移動互聯網應用下的安全產品設計趨勢

宇龍酷派研發中心軟件管理部副經理張晟

當今以移動互連網應用導向為主的智慧終端產品上，在資訊的獲取上可說是隨手可得，然許多手機病毒、惡意軟體、釣魚網站等也紛紛將攻擊焦點轉向智慧型手機、平板等裝置，使得個人資料安全成為用戶們的最高需求。中國第三大智慧終端產品製造商—宇龍酷派(Coolpad)，以手機資安為議題，說明他們如何提升手機的資安層級…

手機上網很方便 資訊安全也很重要

以“酷派(Coolpad)”為品牌行銷全球的“宇龍計算機通信”，不僅生產智慧型手機，在手機資安的創新實現上也不遺餘力。有鑑於手機資訊安全的防護漏洞層出不窮，為強化手機的個資防護，宇龍酷派研發中心軟件管理部副經理張晟便以手機“安全需求”為議題作演說。

張晟首先介紹宇龍酷派的公司背景與研發能力。該公司與全球供應鏈頂級公司合作穩定，並與眾多iPhone4供應商合作。而公司文化深耕自主研發，率先在中國境內成立創新設計中心，並正在印度、矽谷等地陸續設立研究機構。其在硬體(雙模雙待、3G通訊、工業設計)、與軟體(一體化行動網路平台、智囊UI、核心軟體技術)都高度掌握了自家的核心研發技術。

如今，以行動上網為主的智慧型手機，除了在外型、美觀、使用者體驗等下工夫之外，宇龍酷派在手機安全防護上也從被動化為主動，從硬體到軟體的無間整合，提供更高層級的手機安全需求。

手機病毒與日俱增 安全議題不容忽視

張晟引述調研機構“艾媒咨詢”(iiMedia Research)的數據，說明由於手機安全軟體整合了豐富功能，在一定程度上刺激了用戶對於手機安全軟體的認同與依賴，於2012年底，中國手機安全軟體的用戶規模已達到2.73億人次。另外，在2012年中，手機有害軟體主要傳播途徑中，以應用商店(29.1%)、ROM刷機包(22.5%)、手機論壇(21.8%)、軟體捆綁(10.8%)、簡訊鏈接(8.4%)為前五大，甚至有些二維條碼也成為手機病毒傳播的溫床(3.9%)。

下載軟體會中毒？這是因為中國大陸的Android應用商店眾多，有些審核不嚴，缺乏安全機制，導致用戶下載後，感染手機病毒&惡意軟體的比例逐漸升高，而其他的途徑也可能遭到有意人士“加料”，讓手機曝露在安全漏洞之中。因此調研報告也指出，有62.5%用戶擔心手機丟失或被盜後，個人私密資訊、文件被看到，而有35%的用戶認為手機安全軟體是手機不可少的應用，更有8.7%的用戶願意為安全軟體付費。此外，60%的手機安全用戶希望能夠提供強大的病毒防護功能，以免自己的手機被病毒入侵，而隱私保護、上網流量監控、防暗中扣款…等功能也至關重要，因此手機安全軟體將是剛性需求。

整體而言，中國大陸網民在2012年手機的安全意識上已有大幅提升。而安全軟體廠商也從“被動式基礎型的防禦”(查毒/殺毒、過濾騷擾/詐欺)，提升到“主動式高端化的手機管理專家”(隱私保護、管理優化)…，當今手機安全軟體要盡可能做到智慧化的設置，又要讓用戶保有自主設定空間；一方面要做到即時防護和及時提醒，卻又要避免過於頻繁的干擾，才能讓用戶一用就上手。市場預估預計到2014年，中國大陸手機安全用戶將達到4.3億人次。

五層安全體系 IAARC模型技術 全面資安保護

張晟表示，讓手機更加安全，是酷派追求的目標。對用戶隱私資訊的保護，則是酷派神聖的職責。因此Coolpad的安全機制，就包含五層安全防護層級，即應用層(全方位防護)、框架層(數據訪問)、底層/系統參數(權限控制)、操作系統層(進程控制)、芯片層(加密)。提供真正可靠的“系統級手機安全服務”。

酷派“雲安全”採用IAARC模型做為系統框架層的整體安全技術架構，IAARC內容包括：

I (識別與認證)：除了Android內建的安全密碼(以滑動/圖案/PIN方式啟用)，和密鑰認證機制外，還可透過IP位置與域名，硬體序號、Token/智慧卡等強鑑別機制，來提升安全層級。這部分Coolpad還加入了防盜、應用密碼保護、開機密碼保護等功能，以及獨家的私密密碼，以提供私密模式保護(例如可隱藏私密資訊，包含連絡人、簡訊、通話紀錄、記事本等等，讓其他人看不到)。

A (訪問控制) ：除採用訪問控制列表、防火牆、應用系統訪問控制等技術之外，亦可透過VPN(虛擬專用網)、主機操作系統加固服務(System hotfix/update)。此部分Coolpad做到可透過遠端控制功能，來遠端鎖定手機或清除數據，讓他人無法使用，以保證手機資訊的安全。而網路防火牆可對每個應用程式的網路訪問，進行監控網路流量和數據的安全性，以保護資費消耗、惡意扣費等安全威脅。此外，其數據訪問管理器可設定應用程式是否能夠存取你的個資，以保障個人數據安全。

A (審計和追蹤) ：除了Log(日誌)、IDS(入侵檢測系統)、一致性檢查，還有Vulnerability Assessment(漏洞掃瞄和評估)等方法。而Coolpad的“權限審計”，可對每一種訪問系統資源與數據的應用進行嚴格的權限審核，僅有通過審計的應用才能訪問系統，全面提升了系統的安全級別，保護系統免遭病毒破壞的威脅。

R (響應與恢復) ：除數據備份與恢復技術、信息銷毀與恢復技術之外，還有業務連續性管理、HA(高可用性)技術、路徑冗餘等方法。此外Coolpad的雲數據安全，可將重要信息自動備份至雲，亦可在誤操作或手機丟失時將信息恢復。其雲安全防盜服務，可透過GPS定位來協尋丟失的手機。

C (內容安全) ：傳統的加密、防病毒等方式，還有VPN加密信道、水印技術等方法。該部分Coolpad在數據傳輸上採SSL加密方式，在數據存儲安全上亦可針對不同的數據類型採用多種加密算法(不可逆MD5加密、AES加密)，在安全數據流(帳戶、傳輸、存儲)上一路保護，確保數據在傳輸與存儲過程中的安全。此外，其密碼檢測符合中國的電信密碼檢測標準要求，可對通話內容進行加密，確保通信安全。

實作從雲到端 全方位的安全防護

張晟表示，其IAARC架構上已經做到以下的防護能力，如手機防盜、隱私竊取、惡意扣費、系統破壞、Root權限、文件洩漏、惡意傳播、遠程監控、流氓行為等。而系統漏洞、病毒查殺、芯片加密、雲端安全等功能則待完善中，並將與其他相關廠商合作，一同為手機資安做努力。

酷派“雲安全”包含: 文字加密(文件安全箱/密碼保管箱/應用程序保護)、隱私保護(私密模式/數據加密/數據防洩漏)、防騷擾(騷擾電話攔截/垃圾簡訊攔截/廣告攔截)、病毒查殺(惡意軟體、手機木馬、惡意鏈接)、手機加速(開機啟動管理/系統清理)等功能，提供全方位、全功能、真正可靠的系統芯片級手機安全服務。總而言之，酷派雲安全，基於底層完善的安全框架，提供了豐富的安全應用，將各種安全功能以最簡單便捷的方式提供給用戶，讓用戶在手機使用上能夠達到資訊安全無後顧之憂的境界。