由于我在国外，没能参加16号360手机安全与银联合作签约仪式的媒体发布会，昨天看了齐总的演讲，对手机安全的分析很准确。

在移动互联网盛行的这几年，移动支付安全一直处于起步阶段。就拿我自己的例子来说吧：我妈妈是淘宝的重度用户，由于她在家里地位最高，所以我不能跟她提这件事。她想买东西，你就买吧，但是记得要使用安全的网络环境，不要用乱设备买，不要在公共wifi下用手机支付，不要点击乱链接，不要随便下载一些软件……她一开始还有些担心，尤其是看到我转发给她的一些消息之后，但她还是忍不住在一些不安全的环境中买东西。这一切我完全不能理解，只能给她开一个专门的账户，里面保证长期余额不超过1万元，如果哪天真的出了事，损失也有限。

国内像我妈这样的用户还有很多，他们很难理解支付安全，也几乎没有人愿意为此放弃操作体验，让购买过程变得非常复杂。大部分人只能抱着侥幸的心态，希望自己不是那个倒霉蛋。所以这就给了黑产行业很大的可乘之机。GSM嗅探、MITM等不需要太多技术含量，只要拿几个工具，扫街抢钱就行了。文章里多次谈到移动支付，在现阶段还是很不安全的，但用户只能忍受这种不安全的解决方案，这是不可接受的。

移动支付安全最大的难点在于，它并不是支付公司或者安全公司单方面能够解决的问题，从数字证书、设备、软件安全到风控、赔偿制度，都需要整个产业链的通力合作，才能真正做到安全发展、保护用户。不仅如此，相比PC安全，移动安全还具有更大的技术挑战。

从OS角度看，如今安卓手机的安全水平已经不如十年前了。至于安全性，你可以算一下每年需要从微软下载多少个补丁，除了这些补丁之外，漏洞还是非常多的，360著名安全专家袁戈发现的一些漏洞，已经存在了十几年。从应用角度看，手机APP和网页防御难度都很大，网站有URL可以验证真伪，而手机APP用户的判断基本都是看外表，模仿一个应用，很容易就能被钓鱼，盗取用户的重要隐私，比如登录、支付密码等。

相比PC端，移动设备更需要360手机安全这样的产品，能够在暗处拦截恶意链接，保护用户隐私。

如果说软件安全是一个平面的话，那么移动互联网的安全问题则是立体的。比如，移动设备的上网环境就不是固定的，你可能需要连接各种Wi-Fi网络，连接不安全的假SSID。即使在你认为安全的WiFi环境中，与你处于同一WiFi上的用户也可以轻易地进行ARP欺骗，劫持你的网络通讯数据。他特意派人住在竞争对手酒店隔壁的房间，由于共用同一个Wi-Fi，他可以利用中间人攻击获取重要数据，后来他直接拿到了竞争对手的投标，抢走了一个价值数千万元的项目，让竞争对手蒙受了巨大的损失。

另外一方面就是金融公司的数字证书和风控，由于移动设备体积小、重量轻，用户可能比较复杂，授权体系和操作部分并不像PC那样固定在一个地方，而是很不规则的，上网地点固定也导致很难识别某项操作是否是设备主人本人执行的。这方面，360作为手机卫士的难度和挑战要远大于PC卫士。

可见，移动支付的安全需要海陆空的联防联防，并非一家公司能够做到，安全公司除了在路由器层面净化互联网环境、在应用层面保护用户免受欺诈侵害外，还要与金融公司合作，让其提供海量数据进行大数据行为分析，在末端层面强化风控能力，将渗透带来的损失降到最低，360与银联签署的战略合作协议，首次将移动支付安全防御体系做成立体化，具有历史意义。

去年我问过360首席隐私官谭晓生，为什么招募那么多业内顶尖的安全人才，他告诉我360是主打企业安全。我当时有点纳闷，觉得一家互联网公司从TOC转向B，是一件大事。从业务角度看，传统企业安全市场并不是最好的扩张路线，现在看来，360在BYOD、云安全、大数据行为分析等方面的扩张，很大程度上是为了和企业合作，提供更安全的服务，服务最终用户。

除了安全公司、支付公司，整个产业链最重要的环节就是用户自身的安全意识。这就像一道坚固的防盗门，经不起你开门，不管安全产品有多好，还是有很多手机喜欢裸奔，用户数量大到足以支撑起一个庞大的黑色产业链，用户的清白程度也是风控最难的一环，360率先推出网购首付补偿，一方面是为了增强业务数据分析、改善风控手段，另一方面也是为了向用户宣传基本的安全意识。每当看到用户在公共wifi网络上使用支付，我就想，只要我打开，就能神不知鬼不觉地劫持他的血汗钱（短信可以通过GSM嗅探抓取数据，技术上是无法防御的），心里就会担心又无助。

PC安全花了5-6年的时间发展起来，面对更大规模的移动终端，只有产业链的协同，以及对用户的不断教育，才能真正建立起安全的移动互联网。

人生是一场戏 李歌出品

【微信号】

人生就像一场戏，全看你的演技。

李哥开通了私人微信号： ，女生请加我，男生加我前请说明目的。