對移動互聯網的安全問題分析及對策

文/郝江波洪志國

對移動互聯網的安全問題分析及對策

文/郝江波洪志國

隨著互聯網的發展，尤其是商務類應用的快速發展，許多不法分子紛紛將牟利黑手伸向互聯網，導致近年來網絡安全威脅和誠信危機事件頻發。雖然近年來政府不斷加大對網絡安全問題的集中治理力度，網絡安全誠信問題有了明顯的改善，但形勢依舊嚴峻，問題仍不容忽視。在移動互聯網中的安全主要可以分為網絡安全，移動終端安全，業務安全，信息內容安全。

一、安全分析

1.網絡安全。移動互聯網打破了傳統互聯網的網絡安全環境，同時也大大削弱了通信網原有的安全特性。原有通信網具有網絡封閉性高，信息傳輸和控制管理分離，終端類型單一和終端可溯源性，這使得原有通信網具有高安全性。而IP化后的移動通信網絡作為移動互聯網的一部分，大大降低了原有通信網的安全性。IP網絡使用的信令和協議，通常存在大量的可被利用的各類漏洞(如拒絕服務和緩沖區溢出等)，且大多數信令和協議的設計對于安全問題沒有進行審慎的考慮，也未曾進行系統的安全評估和模擬測試，一個惡意構造的數據包就可以很容易引起設備死機，導致業務癱瘓。

融合后的互聯網，增加了無線空口接入，從而使互聯網產生了一些新的安全威脅。例如通過破解空口接入協議非法訪問網絡，對空口傳遞信息進行監聽和盜取，對無線資源和設備的服務濫用攻擊等。

2.移動終端安全。移動終端設備安全，尤其是手機安全已經引起了人們的廣泛關注。惡意軟件、惡意騷擾、隱私泄露等，在用戶不知情的情況下定購業務、按照手機通信錄中的名單群發垃圾短信或是轉發病毒、竊取手機上用戶有用信息，有的甚至可以損壞手機軟硬件，造成手機運行緩慢、死機或者是硬件損壞。隨著智能終端的普及和操作系統的統一，智能終端操作系統存在的安全漏洞，將導致手機在接收彩信、手機瀏覽網頁、下載安裝軟件等情況下可能感染病毒或遭到入侵，造成用戶隱私泄露、信息丟失、話費損失等危害，并對通信網的運行安全造成一定威脅。

3.業務安全。業務安全主要包括非法訪問業務、非法訪問數據、拒絕服務攻擊等。移動互聯網的發展帶動了大批具有移動特色的新型融合性移動應用的繁榮，例如移動電子商務、定位業務，以及飛信、QQ等即時或短信業務。這些應用和移動通信傳統業務充分融合，業務環節和參與設備相對增加很多。同時由于移動業務帶有明顯的個性化特征，且擁有如用戶位置、通信錄、交易密碼等用戶隱私信息，因此這類業務應用一般都具有很強的信息安全敏感度。正是由于以上特征，再加上移動互聯網潛在的巨大用戶群，移動業務應用將面臨的安全威脅會具有更強的攻擊目的、更多樣化的攻擊方式和更大的攻擊規模。

4.信息內容安全。移動互聯網的信息不僅可來自互聯網，而且可以來自移動網以及移動網與互聯網結合所得的創新業務。包括移動瀏覽、移動 Web2.0、移動搜索、移動地圖、移動Mashup在內的多數信息屬于公眾信息而不是端到端通信。這使得移動互聯網上的違法信息、不良信息以及侵犯公民隱私的敏感信息等得不到有效的過濾和檢查，給社會和人們的生活帶來了極大危害。

二、安全解決方案

1.網絡安全保護。在網絡安全保護方面，要加強移動互聯網的無線空口接入安全、移動互聯網IP承載網絡運營環境和安全防護。針對3G網絡的無線空口接入可以采用雙向認證鑒權，無線空口采用加強型加密機制，增加抵抗惡意攻擊的安全特性等，大大增強了移動互聯網的接入安全能力。針對移動互聯網IP承載網絡，可以部署異常流量監控和清洗技術，部署網絡溯源技術，利用設置業務網關/代理/平臺的方式，規范用戶對網絡側系統和設備的訪問行為等，提高承載網絡安全。

2.移動終端安全保護。移動終端安全保護方面，針對終端數據保護，可以通過手機鎖定、輸入密碼等方式對用戶身份進行認證；通過終端數據自動擦除或遠端服務器擦除等方式對丟失手機上的數據進行保護；通過在移動終端上安裝殺毒軟件、防火墻等防護軟件，遏制手機病毒和垃圾郵件的泛濫；對惡意代碼的遏制則可采用數字簽名認證機制，通過對API的調用進行簽名認證，禁止未獲得簽名的應用軟件在移動終端上加載和運行。移動終端廠商要從移動互聯網整體建設角度出發，加強設備安全性能研究，利用集成防火墻或其他技術保障設備安全，同時也要與軟件廠商等其他廠商合作，通過對終端安全性的把控提高移動互聯網的安全程度。

3.業務安全保護。在業務安全方面，需要對服務提供方進行嚴格認證。3GPP和3GPP2都有相應業務標準的機制。比如有WAP安全機制、Presenee業務安全機制、定位業務安全機制等，其他方面還包括垃圾短消息的過濾機制，對于版權有OMA的DRM的標準等。目前正在標準化的GBA/GAA是一種對業務服務器進行認證的有效解決辦法。移動互聯網業務紛繁復雜，需要通過多種手段，不斷健全業務方面的安全機制。

4.信息內容安全保護。在信息內容安全的保護方面，政府相關監管部門要協調各監管部門利益，建立并完善移動互聯網的安全監管機制。要建立完備的移動互聯網信息服務許可證、備案制度和信息發布制度。建立完備的移動互聯網新聞登載業務的審批制度，同時要嚴格監管移動互聯網傳播禁載內容，建立和完善相應的法律、法規。對各類移動互聯網犯罪行為進行追蹤懲戒，加大執法力度。作為政府部門，同時要開展深入廣泛的移動互聯網安全宣傳教育工作，強調用戶的自我安全保護。

隨著3G網絡的進一步建設、智能終端的進一步普及，人們對互聯網需求和依賴性的進一步增強，移動互聯網用戶規模和網絡規模都將呈現爆炸性增長，因此移動互聯網是擺在人們面前亟待解決的一個問題，需要通過網絡安全，移動終端安全，業務安全和信息內容安全來全面保護移動互聯網。移動互聯網的安全不僅僅是技術問題，還應該重視管理，強化政府監管部門的監管力度，要從整個產業鏈協同發展的角度來保障移動互聯網的安全。當前正處在移動互聯網發展初期，完全有機會依據移動互聯網安全框架，通盤考慮安全需求與技術，使移動互聯網乃至未來整個互聯網都變得更安全。

中國傳媒大學工科規劃項目(XNG1126)

（作者單位：中國傳媒大學計算機學院）

（責任編輯：古偉鋒）

國家高技術研究發展計劃資助項目(2011AA01A107)；