倡导云+端+边界的安全生态系统

　　“向互联网安全工作者致敬。”

　　如果说互联网是一个推动人类社会发展进步的巨型引擎，那么互联网安全工作者无疑是保障这个引擎正常运转、不偏离轨道的关键。他们的辛勤与付出，换来了互联网的持续繁荣，换来了互联网对人类社会日益深刻的变革。他们在这个并不完美的世界中，追求着完美和极致。

　　9月23日，由中国互联网协会、中国信息安全测评中心、国家计算机网络应急技术处理协调中心（CNCERT/CC）指导，360公司主办的2013中国互联网安全大会（ISC2013）如期拉开大幕。作为目前国内信息安全领域规模空前的大会，它并没有和大多数大会一样突出一个明确的主题，而在23日上午大会主论坛开始前暖场视频的最后，一句“向互联网安全工作者致敬”掷地有声。

　　当然，互联网安全工作者的事业并无止境。新的技术、设备及应用的普及，新的攻击方式层出不穷，令每个企业和个人都面临着更多的安全威胁。在本次大会上，来自国内以及海外的各个领域安全专家从移动安全、企业安全、Web安全、云安全、软件安全等诸多角度，为构建一个更为安全可靠的互联网环境分享了自己的所知所见。

　　移动重灾区

　　相信智能手机已经成为如今大多数人的“标配”，而正是这样的“标配”让大多数人都暴露在恶意软件和攻击之下。“我们选择了国内外9个主流安卓手机厂商、每个厂商两款共18款手机，进行系统漏洞的研究和测试。在进行隐私漏洞和权限漏洞两大类安全漏洞分析时，我们非常遗憾地发现，这18款手机均有漏洞存在。”360公司首席科学家、美国北卡罗来纳州立大学副教授蒋旭宪，360公司移动研究院高级研究员周亚金为与会者讲解了定制安卓系统的安全隐患。

　　安卓系统的“薄弱”众所周知。一方面由于安卓系统碎片化严重，使其系统更新更为困难；另一方面，厂商定制在某种程度上破坏了原生安卓系统的安全机制，并在引入新功能时将新的安全漏洞引入到系统中。“经我们统计，70%的安全漏洞都是由厂商定制造成的。”周亚金说，“比如伪造任意短信漏洞是安卓原生系统的一个漏洞，谷歌在安卓4.2版本中已经进行了修复。但是很多厂商在对安卓进行定制时，修复了原生漏洞的同时又引入了新的漏洞。”

　　360公司安卓平台高级病毒分析会刘敦俊认为，安卓系统存在四大安全问题，即通信安全、系统安全、数据安全和设备安全。尽管安卓系统可能已经成为移动终端安全的重灾区，但其他系统也并非一片净土。美国佐治亚理工学院高级研究员宋程昱就在大会上讲解了苹果公司基于“围墙花园”模型的安全机制，以及曾经轰动一时的在60秒内就可以黑掉一台iPhone手机的恶意“充电器”Mactans的攻击原理，同时对攻击暴露出来的iOS系统信任文件滥用、USB接口默认权限过高等安全问题进行了探讨并提出了改进的建议。

　　终端变前线

　　360互联网安全中心发布的《2013年上半年手机安全状况报告》显示，今年上半年，360互联网安全中心截获新增手机木马、恶意软件及恶意广告插件45万款，平均每天新增2500余款恶意软件，感染总量超过4.8亿人次，接近2012年一整年的感染量。移动终端的“沦陷”只是互联网安全现状的一个缩影，但终端确实成为了当前恶意攻击与防御的最前线。当然，终端安全不仅与个人的信息安全密切相关，也与企业安全有着不可分割的关系。

　　360公司董事长兼CEO周鸿祎在大会上表达了他对信息安全的理解：“终端安全已经变得越来越重要。特别是一些大型、安全要求比较高的企业，都会有比较严格的企业内部安全防护措施，攻击者如果从外部穿越防火墙等防护设备，是非常困难的。这时，终端就成为了很好的跳板。攻击者可能通过一个带有恶意代码的邮件先入侵员工的终端，然后再逐步进行攻击来提升权限，最终实现其目的，完成一次典型的APT（高级持续性威胁）攻击。”

　　“此外，BYOD、云存储的普及使企业的边界越来越模糊，传统的边界防护方式虽然发挥着巨大的作用，但是已经不能完全满足当前的防护需求，所以必须从终端上加强安全防护。”周鸿祎认为。

　　360公司总裁齐向东透露，360目前拥有4.61亿PC终端用户、3.38亿手机端用户，已成最大的终端安全厂商。今年3月，微软官方博客发布的安全报告显示，中国电脑的恶意软件感染率指标为0.6‰，不仅远低于7.0‰的全球平均线，也成为恶意软件感染率最低的国家。可以说，360公司“免费安全”的理念与终端安全能力起到了很大的作用。周鸿祎表示，360公司已经开始致力于将这种安全能力提供给企业级用户，帮助企业从终端到云端构建安全体系。

　　安全生态系统

　　360公司副总裁、ISC2013大会主席谭晓生告诉记者，针对目前企业的安全趋势，360提出了“云+端+边界”的企业信息安全综合防护思路。“在新的形势下，终端安全的加强是毫无疑问的，而限于终端的计算能力和局限性，很多数据分析需要通过云端来进行。另一方面，当终端被黑之后，边界可以通过分析增加识别攻击的可能。而云端作为信息共享平台，在进行攻击经验的学习之后，可以把经验反馈给边界和终端。”谭晓生认为，“云+端+边界”是一个立体的防御体系，它可以最大限度地保障企业安全。但是，没有一个厂商能包揽云、端和边界三个层面的安全，所以这个体系的构建需要各个厂商共同参与。

　　国家互联网应急中心运行管理部处长王明华认为，建立信息安全的生态系统尤为重要。“我们希望在网络空间中，政府、企业、组织、个人在信息安全保障和防御中形成良性互动，从而形成自我运转、自我循环和自我提升的有机整体。”王明华表示，“我们希望从自身做起，将我们现在已经拥有的能力开放出来和大家共享，从而推动产业发展，使更多用户受益。”

　　事实上，周鸿祎也在大会上呼吁“安全需要协作”。“我们愿意把这几年积累的资源和技术向同行开放，特别是在终端安全方面的一些好的产品和理念。比如我们可以开放花了7年时间建立起来的白名单、开放云查杀引擎的API、开放360的大数据处理和分析能力等。”周鸿祎说，最终，通过各方的共同努力，构建一个安全的生态系统。

　　以互联网思维做安全产品

　　无疑，360公司是一家互联网公司，而它最主要的产品，是与安全相关的技术与服务。周鸿祎在大会上强调，安全产品更应该关注用户体验，对于企业用户而言，安全产品不应该只让CIO满意，而应该让每个员工都满意。言必称用户体验，显然是互联网公司的思维逻辑。

　　无论外界对周鸿祎是褒是贬，但不可否认的是360这条鲶鱼改变了安全市场格局和商业模式。周鸿祎称是用互联网公司的思维和商业模式去做安全产品，而从七年前360提出“免费杀毒”到现在，整个市场的规模增加了10倍。放眼望去，互联网及互联网公司已经在许多领域充当了颠覆者和革新者的角色。当然，革新总是好的，只要它在推动市场发展和行业进步，让最终用户获益。

　　程彦博