信息化觀察網(wǎng)

街邊順手連接免費WiFi，朋友圈里曬幾張照片……大家習(xí)以為常的事情，熟不知其中暗藏著多少風(fēng)險。移動互聯(lián)網(wǎng)時代，我們已經(jīng)成為透明人，信息安全問題已迫在眉睫，如何保障人們個人信息安全，成為政企和人們關(guān)注的焦點。

安全問題的本質(zhì)是信任問題。捍衛(wèi)移動互聯(lián)網(wǎng)的健康發(fā)展，打造安全和諧的網(wǎng)絡(luò)環(huán)境需要全方面地構(gòu)建維護信任體系。

事實上，網(wǎng)絡(luò)空間的信任問題在網(wǎng)絡(luò)安全領(lǐng)域的探討由來已久。早在2012年底，全國人大審議通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》和國務(wù)院發(fā)布的《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，就為采用安全有效的技術(shù)措施識別和驗證互聯(lián)網(wǎng)上公民真實身份，解決互聯(lián)網(wǎng)身份信任問題提供了基本法律依據(jù)。

2014年，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上，習(xí)近平總書記以“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”的清晰戰(zhàn)略，提出了建設(shè)網(wǎng)絡(luò)強國的戰(zhàn)略目標(biāo)。在其后一系列國際國內(nèi)相關(guān)會議上，習(xí)近平總書記還多次強調(diào)“要樹立正確的網(wǎng)絡(luò)安全觀”。網(wǎng)絡(luò)安全問題已經(jīng)上升到國家層面，也為解決互聯(lián)網(wǎng)產(chǎn)品與服務(wù)的信任問題提出了新的要求。

我們所要做的，就是結(jié)合區(qū)塊鏈、人工智能、大數(shù)據(jù)分析及移動安全等新興技術(shù)，對移動互聯(lián)網(wǎng)應(yīng)用場景中的用戶、設(shè)備、應(yīng)用以及行為進行可信度判斷。進而構(gòu)建一種全方位的移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)信任基礎(chǔ)體系。

近年來移動互聯(lián)網(wǎng)在移動終端、網(wǎng)絡(luò)接入、應(yīng)用服務(wù)、安全與隱私保護等方面已不斷暴露出各種各樣的安全問題，如賬號盜用、資金盜取、虛假交易、仿冒盜版等惡意行為已層出不窮。

這些安全問題很大程度都是由移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)的不可信引發(fā)的。網(wǎng)絡(luò)黑產(chǎn)在利益的驅(qū)使下對用戶個人信息的盜取和售賣在很大程度上加劇了這種信任危機。

根據(jù)央視近期曝光的銀行卡信息網(wǎng)上買賣黑市的調(diào)查中，在黑市上，只需5分鐘便可買到上千條銀行卡信息，包括卡主的姓名、卡號、身份證、電話號碼、銀行卡密碼等，并且準(zhǔn)確率極高，這讓所有人感到不可思議的同時也倍感不安。

在網(wǎng)絡(luò)上，其實存在著一個規(guī)模龐大的盜取銀行卡的黑色產(chǎn)業(yè)鏈。這些對外售賣的信息，大多來自于一些非法釣魚網(wǎng)站。不法分子會冒充正規(guī)企業(yè)炮制惡意網(wǎng)站，而用戶一旦在此類網(wǎng)站上填寫了姓名、身份證號、銀行卡號、密碼等信息，將會直接導(dǎo)致個人信息泄露，被不法分子搜集起來通過販賣或直接設(shè)法轉(zhuǎn)走錢財獲取利益。而這一切，都時時刻刻削弱網(wǎng)民對互聯(lián)網(wǎng)企業(yè)的信任度，消減他們在網(wǎng)絡(luò)上消費時的信心。

安全問題的本質(zhì)是信任問題

安全問題的本質(zhì)是信任問題。在我看來，一切的安全方案設(shè)計的基礎(chǔ)都是建立在信任關(guān)系上的，我們必須相信一些東西，必須有一些最基本的假設(shè)，安全方案才能得以建立。如果我們否定一切，安全方案就會如無源之水、無本之木，無法設(shè)計也無法完成。

舉例來說，假設(shè)我們有份很重要的文件要好好保管起來，能想到的一個方案是把文件“鎖“到抽屜里。這里就包含了幾個基本的假設(shè)：首先，制作這把鎖的工匠是可以信任的，他沒有私藏一把鑰匙；其次，制作抽屜的工匠沒有私自給抽屜裝一個后門；最后，鑰匙還必須要保管在一個不會出問題的地方，或者交給值得信任的人保管。反之，如果我們一切都不信任，那么也就不可能認為文件放在抽屜里是安全的。

與之類似，要解決移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)的安全問題，就要從安全的本質(zhì)——信任問題出發(fā)。一種可行的途徑是，通過將網(wǎng)絡(luò)安全技術(shù)（如：區(qū)塊鏈、人工智能、大數(shù)據(jù)分析及移動安全等）的有機結(jié)合，對移動互聯(lián)網(wǎng)應(yīng)用場景中的用戶、設(shè)備、移動應(yīng)用環(huán)境以及用戶行為等進行可信度判斷，從而構(gòu)建一種全方位的移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)信任基礎(chǔ)體系。

解讀移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)信任基礎(chǔ)體系

事實上，移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)的風(fēng)險點主要集中在四個方面，暨身份識別風(fēng)險、設(shè)備識別風(fēng)險、軟件環(huán)境風(fēng)險和業(yè)務(wù)行為風(fēng)險。與此同時，在移動互聯(lián)網(wǎng)服務(wù)的各個場景，如APP安全、云身份識別與管理、風(fēng)控反欺詐、金融大數(shù)據(jù)應(yīng)用等場景中，都存在上述風(fēng)險，導(dǎo)致移動互聯(lián)網(wǎng)環(huán)境中的信任基礎(chǔ)薄弱。

打造安全和諧的網(wǎng)絡(luò)環(huán)境，構(gòu)建移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)信任基礎(chǔ)體系，需要從四個方面入手。首先是對身份的信任。需要確保是用戶本人而非其他人在操作這臺設(shè)備，而且用戶掃描的二維碼需對應(yīng)真實的互聯(lián)網(wǎng)服務(wù)提供商，而不是含有惡意網(wǎng)絡(luò)鏈接的二維碼；第二是對設(shè)備的信任。需要確保用于支付設(shè)備確實是用戶本人的設(shè)備、且是安全合法的設(shè)備。在黑客使用的不被信任的設(shè)備上將無法偽造用戶的服務(wù)請求；第三是對應(yīng)用的信任。需要確保用戶下載安裝的移動應(yīng)用是安全并且合法的。這里包含兩點，一是該應(yīng)用并非仿冒和盜版應(yīng)用，二是該應(yīng)用本身不存在已知的安全漏洞；第四是對用戶業(yè)務(wù)行為的信任。需要確保用戶的網(wǎng)絡(luò)操作是基于完成正常業(yè)務(wù)需求的意愿，而不是出于欺詐、誤導(dǎo)或隱瞞事實的意愿。這四大關(guān)鍵環(huán)節(jié)的信任問題直接決定了移動互聯(lián)網(wǎng)應(yīng)用和服務(wù)的安全現(xiàn)狀。

此外，構(gòu)建移動互聯(lián)網(wǎng)信任基礎(chǔ)體系，有兩個關(guān)鍵點，其一是確認信息的可信度，其二是保障信息節(jié)點的安全性。在這方面，區(qū)塊鏈等前沿網(wǎng)絡(luò)安全技術(shù)的應(yīng)用則顯得至關(guān)重要。

在移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)信任基礎(chǔ)體系中，區(qū)塊鏈技術(shù)是作為底層技術(shù)支撐，其作用是確認信息的可信度。這種去中心化的分布式數(shù)據(jù)存儲技術(shù)，通過節(jié)點間的信息檢驗，能夠?qū)⒛切┱鎸嵱行У男畔⒂谰帽４嫦聛恚⑶也豢纱鄹?。因此，我們可以通過區(qū)塊鏈的功能實現(xiàn)對所有的身份信息、設(shè)備信息、應(yīng)用信息及用戶行為的記錄和可信性篩選；不僅如此、在此基礎(chǔ)上，通過機器學(xué)習(xí)、數(shù)據(jù)挖掘等人工智能技術(shù)對用戶、設(shè)備、應(yīng)用及行為進行歷史行為分析，可以做出更精準(zhǔn)、可靠的可信度判斷。

構(gòu)建移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)信任基礎(chǔ)體系的另一個關(guān)鍵點是區(qū)塊鏈節(jié)點的安全性需要得到保障。對此，先進的移動安全技術(shù)可以在用戶的手機上創(chuàng)建一個安全可信的計算環(huán)境，黑客難以入侵或操縱用戶的區(qū)塊鏈客戶端，從而保障用戶能夠通過手機來可靠地獲取我們這個信任基礎(chǔ)體系提供的服務(wù)。

一個完整的移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)信任基礎(chǔ)體系，還需要具備兩項基本功能，暨生成風(fēng)險分與信任分。對于B端用戶來說，風(fēng)險分有助于輔助企業(yè)評估自己的用戶是不是有風(fēng)險行為或風(fēng)險意向；而對于C端用戶來說，信任分則能夠幫助用戶評估自己在信任基礎(chǔ)體系中所處的位置，了解自己是不是被信任。

在構(gòu)建移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)信任基礎(chǔ)體系上的嘗試

筆者在區(qū)塊鏈身份認證、移動安全與大數(shù)據(jù)反欺詐領(lǐng)域進行了持續(xù)多年的嘗試，在構(gòu)建移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)信任基礎(chǔ)體系方面，也有了一定的技術(shù)和行業(yè)積累。

在服務(wù)政府、公安以及SAAS企業(yè)時，我和我的團隊注意到：各行各業(yè)都涵蓋流程審批、權(quán)限分配、賬號登錄等諸多涉及身份認證的環(huán)節(jié)，更有甚者，在金融和支付業(yè)務(wù)較多的場景中，無論是傳統(tǒng)金融、互聯(lián)網(wǎng)金融、還是電子商務(wù)、第三方支付，均涉及大量用戶登錄、支付、交易、充值、提現(xiàn)、借貸放貸、信息修改等環(huán)節(jié)，無一不對身份認證提出強需求。

因此，我們嘗試將時空碼、設(shè)備指紋、區(qū)塊鏈等多項核心安全技術(shù)整合運用于身份認證領(lǐng)域，通過人工智能的方式，在毫秒內(nèi)綜合判斷時間、空間、設(shè)備、生物、行為等多重因子，以期幫助企業(yè)客戶解決平臺用戶賬號登錄、管理授權(quán)、轉(zhuǎn)賬匯款、支付交易、資金提現(xiàn)等關(guān)鍵環(huán)節(jié)的二次身份確認問題。

我們研究發(fā)現(xiàn)，在身份認證需求相對較弱，但使用場景更加廣泛的注冊和登錄環(huán)節(jié)，批量注冊、賬號撞庫、惡意登錄和灌水行為等安全問題普遍存在。這些問題，在我看來，通過人工智能、機器學(xué)習(xí)、設(shè)備指紋等技術(shù)對軟、硬件屬性和行為特征的快速風(fēng)險分析，可以高效識別人機特征，從而有效規(guī)避注冊登錄風(fēng)險。

在保證信息節(jié)點安全性這一環(huán)節(jié)上，我的經(jīng)驗是：要在盡可能多的移動設(shè)備上完成對可信計算環(huán)境的創(chuàng)建，要實現(xiàn)移動設(shè)備全兼容、運行性能零損耗、安全防破解，高效防逆向、防篡改、防竊取的移動應(yīng)用加固效果。從這個角度來說，將虛擬機保護技術(shù)應(yīng)用于移動應(yīng)用加固或許是一個有效的嘗試。

此外，在對用戶業(yè)務(wù)行為風(fēng)險防范方面，及時動態(tài)預(yù)警風(fēng)險和阻斷欺詐操作是關(guān)鍵。在我看來，整合運用人工智能與大數(shù)據(jù)、設(shè)備指紋、規(guī)則引擎、深度學(xué)習(xí)等技術(shù)，有助于全方位實時監(jiān)控風(fēng)險、實現(xiàn)多維度關(guān)聯(lián)分析和可信度分析，防范業(yè)務(wù)行為風(fēng)險。

目前來看，雖然構(gòu)建一個基于技術(shù)創(chuàng)新的、全方位的信任基礎(chǔ)體系仍然存在著一些技術(shù)挑戰(zhàn)，但這將是我和我的團隊努力的方向，我們將致力于把習(xí)近平總書記“讓互聯(lián)網(wǎng)更好造福國家和人民”的號召真正落到實處。

（原標(biāo)題：如何解決移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)的信任難題？）