第八届中国软件渠道大会于4月28日在京隆重召开,除了上午10位行业专家分别针对各高端领域进行了洞察性分析,下午首设移动应用与云计算、 “互联网+”、大数据三大分论坛,并行展示新技术带来的变革,为与会者带来一次新技术的听觉设宴。
移动应用与云计算分论坛由知名自媒体人、崔牛会负责人崔强主持,共有6位行业专家发表了演讲,同时设定了一场“移动、云计算改变软件”尖峰对话。国家应用软件产品质量监督检验中心孔浩在会上发表了以“移动应用的安全与可用性分析”为主题的精彩演讲。(以下内容根据现场速记整理,如有不妥请谅解!)
孔浩:大家好,我是国家应用软件产品质量监督检验中心的孔浩,经过我们统计最近十年已经做过舒数万个软件检测,所以跟大家打交道很多。而且我们单位不管是为北京市政府,还是国家部委都有很多的关系,如果大家如果有软件验收可以过来找我们。
首先,讲一下,现在咱们的移动应用跟之前传统的应用到底都有什么区别。其实这部分废话比较多,大家都应该比较清楚,首先就是大数据,数据跟以前的量级没法比。包括移动互联,现在大家手上苹果、安卓的手机都可以代替PC机,数量完全一个量级,还有物联网、云计算。这个前两年听起来可能还有点悬乎,但是现在大家可以看到物联网、云计算走入了千家万户,深入了我们生活的每一步。对一个平台来说,它的资源集约化更加深入。因为我们做政府的比较多,以前政府的项目,有一些小网站或者小的信息平台,看起来既零散又不好用,但是现在政府也意识到这个问题,他们会把很多资源向同一处集中,比如说北京市政府出资做一些比较大的云计算的基地、平台,把政府的一些项目都集约化放到同一个地方去,这样做的话一方面减少资源的重复建设,同时也有利于政府的信息化系统的管理。然后就是结构接入方式的多样化。举个例子,现在我家的冰箱上面放了十部手机,安卓、微软,老的诺基亚的系统。大家看一下这个图的统计表,包括尺寸、类型千奇百怪,所以接入方式的多样化也是我们运营商和软件测试人员要面临的很大问题。
这块要提到的就是信息安全常态化和大众化。以前大家提到信息安全要么是开发人员,要么是运维,他们对信息安全关注最多。但是现在我们的应用都跑到了手机上,那么现在我们安全就是跟每一个用户息息相关,你的手机哪个应用里面有病毒,它有可能会读取你的比如上网的账户、密码,甚至你输入的银行卡密码,这些都是有可能的。举个例子,我们现在检测一些银行的客户端,银行的客户端要求你输入你的密码的时候必须要有随机键盘,而不能有系统自带的键盘。系统自带的键盘对于那些病毒来说基本上是透明的,所以建议大家使用的时候注意一些。这是安全的常态化。
根据以上我们所说的这些移动应有时代新的特点,因为我们是做检测的,那么从检测的角度来说,跟以前有什么区别呢?首先是我们的检测对象,咱们之前老的传统系统,基本上都是我有一个机房,机房里头放几台服务器,稍微多一些几十台,我们一些应用系统,包括外部服务器都放在同一个地方。比如说电信或者移动的网络给大家提供服务就可以了。但是现在我们的大部分的应用都有像云环境部署的这么一个趋势。比较典型的,我们现在经常遇到的一些类型,包括使用CDN,以及大规模服务器的云服务器、多网络和大量的安全设备。最近习总书记经常强调国家信息安全,安全设备的使用其实对于我们的网络服务还是产生了一些影响的。
再往下看。另外一个带来的变化就是用户数量级的变化,还是从政府的角度来举例子。比如说以前我们去查我们的交通违章,我们可能需要去车管所或者是交管大队的窗口,北京市一共有几个窗口,上千个不得了了。但是现在你可以自己查,可以去公众号,比如说查违章的APP上面也可以查,北京有600多万辆汽车,如果有三分之一的人下载了软件,那它的量级肯定是不一样了,对于政府它所提供的能力也是一个很大的考验。
另外一个问题就是接入方式的多样化,刚才我们看到各种各样的终端。我们现在检测中心所收集的手机终端虽然不算多,也有一百多种。它们的屏幕包括4寸的,4.5寸的,5寸的,甚至还有3点几寸的。手机的分辨率对APP是有要求的,所以不同的APP在终端上是否能够工作,它的兼容性是否能够保证其实也是一个很大的问题。右边是我们对于报错的安卓设备和一些开发者使用设备的调查,这些大家回头可以参考一下。
然后再回到安全方面。由于现在大家的手机都是职能手机,所以安全性怎么检测?以前PC机上的安全病毒或者是一些恶意软件,其实各家厂商他们反应的程度比较快。但是现在手机端的病毒,变化的速度远远超过传统的病毒,我们怎么检测?它的特征检测复杂度非常大,对于手机的能耗是一个很大的考验。大家可以看上面的统计,2011年手机病毒木马样本大概是1.5万个,到2013年,它达到了将近20万个,几乎是以前的20倍。作为一个检测机构,我们是提供软件质量保障的,从我们的角度来说,怎么样解决上述的一些问题,我们还是分重点来。首先是移动平台,包括互联网云端的服务,我们怎么样去做检测。首先大家看结构图,最典型的移动应用,包括云服务端,包括一些安全设备,包括互联网终端,手持终端等等。首先,对于一些传统的终端我们可以继续沿用传统的检测方式。我们单位还提供了一些云端的性能测试平台,举个例子,我们可以从青岛、上海、杭州,甚至可以从美国或者欧洲,我们都可以用云平台来用我们的性能测试工具,你想要多少压力就有多少压力。然后我们还有自己的移动终端真机检测平台,我们手机的上百台终端在这个检测平台上自动运行,这个APP你如果想看它的兼容性的话可以拿过来。这还是刚才的问题,云性能测试平台。
大家可以看到,通过我们中心的电信通的主机,我们可以连接到云主机,不管是50台、500甚至5000台都可以提供。我们的移动终端真机检测平台有一个中央控制器,下面有上百台终端,包括安卓、苹果各种各样。大家知道有一些安全漏洞在你刚使用的时候是不会发作的,可能你用了五天、七天之后会发一些信息,发一些扣费的软件。只要这个软件在我们的平台上可以跑下去,我们可以检测扣费软件、扣费短信甚至扣费电话。除此之外,我们的移动应用安全检测平台也是我们新开发的一个平台。当然大家对于移动应用安全检测的原理,我觉得都应该比较了解了。一个主要的方面就是反编译义,可以看到里面一些对于用户敏感信息的获取或者非法读取。对于那些无法进行反编译的软件我们可以对它的行为进行监控,缉毒日志。谢谢大家。
第八届中国软件渠道大会与您相约5月25日沈阳站,诚邀您莅临参会!
