移動互聯網安全,如何防范移動互聯網中的各種安全威脅

移動互聯網逐漸滲透到人們的工作和日常生活中，豐富了人們溝通、娛樂體驗的同時，垃圾短信、手機病毒、無端死機等一系列問題也在凸顯。做好防范移動互聯網中存在的安全威脅，是一個社會問題，是個綜合問題，需要各方協調起來做，從而促進移動互聯網的健康發展。 對于普通用戶來說，應該提高網絡安全意識和防范技能，增加網絡安全防護知識，改掉不良的上網習慣和不當的手機操作行為，及時安裝殺毒軟件、查補漏洞。不訪問問題站點 、不下載或安裝不明內容或應用的軟件。學會辨別問題網站、惡意軟件以及各種網絡欺詐行為。 運營商、網絡安全供應商、手機制造商等廠商，要從移動互聯網整體建設的各個層面出發，分析存在的各種安全風險，聯合建立一個科學的、全局的、可擴展的網絡安全體系和框架。綜合利用各種安全防護措施，保護各類軟硬件系統安全、數據安全和內容安全，并對安全產品進行統一的管理，包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。建立安全應急系統，做到防患于未然。移動互聯網的相關設備廠商要加強澀北安全性能研究，利用集成防火墻或其他技術保障設備安全。 網絡信息提供商應進一步完善信息內容的預審管理機制，加強信息內容傳播的監控手段，從信息源上阻斷不安全因素的傳播。要根據用戶的需求變化，提供整合的安全技術產品，要提高軟件技術研發水平，整個產品類型要由單一功能的產品防護向集中管理過渡，不斷提高安全防御技術。只有如此，才能更好地保衛移動互聯網的安全，進而推動其健康有序的發展。 政府的相關監管部門要協調好相互間的利益，建立并完善移動互聯網相關監管機制，加快相關的法律、法規建設，加大執法力度，嚴懲移動互聯網網絡犯罪行為。同時，政府監管部門有義務開展對移動互聯網相關安全知識的宣傳教育活動，提高全社會的網絡安全防范意識。

（1）主動攻擊：包含攻擊者訪問所需要信息的故意行為。（2）被動攻擊。主要是收集信息而不是進行訪問，數據的合法用戶對這種活動一點也不會覺察到。被動攻擊包括：1、竊聽。包括鍵擊記錄、網絡監聽、非法訪問數據、獲取密碼文件。2、欺騙。包括獲取口令、惡意代碼、網絡欺騙。3、拒絕服務。包括導致異常型、資源耗盡型、欺騙型。4、數據驅動攻擊：包括緩沖區溢出、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊。 應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面�！�—應用系統的安全是動態的、不斷變化的。應用系統是不斷發展且應用類型是不斷增加的。在應用系統的安全性上，主要考慮盡可能建立安全的系統平臺，而且通過專業的安全工具不斷發現漏洞，修補漏洞，提高系統的安全性�！�—應用的安全性涉及到信息、數據的安全性。信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統的可用性等。在某些網絡系統中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴重的。因此，對用戶使用計算機必須進行身份認證，對于重要信息的通訊必須授權，傳輸必須加密。采用多層次的訪問控制與權限控制手段，實現對數據的安全保護；采用加密技術，保證網上傳輸的信息（包括管理員口令與帳戶、上傳信息等）的機密性與完整性。 管理是網絡中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。建立全新網絡安全機制，必須深刻理解網絡并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隱患成為事實，所造成的對整個網絡的損失都是難以估計的。因此，網絡的安全建設是校園網建設過程中重要的一環。

回答： 中國移動的無線網絡信號是安全的，但網絡上的網頁就得看具體情況了。 具體預防措施： 確保你的3G/4G設備(不管是USB調制解調器、MiFi設備、卡或者智能手機)都有可用的更新來解決固件或軟件的漏洞問題。 已安裝并正確配置主機設備的防火墻。 安裝并開啟防病毒和反惡意軟件。 訪問設計財務數據或敏感個人信息的網站時使用強大的密碼或多因素身份驗證。 啟用日志和警報。 對于連接的無線部分，使WPA2加密。 在移動熱點設備，例如，MiFi或Sprint的Overdrive禁用SSID廣播和禁用DHCP服務器。 當使用移動熱點設備或移動熱點功能(這允許多臺計算機使用3G或4G連接)時，監控熱點軟件以確保只有已知的設備被連接。 如果設備允許你設置用戶的最大量，而且如果你是唯一連接設備的人，將其設置為1。 更改您的3G/4G設備的默認管理密碼。 如果您的3G/4G設備支持MAC過濾，啟用該功能，并創建設備物理地址白名單，阻止其他設備。 如果手機連其他WiFi信號也比較弱，可能手機存在軟件或者硬件故障，可以先將手機重置為出廠狀態排除下，或者由手機售后服務中心專業人員對手機軟、硬件進行全面檢測。 如果手機只是連某個WiFi信號比較弱，建議用如下方法排查： WiFi路由器運行出現軟件錯誤，建議將WiFi路由器斷電重啟試試； 登錄WiFi路由器web后臺，檢查WiFi路由器配置是否人為調低了WiFi信號的發射功率； 減少手機與WiFi路由器之間的距離和物理障礙物，確保良好的WiFi信號覆蓋質量； 檢查WiFi路由器、手機周圍是否有較強的無線電干擾源; 拿正常的手機測試下WiFi看WiFi信號是否正常，如果信號也比較弱，可能WiFi設備存在軟件或者硬件故障，可以先將手機重置為出廠狀態排除下，如果依舊未能解決故障，建議更換WiFi路由器。

以下是我的建議
不要用手機在非安全綠色網站下載軟件。視頻，文件等。
建議借助第三方平臺幫助，不知道你注意到沒，最近新聞都在說企鵝發布的2014年手機安全用戶研究專題報告，都在討論這個移動app安全。你可以嘗試著用用，它對手機有著“安全防護功能”，在支付前也可以掃描手機看看是否有支付風險，并且還要堅持用手機管理軟件對手機進行徹底的殺毒和清理
不要用手機隨便掃描不明的未知二維碼
多加注意就好啦~

保證移動應用安全要點： 設置環境及生物傳感器 在設備中(如視頻/靜態圖像捕捉，地理定位，語音，移動，指紋或虹膜掃描，定向，室溫，濕度等。)的配備應遵守相關部門數據采集規定，其使用應受移動設備選擇性管理 設備訪問管理 設置有效驗證來保護對設備的物理訪問安全，如密碼策略，模式識別，生物識別掃描，聲音或面部識別等。 內容管理/數據丟失防護 軟件在設備數據儲存中運用加密，剪切粘貼限制以及通過網頁過濾進行網頁訪問管理等來限制惡意或疏忽導致的被保護內容泄露。 用戶身份鑒別 確認用戶身份與企業目錄服務描述一致，才會準許訪問被保護數據或軟件。 基本移動應用安全生態系統： 注意：現在市面上所有電子產品都將注意力集中在安卓平臺，相反iOS系統到目前為止相對安全。

我的《信息保衛戰》讀書筆記：終端安全
終端安全是企業信息技術安全體系建設的服務對象和密集風險發生部分。 我們面臨著多方面的挑戰，需要釆用不同類型，不同層次，不同級別的安全措 施，實現終端安全。
一、挑戰和威脅
1. 員工安全意識薄弱，企業安全策略難以實施，網絡病毒泛濫
病毒、蠕蟲和間諜軟件等網絡安全威脅損害客戶利益并造成大量金錢和生 產率的損失。與此同時，移動設備的普及進一步加劇了威脅。移動用戶能夠從 家里或公共熱點連接互聯網或辦公室網絡，常在無意中輕易地感染病毒并將其 帶進企業環境，進而感染網絡。
據2010 CSI/FBI安全報告稱，雖然安全技術多年來一直在發展，且安全技 術的實施更是耗資數百萬美元，但病毒、蠕蟲和其他形式的惡意軟件仍然是各 機構現在面臨的主要問題。機構每年遭遇的大量安全事故造成系統中斷、收入 損失、數據損壞或毀壞以及生產率降低等問題，給機構帶來了巨大的經濟影響。
為了解決這些問題，很多企業都制定了企業的終端安全策略，規定終端必 須安裝殺毒軟件，以及及時更新病毒庫；終端必須及時安裝系統安全補�。唤K 端必須設置強口令等。但是由于員工安全意識薄弱，企業的安全策略難以實施， 形同虛設，網絡安全問題依然嚴重。
2. 非授權用戶接入網絡，重要信息泄露
非授權接入包括以下兩個部分：
(1) 來自外部的非法用戶，利用企業管理的漏洞，使用PC接入交換機， 獲得網絡訪問的權限；然后冒用合法用戶的口令以合法身份登錄網站后，查看 機密信息，修改信息內容及破壞應用系統的運行。
(2) 來自內部的合法用戶，隨意訪問網絡中的關鍵資源，獲取關鍵信息用 于非法的目的。
目前，企業使用的局域網是以以太網為基礎的網絡架構，只要插入網絡， 就能夠自由地訪問整個網絡。因非法接入和非授權訪問導致企業業務系統的破 壞以及關鍵信息資產的泄露，已經成為了企業需要解決的重要風險。
3. 網絡資源的不合理使用，工作效率下降，存在違反法律法規的風險
根據IDC最新數據報導，企事業員工平均每天有超過50%的上班時間用來 在線聊天，瀏覽娛樂、色情、賭博網站，或處理個人事務；員工從互聯網下載 各種信息，而在那些用于下載信息的時間中，62%用于軟件下載，11%用于下 載音樂，只有25%用于下載與寫報告和文件相關的資料。
在國內，法律規定了很多網站是非法的，如有色情內容的、與反政府相關 的、與迷信和犯罪相關的等。使用寬帶接入互聯網后，企事業內部網絡某種程 度上成了一種“公共”上網場所，很多與法律相違背的行為都有可能發生在內 部網絡中。這些事情難以追查，給企業帶來了法律法規方面的風險。
二、防護措施
目前，終端數據管理存在的問題主要表現在：數據管理工作難以形成制度 化，數據丟失現象時常發生；數據分散在不同的機器、不同的應用上，管理分 散，安全得不到保障；難以實現數據庫數據的高效在線備份；存儲媒體管理困 難，歷史數據保留困難。
為此，我們從以下幾個方面采取措施實現終端安全。
1. 數據備份
隨著計算機數據系統建設的深入，數據變得越來越舉足輕重，如何有效地 管理數據系統日益成為保障系統正常運行的關鍵環節。然而，數據系統上的數 據格式不一，物理位置分布廣泛，應用分散，數據量大，造成了數據難以有效 的管理，這給日后的工作帶來諸多隱患。因此，建立一套制度化的數據備份系 統有著非常重要的意義。
數據備份是指通過在數據系統中選定一臺機器作為數據備份的管理服務 器，在其他機器上安裝客戶端軟件，從而將整個數據系統的數據自動備份到與 備份服務器相連的儲存設備上，并在備份服務器上為各個備份客戶端建立相應 的備份數據的索引表，利用索引表自動驅動存儲介質來實現數據的自動恢復。 若有意外事件發生，若系統崩潰、非法操作等，可利用數據備份系統進行恢復。 從可靠性角度考慮，備份數量最好大于等于2。
1) 數據備份的主要內容
(1) 跨平臺數據備份管理：要支持各種操作系統和數據庫系統；
(2) 備份的安全性與可靠性：雙重備份保護系統，確保備份數據萬無一失；
(3) 自動化排程/智能化報警：通過Mail/Broadcasting/Log產生報警；
(4) 數據災難防治與恢復：提供指定目錄/單個文件數據恢復。
2) 數據備份方案
每個計算環境的規模、體系結構、客戶機平臺和它支持的應用軟件都各不 相同，其存儲管理需求也會有所區別，所以要選擇最適合自身環境的解決方案。 目前雖然沒有統一的標準，但至少要具有以下功能：集成的客戶機代理支持、 廣泛的存儲設備支持、高級介質管理、高級日程安排、數據完整性保證機制、 數據庫保護。比如，華為公司的VIS數據容災解決方案、HDP數據連續性保護 方案，HDS的TrueCopy方案，IBM的SVC方案等。
2. 全面可靠的防病毒體系
計算機病毒的防治要從防毒、查毒、解毒三方面來進行，系統對于計算機病 毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。
由于企業數據系統環境非常復雜，它擁有不同的系統和應用。因此，對于 整個企業數據系統病毒的防治，要兼顧到各個環節，否則有某些環節存在問題， 則很可能造成整體防治的失敗。因而，對于反病毒軟件來說，需要在技術上做 得面面俱到，才能實現全面防毒。
由于數據系統病毒與單機病毒在本質上是相同的，都是人為編制的計算機 程序，因此反病毒的原理是一樣的，但是由于數據系統具有的特殊復雜性，使 得對數據系統反病毒的要求不僅是防毒、查毒、殺毒，而且還要求做到與系統 的無縫鏈接。因為，這項技術是影響軟件運行效率、全面查殺病毒的關鍵所在。 但是要做到無縫鏈接，必須充分掌握系統的底層協議和接口規范。
隨著當代病毒技術的發展，病毒已經能夠緊密地嵌入操作系統的深層，甚 至是內核之中。這種深層次的嵌入，為徹底殺除病毒造成了極大的困難，如果 不能確保在病毒被殺除的同時不破壞操作系統本身，那么，使用這種反病毒軟 件也許會出現事與愿違的嚴重后果。無縫鏈接技術可以保證反病毒模塊從底層 內核與各種操作系統、數據系統、硬件、應用環境密切協調，確保在病毒入侵 時，反病毒操作不會傷及操作系統內核，同時又能確保對來犯病毒的防殺。
VxD是微軟專門為Windows制定的設備驅動程序接口規范。簡而言之， VxD程序有點類似于DOS中的設備驅動程序，它是專門用于管理系統所加載 的各種設備。VxD不僅適用于硬件設備，而且由于它具有比其他類型應用程序 更高的優先級，更靠近系統底層資源，因此，在Windows操作系統下，反病毒 技術就需要利用VxD機制才有可能全面、徹底地控制系統資源，并在病毒入侵 時及時報警。而且，VxD技術與TSR技術有很大的不同，占用極少的內存，對 系統性能影響極小。
由于病毒具備隱蔽性，因此它會在不知不覺中潛入你的機器。如果不能抵 御這種隱蔽性，那么反病毒軟件就談不上防毒功能了。實時反病毒軟件作為一 個任務，對進出計算機系統的數據進行監控，能夠保證系統不受病毒侵害。同 時，用戶的其他應用程序可作為其他任務在系統中并行運行，與實時反病毒任 務毫不沖突。因此，在Windows環境下，如果不能實現實時反病毒，那么也將 會為病毒入侵埋下隱患。針對這一特性，需要采取實時反病毒技術，保證在計 算機系統的整個工作過程中，能夠隨時防止病毒從外界入侵系統，從而全面提 高計算機系統的整體防護水平。
當前，大多數光盤上存放的文件和數據系統上傳輸的文件都是以壓縮形式 存放的，而且情況很復雜�，F行通用的壓縮格式較多，有的壓縮工具還將壓縮 文件打包成一個擴展名為“.exe”的“自解壓”可執行文件，這種自解壓文件 可脫離壓縮工具直接運行。對于這些壓縮文件存在的復雜情況，如果反病毒軟 件不能準確判斷，或判斷片面，那就不可避免地會留有查殺病毒的“死角”，為 病毒防治造成隱患�？赏ㄟ^全面掌握通用壓縮算法和軟件生產廠商自定義的壓 縮算法，深入分析壓縮文件的數據內容，而非采用簡單地檢查擴展文件名的方 法，實現對所有壓縮文件的查毒殺毒功能。
對于數據系統病毒的防治來說，反病毒軟件要能夠做到全方位的防護，才 能對病毒做到密而不漏的查殺。對于數據系統病毒，除了對軟盤、光盤等病毒 感染最普遍的媒介具備保護功能外，對于更為隱性的企業數據系統傳播途徑， 更應該把好關口。
當前，公司之間以及人與人之間電子通信方式的應用更為廣泛。但是，隨 著這種數據交換的增多，越來越多的病毒隱藏在郵件附件和數據庫文件中進行
傳播擴散。因此，反病毒軟件應該對這一病毒傳播通道具備有效控制的功能。
伴隨數據系統的發展，在下載文件時，被感染病毒的機率正在呈指數級增 長。對這一傳播更為廣泛的病毒源，需要在下載文件中的病毒感染機器之前，
自動將之檢測出來并給予清除，對壓縮文件同樣有效。
簡言之，要綜合采用數字免疫系統、監控病毒源技術、主動內核技術、“分 布式處理”技術、安全網管技術等措施，提高系統的抗病毒能力。
3. 安全措施之防火墻及數據加密
所謂防火墻就是一個把互聯網與內部網隔開的屏障。防火墻有兩類，即標 準防火墻和雙家M關。隨著防火墻技術的進步，在雙家N關的基礎上又演化出 兩種防火墻配置，一種是隱蔽主機網關，另一種是隱蔽智能網關（隱蔽子網）。 隱蔽主機網關是當前一種常見的防火墻配置。顧名思義，這種配置一方面將路 由器進行隱蔽，另一方面在互聯N和內部N之間安裝堡壘主機。堡壘主機裝在 內部網上，通過路由器的配置，使該堡壘主機成為內部網與互聯網進行通信的唯 一系統。U前技術最為復雜而且安全級別最高的防火墻是隱蔽智能網關，它將 H關隱藏在公共系統之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服 務進行幾乎透明的訪問，同時阻止了外部未授權訪問者對專用數據系統的非法 訪問。一般來說，這種防火墻是最不容易被破壞的。
與防火墻配合使用的安全技術還有數據加密技術，是為提高信息系統及數 據的安全性和保密性，防止秘密數據被外部破析所采用的主要技術手段之一。 隨著信息技術的發展，數據系統安全與信息保密日益引起人們的關注。目前各 國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟件和硬件 兩方面采取措施，推動著數據加密技術和物理防范技術的不斷發展。按作用不 N,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰 管理技術四種。
4. 智能卡實施
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是 密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有并由該用戶賦予它 一個口令或密碼字。該密碼與內部數據系統服務器上注冊的密碼一致。當口令 與身份特征共同使用時，智能卡的保密性能還是相當有效的。數據系統安全和 數據保護的這些防范措施都有-定的限度，并不是越安全就越可靠。因而，在 看一個內部網是杏安全時不僅要考察其手段，而更重要的是對該數據系統所采 取的各種措施，其中不光是物理防范，還有人員的素質等其他“軟”因素，進 行綜合評估，從而得出是否安全的結論。
另外，其他具體安全措施還包括數字認證、嚴謹有效的管理制度和高度警 惕的安全意識以及多級網管等措施。另外考慮到數據系統的業務連續，也需要 我們設計和部署必要的BCP計劃。 
三、解決方案
解決終端安全問題的有效方法是結合端點安全狀況信息和新型的網絡準入 控制技術。
(1) 部署和實施網絡準入控制，通過準入控制設備，能夠有效地防范來自 非法終端對網絡業務資源的訪問，有效防范信息泄密。
(2) 通過準入控制設備，實現最小授權的訪問控制，使得不同身份和角色 的員工，只能訪問特定授權的業務系統，保護如財務系統企業的關鍵業務資源。
(3) 端點安全狀態與網絡準入控制技術相結合，阻止不安全的終端以及不 滿足企業安全策略的終端接入網絡，通過技術的手段強制實施企業的安全策略， 來減少網絡安全事件，增強對企業安全制度的遵從。
加強事后審計，記錄和控制終端對網絡的訪問，控制M絡應用程序的使用， 敦促員工專注工作，減少企業在互聯網訪問的法律法規方面的風險，并且提供 責任回溯的手段。
1. 集中式組網方案
終端安全管理（Terminal Security Management, TSM)系統支持集中式組
網，把所有的控制服務器集中在一起，為網絡中的終端提供接入控制和安全管 理功能。集中式組網方案如圖9-3所示。


2. 分布式組網方案 如果遇到下面的情況，可能需要采用分布式組網方案，如圖9-4所示。 
(1)終端相對集中在幾個區域，而且區域之間的帶寬比較小，由于代理與 服務器之間存在一定的流量，如果采用集中式部署，將會占用區域之間的帶寬, 影響業務的提供。


(2)終端的規模相當大，可以考慮使用分布式組網，避免大量終端訪問TSM 服務器，占用大量的網絡帶寬。
分布式部署的時候，TSM安全代理選擇就近的控制服務器，獲得身份認證 和準入控制等各項業務。
3. 分級式組網方案
如果網絡規模超大，可以選擇采用分級式組網方案，如圖9-5所示。
在這種部署方案中，每個TSM結點都是一個獨立的管理單元，承擔獨立的 用戶管理、準入控制以及安全策略管理業務。管理中心負責制定總體的安全策 略，下發給各個TSM管理結點，并且對TSM管理結點實施情況進行監控。
TSM系統對于關鍵的用戶認證數據庫提供鏡像備份機制，當主數據庫發生 故障時，鏡像數據庫提供了備份的認證源，能夠保證基本業務的提供，防止因 為單一數據源失效導致接入控制的網絡故障。
當TSM系統發生嚴重故障，或者TSM系統所在的網絡發生嚴重故障時， 用戶可以根據業務的情況進行選擇：業務優先/安全優先。
如果選擇業務優先，準入控制設備（802.1X交換機除外）上設計的逃生通 道能夠檢測到TSM系統的嚴重故障，啟用逃生通道，防止重要業務中斷。
TSM終端安全管理系統提供服務器狀態監控工具，通過該工具可以監控服 務器的運行狀態，如數據庫鏈接不上、SACG鏈接故障以及CPU/內存異常等。當 檢查到服務器的狀態異常時，可以通過郵件、短信等方式通知管理員及時處理。


四、終端虛擬化技術
1.傳統的終端數據安全保護技術
1) DLP
(1) 工作方式：DLP (Data Loss Prevention,數據丟失防護）技術側重于信 息泄密途徑的防護，是能夠通過深度內容分析對動態數據、靜態數據和使用中 的數據進行鑒定、檢測和保護的產品。可以在PC終端、網絡、郵件服務器等 系統上針對信息內容層面的檢測和防護，能夠發現你的敏感數據存儲的位置， 之后進行一定的處理方式，但也是有些漏洞的。
(2) 使用場景與限制：雖然DLP方案從靈活性、安全性、管理性上都滿足 了數據安全的需求，但同樣成功部署DLP方案需要有一個前提，就是其數據內 容匹配算法的誤報率要足夠低。然而，由于數據內容的表達方式千差萬別，在 定義數據內容匹配規則的時候漏審率和誤判率非常難平衡，無論是哪個廠商的 DLP產品，在實際測試過程中的誤報率普遍都偏高，DLP方案的防護效果體驗 并不好。
2) DRM
(1) 工作方式：DRM (Digital Right Management，數字權限管理）是加密
及元數據的結合，用于說明獲準訪問數據的用戶，以及他們可以或不可以對數 據運行進行某些操作。DRM可決定數據的訪問及使用方式，相當于隨數據一 起移動的貼身保鏢。權限包括讀取、更改、剪切/粘貼、提交電子郵件、復制、 移動、保存到便攜式保存設備及打印等操作。雖然DRM的功能非常強大，但 難以大規模實施。
(2) 使用場景與限制：DRM極其依賴手動運行，因此難以大規模實施。用 戶必須了解哪些權限適用于哪種內容的用戶，這樣的復雜程度常使得員工忽略 DRM,并導致未能改善安全性的失敗項冃。如同加密一樣，企業在應用權限時 必須依賴人為的判斷，因為DRM丄具不具備了解內容的功能。成功的DRM 部署通常只限于用戶訓練有素的小型工作組。由于存在此種復雜性，大型企業 通常并不適合部署DRM。但如同加密一樣，可以使用DLP來專注于DRM， 并減少某些阻礙廣泛部署的手動進程。
3) 全盤加密
(1) 工作方式：所謂全盤加密技術，一般是采用磁盤級動態加解密技術， 通過攔截操作系統或應用軟件對磁盤數據的讀/寫請求，實現對全盤數據的實時 加解密，從而保護磁盤中所有文件的存儲和使用安全，避免因便攜終端或移動 設備丟失、存儲設備報廢和維修所帶來的數據泄密風險。
(2) 使用場景與限制：與防水墻技術類似，全盤加密技術還是無法對不同 的涉密系統數據進行區別對待，不管是涉密文件還是普通文件，都進行加密存 儲，無法支持正常的內外部文件交流。另外，全盤加密方案雖然能夠從數據源 頭上保障數據內容的安全性，但無法保障其自身的安全性和可靠性，一旦軟件 系統損壞，所有的數據都將無法正常訪問，對業務數據的可用性而言反而是一 種潛在的威脅。
上述傳統安全技術是目前銀行業都會部署的基礎安全系統，這些安全系統 能夠在某一個點上起到防護作用，然而盡管如此，數據泄密事件依然是屢禁不 止，可見銀行業網絡整體安全目前最人的威脅來源于終端安全上。而且部署這 么多的系統方案以后，用戶體驗不佳，不容易推廣，因此并未達到預期的效果。 要徹底改變企業內網安全現狀，必須部署更為有效的涉密系統數據防泄密方案。
2.數據保護的創新——終端虛擬化技術
為了能夠在確保數據安全的前提下，提升用戶的易用性和部署快速性，冃 前已經有部分企業開始使用終端虛擬化的技術來實現數據安全的保護。其中， 桌面/應用虛擬化技術以及基于安全沙盒技術的虛擬安全桌面就是兩種比較常 見的方式。
1)桌面/應用虛擬化
桌面/應用虛擬化技術是基于服務器的計算模型，它將所有桌面虛擬機在數 據中心進行托管并統一管理。通過采購大量服務器，將CPU、存儲器等硬件資 源進行集中建設，構建一個終端服務層，從而將桌面、應用以圖像的方式發布 給終端用戶。作為云計算的一種方式，由于所有的計算都放在服務器上，對終 端設備的要求將大大降低，不需要傳統的臺式計算機、筆記本式計算機，用戶 可以通過客戶端或者遠程訪問等方式獲得與傳統PC —致的用戶體驗，如圖9-6 所示。


不過，雖然基于計算集中化模式的桌面虛擬化技術能夠大大簡化終端的管 理維護工作，能夠很好地解決終端數據安全問題，但是也帶來了服務端的部署 成本過大和管理成本提高等新問題。
(1) 所有的客戶端程序進程都運行在終端服務器上，需要配置高性能的終 端服務器集群來均衡服務器的負載壓力。
(2) 由于網絡延遲、服務器性能、并發擁塞等客觀因素影響，在桌面虛擬 化方案中，終端用戶的使用體驗大大低于物理計算機本地應用程序的使用體驗。
(3) 計算集中化容易帶來終端服務器的單點故障問題，需要通過終端服務 器的冗余備份來強化系統的穩定性。
(4) 桌面虛擬化方案中部署的大量終端服務器以及集中化的數據存儲之間 的備份、恢復、遷移、維護、隔離等問題。
(5) 由于數據集中化，管理員的權限管理也需要列入考慮，畢竟讓網絡管 理員能夠接觸到銀行業務部門的業務數據也是違背數據安全需求的。
(6) 桌面集中化方案提高了對網絡的穩定性要求，無法滿足離線辦公的需求。
因此，此種方案在大規模部署使用時會遇到成本高、體驗差的問題，如圖
9-7所示。
2)防泄密安全桌面
為了解決桌面/應用虛擬化存在的問題，一種新的終端虛擬化技術——基r 沙盒的安全桌面被應用到了防泄密領域，如圖9-8所示。
在不改變當前IT架構的情況下，充分利用本地PC的軟、硬件資源，在本 地直接通過安全沙盒技術虛擬化了一個安全桌面，這個桌面可以理解為原有默 認桌面的一個備份和鏡像，在安全桌面環境下運行的應用、數據、網絡權限等 完全與默認桌面隔離，并且安全沙盒可以針對不同桌面之間進行細粒度的安全 控制，比如安全桌面下只能訪問敏感業務系統，安全桌面內數據無法外發、復 制、打印、截屏，安全桌面內保存的文件加密存儲等等。


這樣一來，通過安全桌面+安全控制網關的聯通配合，就可以確保用戶只有 在防泄密安全桌面內進行了認證后才能訪問核心敏感系統，實現了在終端的多 業務風險隔離，確保了終端的安全性。安全桌面虛擬化方案為用戶提供了多個 虛擬的安全桌面，通過不同虛擬安全桌面相互隔離文件資源、網絡資源、系統 資源等，可以讓用戶通過不同的桌面訪問不同的業務資源。
比如為用戶訪問涉密業務系統提供了一個具有數據防泄露防護的防泄密安 全桌面，盡可能減少對用戶使用習慣的影響，解決了物理隔離方案的易用性問 題，如圖9-9所示。

基于沙盒的安全桌面方案的價值在于，在實現終端敏感業務數據防泄密的 前提下，不改變用戶使用習慣，增強了易用性，還保護了用戶的現有投資。目 前，防泄密安全桌面已經在金融、政府、企業等單位開始了廣泛的應用，主要部署在CRM、ERP、設計圖樣等系統前端，以防止內部銷售、供應鏈、財務等 人員的主動泄密行為。
但是安全桌面技術也有一定的局限性，比如它不適用于Java、C語言的代 碼開發環境，存在一定兼容性的問題。
總而言之，兩種終端虛擬化技術各有優劣，分別適用于不同的業務場景，具體可以參照圖9-10。

威脅一：電商App染毒最多

據報告顯示，隨著移動支付的進一步普及，手機用戶針對手機網銀類、第三方支付類、電商類、團購類、理財類這五大手機購物支付類APP的下載量在迅猛增長。其中，手機支付購物類軟件共有364款，其下載量占全部軟件下載量的30.38%。



騰訊移動安全實驗室統計，在五大類手機支付購物類軟件中，共有320款軟件被植入惡意病毒代碼。其中，電商類APP感染病毒的軟件款數占39.69%，位居第一。其次是理財類APP和第三方支付類APP，感染病毒的軟件款數比例分別占27.19%、13.44%，分別位居第二和第三。團購類、銀行類、航空類APP染毒占比分別為11.25%、7.19%、1.25%。

威脅二：超6成手機支付病毒會聯網

騰訊移動安全實驗室對截獲到的82805個手機支付類病毒進行了詳細分析，并在國內率先發布了手機支付病毒的13大特征，其中最大特征是表現為靜默聯網、刪除短信、發送短信、讀短信、開機自啟動。其中，靜默聯網比例高達61.09%、位居第一，靜默刪除短信、靜默發送短信、開機自啟動、讀短信的病毒行為分別占比37.3%與36.51%、30.1%、19.74%。分別位居第二和第三、第四、第五。



騰訊手機管家安全專家表示，“靜默聯網”會導致手機用戶資費消耗，同時病毒還會通過聯網功能將用戶手機上的隱私信息，包括手機網銀、支付相關賬號密碼等內容上傳至指定位置，導致用戶隱私泄露和財產風險。

威脅三：二維碼成支付病毒傳播關鍵渠道

了解手機支付病毒的傳播渠道，對于用戶防范病毒至關重要。報告顯示，手機支付類病毒除了通過二次打包到手機網購、支付等五大類應用，散布在一些電子市場、手機論壇傳播外，二維碼已經成為手機支付病毒傳播的關鍵渠道，此類案件也發生過多次。



央視315晚會報道，用戶在網購的時候，掃了賣家發來的二維碼，然后手機就被安裝了“網銀神偷”病毒，“網銀神偷”可竊取用戶身份證號以及手機驗證碼，最終把支付寶、余額寶中的錢轉走，而這一切的發生都是在神不知鬼不覺中進行。同樣的案件屢屢發生，3月6日央視新聞直播間報道稱，湖北武漢一網購用戶在通過手機掃描二維碼后，其余額寶中的4萬元被迅速轉走。

據騰訊手機管家安全專家介紹，一些詐騙分子通過淘寶賣家身份，欺騙用戶掃描二維碼獲得折扣，在用戶掃描二維碼之后便將手機支付病毒安裝到用戶手機中，然后病毒通過監控用戶手機短信，獲取手機支付短信驗證碼，然后竊取用戶資金。

面對以上三大手機支付安全威脅，騰訊手機管家安全專家提醒用戶不用過分擔憂，用戶只要從正規電子市場或者應用的官方站點下載App，不要見到二維碼就掃就能夠規避絕大多數手機支付安全風險。同時，騰訊手機管家還為廣大用戶提供了支付前中后閉環式安全保護，在支付前提供支付網購App的安全掃描和安全掃碼服務、支付中提供手機網購支付安全環境監測和釣魚網址攔截，支付后若出現財產損失，可通過騰訊發起的反信息詐騙聯盟，聯系警方破案；此外，微信支付還聯合PICC提供全賠保障。

【熱心相助】
兩個專業各有其特點，側重知識和能力要求不同。
網絡安全專業主要培養:具有良好職業道德，熟悉網絡在信息安全方面的法律法規，可以集成信息安全系統，熟練應用信息安全產品，具有信息安全維護和管理能力的高級技術應用性專門人才。從事的主要工作包括：信息安全管理能力、信息安全系統的集成和維護能力。
　　其核心課程，包括數據庫原理、操作系統、計算機通信與網絡技術、信息安全概論、信息安全法律法規、網絡安全工程、計算機反病毒技術、防火墻技術、應用密碼技術、信息安全法律法規。就業領域，是在具有計算機網絡的公司、銀行、證券公司、海關、企事業單位及公、檢、法等部門，從事計算機信息安全管理，或信息安全產品銷售與服務等工作。
移動互聯網專業則主要側重“移動互聯網”方向的技能與就業等，就業面不同。　
祝您大吉大利、萬事如意！

App營銷是App能否獲得廣大用戶下載和注冊使用，并最終成功的重要因素。App營銷的渠道包括應用商店、廣告聯盟、手機應用媒體、手機應用論壇等。 　　以ios app為例： 　　最有效的營銷手段：刷榜、限免、aso優化、換量，特定類型產品產品可以利用好微博營銷 　　用戶除了付費之外，另一個價值就是傳播，大部分產品（除了社交類產品）屬于用戶只會因為產品的質量而去傳播，本身要求比較高，最簡單實用的辦法就是設置門檻要求用戶分享咯；應用運營前做哪些準備： 　�。�1）ASO（應用商店優化）準備 　　應用權重可能的影響因素：應用使用狀況（打開次數、停留時間、留存率）新應用，或者剛更新會有特殊權重，下載狀況，評論數，評星。 　　關鍵字匹配：影響搜索結果的要素：標題（255字節），關鍵詞（100字節），收費插件，開發商，漢字算一個字節，可以把競爭對手的品牌詞都列進去，描述內容對搜索結果沒什么影響。 　�。�2）LOGO優化：logo是對點擊率影響最高的因素，直接影響產品能走到的高度，工具類以純色為主，主色2-3種，如果有生活中的物品做參照再好不過了，立體和質感很重要，游戲類以人物頭像進行突出。 　�。�3）AppStore詳細頁優化： 　　描述，顯示五行，前三行最關鍵，對用戶轉化有一定影響，和大部分渠道合作會要求在描述前面加上他們的信息，雖然可惜，但是不能吝嗇。 　　截圖，突出核心功能點并加上一些描述，不要單純只是畫面截圖。 　　評論，通常來說評星數會是評論數的3-4倍（除非應用內有引導用戶區appstore評論），雖然評論務必得刷，但是不要刷太過了。 　　（4）開辟應用推薦，無論在什么位置，但一定要有，這是資源交換的籌碼。 　�。�5）設置收費，剛開始的收費讓運營的余地大很多。 　　正式上線之后： 　　（6）刷榜：在上線之后刷一點收費版，造品牌，讓業內和用戶都看到你，在之后的合作會容易很多，據說解決網先刷后付，不過價錢略貴，這個我沒有操作過。[2] 　�。�7）發碼：同樣是造勢的，投稿并提供碼給測評站發文章，和佐佐卡，搞趣之類的做發碼活動，不會有太多直接下載，但是對后面鋪墊很重要。 　　冰點降價：和發碼同一類型，網易有做冰點。 　　（8）限免：真正的戰斗開始了，限免無疑是真正的第一波帶量的渠道，所以選擇好合作方比較關鍵,目前的限免第一陣營幾家：搞趣，iapps，蘋果園，軟獵，網易。 　　推送力最強的是搞趣，尤其是他們的特約，如果產品好的話，沖榜肯定沒問題，但是他們要求比較高，所以和他們的商務搞好關系，很重要，其他的幾家聯合限免效果也都還不錯。 　　（9）資源交換：主動給渠道商一些資源位，能幫助你在和他們的溝通中獲得更多主動，剛開始你能提供的量肯定是很少的，所以就談按天算吧，換量比較麻煩，一般也不是特別樂意做。 　　（10）廣告投放：做過一輪限免后資源交換后，有錢的可以開始做廣告投放，目前好的渠道不多，有米，多盟，admob算是比較優質的了，盡量按cpa來做，能談到3.5塊就很不錯了。
靈覺互動網絡營銷顧問資料提供