移動(dòng)互聯(lián)網(wǎng)時(shí)代信息安全探討與研究

武 釗

(同濟(jì)大學(xué) 上海 200092)

1 移動(dòng)互聯(lián)網(wǎng)時(shí)代信息安全正受到嚴(yán)重威脅

1.1 智能手機(jī)受到的主要威脅

在移動(dòng)互聯(lián)網(wǎng)高速發(fā)展的今天，4,G網(wǎng)絡(luò)給用戶帶來的是更快速高效的體驗(yàn)。而在不同的智能手機(jī)和網(wǎng)絡(luò)背后，可能有一些別有用心的人，他們或是不正當(dāng)獲取用戶的個(gè)人資料從事不法活動(dòng)，或是以占有財(cái)物為目的侵占用戶的賬戶信息，或是推送一些用戶被動(dòng)傳播的不良信息，或是利用用戶的現(xiàn)有賬號來資費(fèi)消耗……這些無不困擾著廣大移動(dòng)互聯(lián)網(wǎng)用戶。

1.2 來自移動(dòng)互聯(lián)網(wǎng)威脅分類

來自于移動(dòng)互聯(lián)網(wǎng)的威脅主要分為 3類，分別是硬件、系統(tǒng)和應(yīng)用程序。針對終端硬件層面的威脅主要包括 SIM 卡克隆、監(jiān)控竊聽、設(shè)備丟失和破壞等。目前來看，危害最大的莫過于由于智能手機(jī)的丟失而造成的用戶信息泄露。眾所周知，現(xiàn)在的大部分設(shè)備都不具備指紋識別系統(tǒng)，也就是沒有用戶權(quán)限授權(quán)訪問、遠(yuǎn)程保護(hù)等安全預(yù)案，造成由于不能及時(shí)鎖定手機(jī)而形成嚴(yán)重后果?，F(xiàn)在流行的智能手機(jī)系統(tǒng)主要有 IOS、Android、WP等，而系統(tǒng)層面的威脅，主要針對安卓等開源系統(tǒng)。不法之徒會(huì)通過開放性的安卓論壇，以逆向工程還原成源代碼，經(jīng)過惡意植入修改打包發(fā)布在一些網(wǎng)站上，在良莠不齊的論壇和網(wǎng)站中，這種惡意程序比比皆是，而無論是哪一種系統(tǒng)，都會(huì)自動(dòng)運(yùn)行收集用戶位置的程序，收集用戶的相關(guān)使用信息和 MAC物理地址等信息。應(yīng)用程序?qū)用娴陌踩{，主要是指由于各種惡意程序木馬而引發(fā)的用戶財(cái)產(chǎn)損失、通話監(jiān)聽、惡意訂購等安全風(fēng)險(xiǎn)。據(jù)不完全統(tǒng)計(jì)，截至2014年底國內(nèi)新增手機(jī)惡意程序 91萬個(gè)，同比增長了 5倍。而這些不良的程序通常被植入了木馬程序，成為滋生犯罪的溫床。

2 移動(dòng)互聯(lián)網(wǎng)終端安全管理的現(xiàn)狀和問題

由于我國移動(dòng)互聯(lián)網(wǎng)發(fā)展過快，大多數(shù)的網(wǎng)絡(luò)安全公司并沒有預(yù)料到這種情況的發(fā)生。大多數(shù)的手機(jī)防御軟件都是從電腦端移植過來的，存在著對于系統(tǒng)的適應(yīng)性障礙。不同于電腦端的應(yīng)用程序，手機(jī)應(yīng)用程序的反安裝程序通常不容易在根目錄下找到，因此，普通用戶也不具備自行卸載的能力。由此可見，需要智能終端產(chǎn)業(yè)鏈上的各個(gè)環(huán)節(jié)都能夠重視應(yīng)用安全，從標(biāo)準(zhǔn)建立、技術(shù)探索、管理規(guī)范等方面加強(qiáng)對于智能終端的安全保護(hù)。

2.1 建立行業(yè)標(biāo)準(zhǔn)規(guī)范

2013年，工信部頒布了《關(guān)于加強(qiáng)移動(dòng)智能終端管理的通知》，此通知從根本上約束了終端生產(chǎn)商對于內(nèi)置軟件的安裝，維護(hù)了用戶的合法權(quán)益和信息安全。要求生產(chǎn)企業(yè)在未經(jīng)用戶同意的情況下，不可擅自安裝收集用戶個(gè)人信息、調(diào)用衛(wèi)星定位功能、耗費(fèi)流量功能的插件。而后又發(fā)布了《聯(lián)網(wǎng)軟件安全行為規(guī)范》，進(jìn)一步要求和規(guī)范網(wǎng)絡(luò)運(yùn)營企業(yè)對于放置在網(wǎng)上的軟件運(yùn)行機(jī)制、安全檢測、行為方式的監(jiān)管。

2.2 網(wǎng)絡(luò)安全的技術(shù)探索

對于整個(gè)產(chǎn)業(yè)鏈來看，終端生產(chǎn)廠商、系統(tǒng)商、安全服務(wù)廠商、應(yīng)用商店運(yùn)營者、科研機(jī)構(gòu)都有責(zé)任和義務(wù)參與到網(wǎng)絡(luò)安全技術(shù)探索中來。這就要求智能終端廠商，首先要構(gòu)建基于可信計(jì)算技術(shù)和現(xiàn)有智能終端的硬件結(jié)構(gòu)的移動(dòng)智能終端可信體系架構(gòu)，以軟件形式的移動(dòng)可信模塊為基礎(chǔ)建立面向各核心部件的信任鏈，保證整個(gè)系統(tǒng)的安全運(yùn)行；按照應(yīng)用運(yùn)行的狀態(tài)，使用控制模型的移動(dòng)應(yīng)用動(dòng)態(tài)行為可信度量機(jī)制，將動(dòng)態(tài)度量劃分為靜態(tài)使用控制和運(yùn)行動(dòng)態(tài)使用控制兩個(gè)階段；建立移動(dòng)可信網(wǎng)絡(luò)連接認(rèn)證體系，不僅局限于客戶身份的認(rèn)證，更要擴(kuò)展到移動(dòng)終端平臺的軟、硬件配置狀態(tài)，該方案采用直接匿名認(rèn)證和遠(yuǎn)程認(rèn)證向認(rèn)證服務(wù)器證明移動(dòng)可信模塊的真實(shí)性和可靠性，實(shí)現(xiàn)移動(dòng)終端設(shè)備在動(dòng)態(tài)過程中的可信接入認(rèn)證。同原有認(rèn)證機(jī)制來比較，現(xiàn)有的方案更具有效率高、運(yùn)算量小等特點(diǎn)；針對終端后臺解析過程中有可能產(chǎn)生的安全威脅，依照數(shù)字內(nèi)容的使用流程分解成 4個(gè)解析過程，并借助可信終端提供的安全存儲、時(shí)間保護(hù)、技術(shù)保護(hù)等機(jī)制有效保護(hù)數(shù)字密鑰的安全，確保權(quán)限不被惡意篡改。

2.3 建立和實(shí)施針對移動(dòng)安全的管理制度

2010年開始，我國相關(guān)部門連續(xù)出臺了一系列法律法規(guī)來規(guī)范和約束電信運(yùn)營商的經(jīng)營行為和對于應(yīng)用軟件運(yùn)營商的經(jīng)營規(guī)范，一方面懲治那些制作和傳播不利于社會(huì)穩(wěn)定和網(wǎng)絡(luò)環(huán)境的不法之徒，另一方面為有關(guān)部門提供執(zhí)法的依據(jù)。這一系列法律法規(guī)的出臺，指導(dǎo)了移動(dòng)通訊運(yùn)營商、終端制造商、系統(tǒng)提供商、安全企業(yè)等相關(guān)各方共同凈化網(wǎng)絡(luò)環(huán)境，維護(hù)用戶的合法權(quán)益。這不僅是廣大移動(dòng)互聯(lián)網(wǎng)用戶的訴求，更是國家戰(zhàn)略信息安全的要求。

3 移動(dòng)互聯(lián)網(wǎng)時(shí)代信息安全的發(fā)展趨勢與展望

面對移動(dòng)互聯(lián)網(wǎng)環(huán)境的不斷改善，作為硬件制造商的終端首先應(yīng)該保證嚴(yán)格的質(zhì)量體系，履行進(jìn)網(wǎng)許可規(guī)范，提升終端安全技術(shù)的研發(fā)，保護(hù)自己的知識產(chǎn)權(quán)。這里的保護(hù)知識產(chǎn)權(quán)并不是指固步自封，閉門造車，而是指在安全標(biāo)準(zhǔn)引導(dǎo)下的自主創(chuàng)新研發(fā)能力。鼓勵(lì)企業(yè)參與設(shè)計(jì)芯片和操作系統(tǒng)等關(guān)系到國家戰(zhàn)略意義的行業(yè)，通過不斷的創(chuàng)新和創(chuàng)造，進(jìn)一步固化我國在移動(dòng)終端產(chǎn)業(yè)鏈上的優(yōu)勢地位，擺脫國外廠商對行業(yè)的壟斷，提高自身的控制力和議價(jià)能力。在國家的法律法規(guī)框架下，推動(dòng)相關(guān)安全標(biāo)準(zhǔn)的制定和貫徹實(shí)施，加強(qiáng)對終端產(chǎn)品的安全檢測內(nèi)容和科學(xué)檢測方法，發(fā)布對于硬件缺陷的補(bǔ)足程序，保護(hù)用戶信息，預(yù)置卡機(jī)互鎖模塊和完善系統(tǒng)的功能。

推進(jìn)第三方權(quán)威檢測實(shí)驗(yàn)室的建設(shè)，對于應(yīng)用程序提供商和發(fā)布平臺進(jìn)行評估和安全檢測，將法律法規(guī)的要求落在實(shí)處，從源頭上保證應(yīng)用程序的安全和質(zhì)量，保證研發(fā)、編碼、轉(zhuǎn)碼、發(fā)布、下載、升級等各個(gè)環(huán)節(jié)的信息安全，要求企業(yè)不斷改進(jìn)技術(shù)和管理流程。

可以預(yù)見，未來的移動(dòng)互聯(lián)網(wǎng)將是圍繞著智能終端發(fā)展、保證用戶安全的多維系統(tǒng)，企業(yè)不僅要實(shí)現(xiàn)更多的商業(yè)價(jià)值，還要承擔(dān)更多的社會(huì)責(zé)任。在攻防形式方面，巨大的經(jīng)濟(jì)利益促使著不良企業(yè)繼續(xù)侵犯用戶數(shù)據(jù)安全，在安全廠商的博弈過程中，不斷考驗(yàn)著決策者的管理智慧。

4 結(jié) 語

在移動(dòng)互聯(lián)網(wǎng)快速發(fā)展的今天，沒有任何一種應(yīng)對機(jī)制和行動(dòng)方案永遠(yuǎn)是最優(yōu)的，隨著硬件技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)平臺的不斷優(yōu)化，應(yīng)用程序的不斷更新，要求安全運(yùn)營商和決策者有責(zé)任、有義務(wù)在保證行業(yè)健康發(fā)展的同時(shí)，以動(dòng)態(tài)的眼光去看待相應(yīng)的管理手段，只有這樣，移動(dòng)互聯(lián)網(wǎng)才能在健康的快車道上發(fā)展進(jìn)步?！?/p>

［1］楊劍.WatchGuard統(tǒng)一威脅管理平臺領(lǐng)跑信息安全[J].電子與電腦，2010(3)：106.

［2］胡宇新.金融網(wǎng)站安全保護(hù)問題研究[J].信息網(wǎng)絡(luò)安全，2010(7)：29-30.

［3］李文武，游文霞，王先培.電力系統(tǒng)信息安全研究綜述[J].電力系統(tǒng)保護(hù)與控制，2011(10)：140-147.