移動互聯網安全問題及其對策

摘 要：本文根據移動互聯網的特性，分析了影響移動互聯網的安全因素，基于這些因素，分別從業務、網絡、移動終端三個層面講述了移動互聯網存在的安全威脅及應對策略。同時也提出移動互聯網的安全保障，需要全社會共同參與進行綜合防范。

關鍵詞：移動互聯網；安全威脅；應對策略

隨著3G應用日漸廣泛，智能手機等移動終端的飛速增長，移動互聯網正在一步步地改變我們的生活。同時，由于移動互聯網本身的特性，也帶來了諸多的安全威脅，移動網絡上的安全問題日益凸顯。360安全中心發布的《2013年中國手機安全狀況報告》顯示，2013年全年，Android平臺新增惡意程序樣本67.1萬個，較2012年增長4.4倍；用戶感染惡意程序9747萬人次，較2012年增長了88.3%。

1 移動互聯網的安全現狀

自由開放的移動網絡帶來巨大信息量的同時，也給運營商帶來了業務運營成本的增加，給信息的監管帶來了沉重的壓力。同時使用戶面臨著經濟損失、隱私泄露的威脅和通信方面的障礙。移動互聯網由于智能終端的多樣性，用戶的上網模式和使用習慣與固網時代很不相同，使得移動網絡的安全跟傳統固網安全存在很大的差別，移動互聯網的安全威脅要遠甚于傳統的互聯網。

⑴移動互聯網業務豐富多樣，部分業務還可以由第三方的終端用戶直接運營，特別是移動互聯網引入了眾多手機銀行、移動辦公、移動定位和視頻監控等業務，雖然豐富了手機應用，同時也帶來更多安全隱患。應用威脅包括非法訪問系統、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內容版權盜用和不合理的使用等問題。

⑵移動互聯網是扁平網絡，其核心是IP化，由于IP網絡本身存在安全漏洞，IP自身帶來的安全威脅也滲透到了移動互聯網。在網絡層面，存在進行非法接入網絡，對數據進行機密性破壞、完整性破壞；進行拒絕服務攻擊，利用各種手段產生數據包造成網絡負荷過重等等，還可以利用嗅探工具、系統漏洞、程序漏洞等各種方式進行攻擊。

⑶隨著通信技術的進步，終端也越來越智能化，內存和芯片處理能力也逐漸增強，終端上也出現了操作系統并逐步開放。隨著智能終端的出現，也給我們帶來了潛在的威脅：非法篡改信息，非法訪問，或者通過操作系統修改終端中存在的信息，產生病毒和惡意代碼進行破壞。

綜上所述，移動互聯網面臨來自三部分安全威脅：業務應用的安全威脅、網絡的安全威脅和移動終端的安全威脅。

2 移動互聯網安全應對策略

2010年1月工業和信息化部發布了《通信網絡安全防護管理辦法》第11號政府令，對網絡安全管理工作的規范化和制度化提出了明確的要求?？蛻粜枨蠛驼邔虺蔀榱艘苿踊ヂ摼W安全問題的新挑戰，運營商需要緊緊圍繞“業務”中心，全方位多層次地部署安全策略，并有針對性地進行安全加固，才能打造出綠色、安全、和諧的移動互聯網世界。

2.1 業務安全

移動互聯網業務可以分為3類：第一類是傳統互聯網業務在移動互聯網上的復制；第二類是移動通信業務在移動互聯網上的移植，第三類是移動通信網與互聯網相互結合，適配移動互聯網終端的創新業務。主要采用如下措施保證業務應用安全：

⑴提升認證授權能力。業務系統應可實現對業務資源的統一管理和權限分配，能夠實現用戶賬號的分級管理和分級授權。針對業務安全要求較高的應用，應提供業務層的安全認證方式，如雙因素身份認證，通過動態口令和靜態口令結合等方式提升網絡資源的安全等級，防止機密數據、核心資源被非法訪問。

⑵健全安全審計能力。業務系統應部署安全審計模塊，對相關業務管理、網絡傳輸、數據庫操作等處理行為進行分析和記錄，實施安全設計策略，并提供事后行為回放和多種審計統計報表。

⑶加強漏洞掃描能力。在業務系統中部署漏洞掃描和防病毒系統，定期對主機、服務器、操作系統、應用控件進行漏洞掃描和安全評估，確保攔截來自各方的攻擊，保證業務系統可靠運行。

⑷增強對于新業務的檢查和控制，尤其是針對于“移動商店”這種運營模式，應盡可能讓新業務與安全規劃同步，通過SDK和業務上線要求等將安全因素植入。

2.2 網絡安全

移動互聯網的網絡架構包括兩部分：接入網和互聯網。前者即移動通信網，由終端設備、基站、移動通信網絡和網關組成；后者主要涉及路由器、交換機和接入服務器等設備以及相關鏈路。網絡安全也應從以上兩方面考慮。

⑴接入網的網絡安全。移動互聯網的接入方式可分為移動通信網絡接入和Wi-Fi接入兩種。針對移動通信接入網安全，3G以及未來LTE技術的安全保護機制有比較全面的考慮，3G網絡的無線空口接入采用雙向認證鑒權，無線空口采用加強型加密機制，增加抵抗惡意攻擊的安全特性等機制，大大增強了移動互聯網的接入安全能力。針對Wi-Fi接入安全，Wi-Fi的標準化組織IEEE使用安全機制更完善的802.11i標準，用AES算法替代了原來的RC4，提高了加密魯棒性，彌補了原有用戶認證協議的安全缺陷。針對需重點防護的用戶，可以采用VPDN、SSLVPN的方式構建安全網絡，實現內網的安全接入。

⑵承載網網絡及邊界網絡安全。1）實施分域安全管理，根據風險級別和業務差異劃分安全域，在不同的安全邊界，通過實施和部署不同的安全策略和安防系統來完成相應的安全加固。移動互聯網的安全區域可分為Gi域、Gp域、Gn域、Om域等。2）在關鍵安全域內部署人侵檢測和防御系統，監視和記錄用戶出入網絡的相關操作，判別非法進入網絡和破壞系統運行的惡意行為，提供主動化的信息安全保障。在發現違規模式和未授權訪問等惡意操作時，系統會及時作出響應，包括斷開網絡連接、記錄用戶標識和報警等。3）通過協議識別，做好流量監測。依據控制策略控制流量，進行深度檢測識別配合連接模式識別，把客戶流量信息捆綁在安全防護系統上，進行數據篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量，可以防止異常大流量沖擊導致網絡設備癱瘓。4）加強網絡和設備管理，在各網絡節點安裝防火墻和殺毒系統實現更嚴格的訪問控制，以防止非法侵人，針對關鍵設備和關鍵路由采用設置4A鑒權、ACL保護等加固措施。

2.3 終端安全

移動互聯網的終端安全包括傳統的終端防護手段、移動終端的保密管理、終端的準入控制等。

⑴加強移動智能終端進網管理。移動通信終端生產企業在申請入網許可時，要對預裝應用軟件及提供者進行說明，而且生產企業不得在移動終端中預置含有惡意代碼和未經用戶同意擅自收集和修改用戶個人信息的軟件，也不得預置未經用戶同意擅自調動終端通信功能、造成流量耗費、費用損失和信息泄露的軟件。

⑵不斷提高移動互聯網惡意程序的樣本捕獲和監測處置能力，建設完善相關技術平臺。移動通信運營企業應具備覆蓋本企業網內的監測處置能力。

⑶安裝安全客戶端軟件，屏蔽垃圾短信和騷擾電話，監控異常流量。根據軟件提供的備份、刪除功能，將重要數據備份到遠程專用服務器，當用戶的手機丟失時可通過發送短信或其他手段遠程鎖定手機或者遠程刪除通信錄、手機內存卡文件等資料，從而最大限度避免手機用戶的隱私泄露。

⑷借鑒目前定期發布PC操作系統漏洞的做法，由指定研究機構跟蹤國內外的智能終端操作系統漏洞發布信息，定期發布官方的智能終端漏洞信息，建設官方智能終端漏洞庫。向用戶宣傳智能終端安全相關知識，鼓勵安裝移動智能終端安全軟件，在終端廠商的指導下及時升級操作系統、進行安全配置。

3 從產業鏈角度保障移動互聯網安全

對于移動互聯網的安全保障，需要從整體產業鏈的角度來看待，需要立法機關、政府相關監管部門、通信運營商、設備商、軟件提供商、系統集成商等價值鏈各方共同努力來實現。

⑴立法機關要緊跟移動互聯網的發展趨勢，加快立法調研工作，在基于實踐和借鑒他國優秀經驗的基礎上，盡快出臺國家層面的移動互聯網信息安全法律。在法律層面明確界定移動互聯網使用者、接入服務商、業務提供者、監管者的權利和義務，明確規范信息數據的采集、保存和利用行為。同時，要加大執法力度，嚴厲打擊移動互聯網信息安全違法犯罪行為，保護這一新興產業持續健康發展。

⑵進一步加大移動互聯網信息安全監管力度和處置力度。在國家層面建立一個強有力的移動互聯網監管專門機構，統籌規劃，綜合治理，形成“事前綜合防范、事中有效監測、事后及時溯源”的綜合監管和應急處置工作體系；要在國家層面建立移動互聯網安全認證和準入制度，形成常態化的信息安全評估機制，進行統一規范的信息安全評估、審核和認證；要建立網絡運營商、終端生產商、應用服務商的信息安全保證金制度，以經濟手段促進其改善和彌補網絡運營模式、終端安全模式、業務應用模式等存在的安全性漏洞。

⑶運營商、網絡安全供應商、手機制造商等廠商，要從移動互聯網整體建設的各個層面出發，分析存在的各種安全風險，聯合建立一個科學的、全局的、可擴展的網絡安全體系和框架。綜合利用各種安全防護措施，保護各類軟硬件系統安全、數據安全和內容安全，并對安全產品進行統一的管理，包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。建立安全應急系統，做到防患于未然。移動互聯網的相關設備廠商要加強設備安全性能研究，利用集成防火墻或其他技術保障設備安全。

⑷內容提供商要與運營商合作，為用戶提供加密級業務，并把好內容安全之源，采用多種技術對不合法內容和垃圾信息進行過濾。軟件提供商要根據用戶的需求變化，提供整合的安全技術產品，要提高軟件技術研發水平，由單一功能的產品防護向集中統一管理的產品類型過渡，不斷提高安全防御技術。

⑸普通用戶要提高安全防范意識和技能，加裝手機防護軟件并定期更新，對敏感數據采取防護隔離措施和相關備份策略，不訪問問題站點、不下載不健康內容。

4 結束語

解決移動互聯網安全問題是一個復雜的系統工程，在不斷提高軟、硬件技術水平的同時，應當加快互聯網相關標準、法規建設步伐，加大對互聯網運營監管力度，全社會共同參與進行綜合防范，移動互聯網的安全才會有所保障。

[參考文獻]

[1]陳尚義.移動互聯網安全技術研究[J].信息安全與通信保密，2010.8.

[2]李勇輝，王曉箴，賈亦辰.移動互聯網安全威脅及策略研究[J].郵電設計技術，2013.10.