增加，IT行业业务从“以硬件为主”不断转向“以软件为主”。在移动互联网时代，App的概念也在逐步被强化，变成了应用的基础承载单元。

　　“移动设备有非常强的个人属性，涉及到很多私人属性的个人隐私，大量的敏感信息必将会带来安全问题。”王伟说。

　　在王伟看来，移动互联网时代，个人隐私泄露须从两个维度来看——便捷性要求用户提供很多数据，但便捷性不能成为App应用侵犯网民隐私的理由。“其实两者并不矛盾，这些信息完全可以采取脱敏措施”。

　　对于移动App过度收集个人信息的问题，王伟认为，一是国家须加强政策指引，在法规层面上不断加强；二是安全从业者要帮助国家制定策略，如同处置交通违规一样，不能只靠交警检查，还需要制定安全规则，“应该是先有规范，后续才是执行”。

　　王伟还提到，类似欧洲的GDPR里也没有涉及太多细节规定，很大程度上也多是在意识层面，这些都需要不断细化。“网络安全从业者应协助国家出台规范，帮助提供技术检测等”。

　　 既要防止App滥用权限，又要做好敏感信息防护

　　如今，大批互联网业务走向移动化，将带来大量的全新办公场景，也会出现一系列管理问题和安全问题。比如，某家企业的员工在个人手机上使用App时，基本上不需要通过企业网络，但大量数据都存在于员工的个人手机上，风险不言而喻。

　　因此，移动互联网时代既要防止App滥用权限，又要做好敏感信息保护。以部分制造业工厂为例，内部员工的手机需要控制摄像头，设计师可能需要控制文件传输，每个人的工作场景不同，安全需求也不一样，而且要保证所有的安全模块都可以在不同型号的手机上单独运行。

　　“在以往的移动业务安全中，有些企业和组织会采用比较生硬的方法，比如，抠掉手机摄像头或禁带手机工作等。这样虽然能够降低风险，但等同于直接拒绝了移动办公。”王伟说。

　　事实证明，这类做法长此以往都很难实现。王伟说，我们可以尝试通过在手机上安装软件等形式，让员工在进入工厂后对摄像头进行有效管理。比如，某些区域可授权拍照，但照片不能在手机里存储，需要发送到企业后台留存；有些员工需要下班后通过平台开展业务，此时流量则可以走安全通道，数据也可以被远程保护起来。

　　【相关阅读】

　　“.中国”域名保有量达172万 现象级应用带动中文域名潜力

　　我国IPv6申请量居全球首位 活跃用户数、流量大幅增长

　　活跃用户数已达1.3亿！我国IPv6规模部署呈加速发展态势