从移动安全看企业信息安全发展

近些年，移动应用已是人们生活中重要的一部分。无论是淘宝，还是微信，无论是支付宝还是网银，手机已能完成生活中的大部分工作，我们甚至可以猜想，在未来的某个时刻，我们可以拥有能够通过手机控制的智能家居，汽车，甚至自己的大脑。

从生活过渡到企业，企业为了方便员工远程办公，远程信息从生活过渡到企业，开始大规模部署移动应用程序，他们可能只是一个简单的部署，或者一个复杂的MDM工程，但由此我们可以看到移动信息化已是工作中不可缺少的重要环节。

从观望正在向选型和部署阶段迈进之时，也有不少企业和用户将2 0 1 3年视为移动信息化大爆发之年。来自快消、保险、医疗、金融行业的CIO们都阐述了自己的观点以及自己在实践过程中遇到的诸多问题。我们欣喜得看到，这些CIO们在谈论观点和经验的时候不再像去年那样生硬，他们的实践经验更有力量。

其实落地移动信息化绝非喊口号，真金白银的投入不是开玩笑。有些企业走过了移动化摸索的痛苦阶段，甚至是面临推倒重来的困境; 有些企业别快速的抓住了移动化的切入点，让企业业务开展更加顺利，带来了业绩翻番的增长;也有些特定的行业由于核心业务的限制，无法快速走向移动化，但是正在通过外围的移动化来尝试转型，比如保险行业通过移动展业应用，业务员可以走到用户身边，极大的促进了成单率。这就是移动信息化的追随者们前行的动力，任何唱衰者都将哑口无言。

但移动客户端的漏洞在当前并未受到重视。从用户的角度来说，移动软件安全中的反病毒、软件漏洞和软件版权这三个方面并不能很好的区别开；甚至安全企业、安全组织和机构、安全研究人员在移动领域也经常滥用“移动安全”这个词，将其狭义地定义为移动应用中是否存在恶意行为；最关键的是，软件开发者并不太关心自身软件是否存在安全漏洞， 在此方面是所谓的attack surface相比于传统web系统或服务器而言太窄，另一方面则有商业竞争和快速迭代特性开发的因素。然而，如果考虑到当前的诸多针对性攻击，移动软件漏洞将成为下一波攻击的重要目标。移动软件漏洞与针对性攻击的结合已经是一种必然的趋势，这种结合也已经发生。

从企业应用来看， 大多数企业部署移动应用不外乎两种途径；1，在原有应用上部署。2，专门部署新的应用系统。但是从企业角度来看功能性大于安全性，因此安全性急需提升，从我们测试经验来看，即使是网银这样对安全性要求很高的程序，也存在恶意转账，个人隐私泄漏，程序自身漏洞等等问题。

未来的移动app可能直接涉及到个人资金交易或者个人生活隐私方面的功能，因此app安全性不容忽视。