上海有可信终端吗?
“可信终端”是个伪命题,现在任何终端都可以被绕过或者获取权限。 举个栗子,之前我们公司用的Xamarin平台开发,需要连到苹果的开发者账号来分发测试版APP给测试员(不是给一般用户),这中间就需要一个工具先抓包,然后发送特定的数据到苹果的验证接口,然后才能成功下载IPA格式的安装包。 这时候,只要有这个抓包的软件和可以连接网络的电脑,随便一个手机助手就可以实现“可信终端”了。因为只要知道苹果的密钥和开发者账户就能搞定的事情,何来不可信之说呢? 类似这样的案例还有很多很多,因为现在软件开发的复杂性导致了一个漏洞的出现就有无数种攻破的方法。
所以回到这个问题上来看,要确定一个终端是否可信,从技术上来说是不可能的。 但问题是从商业角度来看,又必须有一个判断标准。我这里的建议是,以风险为判断标准。如果一个终端发生了某种程度的风险,那么该终端就被认定是不“可信”的,需要被保护(加固)或采取其他补救措施(如刷机、恢复出厂设置等)。 从这里开始,我们就需要引入安全行业的概念了。
根据我国2014年2月1日起实施的《计算机信息网络国际联网安全保护管理办法》第5条规定,网络运营者应当履行的安全义务包括: (一)具备保障互联网上网安全和信息网络安全的能力,包括设备、设施和安全软件; (二)制定确保信息安全的相关管理制度和操作规程并贯彻实施; (三)配备与业务规模和范围相适应的专业人员,实行安全管理责任制;
(四)建立必要的网络安全监测系统和监控制度,配备专职人员和设备, 24小时监控网络安全状况,发现安全隐患或者安全风险应当立即报告并采取措施; (五)按照有关法律、法规的规定采集、存储、使用、提供用户信息和数据;
(六)对互联网接入用户的登记备案工作负责,掌握互联网接入的用户信息,定期进行核查; (七)协助有关部门依法调查涉嫌利用互联网从事违法犯罪的活动。
作为互联网行业从业者,我们应当了解并遵循这些基本的安全原则,为用户提供安全的服务,维护健康的网络环境。