移動(dòng)互聯(lián)網(wǎng)安全問題和解決方案

1、蘇州工業(yè)園區(qū)星湖街325號(hào)創(chuàng)意產(chǎn)業(yè)園1-B501單元電話：86-512-67903889 郵編：215021移動(dòng)互聯(lián)網(wǎng)安全問題和解決方案目 錄2賬號(hào)安全問題和通付盾解決方案1移動(dòng)安全問題和通付盾解決方案2交易安全問題和通付盾解決方案賬號(hào)安全：傳統(tǒng) “賬號(hào)-密碼”體系脆弱32011年12月 CSDN拖庫(kù)事件2013年10月 ORACLE3800W2013年11月 某某酒店2000W2013年12月QQ群關(guān)系7000W黑數(shù)據(jù)中心撞庫(kù)提供真實(shí)用戶數(shù)據(jù)賬號(hào)信息一致賬號(hào)系統(tǒng)被攻陷賬號(hào)盜用信息轉(zhuǎn)賣機(jī)密泄露目前黑數(shù)據(jù)市場(chǎng)非常猖獗，網(wǎng)絡(luò)上各種“社工庫(kù)”層出不窮，用戶賬戶信息泄露情況非常嚴(yán)重！背景一：近兩年來(lái)發(fā)

2、生了近2000起拖庫(kù)事件背景二：近一半的用戶習(xí)慣在多個(gè)網(wǎng)站之間使用相同的帳號(hào)名和密碼賬號(hào)安全：通付盾設(shè)備ID4通付盾提供消費(fèi)者帳號(hào)的安全保護(hù)措施帳號(hào)與關(guān)聯(lián)設(shè)備綁定。通付盾關(guān)聯(lián)設(shè)備綁定是傳統(tǒng)綁定（如密保綁定、密碼保護(hù)卡綁定、手機(jī)綁定、電話密保、郵箱綁定、IP地址綁定、身份證綁定、彩信密保、視頻綁定等等）的可靠延伸。通付盾讓硬件軟件化，為網(wǎng)上銀行提供通用U盾和手機(jī)令牌，直接阻止電子支付中的欺詐行為。通付盾為消費(fèi)者提供自保護(hù)數(shù)據(jù)加密密鑰 API，消費(fèi)者只有以相同或相關(guān)聯(lián)的設(shè)備上網(wǎng)才能用密鑰打開數(shù)據(jù)包。撞庫(kù)黑數(shù)據(jù)中心賬號(hào)信息一致判斷設(shè)備匹配白忙一場(chǎng)！賬號(hào)安全黑客組織網(wǎng)籍庫(kù)移動(dòng)安全：Android平臺(tái)成

3、病毒溫床v據(jù)去年的統(tǒng)計(jì)結(jié)果，僅2012年，CNCERT監(jiān)測(cè)和網(wǎng)絡(luò)安全企業(yè)通報(bào)的移動(dòng)互聯(lián)網(wǎng)惡意程序樣本有162981個(gè)，較2011年增長(zhǎng)25倍，其中約有82.5%的樣本針對(duì)Android平臺(tái)，已成為移動(dòng)平臺(tái)第一重災(zāi)區(qū)，這主要是緣于Android平臺(tái)的用戶數(shù)量快速增長(zhǎng)和Android平臺(tái)的開放性。v而按照惡意程序的行為屬性統(tǒng)計(jì)，惡意扣費(fèi)類的惡意程序數(shù)量仍居第一位，占39.8%，流氓行為類(占27.7%)、資費(fèi)消耗類(占11.0%)分列第二、三位。2012年，CNCERT組織通信行業(yè)開展了多次移動(dòng)互聯(lián)網(wǎng)惡意程序?qū)ｍ?xiàng)治理行動(dòng)，所重點(diǎn)打擊的遠(yuǎn)程控制類和信息竊取類惡意程序所占比例分別較2011年的17.5

4、9%和18.88%大幅度下降至8.5%和7.4%。v目前一些APP大面積被山寨，存在泄露隱私的風(fēng)險(xiǎn)，同時(shí)由于APP山寨版和正版外觀相似，要一眼分辨存在困難。其實(shí)，除了一些App被山寨外，還面臨著被破解、二次打包、數(shù)據(jù)篡改、注入等危機(jī)。v目前針對(duì)Android市場(chǎng)山寨APP眾多的情況，應(yīng)運(yùn)而生了例如“梆梆加密”、“愛加密”等針對(duì)Android APP的安全服務(wù)商，為獨(dú)立開發(fā)者和廠商提供APP加固方案，加固效果一度受到業(yè)界重視，看起來(lái)很美。v但這些安全提供商卻有著不能視而不見的弊端：（1）返回給獨(dú)立開發(fā)者和廠商的加固后APP，不提供反向驗(yàn)證手段，獨(dú)立開發(fā)者和廠商不知道加固后的APP是否內(nèi)置后門。（

5、2）由于加固條件未做完備的限制，導(dǎo)致被病毒利用，目前已有多款病毒應(yīng)用（例如最新的“支付寶大盜”）利用梆梆加固進(jìn)行安全加固，躲避殺毒軟件的查殺。（3）單獨(dú)的APP加固不足以實(shí)現(xiàn)真正的移動(dòng)安全，易被攻破：6移動(dòng)安全：“梆梆”、“愛加密”看起來(lái)很美移動(dòng)安全：移動(dòng)應(yīng)用安全 & 移動(dòng)設(shè)備安全v 移動(dòng)應(yīng)用安全：通付盾安全加固站7待加固APP安全加固站混淆、加殼、加密客戶端保護(hù)對(duì)抗黑客逆向工程對(duì)抗注入、篡改、重打包已加固APP合作廠商反向驗(yàn)證方案（1）面對(duì)符合安全標(biāo)準(zhǔn)的企業(yè)級(jí)用戶，提供全面加固方案，不僅對(duì)抗逆向工程， 更增加對(duì)抗惡意注入和篡改的客戶端保護(hù)機(jī)制。 （2） 在為企業(yè)級(jí)用戶提供應(yīng)用加固服務(wù)

6、外還提供反向驗(yàn)證方案，確保原應(yīng)用未 增加后門，無(wú)安全隱患。 優(yōu)勢(shì)：移動(dòng)安全：移動(dòng)應(yīng)用安全 & 移動(dòng)設(shè)備安全v 移動(dòng)設(shè)備安全：通付盾安全檢測(cè)站8（1）在移動(dòng)設(shè)備上構(gòu)建一個(gè)安全運(yùn)行環(huán)境，讓惡意程序無(wú)所遁形。（2）云端檢測(cè)，移動(dòng)設(shè)備無(wú)負(fù)載，安全桌面和正常桌面任意切換。優(yōu)勢(shì)：設(shè)備原安全狀態(tài)切換至PayEgis安全桌面設(shè)備安全狀態(tài)安全檢測(cè)站 安全檢測(cè)提示用戶卸載惡意程序等設(shè)備安全狀態(tài)注：圖中紅圈代表設(shè)備中的不安全因素v傳統(tǒng)的交易安全解決方案中，人們多傾向于加強(qiáng)客戶端的可靠性來(lái)保障其交易服務(wù)系統(tǒng)安全。事實(shí)上，網(wǎng)上黑客作弊者唯利是圖，手段翻新，花樣百出，客戶端安全技術(shù)跟不上作弊手段翻新。同時(shí)客戶端過多的安全監(jiān)控會(huì)給用戶帶來(lái)極大的不便及不信任，從而影響誠(chéng)實(shí)客戶交易經(jīng)驗(yàn)，傷害客戶轉(zhuǎn)化率。v時(shí)空碼：動(dòng)態(tài)數(shù)字碼、條形碼、二維碼，比傳統(tǒng)動(dòng)態(tài)口令更勝一籌9交易安全：時(shí)空碼&通付堡壘動(dòng)態(tài)數(shù)字碼動(dòng)態(tài)條形碼動(dòng)態(tài)二維碼v通付堡壘交易風(fēng)控平臺(tái)功能包括：風(fēng)險(xiǎn)控制計(jì)劃，安全規(guī)則管理，多維屬性信譽(yù)管理，效果分析及試驗(yàn)平臺(tái)，用戶行為建模預(yù)測(cè)，作弊和黑客監(jiān)視跟蹤預(yù)警，智能分析及行動(dòng)建議等。該系統(tǒng)鼓勵(lì)交易，降低欺詐風(fēng)險(xiǎn)，幫助用戶實(shí)現(xiàn)預(yù)定利潤(rùn)比例