警惕！移動智能終端信息安全

王歡

移動互聯網需要全新移動安全解決方案，安全開放平臺成為了網絡安全的發展趨勢。

據2014年統計，中國智能手機用戶已經突破5億。2015年第一季度，移動支付業務13.76億筆，金額39.78萬億元，同比分別增長108.85%和921.49%。根據普華永道數據統計，中國消費者使用移動支付意愿比例為63% ，是全球平均值的兩倍。

但是，當前中國移動互聯網的安全現狀并不容樂觀。近年來，手機軟件所導致的個人信息泄露問題變得日益突出，引起社會各方的關注。

安全現狀不容樂觀

通過智能手機、平板電腦等移動終端，收發郵件、洽談業務、傳送圖文資料等是每個政府部門、企事業單位以及商務人士的都會涉及的工作。移動辦公因其便捷、高效、節約成本等優勢正在成為許多單位的選擇，而與之相伴的安全威脅實則讓用戶頭疼不已。由于移動辦公接入硬件設備的多樣性，且大部分無健全的安全防護措施，使得信息安全問題異常凸顯。如今，智能手機的安全隱患主要體現在以下六個方面：

手機賬戶的安全問題日益凸顯。國內的支付寶、微信支付、百度錢包以及各大銀行的手機銀行、網銀等都出現過用戶賬號密碼泄露或綁定銀行卡后被盜刷和轉賬的案件。

垃圾短信橫生、垃圾號碼偽裝成了易事。黑基站、偽基站的架設使得利用來電和短信的詐騙活動層出不窮，由于調查難、取證難、破案率低，成為各地公安部門棘手的案件類別。

偽WIFI熱點竊取各類賬號和手機內信息。將路由器或手機偽裝成公共WIFI熱點是輕而易舉的事情，許多人在公共場所因為蹭網而極有可能連上偽裝的WIFI熱點，被過濾捕捉到賬號信息、應用口令等敏感信息，后果不堪設想。

非法的二維碼讓機主一掃就中毒。二維碼作為使用方便的引導入口，被廣泛運用于商業和公共事務中，也導致其成為主要的惡意網站和病毒木馬誘導方式。用戶見碼就掃的行為，會輕而易舉導致手機中毒中馬。

植入木馬的手機瞬間變成竊聽器和定位器。激活的木馬極易暴露機主的隱私，泄漏機主的行蹤，甚至遠程控制打開攝像頭，讓用戶的信息在不知不覺中被挖掘一空，使機主的個人隱私、賬號密碼、商業機密甚至國家安全信息被竊取，蒙受無法想象的損失。

智能手機內核芯片缺乏主導權導致大隱患。斯諾登事件就爆出美國安全部門責令微軟、谷歌、Facebook、蘋果等軟硬件廠商提供后臺服務器接口，以數據進行分析。對于沒有技術軟硬件主導權的其他國家，隱患很大。

此外，用戶對移動安全威脅的認知不盡人意，很多用戶在個人信息保護方面意識不夠，對于很多個人信息泄露帶來的危害不甚了解，在手機軟件個人信息泄露方面沒有保持足夠的警惕性，這就給手機軟件安全隱患打開了方便之門。同時，外部情報間諜、競爭對手通過各種技術手段竊取政府部門和企業機密；內部員工疏于管控，使用不安全的通訊方式無意中造成泄密。兩種情況都會對用戶造成無法挽回的損失。導致政府機關、事業單位重要機密信息，企業產品資料、制作工藝、客戶資料、合同報價等重要商業機密被有意或無意中通過手機或網泄露，企業為此付出了沉重的代價。

2013年是移動安全問題進入全面爆發的新階段：2013年安卓（Android）平臺新增惡意程序樣本67.1萬個，較2012年增長4.4倍；用戶感染惡意程序9747萬人次，較2012年增長了88.3%，其中資費消耗、惡意扣費、隱私竊取和誘騙欺詐類惡意程序的感染量最高用戶手機感染惡意程序后面臨直接經濟損失的可能性達到了近七成。根據《2014年中國手機安全狀況報告》，手機木馬近似模仿流行APP成最新趨勢，竊密木馬偽裝成系統軟件是其傳播和加載的常用手段，極具隱蔽性。2015年互聯網安全中心累計截獲Android平臺心中惡意程序樣本達326萬余個，較2013年增長了3.86倍。手機一旦被木馬控制，可能會發生手機中存儲的文本信息、通訊錄被竊取；持機人的環境音被竊聽，使手機成為一部竊聽器；持機人的地理位置信息被掌握；通話信息、收發短信的內容被截取。

鑒于目前信息安全的嚴峻形式，我國對涉密網絡、涉密人員的管理成為國家安全保密工作中的當務之急。2014年1月17日在全國保密工作會議上，中共中央政治局委員、中央保密委員會主任栗戰書強調：“做好新形勢下的保密工作，要增強憂患意識、創新意識和責任意識，聚焦重點難點，打好‘持久戰、‘攻堅戰，要從制度和技術上做好對智能手機的技術安全防護工作。”2014年2月27日，中央網絡安全和信息化領導小組宣告成立，習近平親自擔任組長，網絡安全問題已經提升到國家層面。各地黨政機關等重要單位和部門，都加大了對手機、涉密網絡、涉密人員的安全防護與保密管理工作的力度。國家高度重視國產密碼產品和技術的研究，特別是現在國家商用密碼管理部門更是對網絡安全方面提出了應用生產密碼產品的要求。

安全防護要對癥下藥

如今，移動互聯網需要全新移動安全解決方案，安全開放平臺成為了網絡安全的發展趨勢。因此，未來對不同使用智能手機的對象需要采取不同的加密防護：

對相關需保密單位的工作人員的智能手機、通訊工具進行加密防護。由于工作性質的原因，一些重要崗位的工作人員（如政府工作人員、敏感崗位人員、有商業機密需要保守的企業人員）在使用智能手機的過程中，可能會涉及到敏感、重要信息（工作類的敏感文件信息、通訊數據傳輸安全等方面），需要進行技術安全防護，以防止被人竊取而造成失泄密。通過某些手機安全產品，可以為這些單位用戶的智能手機提供加密服務，以集團用戶的方式接入。加密的方式可以用公司已有的產品，也可以根據用戶的特殊需求量身定制。目前，加密手機只能提供加密通話功能，在手機App應用防護、木馬查殺、辦公運用、文件傳輸等軟件方面的防護和普通智能手機的防護功能一樣。

為高端人群提供智能手機的加密服務。目前移動智能平臺惡意程序泛濫，竊密行為頻發、用戶個人信息受到嚴重威脅的現象，加強智能手機的個人隱私保護已經越來越引起人們的重視。因此，為重要工商界人士、白領階層、注重個人隱私保護的人群等提供加密服務，以保障商業秘密、個人隱私不被泄露已成為許多公司的重要加密產品。這種產品的服務方式是通過與運營商合作，在運營商的增值服務中增加隱私保護的內容。

為喜歡手機支付的新消費觀念人群提供技術安全保障。當前，通過手機來支付各種費用，或是進行家電的智能化控制，已經越來越多的被人們所接受。但是由于手機本身的技術缺陷，通過手機進行支付、家電智能控制等操作時存在著很大的風險。通過與運營商的合作，在增值服務中對操作系統的加密防護，可以增強手機本身的安全性能，以保障用戶的使用安全。

除此之外，還要培養個人使用智能手機的安全意識。首先，不要“見碼就掃”，防止被導入病毒木馬鏈接入口；其次，不要貪圖免費WIFI熱點，在確定是安全信號源之前，不要連接，防止信息被過濾分析，賬號被竊；第三，經常檢查已安裝的手機應用，發現不明應用程序或異常流量，要卸載；第四，不要輕易相信帶有“中獎”、“獵奇”類的短信，尤其不要點擊這類誘惑性短信中的網址鏈接；第五，對手機支付始終保持警惕性，要加入多重認證，防止手機銀行用戶名和口令被盜；第六，國家政府部門和涉密部門，避免使用QQ、微信等大眾類即時通訊軟件，要使用經過國家密碼管理部門認證的應用軟件，處理敏感信息和工作信息；最后，政府機關保密、安全部門人員，需使用專業的木馬、病毒查殺工具，定期對工作手機進行查殺。

（作者單位：浙江省杭州市保密技術檢查中心）