随着移动互联网的快速发展，移动设备成為(wèi)了日常必备品之一，无论是生活使用(yòng)还是办(bàn)公(gōng)应用(yòng)均会涉及到移动设备。通过移动设备操作(zuò)形成的数据流都将在互联网中(zhōng)进行传输，因此，移动时代最大的安(ān)全入口主要还在于移动设备的安(ān)全。

用(yòng)户与企业数据大规模被窃的背后，是互联网产(chǎn)业之繁盛与数据保护能(néng)力之羸弱的悬殊对比。数据保护严重不力，显然已经成為(wèi)全球互联网产(chǎn)业的“”。当越来越多(duō)的中(zhōng)國(guó)互联网公(gōng)司走向世界，需要依靠的不应仅仅是世界级的用(yòng)户市场，更应是世界级的互联网伦理(lǐ)与规则。

根据Verizon《2018数据泄漏报告调查》统计，去年关于信息安(ān)全的大小(xiǎo)事件共发生了大约53000起，其中(zhōng)确定為(wèi)数据泄漏的事件有(yǒu)2216起，平均每一天就有(yǒu)6起数据泄漏事件发生。而且，在Verizon过去10年的报告中(zhōng)，数据泄漏事件也是频繁发生，发展至今天已经成為(wèi)了常态。

90%的移动设备深受漏洞危害

劫持窃取成数据泄露高频场景

更為(wèi)要紧的是，黑客攻击技(jì )术与移动安(ān)全技(jì )术在同步提升。近日，Reddit宣布，6 月份的一个信息安(ān)全漏洞导致攻击者入侵了该公(gōng)司内部系统的某些部分(fēn)。

值得注意的是，这次攻击绕开了Reddit通过短信实现的双因子认证(Two-Factor Authentication)系统，这也给仍在使用(yòng)短信来部署双因子认证的互联网服務(wù)敲响了警钟。

其实，全球普遍采用(yòng)的双因子认证系统非常脆弱，黑客先使用(yòng)伪基站获取用(yòng)户手机号，再通过网上泄露的数据库，根据手机号码反查用(yòng)户的姓名(míng)、身份证号、银行账号等信息。然后在某些网站启动注册或交易，并利用(yòng)和用(yòng)户位置相近的特点窃取用(yòng)户短信验证码。

通过短信验证码登录账号后，黑客可(kě)以获取用(yòng)户的快递地址、消费记录、通讯录等隐私信息，还可(kě)以通过“撞库”、“拖库”等方式，就像拼图一样集齐用(yòng)户的姓名(míng)、身份证、银行卡号等信息。

根据检测发现，94.1%的安(ān)卓设备受到中(zhōng)危级别漏洞的危害，95.4%的安(ān)卓设备存在高危漏洞，90.6%的安(ān)卓设备受到严重级别的漏洞影响。由此可(kě)见，我國(guó)移动端的安(ān)全威胁仍然不容小(xiǎo)觑。

目前，八成的网络欺诈场景都来自移动端。移动网络隐私的泄露主要有(yǒu)手机软件获取、免费Wifi窃取、旧手机设备泄露，以及黑客盗取企业大数据等渠道。这其中(zhōng)，手机软件是绝大多(duō)数人几乎每天都会高频使用(yòng)的产(chǎn)品，在使用(yòng)过程中(zhōng)，用(yòng)户往往需要给软件开放各项权限。

但是，由于手机应用(yòng)软件的开发者众多(duō)，以及监管平台在很(hěn)多(duō)方面都难以覆盖周全，这使得手机软件良莠不齐，越界获取隐私权限的问题时有(yǒu)发生。

攻击者只需向安(ān)卓设备发送一条简单的文(wén)本信息，就能(néng)够在用(yòng)户的设备上获得Root等其他(tā)访问权限。一些最危险的漏洞还可(kě)以让用(yòng)户暴露在整个系统的接管过程中(zhōng)，包括用(yòng)户的截屏，视频记录、打電(diàn)话、阅读记录和获取短信等，甚至未经用(yòng)户同意的情况下强制安(ān)装(zhuāng)第三方的任意应用(yòng)程序或删除用(yòng)户保存在设备上的数据。

移动安(ān)全成企业IT关注焦点

定制化安(ān)全方案隔离潜在风险

不仅个人数据成為(wèi)公(gōng)众关注焦点，移动应用(yòng)数据防泄漏也成為(wèi)企业关注的重点。比如金融、医(yī)疗等一些行业对信息与数据的安(ān)全性要求极高，即使是很(hěn)小(xiǎo)的疏忽或者漏洞，都会引发蝴蝶效应。

当前，移动办(bàn)公(gōng)主要面临五大安(ān)全风险：

1、内部员工(gōng)是泄密企业敏感数据信息的最大“黑客”

数据报告显示，企业信息数据安(ān)全事故中(zhōng)有(yǒu)50%是因為(wèi)内部员工(gōng)而起，约有(yǒu)20%的安(ān)全事故被认為(wèi)是内幕者恶意行為(wèi)，比如说员工(gōng)可(kě)能(néng)从泄露的数据信息中(zhōng)获利。员工(gōng)的主要泄密途径除了拍照泄漏、存储在手机中(zhōng)外泄外，还有(yǒu)离职员工(gōng)拷贝企业重要信息。

2、移动设备成為(wèi)病毒渗攻击企业数据的跳板

在移动互联网越来越深入人心的今天，攻击者已经开始将视線(xiàn)由PC转向了移动设备。同时，由于Root权限滥用(yòng)和新(xīn)的黑客攻击技(jì )术，移动设备成為(wèi)滋生安(ān)全风险的新(xīn)温床，容易成為(wèi)黑客入侵渗透企业内网的跳板。

3、公(gōng)私数据混用(yòng)，个人隐私难以得到保障

同一台移动设备上既有(yǒu)个人应用(yòng)，又(yòu)有(yǒu)企业应用(yòng)和数据。在没有(yǒu)明确區(qū)分(fēn)移动终端上的个人和企业数据和应用(yòng)时，个人应用(yòng)可(kě)以随意访问、获取企业数据，同时，企业也会触及到个人应用(yòng)。禁止企业数据被个人应用(yòng)非法上传、共享和外泄，同时禁止企业应用(yòng)访问个人隐私数据，是企业难以避免的问题。

4、缺乏端对端网络的可(kě)视性

实时、全面的端到端可(kě)见性，对数据、数字基础设施、网络以及流程的管理(lǐ)都是至关重要的。网络工(gōng)程和应用(yòng)团队必须实施简化的自动化流程，以实现自动化的网络映射，获得关键应用(yòng)程序和网络基础设施的全面和完整的可(kě)视性。

5、解决大数据隐私惯例的需求

目前，还不存在任何一个坚实的框架，能(néng)够实现大数据隐私的最佳实践。相反地，企业必须采取积极主动的战略措施，来进一步改进和强化不合适的数据安(ān)全和隐私行為(wèi)。对于企业而言，只是实施标准的一般安(ān)全措施已经遠(yuǎn)遠(yuǎn)不够了，还需要存在合约关系的云服務(wù)提供商(shāng)、网络工(gōng)程和应用(yòng)程序团队的共同努力和担当。

如今，已有(yǒu)不少像爱加密、通付盾等移动安(ān)全公(gōng)司针对企业安(ān)全特性，提供定制化移动安(ān)全解决方案。比如爱加密，具(jù)有(yǒu)强大的机器學(xué)习智能(néng)防护能(néng)力，主动从输入数据中(zhōng)找到潜在的风险类别规则并建立关系模型。以内容检测举例，移动安(ān)全大数据平台通过计算机视觉技(jì )术与半人工(gōng)审核的运用(yòng)，实现了对于移动应用(yòng)内容的有(yǒu)效监管。

爱加密会收集企业App在移动互联网上面临的可(kě)能(néng)潜在风险，包括有(yǒu)没有(yǒu)被逆向、有(yǒu)没有(yǒu)被破解、有(yǒu)没有(yǒu)被盗版等。然后把这些风险的数据，收回到企业内部，在企业内部借助我们整个的移动安(ān)全大数据平台，进行分(fēn)析和监控，提出自动化的主动关联防护。

随着新(xīn)的数字破坏者不断涌现，找到适合的移动安(ān)全服務(wù)商(shāng)，可(kě)以帮助移动企业有(yǒu)针对性、有(yǒu)准备地应对不可(kě)预测的未来。通过不断进化企业安(ān)全防护體(tǐ)系，企业可(kě)以更从容地面对不可(kě)预知的变化趋势与潜在风险，并最终实现业務(wù)增長(cháng)的目标。