移動互聯網安全測評關鍵技術研究

范紅　杜大海　王冠

摘要：探討了移動互聯網安全測評的5個重要方面：物理安全、移動智能終端安全、網絡安全、應用安全和網絡安全管理；給出了具體的測評指導內容；認為竊聽、惡意吸費、信息竊取、位置信息泄漏、金融竊取等安全事件頻發，移動互聯網的安全問題嚴重威脅到國家安全、金融安全、社會穩定和人民的根本利益，采取相應措施來保障移動互聯網的安全必須得到高度重視。

關鍵詞： 移動互聯網；信息安全；風險評估；安全測評

移動互聯網（MI）[1]是一種通過智能移動終端，采用移動無線通信方式獲取業務和服務的新興業務，包含終端、運行環境和應用3個層面。終端層包括智能手機、平板電腦、電子書、MID等；軟件包括操作系統、中間件、數據庫和安全軟件等。

移動互聯網結合了傳統互聯網和移動通信技術的技術，同時創造出了很多新的產業鏈。手機轉賬、手機購物、移動互聯網金融、移動定位技術、近場通信技術、基于移動定位技術的周邊交友、移動搜索、微博、朋友圈等社交網絡、手機地圖等都是一些新的應用。移動智能終端正逐漸完善功能，融合了傳統的PC技術，在智能終端上可以實現應用軟件的安裝和卸載。智能終端也擁有多種操作系統，包括Apple公司的iOS、Google公司的Android、Nokia公司的Symbian、Microsoft公司的Windows Phone等，還有一些基于Android系統開發的手機操作系統，使得移動智能終端的技術呈現多樣化，由此而產生的安全問題也趨于復雜。

在移動智能終端的操作系統中，很多應用軟件是在市場開放應用的，移動終端應用軟件在未進行監管的情況下被用戶任意下載。一些黑客程序被用戶無意識的下載到移動智能終端并被安裝，從而在移動終端裝上了“后門”程序，不法分子便可以借此竊取用戶信息。據工信部2014年1月發布的統計數量，中國移動互聯網用戶數量已經突破8億。由于存在全球最大的用戶，中國移動互聯網用戶的信息安全面臨更大的威脅。據2014上半年網秦手機安全報告：中國居全球手機病毒感染榜首。中國大陸地區以18.20%感染比例高居全球智能手機病毒重點感染區域第一；印度、沙特、印度尼西亞分別以14.20%、9.60、8.20%緊隨其后；美國以7.70%感染比例居全球第5[2]。移動互聯網安全已經成為中國網絡安全問題的一個嚴重威脅。移動互聯網面臨著信息竊取、隱私信息泄露、金融詐騙、商業機密和國家安全等多個方面的威脅。

1 移動互聯網安全威脅

移動互聯網融合了傳統互聯網的技術，移動智能終端操作系統多樣化，應用軟件市場開放等特點，使其安全問題較為復雜。移動互聯網安全威脅如圖1所示。各部分具體說明如下：

（1）操作系統安全漏洞

操作系統漏洞[3]是指移動智能終端操作系統（如Android、iOS等）本身所存在的問題或技術缺陷，給黑客留下了攻擊的機會。比如iPhone的Mail遠程信息泄露漏洞，iPhone內嵌的Mail郵件客戶端在處理安全套接層（SSL）連接時存在漏洞，遠程攻擊者可能利用此漏洞獲取用戶的敏感信息。如果將iPhone內嵌的Mail郵件客戶端配置為對入站和出站連接使用SSL的話，即使郵件服務器的身份已經改變或不可信任，Mail也不會警告用戶。能夠攔截連接的攻擊者可以扮演稱為用戶的郵件服務器，獲得用戶的郵件憑據或其他敏感信息。移動智能終端操作系統通常每隔一段時間會更新一個新的版本，提示用戶對終端操作系統進行升級，修補之前系統存在的漏洞。

（2）惡意吸費

在移動智能終端出廠之前或者刷機的時候，尤其是一些山寨手機，會被植入很多用戶并不知情的軟件。這些軟件當中，很多就是后門軟件，在用戶不知情的情況下，這些后門軟件會自動啟動。后門軟件通過轉發短信、盜打電話等方式扣費。

（3）信息竊取

通過植入木馬軟件，讀取存儲在移動智能終端的數據信息，比如通信錄、短信、通話內容、記事本、時間提醒、銀行賬號、個人隱私信息等數據，然后通過網絡傳輸到指定地方。

（4）垃圾信息

垃圾信息是指未經用戶同意向用戶發送的用戶不愿意收到的短信息，或用戶不能根據自己的意愿拒絕接收的短信息。不法分子通過偽造移動式基站，在不同地區獲取周邊移動智能終端的用戶信息，然后通過群發功能給用戶推送一些廣告等垃圾信息。垃圾信息泛濫，已經嚴重影響到人們正常生活、運營商形象乃至社會穩定。

（5）釣魚欺詐

不法分子通過搭建購物網站、或者假冒網站，使用戶在不明實情的情況下輸入網銀賬號及密碼等機密信息，不法分子在獲取個人賬號密碼之后，將用戶的存款轉走。釣魚網站已經成為目前移動互聯網金融詐騙的重要手段，給國家和公民帶來了巨大的損失，嚴重影響著國家和社會的安全和穩定。

（6）位置信息竊取

移動智能終端中通常包含有全球定位系統（GPS）定位信息，或者通過周邊網絡接入點信息來獲取移動智能終端的精確位置信息，這些包含移動智能終端經/緯度信息的數據被存儲在終端中，在移動智能終端接入網絡之后，用戶的個人位置信息及行走軌跡就會被上傳至遠端服務器。

（7）通話竊聽

通過安裝木馬程序在移動智能終端，在移動智能終端開機之后，它可以備份這個手機的所有的通話記錄，并通過移動智能終端的移動網絡或者Wi-Fi來上傳到一個固定的位置，從而竊聽到他人通話內容。

（8）后臺拍攝

通過安裝木馬程序在移動智能終端，后臺默默啟動攝像模式，進行拍照，對照片進行壓縮，上傳至網絡。

（9）其他

由于移動智能終端的操作系統功能復雜化、多樣化、開發性的特點，使得不法分子有更多的入侵機會。通過攻擊操作系統漏洞、植入木馬等多種手段，使得移動互聯網安全遭受到更多的攻擊，從而個人、社會和國家等不同層面的信息安全面臨著較大的威脅，嚴重影響了國家和社會的和諧穩定。

2 移動互聯網安全測評

關鍵技術

移動互聯網安全問題涉及到多個方面，要想保障移動互聯網的安全運營，需要從以下5個方面考慮：物理安全、移動智能終端安全、網絡安全、應用安全和網絡安全管理。

2.1 物理安全測評

要保證移動互聯網的安全，首先必須保證整個網絡系統的物理安全。物理安全包括計算機、機房環境、通信設備、設施、線路、電源、中繼站、機房、終端等。

（1）計算機系統環境條件測評。整個計算機系統的運行的環境，包括溫度、濕度、空氣清潔度、抗靜電、供電、電磁干擾、關鍵設備熱備等措施是否合格。

（2）機房環境測評。計算機系統需要在一個較好的空間中運行，需要注意機房的溫度、濕度、防火措施、地面抗靜電、避開強震動源、防盜等。

2.2 移動智能終端安全測評

移動智能終端是移動互聯網的核心部分，它在移動互聯網安全中扮演著兩個重要的角色。首先，移動互聯網的入侵是從移動終端實施的，病毒、攻擊等都可以通過移動智能終端進入到移動互聯網；其次，移動互聯網中的病毒和攻擊又通過移動智能終端得以實現。移動智能終端的安全測評包括5個部分：硬件安全能力、操作系統安全能力、應用層安全要求、外圍接口安全能力和用戶數據保護能力[4-5]。

（1）硬件安全能力。移動智能終端硬件應在芯片級保證移動通信終端內部閃存和基帶的安全，確保芯片內系統程序、終端參數、安全數據、用戶數據不被篡改或非法獲取。

（2）操作系統安全能力。操作系統是移動智能終端的核心軟件，操作系統的安全型制約著終端的整體安全性。對操作系統的安全能力要求包括通信類功能控制：包括撥打電話、發送短信、發送彩信、發送郵件、移動通信網絡數據連接、Wi-Fi連接；本機敏感功能受控機制：包括定位功能、通話錄音功能、本地錄音功能、拍照/攝像功能、對用戶數據的操作；操作系統更新。

（3）應用層安全要求。應用層安全主要是安裝在移動智能終端操作系統之上的應用軟件的安全要求，包括：應用軟件安全配置能力、應用軟件安全認證機制、開機自啟動程序監控、預置應用軟件安全要求。

（4）外圍接口安全能力。外圍接口安全是確保用戶對外圍接口的連接及數據傳輸的可知和可控，外為接口包括無線外圍接口和有線外圍兩種接口。

（5）用戶數據保護能力。用戶數據保護能力是為了防止用戶數據不被非法訪問、非法獲取、篡改，同時能夠通過備份保證數據的可恢復性。用戶數據保護能力要求包括：用戶數據的授權訪問、數據加密存儲、用戶的數據遠程保護、用戶數據的徹底刪除、用戶數據的可恢復性。

2.3 網絡安全測評

移動互聯網網絡包括兩個部分：接入網和IP承載網/互聯網。接入網采用移動通信網時包含基站、基站控制器、無線路由控制器、交換中心、網關、無線業務支持節點等相關設備；采用Wi-Fi接入時涉及到接入設備。IP承載網/互聯網主要涉及路由器、交換機和接入服務器等設備及通信鏈路[6-9]。

移動互聯網網絡安全和互聯網類似，主要存在非法訪問、網絡攻擊、網絡入侵、病毒傳播、洪水攻擊、猜測攻擊等一些攻擊手段[10-13]。因此，需要對上述安全問題做出相應的檢測。主要包括以下檢測內容：

（1）身份認證。所有接入設備和終端在進入移動互聯網時，需要對其進行認證，防止非法設備進入移動互聯網實施攻擊行為。

（2）監控審計。網絡中安裝有帶日志審計功能的安全設備，以便對實施網絡攻擊的設備進行倒查，查找攻擊點的位置及行為。

（3）數據加密。在移動互聯網中傳輸的一些機密數據需要先進行加密處理后再進行傳輸，防止被竊聽者截獲。

（4）異常監控。實時監控移動互聯網中的設備和流量信息，對于出現異常的設備或者異常的流量，應能夠立即產生報警。

（5）漏洞掃描。對移動互聯網承載網絡內的關鍵設備進行漏洞掃描，防止攻擊陷阱的存在，防患于未然。

（6）滲透測試。在移動互聯網內部進行模擬攻擊行為、發送病毒、木馬等程序，查看網絡是否能夠對攻擊行為采取有效的安全防護。

（7）安全補丁。對移動互聯網承載網絡內的關鍵設備進行檢查，查看系統是否進行了補丁升級，修補已發現的安全漏洞。

（8）數據備份。對網絡內部的關鍵設備進行定期數據備份，以備出現災難時候能夠應急恢復。

2.4 應用安全測評

移動互聯網的應用來自多個不同的方面，可以是移動智能終端的業務，也可以是從互聯網傳輸的數據，還包括這兩個結合的一些新業務。這些應用包括即時通訊、網絡瀏覽、文件傳輸、地圖應用、位置定位及網絡銀行等業務[14-15]。對移動互聯網的應用安全測評包括以下幾個方面：

（1）惡意代碼查殺。對移動互聯網中的應用在提交到應用商店時對其進行惡意代碼檢測，只有經過檢測合格的應用才能上線，防止有惡意代碼的應用在移動互聯網上蔓延。

（2）訪問控制。移動互聯網的應用資源比較豐富，為了防止非法用戶對網絡中的資源進行訪問或者控制，需要對用戶進行權限分配，訪問資源時進行身份認證，防止移動互聯網資源的被非法利用。

（3）內容過濾。對于在移動互聯網中傳輸的數據，需要對其內容進行過濾，過濾內容包括一些垃圾信息、病毒附件。

2.5 網絡安全管理測評

除了在技術上需要對移動互聯網進行安全管理，從行政及實體上也需要建立相應的安全管理制度，以完善移動互聯網的安全運營。網絡安全管理主要包括以下幾個方面：

（1）建立網絡運營規范和標準。對于移動互聯網的承載網絡的運營情況需要有一套有效、安全的規范制度和標準，防止在實際運行過程中無據可依，違規操作出現安全故障的事故發生。

（2）定期巡檢機制。移動互聯網的關鍵設備和設施需要定期對其進行安全檢查、抽查，查看其是否出現安全隱患，對于出現問題的地方需要立即采取補救措施。

（3）安全監管。建立第三方檢測機構，對移動互聯網網絡定期進行安全測評，對提供移動互聯網應用的商店進行安全檢測，實時發布安全檢測報告，并對外公布。

（4）應急響應制度。應建立完善的應急響應制度，對于移動互聯網運行過程中突發的安全事故，建立相應的安全等級標準，并制訂完善的應急響應方案，保障在事故之后能夠迅速恢復網絡運營。

3 結束語

移動互聯網在未來10年必將成為人們日常生活的重要組成部分，從通信到購物、旅行、掌上銀行等應用，與個人的衣食住行息息相關，因此必定會帶來一系列的安全隱患。解決移動互聯網在應用過程中的安全隱

患，是一個急需解決的問題。移動互聯網安全測評是保障移動互聯網安全運行的一個重要環節，從源頭上阻止安全隱患的爆發，是一項有效的安全保障措施。移動互聯網的測評技術會隨著應用的發展而逐步完善，從終端安全、應用安全和安全管理等方面制訂相應的標準規范，形成一套完整的測評技術指導體系。文章探討了移動互聯網中的存在的安全威脅和漏洞問題，對移動互聯網的安全測評提出了技術層面和管理層面的方法和手段，為從事移動互聯網安全測評相關人員的研究和工作提供參考。

參考文獻

[1] HAN B， LIU L. Based on Mobile Internet Application Security Sensitive CS-SVM Technology Research [C]//Proceedings of the 2012 Fifth International Symposium on Computational Intelligence and Design （ISCID）， Vol. 2. USA： IEEE， 2012：160-164

[2] 2014上半年網秦手機安全報告：中國居手機病毒感染榜首 [EB/OL]. [2015-03-01]. http：//econ.taiwan.cn/tx/201409/t20140909_7263501.htm，2014-09-09

[3] TRONT J G， MARCHANY R C. Internet Security： Intrusion Detection and Prevention in Mobile Systems [C]//Proceedings of the 2007. 40th Annual Hawaii International Conference on System Sciences， 2007. HICSS， USA： IEEE， 2007：162-165

[4] 中華人民共和國工業信息化部. 中華人民共和國通信行業標準 YD/T 2407-2013移動智能終端安全能力技術要求 [M]. 北京：人民郵電出版社， 2013

[5] 潘娟， 史德年， 馬鑫等. 移動互聯網形勢下智能終端安全研究 [J]. 移動通信， 2012， 36（5）：48-51

[6] 陳尚義. 移動互聯網安全技術研究 [J]. 信息安全與通信保密， 2010，16（8）：34-37

[7] 賈心愷， 顧慶峰. 移動互聯網安全研究 [J]. 移動通信， 2011，35（10）：66-70

[8] 杜躍進， 李挺. 移動互聯網安全問題與對策思考 [J]. 信息通信技術， 2013，7（4）：11-15

[9] 蔣曉琳. 移動互聯網安全問題分析 [J]. 電信網技術， 2009，19（10）：4-7

[10] ROHWER K， KROUT T. Multiple levels of security in support of highly mobile tactical internets-ELB ACTD [C]//Proceedings of the Military Communications Conference， 2001. MILCOM 2001. Communications for Network-Centric Operations： Creating the Information Force. IEEE .Vol. 1. USA： IEEE，2001： 81-86

[11] CARAGATA D， ASSAD S E， TUTANESCU I， et al. Security of mobile Internet access with UMTS/HSDPA/LTE [C]//Proceedings of the 2011 World Congress on Internet Security （WorldCIS）， USA： IEEE， 2011： 27-276

[12] 陳萍， 夏俊杰. 移動互聯網安全現狀及應對策略 [J]. 電信網技術， 2010，20（2）：35-38

[13] ZHU W L， YU J P， WANG T. A security and privacy model for mobile RFID systems in the internet of things [C]//Proceedings of the 2012 IEEE 14th International Conference on Communication Technology （ICCT）， USA： IEEE， 2012： 726-727

[14] 孫澤鋒. 移動互聯網發展技術與安全分析 [J]. 電信科學， 2011，27（S1）：98-101

[15] 胡建明. 移動互聯網業務信息安全 [J]. 信息通信， 2013，12（4）：258-259