[[164318]]

移動手機應用程序（App）生態(tài)系統(tǒng)的一大好處就是它使得我們的生活更加方便和容易，而不好的一面就是這些 App 越流行，它們就越有可能受到黑客的襲擊。當 App 在我們的生活中扮演的角色越來越重要的時候，例如通過我們的手機進行金融交易，或者上傳我們的健康數(shù)據(jù)等，我們的個人數(shù)據(jù)就越有可能發(fā)生泄漏。安全攻擊不僅會影響用戶的個人信息和敏感數(shù)據(jù)，同時也會對商業(yè)、政府和軍隊產(chǎn)生巨大威脅。

因此，作為程序的開發(fā)人員，你就有責任和義務來確保你客戶的數(shù)據(jù)的安全，保證它們不會受到黑客的侵擾。而保護消費者私人數(shù)據(jù)安全的一種方法是通過安全手段來保證我們的每一次操作的安全。當開發(fā)人員在進行移動 App 開發(fā)的時候，他們需要注意以下這些因素。
1 二元認證

[[164319]]

我們使用的密碼很容易被忘記或者被黑客竊取。有時候，是因為密碼太過簡單，從而使得很多人都可以經(jīng)過幾次嘗試以后猜到密碼。對于那些存儲有大量私人信息的 App，一旦被黑客知道，這也就意味著巨大的損失。二元密碼認證則可以幫助解決這個問題。其最常見的形式就是當你在登陸一款 App 的時候，你可以通過事先預留的郵箱或者手機來獲得包含隨機密碼的郵件或者信息。只有當你輸入這串密碼的時候，你才可以登陸你的 App。那些儲存有你敏感信息的 App 應該在你不使用的時候登出，當你再次使用的時候需要再次登陸，這樣就會來到我們將要討論的下一個問題。
2 用 Oauth2 來構(gòu)建 Mobile API 安全系統(tǒng)

[[164320]]

也許你已經(jīng)聽過 OAuth，這是一種用于不可信設備的用于確保 API 服務的原型，它提供令牌驗證的方式來對移動用戶進行授權(quán)。OAuth2 采用的這種授權(quán)方式是，它限定了授權(quán)令牌的使用時間。當用戶登錄移動設備的時候，用戶會輸入登錄賬號和密碼，這時就會為用戶創(chuàng)造訪問令牌，并且在移動設備進行儲存。一旦訪問令牌過期，使用者就需要再次登錄才能繼續(xù)使用。OAuth2 并不需要使用者在一個并不安全的環(huán)境下儲存 API 密匙。相反，它可以產(chǎn)生一個訪問令牌，這個令牌可以暫時儲存在非信任的環(huán)境中。這種機制運行得非常好，這是因為即便黑客獲得了使用者的訪問令牌，它也會很快過時。
3 安全套接層 SSL(Secure Sockets Layer)

[[164321]]

OActive Labs 研究人員 Ariel Sanchez 測試了 60 家全球影響力最大的銀行中的 40 種移動銀行 App，其研究結(jié)果是：40% 經(jīng)過審計的 App 并沒有驗證 SSL 證書的真實性。而很多的 App（大約 90%）在整個應用中包含了一些非 SSL 鏈接。在這種情況下，攻擊者可以攔截流量，并通過創(chuàng)見創(chuàng)建任意的 JavaScript/ HTML 代碼來制造一個假的登錄提示，從而造成使用者信息泄露。通常情況下移動 App 不能有效地執(zhí)行 SSL 驗證，從而使得使用者很容易受到這方面的攻擊。使用 SSL/TLS 來進行遠程交流的 App 需要檢查其服務證書。
4 加密

[[164322]]

AES，即高級加密標準（Advanced Encryption Standard），是目前用于對稱密鑰加密的最流行的算法之一。同時它也是一種「黃金標準」加密技術(shù)；很多具有安全意識的企業(yè)則會要求他們的雇員使用 AES-256 (256 - 比特 AES) 來進行通訊交流。事實上，公司應該使用那些經(jīng)過安全組織調(diào)整的現(xiàn)代算法，例如具有采用 256 比特的 AES 進行加密。

當你在設計 App 的時候，如果你可以確保使用者的數(shù)據(jù)安全，那么你的 App 就會更加吸引用戶，并且?guī)椭憬⒘己玫陌踩蛩?。而這也會幫助你獲得和留住更多的用戶。

為了和這些安全攻擊進行斗爭，世界對于網(wǎng)絡安全公司的關(guān)注也越來越多，而緊跟著的就是一些巨額投資。由此每年也產(chǎn)生了成千上萬的工作崗位。為了支持這些產(chǎn)業(yè)的發(fā)展，全世界也發(fā)展出了一些網(wǎng)絡安全生態(tài)系統(tǒng)，將公司、風險投資、人才和專業(yè)技術(shù)集中在一小塊區(qū)域內(nèi)。接下來要介紹的就是網(wǎng)絡安全領域的一些頂級中心。
1 硅谷（Silicon Valley）

硅谷是絕大多數(shù)領先的網(wǎng)絡安全公司的大本營。該地區(qū)很大一部分的風險投資都投入到了防病毒、防欺騙和反黑客軟件領域。數(shù)據(jù)保護也是一個日益增長的方面，且這些威脅不緊來自外部黑客的攻擊，也會來自內(nèi)部。例如，根據(jù) McAfee 的創(chuàng)始人 John McAfee，最近阿什利麥迪遜數(shù)據(jù)泄露就是由該網(wǎng)站的一名女性雇員造成的。

預防內(nèi)部人員造成數(shù)據(jù)泄露也是硅谷公司正在努力的一個方向。硅谷整體的權(quán)威和高科技產(chǎn)業(yè)的主導地位使得其成為了網(wǎng)絡安全初創(chuàng)公司的不二之選。公司、軍隊和政府都轉(zhuǎn)向該區(qū)域?qū)で缶W(wǎng)絡安全保護，以免遭黑客和恐怖主義的襲擊。在今年 4 月，美國國防部宣布和硅谷公司展開合作，以保護數(shù)據(jù)的安全。一些公司，例如 Cylance、Ionic Security 和 Symantec 的總部都設在硅谷。硅谷的初創(chuàng)公司還在繼續(xù)成立、創(chuàng)新、合并和變革，毫無疑問，這里的很多公司都將網(wǎng)絡安全視為巨大的機遇。
2 以色列（Israel）

[[164323]]

以色列初創(chuàng)公司的蓬勃發(fā)展、嚴重的安全威脅和軍事情報單位大量的人才流動使得這個國家成為了全球網(wǎng)絡安全領域的超級大國。在過去的數(shù)年間，網(wǎng)絡安全的協(xié)同作用在初創(chuàng)公司、跨國科技巨頭、學術(shù)界、軍事和政府之間建立起來?！笇⒁陨写蛟斐梢晃话踩I域內(nèi)的領導者是政府的一個目標，而國家總理也對此非常重視。以色列很有可能成為世界兩大網(wǎng)絡安全中心中的一個，對此我非常樂觀。」Nadav Zafrir 說。Nadav Zafrir 是 team8（位于特拉維夫的一個非常規(guī)的風險投資公司，主要投資領域為創(chuàng)新型網(wǎng)絡安全公司）的創(chuàng)始人。在這個國家中有超過 200 個網(wǎng)絡安全公司，大多數(shù)都集中在特拉維夫和耶路撒冷，每年的網(wǎng)絡輸出達到了 30 億美元。其中的領導者包括 Check Point、CyberArk、Imperva 等。
3 紐約市（New York City）

[[164324]]

紐約市的金融區(qū)和企業(yè)財富創(chuàng)造了對于網(wǎng)絡安全的巨大需求。為了解決這些問題，安全公司紛紛建立起來。許多公司都致力于保護股票市場，防止銀行和金融欺騙。該市有大量的資本進入到了網(wǎng)絡安全領域，但是其獨特的位置增加了該區(qū)域的網(wǎng)絡安全活動。頂級的初創(chuàng)公司包括身份驗證公司 Socure，事件解決方案供應商 UpLevel 和數(shù)據(jù)泄露預防公司 Third Party Trust。
4 波士頓（Boston）

[[164325]]

波士頓是 MIT 和哈佛的所在地。這里的天才已經(jīng)創(chuàng)造了很多數(shù)學天才、科技專家和工程師，同時也成為了一個網(wǎng)絡安全中心。這里的一些頂級公司包括主要軍工承包商 Raytheon、安全密碼解決方案提供商 SQRL 和安全分析初創(chuàng)公司 Rapid7，并且這些公司也持續(xù)募捐數(shù)百萬美元成立基金。該地區(qū)的很多新公司也獲得了成功。BitSight 科技宣布在 6 月份獲得了 2300 萬美元的融資，而 Barkly 獲得了 1250 萬美元的資金。
5 倫敦（London）

[[164326]]

CyLon，或者倫敦網(wǎng)絡是歐洲第一個網(wǎng)絡安全加速器。該公司致力于幫助商業(yè)開發(fā)信息安全技術(shù)和相關(guān)產(chǎn)品，同時幫助倫敦的網(wǎng)絡安全的成長。CyLon 的成員包括 CyberLytic、Intruder 和 Sphere Secure Workspace。不僅如此，英國政府也推出了相關(guān)的活動和項目來解決網(wǎng)絡犯罪，增加相關(guān)領域的知識和意識。