移動互聯網的信息安全管理

【摘要】 移動互聯網已進入爆發式增長階段，而移動互聯網獨特的網絡環境也對信息安全帶了很多新的挑戰。本文分析了移動互聯網下的信息安全威脅，進一步剖析了其原因，并提出了在移動互聯網環境下加強信息安全管理的措施。

【關鍵詞】 信息安全 移動互聯網

Abstract The mobile Internet has entered the stage of explosive growth. The unique network environment of mobile internet brings lots of new challenges on information security. The paper describes the threats to information security in mobile internet， analyzes its causes， and proposed several measures to strengthen the management of information security in the mobile Internet environment.

Keywords： Information security， Mobile internet

2013年中國互聯網絡信息中心（CNNIC）的報告顯示，我國網民規模達5.64億，其中手機網民超過4億，年增長率為18.1%。移動互聯網用戶持續增加，移動互聯網應用不斷增加，微信、手機地圖，手機支付等不但改變了用戶習慣，也顛覆了傳統的商業模式。移動互聯網的爆發式發展，新的技術領域、網絡架構及業務應用帶來了新的安全隱患。如何打造引動互聯網的信息安全保障體系，也成為越來越重要的議題。

一、移動互聯網環境下的信息安全威脅

1.1 數據丟失和泄露

隨著用戶在智能終端上保存的信息越來越多，包括了用戶銀行賬號、密碼等重要信息，甚至公司敏感信息，對智能終端的信息竊取行為也越來越多。而在移動互聯網環境下，智能手機的數據數據更容易面臨丟失和泄露風險，例如被盜、未經授權的訪問或未經授權的傳輸等。在企業內部，也有越來越多的機密數據通過智能手機郵件附件或文件傳輸而丟失和泄露。

部分手機病毒不但可以竊取用戶數據，監控用戶的短信和通話，還可監聽手機周圍的聲音，利用GPS功能監測手機用戶所在位置等。

1.2 惡意收費及散布網絡垃圾

大量的網站、開源軟件及應用中存在大量消費陷阱以及不健康的信息。某些應用中內嵌的廣告會產生大量的額外流量；網頁中藏有的病毒及木馬會竊取用戶信息，自動訂購業務、發送短信等，對用戶惡意收費；而淫穢圖片、虛假新聞等非法、有害的垃圾信息也通過移動互聯網得以傳播。

1.3用戶隱私無法保障

移動智能終端中保存了大量的用戶隱私數據，例如通信錄、郵件、日程表等，而廠家可為用戶提供數據同步及定位等功能。用戶手機中個人隱私數據信息可實時上傳到國外服務器上，用戶的個人活動范圍也會通過定位功能被掌握和監控。國外企業可通過服務器上的海量中國用戶數據進行分析，獲得社會輿情、用戶社交等信息，不但用戶隱私被泄露，甚至國家安全也受到監控及威脅。

二、移動互聯網環境下信息安全威脅的主要原因

2.1 缺乏政策指導

目前我國目前還沒有建設專業的移動互聯網法律，尚未出臺移動互聯網接入、手機實名制、手機病毒等的立法。從而缺乏對移動互聯網的法律制約和保護，不能依法協調移動互聯網運營、企業、用戶的利益與權益，保障移動互聯網信息安全。

2.2 手機病毒泛濫

目前的手機病毒已數千種，其增長速度甚至可能會超過傳統計算機病毒。隨著移動互聯網的發展，手機病毒泛濫并可能進入大爆發期。手機病毒可以通過短信、彩信、電子郵件、瀏覽網站等方式在移動通信網內傳播，也可利用紅外、藍牙等方式在手機終端間傳播，手機病毒的攻擊手段也愈發智能化、多樣化。

2.3 第三方軟件管理欠完善

隨著移動互聯網的開展，第三方軟件開發者眾多，為了迎合大眾需要及商業利益，各種應用層出不窮，而針對第三方軟件的管理卻難以保障。例如蘋果商店的應用就多達數十萬種，應用平臺難以確保每款應用的安全性和合法性。

2.4 網絡環境復雜

在移動互聯網中，終端可能通過2G、3G或者4G網絡接入，也可能通過Wi-Fi接入，移動互聯網的信息處理方法比傳統互聯網更加復雜，也導致其受到的威脅更多更大。大量的移動終端，也使得移動互聯網更容易受到拒絕服務攻擊的風險。

2.5 用戶行為難以溯源

由于移動互聯網增加了空中接入，采用了網絡地址轉換技術，破壞了互聯網“端到端透明” 的架構，再加上部分移動上網日志的缺失，使得只能追溯到某一對應多個私網用戶的公網Ip地址，而無法精確溯源，給不法分子提供了可乘之機。另外，手機實名制尚未普及，也使得移動互聯網成為不法分子實施犯罪的保護傘。

2.6 缺乏安全意識

大眾對傳統計算機的安全意識水平較低，對智能手機的安全意識更為缺乏。例如缺乏防病毒軟件，將重要信息保存或自動保存在手機中，隨意登陸免費無線網絡，通過手機隨意瀏覽頁面，在朋友圈傳播各類文件、應用、小游戲等，均帶來了信息安全隱患。部分公司中，智能手機通過無線連接方式連接企業網.并可通過移動蜂窩連接方式連接外網，從而可將數據傳輸到企業網內和網外，避開了IT的監控和控制及公司內外網的隔離，對公司的信息安全帶來威脅。

三、加強移動互聯網環境下信息安全的措施

3.1 建立移動互聯網環境下的信息安全管理政策

針對移動互聯網技術發展制定安全法規，例如手機實名制、隱私保護法、移動互聯網絡安全監控與防護、智能終端安全標準、應用軟件與應用軟件商店管理標準等，使通訊公司、設備廠家、服務提供商和軟件開發商有相應信息安全指導，使第三方的信息安全評測有據可依。建立起政府主管部門、通信行業、互聯網行業、軟件和硬件供應商，內容服務商的統一有效的安全管理平臺。

3.2構建移動互聯網信息安全管理架構

在傳統信息安全管理的基礎上，建立移動互聯網的信息安全管理框架。包括風險分析、安全需求分析、安全策略、安全的技術標準與規范、安全體系設計、安全審計眾多方面。既包含策略層面、管理層面，也涉及具體的技術層面、設備層面，覆蓋通信平臺、網絡平臺、系統平臺、應用平臺等。針對各種移動互聯網新技術、新業務建立網絡與信息安全評估機制，使安全隱患在業務推廣普及前得到及時有效的預防。

3.3 加強網絡管理與監督

1、在網絡架構方面，以LTE、P2P等技術為典型的扁平化網絡、分布式網絡的發展，需要在復雜的異構的網絡環境中建立統一的鑒權控制體系，確保用戶的接入控制，從而實現用戶鑒權及用戶行為溯源。2、擴展、延伸現有互聯網安全監管措施，使其覆蓋移動互聯網范圍。移動網絡運營商應當加強對無線網絡環境的監管和維護，包括IP承載網和接入網的安全。其中，IP承載網主要包括交換機、路由器、接入服務器等相關的設備和鏈路，IP接入網包括基站服務器、基站控制器、移動業務交換中心等，采用無線接入的還會涉及到部分AP等。3、加強網絡安全管理支撐技術。例如安全漏洞檢測技術、無線通道加密技術、端對端加密技術、密匙管理技術、主動防御技術、風險評測技術等。4、對移動互聯網中一些安全保密程度要求高的用戶實行入網認證和審計，通過U盾，加密卡或者字證書對信息進行加密認證，只有通過移動安全網關認證的用戶才能接入移動互聯網絡，避免通過破解身份鑒權算法和加密算法獲取用戶信息非法進入網絡。

3.4 加強移動終端管理

在移動終端加強安全管理，包括智能移動終端的固件安全管理，操作系統層及應用層安全管理。采用固件代碼完整性檢查分析技術和基于固件漏洞的信息檢查分析技術對智能移動終端網絡進行漏洞掃描和應用安全分析，采用智能移動終端源代碼安全分析技術對應用代碼進行安全靜態分析和動態安全分析，以及對智能移動終端本地數據進行安全分析等。

3.5 增強用戶安全意識

移動終端的防護是用戶主導的防護措施，提高用戶的安全意識成為了加強信息安全的重要手段。用戶應當在以下方面增強信息安全意識，養成良好的使用習慣。

1、啟動必要的用戶認證，為移動終端設置密碼；重要的或者敏感的個人信息，比如銀行卡的賬號、密碼等盡量不要存在或者不要明文保存在移動終端上。2、不濫用不安全的公共無線網絡，在公共無線網區域，注意盡量不要使用涉及到重要或敏感信息的軟件，不要在即時通信軟件中透露敏感信息。3、在家庭使用無線網絡的時候，應對無線網絡進行加密，并確保采用了足夠復雜和安全的加密方式。4、需要安裝APP時，選擇權威的網站及經過安全檢測的軟件，不要點擊未經驗證的下載、鏈接，不打開不安全的郵件。安裝必要的安全軟件，并了解安全軟件不是萬能的，并及時對軟件進行更新。5、通過手機軟件或者運營商提供的信息，經常關注流量情況，如果發現某一應用或一段時期的明顯流量異常，可能存在盜取流量行為或安裝了惡意軟件，應進一步進行檢查。6、移動終端在物理上始終為用戶所有，定期對機密或重要數據進行備份。如果智能終端遺失，應立即通過運營商進行安全保護處理。

四、結束語

網絡與信息安全任重道遠，在移動互聯網時代，安全問題是否得到良好解決對其本身發展有深遠影響。我們只有從立法、技術、監控、自律等多方面入手，建立完善的安全管理系統，對政府、廠家、運行商、用戶提供整個安全體系的支持和監管，才能營造安全的移動互聯網環境，保障移動互聯網的穩定健康發展。

作者簡介

呂曉峰 碩士研究生、工程師、信息系統項目管理師，主要研究方向為移動互聯網應用，通信網絡優化，大數據分析

周蓓 碩士研究生、講師，主要研究方向為信息安全，管理信息系統

參 考 文 獻

[1]孫穎，馬軍.網絡與信息安全形勢展望.電信技術[J].2010.6：54-56

[2]石慧.智能手機給移動互聯網帶來的問題與對策.科技向導[J].2012（21）：82

[2]胡建明.移動互聯網業務信息安全.信息通信[J].2013（4）：258-259

[3]班曉芳，佟鑫.移動互聯網安全威脅分析.電信技術[J].2012（7）：77-78

[4]趙書峰.移動互聯網的信息安全探析.韶關學院學報[J].2011（10）：30-33