手机信息安全

手机信息安全（精选十篇）

手机信息安全篇1

多个著名的调研或数据分析公司的数据中显示[1,2,3], 全世界移动电话数量已经超过总人口数量, 智能手机用户将超过普通功能手机用户, 而中国已经成为全球最大的智能手机市场, 中国智能手机普及率达66%。2014 年第三季度Gartner的数据显示[4], 由于削减成本并能满足渴望拥有高端智能手机用户的需求, 中国品牌的智能手机制造商在全球前五大智能手机厂商中已占据三个。工信部发布的统计信息显示[5], 我国用户新购手机时智能手机选购率达到72.8%, 智能手机网民在手机网民中占比已接近80%。

然而在2014 年发布的有关移动手机安全报告中称[7,14], 国内智能手机用户感染恶意软件的比例居全球之首。除垃圾短信、骚扰电话外, 诱骗欺诈、系统破坏、恶意扣费、隐私窃取等恶意软件不断翻新, 正在兴起的移动支付安全风险也越来越高。因此有必要对智能手机的安全威胁进行归纳和总结, 研究防范对策, 降低智能手机使用的安全风险。

本文主要分析了智能手机的安全威胁并提出了应对措施, 共分为四个部分。第一部分对智能手机的发展和特征进行了概述, 第二部分给出了智能手机的体系结构并分类总结了智能手机的安全威胁, 第三部分提出了智能手机的安全防护面临的挑战, 第四部分给出了智能手机用户应对安全威胁的可行措施, 以及对加强智能手机管理的建议。

1 智能手机的概述

1.1 智能手机的特征

智能手机 (Smart Phone) 指像个人电脑一样, 具有独立的操作系统、独立的运行空间, 可以由用户自行安装第三方服务商提供的应用或程序, 并可以通过移动通信网络来实现无线网络接入的一类手机的总称。传统的功能手机 (Feature Phone) 是无法随意安装卸载软件的, 虽然功能手机能够安装Java应用程序, 但是Java程序的运行效率、对系统资源要求和用户界面都与智能手机无法相比。智能手机的概念相对功能手机提出, 由掌上电脑演变而来。最早的掌上电脑不具备手机的通话功能, 但随着对掌上电脑的个人信息处理方面功能的依赖性提升, 用户希望掌上电脑能够具有移动电话功能, 因此将掌上电脑的系统移植到了普通手机中, 出现了智能手机。

奠定智能手机基础的第一款智能手机是IBM公司1993 年推出的Simon, 此后很多厂商都推出了各自的智能手机, 此后以2008 年苹果公司推出iPhone 3G为标志, 智能手机的功能和性能不断提升。

智能手机拥有独立的核心处理器 (CPU) 、内存和开放性的操作系统, 用户可以自由安装更多的应用, 扩展性强。时至今日, 大多数智能手机已具有高分辨的摄像头、麦克风、扬声器, 内置了多种功能的传感器, 支持MMS (Multi-media Message Service) 传输, 除能够接入移动通信运营网外, 还支持蓝牙、WIFI等网络接入, 更重要的是通过WIFI或者移动运营网能够方便接入因特网。用户使用智能手机既可以打电话、发信息, 也可以进行上网、娱乐、购物、支付、处理工作事务等等。智能手机强大的功能和性能, 一方面极大地方便了用户使用, 另一方面带来了信息安全问题。

1.2 智能手机的信息安全

借鉴信息安全金三角的概念, 我们将智能手机信息安全定义为:在手机电量充足的情况下, 手机能够持续稳定运行, 这期间手机信息的保存和读取顺畅, 数据信息得以保护, 不会受到恶意的侵扰而被更改、泄漏和破坏。主要包括三个方面, 即机密性、完整性和可用性。智能手机的机密性是指, 只要未经手机用户授权的情况下, 第三方就无法操控手机, 无法得到手机中的信息, 能够保证个人用户手机的私有和敏感信息的安全。完整性是指, 只要手机是完好的, 在系统未被破坏的前提下, 手机的数据就不被增加、篡改或删除。而将手机软、硬件系统保持完好, 每时每刻都处于可用状态, 能够保证畅通的通信、数据查询和应用操作, 且手机中的信息都是用户所期望或预料的, 称为智能手机信息安全的可用性。

当智能手机的机密性、完整性和可用性遭到破坏, 说明手机受到了安全威胁或攻击。比如, 常见到的垃圾短息、骚扰电话、运行速度迟缓、软件无法运行、隐私和账号泄露、电池耗尽等等。

2 智能手机的安全威胁

2.1 智能手机体系结构

我们将智能手机体系结构分为三层, 即硬件层、接口层和应用层, 如图一所示。

(1) 硬件层。主要是智能手机的硬件资源, 包括处理器、内存、SD卡、摄像头、话筒、扬声器、重力传感器、距离传感器、GPS模块等。

(2) 接口层。主要是智能手机通信和数据传输接口, 包括移动运营网络、WIFI、蓝牙、USB接口、SD卡接口、近场通讯 (NFC) 等。

(3) 应用层。主要是面向智能手机用户的各种手机应用, 比如彩信发送、电子邮件、网络浏览、社交平台、同步软件等等。

2.2 常见的智能手机安全威胁

由智能手机的体系结构可见, 智能手机是一个多入口开放的系统。恶意攻击者既可以在硬件器件上做手脚, 也可以在手机的通信链路上对其进行截获和干扰, 还可以将恶意软件伪装成一个手机应用软件欺骗用户。因此, 对应于智能手机的体系结构, 我们将智能手机的安全威胁划分为硬件安全威胁、传输安全威胁和软件安全威胁三种。在某些情况下, 这三种安全威胁是相互渗透和交织的, 比如钓鱼网站和诈骗短信相互配合, 骗取用户金融信息、盗刷用户银行卡。

2.2.1 硬件安全威胁

硬件安全威胁是指直接通过手机硬件设备、器件或模块, 使手机数据的安全性受到破坏的安全威胁, 甚至将智能手机变为采集用户活动信息的工具。

(1) 非授权使用手机

目前在我国只要持有一部手机的用户, 都可以对该手机中的信息以及相关的资料进行查看。手机丢失、手机送修、废旧手机处理的过程中, 非授权使用者有可能从手机内存或者SD卡中, 获取智能手机中一些重要甚至是敏感的信息, 例如:通讯录、银行账号、登录密码、图片等, 这样就破坏了手机信息的机密性。

(2) 非法开启设备

当智能手机安装了恶意软件并被远程控制时, 手机的定位功能 (GPS) 、摄像头、麦克风有可能在用户不知情的情况下开启, 这时智能手机就变成了跟踪、监控或监听设备。

(3) 恶意硬件

一些智能手机的附属、配套设备被改装, 增加了其他数据采集、数据拷贝、数据发送等功能, 当手机用户使用这些附属设备时, 手机中的信息就有可能被窃取。比如, 经过改装的数据移动电源 (俗称“充电宝”) , 攻击者在移动电源内部增加GPS和通话模块并内置SIM卡, 之后以发送短信指令方式激活监听和定位功能, 实现对用户的监听和定位。这种设备也能够将手机中的照片、视频、短信记录等拷贝至充电宝的存储芯片中, 再通过无线网络回传给幕后操控者。

(4) 电池耗尽

智能手机正常使用依赖于手机电池, 当智能手机处于特定的环境中, 比如持续搜索网络或运行某种程序, 电池的的蓄电量会被快速耗尽, 最终导致用户无法正常使用手机。

2.2.2 传输安全威胁

传输安全威胁是指通过手机的通信接口或利用手机的通信网络, 对手机的信息进行干扰、窃取或篡改。

(1) 网络传输

智能手机具备连接蓝牙、WIFI等功能, 恶意攻击者不需要与手机进行物理连接, 就有可能对智能手机中的数据进行拷贝、窃取甚至篡改, 而用户可能无所察觉。目前最常见的是, 智能手机连接到了伪装的公共WIFI或不明的蓝牙设备上, 用户在手机上的操作被监控, 导致用户的操作信息被恶意攻击者获取。

(2) 骚扰电话和垃圾信息

几乎所有的手机用户都受到过此类安全威胁。随着经济发展和收入增高, 人们在保险、房产、理财等方面有着一定的需求, 加之电话被作为新的营销工具, 各种保险、房产、移民办理等企业的促销成为了主要和骚扰电话源。根据报告[14], 2014 年上半年全国骚扰电话量接近283 亿个, 每月人均接收骚扰电话14 个。在各种骚扰电话中, 广告推销、财产诈骗、房产中介、保险理财占比近六成。

2014 年6 月份, 伪基站短信数量超过1 亿条。2014 年上半年每月人均接收垃圾短信9.7 条。这种伪基站使用短信群发器、短信发信机、配套软件等相关设备, 能够搜取以其为中心、一定半径范围内的手机卡信息, 伪装成运营商的基站, 任意冒用其他号码强行向用户手机发送诈骗、广告推销等短信息[14]。由于短信营销推广的成本低, 往往成为众多商家营销推广的首选, 导致广告类垃圾短信占所有垃圾短信总比超过八成。另外在诈骗短信中, 热门节目中奖、冒充房东转账、赌博诈骗高居前列[6], 尽管一再曝光, 还时常有手机用户对于熟人亲友类诈骗短信失去警惕, 掉入诈骗分子设下的陷阱导致财物损失。事实上, 当手机进入伪基站的信号范围内, 所有的通话和信息可以经过伪基站中转与外界通信, 这使得用户的信息可以被轻易截获和篡改。

(3) 与桌面电脑连接

智能手机一般设有USB接口, 能够与桌面电脑连接, 交互数据。当智能手机与一台与因特网物理隔离的桌面电脑连接时, 不但智能手机可能被桌面的电脑病毒所感染, 存储在智能手机的重要信息更容易被查看, 更严重的是桌面电脑内的重要数据有可能通过智能手机被泄露[10,11,12]。

(4) 移动通信网络嗅探

文献[13]中介绍了在快速破获全球移动通信系统 (GSM) 蜂窝通信的加密算法A5/1 的方法。这说明所有的GSM用户理论上都处于嗅探攻击的威胁下。

(5) 拒绝服务攻击

有多种方式能够对智能手机实施拒绝服务攻击。一是信号干扰, 使得智能手机和基站无法正常通信。二是泛洪攻击, 典型的如网络电话自动追呼系统 (又名“呼死你”) , 是利用通信费用低廉的网络电话作为呼叫平台, 采用网络电话通讯技术, 可以方便设置并不间断地拨打固定电话及手机号码, 也可以反复向手机发送免费短信。三是阻止攻击, 智能手机的黑名单功能, 能够阻止特定号码拨打。但如果利用这种阻止功能, 不断地用被阻止号码拨打用户电话, 会造成智能手机无法正常使用。

2.2.3 软件安全威胁

这是智能手机最容易和最主要受到的安全威胁。恶意攻击者将恶意软件伪装成手机应用程序, 当用户下载后隐蔽运行, 或在水货和山寨手机的流通和销售环节, 将恶意软件肆意植入手机ROM, 使手机用户受到安全威胁。主要有以下类别:

(1) 诱骗信息类

典型的手法是恶意软件伪装成知名软件, 其图标和风格与知名软件一样, 用户真假难分, 很容易下载运行该软件。此后, 软件诱骗用户输入银行卡号、姓名、身份证号码、手机号等隐私信息, 并在后台拦截用户短信, 获取用户短信信息, 然后将这些信息以邮件的方式发送给软件制作者, 严重威胁用户的隐私和财产安全。

(2) 破坏系统类

用户下载安装后并没有桌面图标, 恶意软件在获取远程指令私自在后台运行, 卸载用户软件, 并下载安装恶意软件制造者推广的应用软件, 消耗用户的手机流量, 占用手机资源, 威胁手机信息安全。

(3) 窃取隐私类

智能手机中包含如通讯录信息、电子邮件、位置信息、短信、通话记录、聊天记录、录音、银行账号、密码、位置信息等等。而用户在安装软件过程中, 一些软件都会明确告知用户需要读取哪些信息。移动应用要求获取必要的隐私权限有其合理性, 比如:导航类软件必须读取位置信息才能提供更好的服务, 社交通讯类应用需获取位置信息使用“附近的人”功能, 获取通讯录以方便地添加好友, 支付类应用需要通过读取短信记录方便填写短信验证码等等, 这些都属于获取隐私权限的合理范畴内。

但是某些隐私权限是移动应用在自身功能不必需的情况下获取的, 这就造成了隐私权限的越轨。某些正版软件或恶意软件有意无意地获取了和软件自身功能不相关的权限, 造成对隐私权限的越轨获取, 可能会带来隐私窃取、恶意扣费、资费消耗、流量消耗等安全问题。而用户隐私信息被泄露、贩卖, 是骚扰电话、垃圾短信、电话或网络诈骗等危害的源头。还有一些恶意软件读取银行卡、身份证等账号信息, 直接威胁到了用户的财产安全。

(4) 恶意扣费类

这类软件通常伪装成常用功能或系统软件, 在用户不知情的情况下, 私自发送付费短信、私自下载付费软件, 私自拨打付费电话, 造成用户高额的通信费用。通常还伴有更改用户APN, 收集用户设备信息等恶意行为。特别说明的是, 许多水货手机在销售前就已经刷机或者内置了各种恶意软件, 而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除。

(5) 强制收费类

这种软件在用户的手机中强制自身程序置顶, 频繁弹出锁屏界面锁定用户屏幕, 用户必须付费才可以解锁, 否则无法使用任何程序。这种恶意软件在后台联网, 付费后才能够远程解锁。但即使解锁, 也存在用户手机被远程控制的安全隐患。

(6) 假冒和钓鱼类

伴随着移动支付用户的比例大幅增加, 一些假冒和恶意的软件感染正规软件, 并采用加固技术保护恶意代码, 防止安全人员静态分析和动态调试。钓鱼网站往往和诈骗短信相互配合, 在诈骗信息中加入恶意应用的链接网址, 要求登录钓鱼网站或下载恶意应用。恶意应用运行后, 私自发送信息获取用户手机号码, 监控用户的行为, 当用户启动银行程序, 恶意软件关闭正版的银行程序, 用钓鱼网页骗取用户信息, 之后甚至修改用户账户密码, 屏蔽用户接收来自银行和支付宝信息, 最终造成智能手机用户财产受损。

(7) 间谍类

这类软件利用正规应用的漏洞, 通过窃取用户聊天记录或操作信息监控用户。间谍软件通常伪装成系统升级组件, 获取root权限, 安装到系统运行根目录下, 后台自动运行, 窃取用户聊天信息, 上传到服务器, 从而达到监控用户的目的。

恶意软件对智能手机的安全威胁, 往往具有很强的隐蔽性, 而且有些恶意软件是恶意攻击者在需要的时候才激活, 用户在很长的时间内都无法觉察。

3 智能手机安全防护面临的问题

智能手机具有普通PC的功能, 对于智能手机安全防护技术, 很多应用于桌面电脑和便携电脑安全防护的技术都可以借鉴, 比如反病毒和入侵技术检测等。但智能手机又有不同于个人电脑的特点, 比如轻巧便携、无线通信、全时在线、应用多样、功能丰富等区别于普通个人电脑的特性, 这些特性在满足用户使用需求的同时, 也给智能手机的安全防护带来了一些比传统桌面和便携式电脑更为复杂的问题。

3.1 不同用户对智能手机的安全需求不同

智能手机具有丰富的功能, 除了可以用来打电话、发信息外, 还可以用来游戏、娱乐、社交、处理业务。对于一个依赖智能手机处理日常工作事务的使用者, 可能希望手机的安全性要求更高, 保证数据安全;而对于仅仅是使用智能手机玩游戏、看电影的用户来说, 对手机信息的安全性要求并不高。因此, 需要不同的安全工具满足不同智能手机用户的需求。

3.2 智能手机安全防护应用需适应不同的操作系统

目前在智能手机市场上, 并存着多种操作系统和同一种操作系统的不同版本。比如安卓系统, 由于其开源性, 不同手机制造商都对自身的安卓系统进行了优化和改进, 而苹果的i OS也在不断更新版本, 造成了即使同一种操作系统也存多种版本的局面。这一方面有利于市场竞争和用户多样化选择, 另一方面手机的硬件和软件厂商需要针对不同操作系统进行针对性的开发。不同的操作系统有不同的漏洞和缺陷, 与此对应, 智能手机的安全防护软件就必须针对不同系统、不同版本进行个性化开发。

3.3 智能手机系统的开放性要求采用组合防护的方式确保安全

如前讨论, 恶意攻击者可以从硬件、软件、通信各种途径破坏智能手机的安全性。为了保证智能手机的安全, 既需要检测、阻止、清除恶意软件, 也需要加强对硬件资源控制, 还需要对丢失手机中的数据采取安全措施, 防止数据泄露。

3.4 智能手机资源有限, 要求安全工具采用轻量级的安全算法

手机电池是智能手机的电源, 当电池电量耗尽时手机需要充电才能够正常使用。虽然硬件技术飞速发展, 但智能手机的运算速度和存储容量还远不能与桌面电脑相比, 因此智能手机应尽量避免高计算复杂度、高资源需求、高能耗的应用, 这就要求增强智能的手机的安全性的同时, 不增加对智能手机资源的占用, 不降低手机电池的续航待机和使用时间。

3.5 智能手机中的信息全面集中, 需要加强数据保护

随着技术发展和应用拓展, 智能手机的功能更加强大, 使用智能手机信息采集更加便捷, 目前个人智能手机中的信息已经十分丰富, 甚至智能手机已经成为存储最多个人隐私信息的载体。智能手机中不仅存储有姓名、地址、电话、联系人、邮件、短信、彩信、通话记录, 还有信用卡号、银行账号、图片、语音、视频、公司文件、位置信息等等全面、详细的信息。当这些信息泄露后, 极易导致严重的财产损失、隐私泄露事件。智能手机应能标识敏感信息和普通信息, 对敏感信息和普通信息区别处理, 允许用户对智能手机中的敏感信息进行加密。

3.6 智能手机中内置的传感器增加了安全风险

很多种类的传感器被应用到智能手机中, 比如声传感器、光传感器、触摸传感器、重力传感器、运动传感器、方向传感器、距离传感器、磁传感器等。这一方面丰富了智能手机的功能, 但也增加了安全风险。比如通过智能手机的运动传感器, 捕捉键盘敲击数据, 从而破译输入信息的案例[15]。虽然智能手机中可以设置这些传感器的打开或者关闭, 但并没有对这些传感器进行实时监测, 一些恶意软件会取得这些传感器的控制权限, 通过智能手机非法获取用户数据。因此, 应在智能手机中增加实时监测传感器和阻止非法使用传感器的功能。

3.7 智能手机用户对智能手机的安全认识不足

很多智能手机用户将个人数据和公司业务数据混合存储于智能手机中, 当智能手机遭到攻击时, 极易造成重要数据的丢失泄露。此外, 当智能手机被带入重要场合或场所, 一旦该智能手机被恶意软件感染或远程控制, 这将有可能造成重大的泄密事件。应加强智能手机个人用户的安全意识, 尽量避免让智能手机进入重要的场所。企业和机构应制定有关智能手机安全使用规定并有效落实。

4 智能手机安全威胁的防范对策

4.1 智能手机用户的防范措施

面对多样化的智能手机的安全威胁和复杂的智能手机使用安全形势, 智能手机用户应逐步提升手机安全意识, 采取一些有效可行的方法防范安全威胁, 降低智能手机使用的安全风险。

4.1.1 养成良好的手机安全使用习惯

智能手机的用户首先应意识到与桌面或便携电脑一样, 当智能手机在下载安装新的应用程序或允许一个软件访问智能手机的存储数据时, 有可能受到恶意软件的攻击和威胁。应通过正规安全的渠道下载官方版支付、工具、游戏等各类手机应用。养成使用安全软件来保护手机安全的良好习惯, 定期对手机进行病毒查杀, 并及时更新病毒库。关注最新流行、肆虐危害较大并且难以清除的病毒或者漏洞, 下载专杀工具及时查杀或修复。不要随意信任安全性未知或陌生的WIFI网络, 选用正规的商家购买且知名品牌的手机配件和附件, 对于他人赠送的充电宝或者带有USB接口的充电宝, 则应先确定安全再进行使用, 避免手机信息遭到窃取。

定期备份智能手机中的数据, 以免手机受损或者遗失后积累的数据无法找回。既然手机遗失有可能造成数据泄露的灾难性事件, 那么应尽量避免将敏感、隐私的信息存储在智能手机上。一些研究和技术人员建议将智能手机上的敏感信息迁移到云服务器, 这样一方面可以避免信息从手机中流出, 另一方面云端的入侵检测系统也可以帮助检测恶意软件或代码。但经过前不久苹果公司的云端服务器被黑客入侵造成众多明星照片被窃的事件, 说明敏感数据存储在云端并不安全。应尽量避免将私密信息上传至各种云盘, 建议尽量存储在与因特网隔离的介质上。

随着二维码的流行, 二维码扫描已成为增长最快的手机病毒传播渠道[6], 智能手机用户在扫码的过程中注意扫码后操作提示, 警惕非预期的软件下载类或钓鱼类二维码。也可以安装具备二维码恶意网址拦截的手机安全软件进行防护, 或安装带有安全识别的二维码工具进行二维码扫描, 降低因扫描二维码而带来的安全风险。

4.1.2 充分利用智能手机现有的安全功能

使用自动锁和密码开启手机功能, 并定期开启更换密码。在智能手机上安装可信赖的安全防护工具, 开启骚扰拦截功能, 有效拦截垃圾信息。启用手机的反窃取技术, 或开启第三方手机安全防护功能, 当手机遗失后立即启动远程删除手机所有数据功能, 即可销毁手机中的所有私密内容, 以防止隐私泄露。在不使用蓝牙的时候, 关闭蓝牙模块功能等等, 降低智能手机安全风险。

4.1.3 谨防手机应用滥用系统权限

目前, 由于安卓系统的开放性, 手机应用可以获取的权限较多, 用户在安装应用的时候要留意系统提示的权限种类, 对于一些与应用功能无关的权限要保持警惕, 比如, 一款日程安排应用程序需要获取位置信息和拨打电话权限, 显然是越权行为。也可以通过手机安全软件的权限实时监控应用权限。

4.1.4 提升防范意识

当前诈骗短信的形式多样、目的性与技巧性加强, 社会工程学特征明显, 手机用户面临诈骗与恶意入侵双重风险的严峻态势。且随着第三方支付类、电商类、团购类等手机购物移动支付类应用下载量迅猛增长, 支付安全风险增长。当收到网银支付、网络购物等系列的诈骗短信相关键词, 应开启手机安全软件实施拦截并果断举报。

虽然恶意入侵和非法操控智能手机大多都是在用户不知情的情况下发生的, 但是我们可以通过一些细微的异常察觉手机是否收到了攻击和控制。比如智能手机的电池电量快速被消耗, 在手机待机的情况下电池发热, 在未进行任何操作的情况下手机的屏幕突然的点亮或响铃等, 应引起重视, 及时对手机进行安全性检查。

4.2 相关部门和企业的监管

随着智能手机应用的发展, 智能手机的安全问题将对手机用户以及国家和社会都有可能带来一定的影响和损失, 相关的部门和企业需提升对智能手机信息安全问题的重视程度, 加强对智能手机信息安全的政策完善和监管力度。

4.2.1 明确相关运营企业的责任

手机软件的运营企业要做好终端软件的审查工作, 保证软件内不会出现暴力、色情、违法等方面的内容, 不出现恶意扣费的插件、广告和软件, 这样可以在源头上实现对智能手机恶意软件的控制。

4.2.2 落实手机入网实名制登记

电信网络运营商在开户时, 强制对入网用户进行身份的实名登记, 对所有在网智能手机用户进行实名制的管理, 能够有力地防止手机卡的违法违规使用, 遏制犯罪事件发生。

4.2.3 加强对智能手机市场的管理力度

当前市场上还存在很多水货或者是翻新的智能手机, 不仅扰乱正常的智能手机市场的秩序, 损害国家和企业的利益, 更严重的是带来了很多信息安全隐患。当前很多非法的智能手机就是病毒的恶意代码的主要的传播平台, 因此加强对智能手机市场的管理力度就十分的必要。

5 结束语

手机个人信息安全需防范篇2

手机可能泄露的信息

手机上的个人信息，包括位置信息、通讯信息、账号密码信息以及存储文件信息四大类。其中，通讯信息包括通讯录、通话记录、短信等;手机内存储文件信息包括机主的照片、录音、视频等文件。此外，手机的一些硬件信息，比如IMEI号(手机串号)、无线网卡的Mac地址、硬件配置信息也都属于个人信息的范畴。

盗取用户通讯录、短信、照片是“侵犯手机个人信息安全”。此外，目前一些应用软件暗中搜集用户的位置信息(比如常去的商场、日常的路线)，手机上网记录(浏览的网页、购物偏好)等信息，看似不起眼，其实通过这些信息进行用户习惯分析的数据具有商业价值，也都可能成为被侵犯的目标。这种侵犯行为较隐蔽，不易被发觉。

据了解，目前侵犯手机个人信息的主要方式，除了通过线下购买手机用户信息、通过诈骗电话(短信)套取个人信息等之外，主要是通过手机木马与恶意软件直接窃取，后者正在成为不法分子获取手机个人信息的重要方式。

减少手机信息泄密的途径

手机用户一般应从正规、可靠网站下载手机软件，避免到论坛下载来历不明的软件。安装软件时注意观察软件权限，出现敏感权限要特别警惕。可以在手机上安装安全软件，例如手机360软件、梆梆手机防盗软件。可将个人照片、视频等隐私数据加密保存。开启安全软件中的手机防盗功能，方便找回手机，或者在无法找回时发送指令远程取回数据并销毁数据。在使用中随时留意手机运行状况，及时处理异常行为。

不随意连接公共场所免费wifi，央视曾曝光了在一些公共场所，有一些不法分子通过免费wifi来吸引顾客链接，然后通过一些病毒文件来窃取客户手机里面的各种密码，以此来获得不法收入。

曾有报道，有种恶意Android应用程序TokenGenerator(令牌生成器)，能够进行远程操控，并通过伪装成用户银行的令牌生成器窃取用户手机银行的账户信息。使用手机银行业务的朋友，可安装相应安全控制软件(例如McAfeeMobileSecurity)，以保护自己的账号、密码等信息。另外，使用CDMA制式的手机，保密性相对较高。

手机信息安全新技术分析与展望篇3

关键词信息化手机信息安全认证手机安全软件指纹识别虹膜识别

科技的进步和生活的个性化需求，使手机逐渐成为继报刊、广播、电视、互联网后的“第五媒体”。据工信部统计，至2008年7月底，我国手机用户数超过6亿。手机已然成为个人生活中不可或缺的必需品。人们注意到，随着以手机为终端的数据交易和支付、银行转账、炒股等关键业务的兴起，个人隐私受到威胁侵害的指数越高。因此，保护手机信息安全刻不容缓。

随着智能手机的普及，开放的手机平台出现了类似PC平台的手机病毒；涉及手机的流氓、间谍、病毒软件层出不穷；各类垃圾短信、骚扰电话、欺诈信息也变得无孔不入。然而广大的手机用户还是忽视了安全防范措施。据F-Secure公司的调查显示，四分之三以上的手机用户知道，不安装安全软件的情况下恶意软件能通过蓝牙感染移动设备。28％的受访者说，他们使用自己的移动设备接入互联网。86％的人承认没有任何移动安全的措施。大多数用户都知道用手机连接互联网存在着安全风险：只有21％的人把蓝牙连接当作是安全的，仅有15％的人有着WiFi连接是安全的印象。

面对移动安全领域中的诸多问题，企业及个人消费者呼吁建立安全便捷的移动服务消费环境。移动安全领域的发展，需要整个产业链的通力合作，平台提供商、终端厂商、sP服务商等都应从不同方面认识安全服务在移动应用中的重要性及必要性。手机信息安全是一个复杂的系统工程，需要全社会的关注。笔者认为，手机信息安全认证功能措施，有以下三个方面值得各方的特别关注：

1 手机安全软件：未来一个新兴的软件制造业

就像电脑一样，目前威胁手机安全的一大问题是木马和病毒。手机病毒造成的损害不外乎以下几种：手机被感染后会自动拨打声讯台、发送信息、订购增值业务等，造成话费损失；木马软件可以控制用户的手机，调用信息、监听通话、自动联网等，造成隐私泄露；病毒会导致手机硬件或SIM卡损坏，致使手机无法使用。与PC反病毒一样，手机反病毒软件可以做到实时拦截、提示不安全信息、对已确认的病毒进行杀除，并恢复感染文件等。

影响手机安全的第二大因素是一直以来影响人们生活的隐私泄露问题。比如窃听通话、偷窥短信以及在手机被盗或丢失之后重要文件的流失等。针对隐私泄露，业界目前普遍采用加密的方法来解决。网秦的“通信管家”可以对短信和通话记录进行加密，以保障隐私内容不会轻易被他人偷窥。

影响手机安全的第三大因素是目前引起社会各界广泛讨论的垃圾短信和骚扰电话问题。网秦的“通信管家”可通过显示号码所属地，让用户选择接听还是拒绝。一旦发现了骚扰电话的号码，可以设置为永久拒接。

虽然手机安全软件有种种优点，但生产厂商正经历着艰苦、迷茫的阶段。首先，手机型号繁多、操作系统多样。这不仅是黑客们的技术难题，也是手机安全软件研发面临的最大问题。其次，缺乏成熟的盈利模式是制约手机安全软件厂商发展的最大桎梏。如何打造一个真正安全、干净的手机使用环境，不仅仅是提供手机安全软件产品的厂商的责任，更需要电信运营商、手机制造商和手机安全软件厂商等整个产业链的密切合作。

2手机指纹识别技术：移动电子商务的“安全带”

移动通信技术的进步赋予了手机太多的功能：打电话、上网，甚至缴纳水电煤气费等。随着移动电子商务的日益流行，手机添加认证功能已是必然的趋势，因为仅仅依靠手机自身所带的密码和SIM卡锁无法不能满足人们对安全性的要求。试想，如果利用手机“呔额”支付成为现实，那么就必须将你的个人资料和财务资料保存在手机中，一旦丢失或被盗，后果将十分严重。这也是目前手机支付无法跨越“大额”门槛的主要原因。

指纹识别在保证安全性方面具有独特的优势，运用于手机，能提升手机的安全性。首先，指纹是独一无二的，排除了利用相同指纹来破解手机指纹密码的可能性。其次，一般说来指纹不会随着年龄的增长而变化。因此，相比较声音加密来说，指纹识别具有更加稳定的优点。再次，指纹样本便于获取。易于开发识别系统。目前指纹识别技术已比较成熟，识别系统中完成指纹采样功能的硬件部分也较易实现，而且现在已有标准的指纹样本库，方便了识别系统的软件开发。另外，一个人的十指纹路皆不相同，这样就可以方便地利用多个指纹构成多重口令，提高系统的安全性。

当然具有指纹识别的手机要能够被普通用户所接受，还有很长的一段路要走。首先是指纹识别的准确性问题。厂商制造具有指纹识别功能的手机，主要目的在于增强手机的安全性，在保证用户隐私的同时真正让手机成为日常生活中的“电子钱包”。因此，手机指纹识别的准确性与否是决定这项技术能被用户接受的前提。在进行识别时，一定不能出现无法识别的问题。其次尽管每个人的指纹都不一样，指纹也不会随年龄的变化，但厂家是否考虑到一些意外问题的出现，如果手指受伤无法识别，如何进行支付呢?此时有没有替代的功能?

3虹膜识别：确保在线交易以及供应链活动

尽管使用密码在一定程度上也能保证手机使用的安全，但随着手机新应用的不断出现，一些问题也随之出现：手机支付能够实现买主和卖主的不见面交易。但是在这个交易过程中，潜在的风险也越来越明显，我们用什么来保证远在千里之外的买家／卖家不会是一条坐在电脑前的狗?为了实现较高的安全性，使用复杂的密码是流行的选择，而如果我们埘不同的设备使用相同的密码，那在得到了方便性的同时也增加了安全I生的隐患。所以发展利用人的生理特征，是目前最为方便与安全的识别系统。

虹膜识别技术具有以下几个特点：①虹膜图像通过非接触方式获取，可避免疾病传播容易被人接受；②虹膜纹理结构不易被伪造；③虹膜纹理结构复杂。特征数多，因此可靠性非常高。虹膜识别是与眼睛有关的生物识别中对人产生较少干扰的技术。另外它有能力实现更高的模板匹配性能。在所有生物识别技术中，虹膜识别是当前最为方便和精确的一种。

生物认证作为20世纪末期才开始蓬勃发展的高新技术，必将从根本上改变人类的生活方式。虹膜、指纹、DNA这些人体本身的特点，将逐步取代现有的密码、钥匙成为人们习惯的生活方式，最大限度保证个人资料的安全。虹膜识别技术由于其在采集、精确度等方面独特的优势，必然会成为末来社会的主流生物认证技术。

在线交易的双方身份准确的认证是电子商务发展很重要的环节。为了对交易进行保护，在身份认证的过程中一定要使用数据加密技术，直接把交易和权威身份认证机构连接。虹膜识别系统基本上防止了身份冒用，增加了个人身份验证的可靠性。

加大手机管理力度确保涉密信息安全篇4

一、手机泄密隐患的主要表现

1、手机通信的开放性

手机的通信过程是使用手机把语言信号传输到移动通信网络中,再由移动通信网络将语言信号变成电磁频谱,通过通信卫星辐射传送到受话人的电信网络中,受话人的通信设备接收到无线电磁波,再转换成语言信号接通通信网络。上述过程就是手机的通信原理。手机的通信原理决定了通信是一个开放的电子通信系统,只要有相应的接收设备,就能够截获任何时间、任何地点、任何人的通话信息。随着通信技术的发展,手机已经具有了“自报家门”的功能,如:有的手机具备“位置服务”功能,别人能通过这种服务随时跟踪机主的位置;有的手机实际上就是一种窃听器,只需在手机里植入具有窃听功能的晶片,一拨电话就可以启动窃听功能。手机通信的这种开放性,使境内外敌对势力对我军用手机的窃密手段越来越隐蔽,他们利用各种先进信息技术手段,对我国及部队核心领域的专家、学者、教授、一线技术人员等使用的手机,展开立体式侦听窃密活动,使保密与窃密斗争更加尖锐复杂。

2、手机待机状态也能泄密

手机在不使用的待机状态下,也要与通信网络保持不间断的信号交换,产生电磁频谱,所以很容易被识别、监视和跟踪。根据情报专家掌握的情况看,有的手机本身具有隐蔽通话功能,可以在不响铃、没有任何显示的情况下由待机状态转变为通话状态,泄露天机;有的手机机主并没有使用手机,但也可通过简单的电信暗码,遥控打开手机,窃听机主的任何谈话。我军有很多政治、军事、科技等方面的情报,就是通过这种渠道和方式被秘密窃取的。

3、手机关机并非绝对安全

即使把手机关闭,也未必绝对安全,因为持有特殊仪器的专家仍可遥控打开机主的手机话筒。还有些手机早在制造过程中就在芯片中植入特殊功能,只要装上电池,手机就会悄悄地把双方的通话接收下来,自动通过卫星发送给敌特情报机关,只要将手机放在身边,就会被敌特情报机构跟踪监听,毫无保密可言。致使大量国家涉密信息和军事情报被窃取,严重危害了国家和军队的安全。

二、加强新形势下手机安全管理的对策思考

1、提高认识,筑牢思想防线

提高思想认识,重视抓好手机安全管理是落实信息安全保密工作的一个重要方面,特别是面对新形势新任务,更要抓住重点,加大力度。一是重点解决认识问题:使广大官兵在思想上充分认识手机安全管理的重要性和泄露军事秘密给国家、军队建设带来的危害性,从行动上坚决杜绝手机泄密问题的发生,确保自身安全稳定。二是重点解决知识问题:学习手机安全防护知识,结合工作实践和本职岗位,掌握信息网络防范技能,熟悉安全保密规章制度,增强防范的能动性和实效性。要做到“三个牢记”:(1)牢记政治纪律,严禁用军用手机发带有涉密内容的信息;(2)牢记保密纪律,不泄露任何与军队工作有关的涉密信息;(3)牢记岗位职责,不用手机存储、处理、传输涉密信息;

2、依法治密,筑牢管理防线

加大手机安全管理的关键是建立健全完善的法规制度,做到有法可依、有章可循、有责可追。有的同志保密意识不强,经常使用军用手机发一些涉密短信息,比如,什么时间、什么地点、召开什么内容的会议、都有什么级别的干部参加,或者几月几日某某首长来我单位检查工作、要准备什么内容的材料等等。出现上述情况的绝大多数人不是故意的,而是无意之中泄露的,这已充分说明我们有些同志保密意识的淡薄。2010年6月3日,中央军委主席胡锦涛签署命令,颁布了新修改的《中国人民解放军内务条令》。修改后的内务条令明确规定:“严禁将移动电话带入作战室、情报室、机要室、通信枢纽、涉密会议会场、军用飞机和舰(船)艇、重要仓库、导弹发射阵地、武器装备试验场、战备工程等涉密场所;严禁在具备有线通信条件的场所使用移动电话办理公务;严禁在办公场所使用公网移动电话谈论、传递和存储涉密信息;严禁在公务活动中使用移动电话录音、摄影、传输涉密信息。”

结合条令相关规定,对于如何筑牢军事信息安全管理防线,加大手机安全管理力度,笔者根据工作实践提出四个方面的防范对策:(1)强化一个意识:即信息安全意识,在手机安全管理工作中意识是最好的防火墙。(2)抓好两个经常:手机与官兵生活密切相关,每天都要用到手机,因此要特别落实好经常性思想教育和经常性管理工作。在值班、训练等工作中,手机应妥善保管或上交统一存放。(3)落实“三个规定”:在手机信息安全管理工作中,要严格遵守《中国人民解放军保密条例》、《中国人民解放军机关办公保密规定》、《军队手机使用保密管理规定》,切实抓好工作落实。(4)抓好“四个管控”:业务工作处理程序管控,重要涉密人员管控,涉密信息安全管控,与他人通话时的自我管控。

3、居安思危,防患于未然。

有关研究资料表明,通过卫星传输的移动电话很容易被窃听,即使我们的手机用户通过中国自己发射的卫星传送,国外情报部门也可以通过地面接收站进行窃听,以此来获取重要情报。手机虽小,但其通信保密问题越来越多的在不同领域表现出来,而且关系着国家和军队的信息安全问题。对此我们应该有清醒地认识,绷紧信息安全这根弦,不能有丝毫地麻痹和懈怠,采取有力有效的防范措施。一是要强化科技保密、创新思维的观念,大力发展和应用保密技术手段,构建安全可靠的手机技术安全防护体系。二是要积极研究业务领域保密工作新情况新问题,及时制定手机信息安全技术对策措施,不断完善法规体系,为做好保密工作提供技术保障。三是要注重加强保密基础建设,积极购置配备经过测评认证的手机安全模块和技术安全检测手段,提高信息安全防护的整体能力。

摘要：本文通过对手机泄密隐患具体表现的分析,重点围绕手机安全管理这一主线,从如何筑牢思想防线、管理防线和防患于未然三个方面,提出了加强新形势下手机特别是军用手机安全管理的对策措施。

手机信息安全篇5

2010年9月1日，手机实名制正式启动，自此，手机号码进行实名登记制度。这一举措不仅可以促进我国电信用户的诚信体系建设和监控移动通信业务的非法程序，同时便于治理网络，减少垃圾信息骚扰，打击违法犯罪行为。但同时不可忽视的是，如何保障用户个人信息免遭泄露成为关系到每个人切实利益的问题。实施手机实名制，必须确保用户信息安全。

目前造成个人信息频频泄露的原因主要由以下几个方面：第一，不少公司或个人由于利益驱动，将收集到的他人信息资料拿到市场上贩卖获利，在遍地开花的代理商处购买手机卡时，用户的个人信息基本上难以得到保密；第二，由于监管的缺失，也完全无法排除掌握着大量个人信息的运营商泄密的可能；第三，个人信息保护意识不强，一些消费者手机回收过程中不及时删除个人信息或随手乱扔个人相关资料导致身份信息泄露。信息社会，最关键的资源就是信息，尤其是个人的信息，都是带来实际经济价值的资源。个人信息的严重泄漏，不仅涉及到个人的名誉，而且扰乱了正常的生产生活秩序。长此以往，将给社会带来不安全隐患，必将影响了和谐社会的构建，加剧了社会信任危机。

如何切实保护用户信息安全是推行手机实名制的重要一环，也成为手机实名制能否被全社会所接纳的充分条件。

首先，完善立法。现行法律法规没有明文规定实施手机实名制后用户信息保护及对泄露者的惩罚措施。所以，一方面，立法部门要尽快制定个人信息保护法，对个人信息的保护、提供、采录、保密做出具体的界定和规范；另一方面，要严厉打击泄露公民个人信息的行为，追求其法律责任，用法律手段切实维护好公民个人信息的安全。

其次，健全监管。一要加强对移动通信部门的监管力度，健全对手机运营商的监督体系建设，督促各级运营商加强自身技术建设；二要加强对运营商内部的人员的监管，避免出现运营商内部经常出现一些内鬼，将用户的信息非法倒卖给一些公司牟取暴利；第三，加强对社会渠道的监管，取消除运营商营业厅之外的办卡机构。

最后，提高意识。第一，政府部门加大力度利用广播、电视、网络等大众传播媒介，向广大人民群众宣传个人信息泄露的危害以及预防个人信息泄露的手段；第二，加强个人资料管理，在重要文件传输环节上进行加密，及时消除操作记录；第三，建立个人信息保护制度的奖励机制，鼓励公众举报侵犯个人信息的违法行为，以便从源头上找到真正的元凶。

手机编织的信息网篇6

“我住西二旗，上下班走五环，自己开车的话单程需要50分钟，正好是北京上班耗时的平均值。北京的交通状况比以前好多了，但仍有很多细节需要完善。比如现在提倡公交出行，我坐地铁上班大约需要25分钟，而换乘过程可能要另外花掉半小时。以前在望京等公交很费时，站牌那里总是排很长的队。从乘客的角度上来讲，我不知道下一趟车什么时候会来，它说不定堵在哪儿了。从公交公司的角度来讲，它没有足够的交通流量信息，也不知道现在人流量大不大，是否应该再派几辆车过去。”在西门子中国研究院的会议室里，邱巍博士谈起了北京城市交通中的信息不对称问题，而他从事的研究正是致力于解决它。

探索中国的交通“音乐会”

“西门子前几年与德国柏林市政府合作过一个智能交通管理平台，叫做‘音乐会’(concert)，我们形容这个控制中心就像指挥交响乐那样，协调熙来攘往的车流。这个项目在德国很成功，我们就考虑将这些先进的理念拷贝到中国来。但在我们想要实施的时候，发现交通信息的来源是个大问题。”在邱巍看来，照搬国外的智能交通方案很难适应中国的国情，“柏林面积不大，而且它的发展比较成熟，交通信息来源比较多。国内城市发展快，底子薄，现行的交通管理设备如摄像头、监测器、微波雷达等，造价都很昂贵，如果想得到覆盖面大、准确度高的交通信息，不光是路口，整个路段都得布上这些设备，成本就会很高。所以从中国国情考虑，我们需要寻找覆盖面更大、成本更低的信息来源。”

2008年，西门子尝试通过1.7万辆广州出租车的GPS定位设备，监测城市出租车的流量。每隔约1分钟，西门子就将搜集到的1.7万辆出租车位置数据处理一遍，将分析结果提供给电信运营商，后者可以通过增值服务等渠道将交通信息发送给所有出行者。

结果表明，广州市内交通信息不对称的现象确实有所改善，但是效果不明显。在邱巍看来，原因有二：“首先，出租车的分布范围有限，多数只在城中心跑，很少跑到外城去。其次，出租车司机都是熟练驾驶员，他们的驾驶行为难以反映真实的交通状况。而我们的目标是让交通信息覆盖整个城市，那该怎么做呢?”

考虑到西门子在移动通信领域深厚的研发背景，邱巍等人找到了一种将交通信息和移动通信完美结合的解决方案——用手机信号定位来测量出行者的移动速度，从而判断交通是否拥堵。西门子希望未来能跟手机运营商合作，从而为政府交管部门提供解决方案，为出行者提供交通信息。

极具成本优势

通过手机信号定位判断交通是否拥堵的原理并不深奥。手机在开机状态下，会定时向运营商的通信基站报告自己的位置。在通话或收发短信过程中，报告的频率会更高。将不同时间点对应的位置信息提取出来，将位移差除以时间差，就能够测得出行者的行进速度，进而根据速度的快慢判断不同道路的通行效率。

道理虽然简单，操作起来却有诸多难点。与GPS定位技术相比，手机信号定位的误差范围比较大，基本在50～100米之间甚至更大。如果直接用位移差除以时间差，得到的速度也会与实际值有很大出入。在邱巍看来，这个问题不难解决，“我们在移动通信领域有多年的经验，对网络规划的技术细节有深刻的理解，明白在接收到网络里的一个信号后，应当如何进行更精准的定位。”

简单说来，通过精确的算法可以将位置范围由50～100米缩小到十几米，甚至更小。其次，道路之间和跟人一样，都会有细微的差别，它们平时的通行效率也都是不同的，在这些差别之上构建精确的交通模型，可以进一步修正速度数据。此外，步行者多数携带手机，行走速度也较慢，但这并不会对机动车移动速度的计算造成干扰。步行者移动模式和机动车区别很大。比如说在堵车的时候，机动车可能走走停停，而步行者的位移还是一个持续的过程，很容易通过建模将其区分开来。

“我们正在尝试着推广，这需要和移动运营商紧密合作，将数据中的个人信息去掉——等于说是将手机号码去掉，营造匿名的位置信息。以前的交通信息来源都要求有特殊的终端，比如GPS导航仪，这就涉及到成本问题。如果手机信号定位来判断是否堵车，则是从移动网络提取原本就有的信息，单从提取数据来讲，成本为零。我们只需要和移动公司在数据方面进行合作就行了，这个价格将会非常便宜。我们的理念就是不对终端进行任何干扰干涉，不对手机进行任何修改。”尽管由于当前商业模式等问题还困扰着方案的推广，但他还是相当看好此方案在整个交通信息领域的成本优势。

移动互联网时代手机信息安全策略篇7

移动互联网手机安全信息面临着日益严重的安全威胁, 它既有传统通信面临的安全挑战, 如通话内容被窃听、短信内容被截获等典型威胁;又有传统互联网面临安全难题, 如上网行为被监控、内部网络被攻破等安全威胁;同时又带来了新的安全难题, 如实时性的个人资料 (如个人的位置信息) 会被盗取。因此移动互联网时代手机信息安全策略在兼顾解决传统通信、互联网安全, 还要着力解决自身带来新的信息安全。在研究了众多学者研究成果的基础上, 笔者主张从通信网络选择策略、手机终端选择策略、手机使用安全策略、社会信息安全环境营造等四个纬度共同努力, 才能缓解越来越烈的移动互联网时代手机信息安全。

1 通信网络选择策略

随着2015年2月27日FDD牌照的正式发放, 我国正式全面进入了4G时代。通过认真分析研究, 无论3G, 还是4G, 各运营商的数据传送安全方面不分仲伯, 但到目前为止, 国内运营采取的策略均是语音和短信业务都是回落到2G网络上传送。目前在国内运营的2G网络主要有CDMA和GSM两大阵营, GSM技术由欧洲主导, 国内运营商有中国移动、中国联通;CDMA技术主要由美国主导, 国内主要的运营商有中国电信。CDMA和GSM两大制式各有优劣势, 但由于两者采用了不同信号编码方式:GSM将频分多址和时分多址结合起来使用, 而CDMA却采用了码分多址方式, 这个本质上区别导致了两者在保密性等方面有了巨大的差别。

CDMA在手机端使用带扩频技术的模-数转换 (ADC) , 同一时间和频率内, 在空中传输信号频率按指定类型编码, 即用户信号的区分只是所用码型的不同, 因此只有频率响应编码一致的接收机才能拦截信号。频率顺序编码高达4.4万亿次, 空中被拦截窃听机率非常小。在此基础上, 还可方便地进行二次加密, 有四层保密机制, 在一般的技术条件下, 拦截窃听几乎不可能。

GSM采用的频分多址和时分多址相结合的方式。频分多址和时分多址简单形象的说就是在不同的车道上开不同的车和在同一车道的不同时段内开不同的车。可以说明, GSM以电路交换方式通信, 容易捕捉信号进行窃听, 近年来层出不穷出现手机话单等失窃密事件大多来自GSM系统。

基于以上分析, 用户要根据自己的语音、短信等保密要求, 选择不同的通信技术, 从而选择支持相应通信网络的手机的运营商。

2 手机终端选择策略

目前市场上销售的手机主要有智能手机、非智能手机两大类机手机。非智能手机基本上只能实现传统通话、短信等功能, 而智能手机除了可以实现传统通话、短信等业务外, 还具备了绝大多数PC机的功能。同一通信制式的功能手机的安全方面表现差别不大, 重点讨论智能手机选择策略。智能手机可以按支撑通信网络制式、厂商、操作系统、屏幕等列出许许多多分类, 但就安全方面来说, 可以分为普通智能手机、安全手机两大类。

普通智能手机通俗形象的讲, 就是在将手机传统的语音通话和PC机的主要功能集合在一起, 它像电脑一样, 有自己的操作系统、存储系统、中央处理器、输入输出系统等, 它也像非智能手机一样有移动通信功能。就目前的国内智能手机而言, 主要有以下几个特点:Android (安卓) 和i OS是操作系统无可非议的主流, 屏幕上智能手机主要的输入输出设备, 手机处理芯片以高通、联发科技、三星为主。普通智能手机往往关注手机自身的安全, 通常使用普通密码、增加杀毒软件、使用指纹识别系统以及增加防盗系统等等安全策略, 不能很好的解决窃听等问题, 更不能彻底的保证手机和机内数据的安全。

随着手机失泄密事件不断发生, 人们手机安全意识的不断提升, 国产的安全手机成为了智能手机家族中的新宠。安全手机在骚扰拦截、黑白名单、杀毒、广告检测、指纹应用锁、权限管理、防吸费、流量管理、通知管理、自启动管理等等智能通用安全基础能力基础上, 从开机认证、正常使用、下载软件、丢失、借用等使用中的每个环节, 着力解决私密通信防窃听、移动上网防木马、隐私信息防APP、信息隐藏防偷窥、资料防拷贝等问题, 为用户进行全方位的安全防护。下面对一些主要的安全策略进行分析。

2.1 开机认证策略

开机认证是手机安全的第一道防护, 普通的智能手机往往只提供口令保护功能, 安全手机基本上会提供如指纹等图像识别技术, 而且通常由专门的芯片模块处理和保存信息, 操作系统和外部应用都无法访问, 从而确保芯片中的信息安全可靠。

2.2 防木马策略

安全手机主要有两大策略, 一是内置杀毒软件, 自动更新木马病毒库。此方式易于实现且成本低, 但由于病毒库可以更新, 木马病毒也有机可乘。二是独立一个不能被木马病毒入侵的系统, 彻底隔绝木马。这就像是将不会中病毒的功能机和智能机集成在一起, 在安全模式下, 数据网络被彻底禁用, 实现GPS定位等功能模块被自动断电关, 完全隔绝病毒, 仅剩通话、短信功能。这种方式最为可靠, 但成本高和操作等原因, 普通用户不易接受。

2.3 防窃听策略

策略一是设置自动、手动断麦克风、定位等设备电源, 并关闭所有数据传输通道。策略二是语音加密, 这种技术依托于运营商的透传网络和加密系统。语音加密主要由运营商密钥管理中心、透传网络和手机来完成, 手机发起申请密钥消息 (终端与运营商的密钥管理中心的密钥协商采用了非对称密码技术) , 密钥管理中心完成鉴权、密钥生成、加密、签名等认证工作后, 下发给手机密钥通知消息, 主被叫双方上发透传请求给网络控制中心 (得到双方加密通话使用了对称密码技术) , 加密通话建立完成。

2.4 防拷贝策略

一是通过专业的加密软件对资料设置密码;二是采用芯片模块来实现加密。前者可以通过用数据线与电脑相连等方式, 读取出来数据, 并经专业人士处理后可能会被拷贝;后者通过芯片加密, 信息无法读取, 即使强制拷贝出来也是一堆乱码, 无法使用, 但缺点是会提高手机的制造成本。

2.5 隐私保护策略

一是远程设备管理, 在云服务支持下, 当手机丢失后, 机主可以通过系统进行远程备份、远程锁定、远程销毁、远程定位、远程备份等操作, 从而实现手机上数据备份保护和数据的安全。二是双锁屏保护, 一台手机上设置两套锁屏保护, 分别控制进入机主模式和访客模式。在机主模式下可设置隐私联系人, 隐私相册, 隐私应用;切换至访客模式后隐藏上述隐私信息。

消费者可以根据以上手机各种安全策略, 结合自身的需求、消费能力、喜好等因素, 选择合适自己的手机。

3 手机使用安全策略

互联网手机的安全跟个人的使用习惯也有很大的关系, 往往是我们的不正确、不留意等的使用给了不法份子可乘之机, 就应该引起注意。日常手机使用安全策略介绍如下。

坚持不使用来源不明的WIFI信号, 当你在蹭别人wifi网的时侯, 不法份子可能正在窃取你的资料、值入木马……不要因为能省一点网费或方便一点, 而把自己的信息裸露给别人, 这个帐大家都会算。

坚持不使用非主流应用中心提供的第三方面公共APP软件, 不要乱点网页、短信、邮箱等提供链接, 尤其要防范一些后缀为APK的链接。

坚持为智能手机安装正版的安全软件, 并坚持定期更新病毒、定期杀毒, 不定期的使用在线联网杀毒。

坚持开机有密码 (或指纹认别等) , 不同的应用软件使用不同的账号和密码, 并定期更换密码, 并保证密码不是弱密码。

坚持像保管自己的财务一样保管自己的手机, 不轻易借给别人, 发现异常扣费、非正常短信等及时与提供服务的运营商联系, 发现重要的信息失窃等即时报警。

4 社会信息安全环境营造

时至今日, 信息已成为推动人类社会进步重要的生产要素。作为当前信息最为活跃的载体——手机的信息安会环境, 理应成为社会关注点。

4.1 道德引领, 立法打击

一方面, 政府引导, 广泛的开展网上道德宣传, 提供网络文明, 培养网民在虚拟的移动互联网世界遵守现实生活中的伦理道德, 从自己做起保护网络信息安全。另一方面, 加大、加快相关法律的出台实施, 做到保护互联网手机信息安全有法可依。欧美及亚洲很多国家和地区出台了一系列互联网安全方面的法律法规, 已经明确把互联网手机的信息纳入其中, 而我们在这方面的法律法规是滞后于移动互联网的发展。据传网络安全法已列入2015年的立法计划, 但必须加快进程。

4.2 利益共享, 责任共担

移动互联网手机已形成了一个超级的产业链, 其中主要包括手机制造商、网络提供商、平台提供商、内容提供商、网络店商等等, 大家都在分享移动互联网带来利益, 但在履行各自理应承担的责任、义务时大都差强人意, 追求深源, 相关行业主管部门在明确既得利益者责任、义务明确方面不够清晰明确、监督管理不到位, 迅速弥补这方面的缺失刻不容缓。

5 结语

随着移动互联网技术的发展, 手机的功能越来越强大, 移动互联网手机安全信息面临着日益严重的安全威胁。移动互联网时代手机信息安全问题是个复杂的社会和技术问题, 在众多学者研究成果的基础上, 根据用户自身对不同的需求、定位和支付能力等, 在社会信息安全环境不断改进的前提下, 建议从通信网络选择策略、手机终端选择策略、手机使用安全策略等个纬度综合权衡, 才能解决移动互联网时代手机信息安全, 让移动互联网服务于大众, 造福人民。

参考文献

[1]中国互联网络信息中心.第35次中国互联网络发展状况统计报告[M].北京:互联网天地, 2015.

[2]曾剑秋.智能手机与信息安全讲座[M].北京:北京邮电大学, 2015.

手机信息安全篇8

智能手机 (Smartphone) , 是指具有独立操作系统, 可以由用户自行安装软件、游戏等第三方服务商提供的程序, 通过此类程序来不断对手机的功能进行扩充, 并可以通过移动通信网络来实现无线网络接入的一类手机的总称。具体而言, 这类手机有如下特点:

a.具备普通手机的全部功能, 能够进行正常的通话, 收发短信等应用。

b.具备无线接入互联网的能力, 即能够支持GSM网络下的GPRS或者CDMA网络下的CD-MA 1X或者3G网络。

c.具备PDA的功能, 包括PIM (个人信息管理) , 日程记事, 任务安排, 多媒体应用, 浏览网页。

d.具有开放性的操作系统, 在这个操作系统平台上, 可以安装更多的应用程序, 从而使智能手机的功能可以得到无限的扩充。

2 我国智能手机的发展现状09年大约133款, 1840万部

据全国电信业统计公报显示, 2009年, 全国移动电话用户净增10613.8万户, 达到74738.4万户。移动电话普及率达到56.3部/百人, 比上年底提高7.8部/百人。我国智能手机的发展更是迅速, 据不完全统计 (1) , 2009年我国智能手机的销量约为1840万部, 比2008年增加了571万部, 增长幅度达45%, 其中, 使用Symbian操作系统的智能手机约占70%, 使用Linux操作系统的智能手机约占9%, 使用Windows操作系统的手机约占13%, 使用其他操作系统的智能手机份额相对较少。

3 智能手机的信息安全风险

与普通手机相比, 智能手机所面临的安全风险要大的多, 主要原因有三点:第一, 智能手机本身的软硬件要比普通手机复杂的多, 不可避免的存在许多软硬件方面的安全漏洞, 容易被攻击者利用;第二, 智能手机基于开放型的操作系统, 使病毒开发更为容易;第三, 智能手机数据业务和应用多样化发展, 为更加复杂多变的手机病毒的传播提供了更多渠道, 也增加了手机安全事件大规模滋生的隐患。此外, 虽然智能手机可以实现计算机的大部分功能, 但计算机只有接入互联网才可能受到病毒攻击, 并且可以通过重装操作系统方式来进行处理, 而智能手机往往时刻与移动网络相连, 并且其操作系统不能随便重新安装, 故此, 一旦安全事件突发, 其危害力将远远大于电脑病毒的危害。因此, 必须对智能手机的信息安全问题引起足够的重视。智能手机所面临的安全威胁来自多方面, 其中, 部分安全威胁是所有手机都要面对的, 即基本安全威胁;另外的是智能手机出现以后才会有的安全威胁, 即手机智能化带来的安全威胁。

3.1 基本安全威胁

3.1.1 对终端操作系统的非法修改和刷机等。

通过对手机刷机跳过与SIM卡之间的通信, 而需要的SIM信息由手机存储区完成, 通过该部分设置IMSI, 鉴权信息则可以在初次开机时通过与网络之间不停的试探获得, 一旦获得, 就可以在手机存储区实现SIM卡的克隆。所有的通信费用由被抢的手机号码支付, 接听方显示的为被"劫持"的手机号码。3.1.2手机丢失、被盗和被借引起的安全威胁。手机的一个很大的安全问题是容易丢失、被盗和被借。除非手机已经由其拥有者设置了保护以禁止未经授权的使用, 理论上来说, 任何持有该手机的人都能够与手机所有者一样任意的查看手机信息。相应地, 手机持有者可能会使用持有的手机非法接入网络, 使用网络资源;手机里面的机密信息 (电话簿、短信、银行账号、口令等用户隐私信息) 及 (U) SIM/UIM卡就很容易被他人获得并且利用, 给用户造成损失。3.1.3 SIM卡复制。由于GSM安全机制的缺陷, 以及SIM卡内部加密算法的泄露, SIM卡的安全性能受到了极大的挑战, 市面上出现了能够轻松复制SIM卡的设备。SIM卡被复制以后, 新、旧两张卡均能够进行正常待机, 也能够正常发起话音和短信等电信业务, 只有在作为被叫用户时只有其中一张卡能够收到短消息或接听电话。SIM卡复制的出现, 威胁了手机的通信安全, 扰乱了手机通信市场秩序。3.1.4短消息攻击。短消息攻击就是利用短消息系统作为承载平台, 构造异常短消息, 使接收短消息的移动终端发生异常, 如移动终端重启、拒绝服务甚至无法使用。

3.2 手机智能化带来的安全威胁

3.2.1 BUG类手机病毒。

BUG类手机病毒, 就是利用手机本身存在的软件漏洞攻击手机。BUG是可以随着手机制造商的严格测试而避免的, 不会对移动网络造成威胁, 但是却在一定程度上影响了手机用户的正常使用。3.2.2短信类的手机病毒。短信类手机病毒主要是利用手机操作系统本身的一种缺陷而编写的一种进行恶意攻击或者操作的代码, 这种病毒不具有通用性, 只是单纯地一对一实施攻击。3.2.3炸弹类手机病毒。该类病毒就是利用短信网站或者利用网关漏洞向手机发送大量短信, 进行短信拒绝服务攻击。典型的就是利用各大门户网站的手机服务漏洞编写程序, 不停的用某个手机号码订阅某项服务或者退定某项服务, 致使大量垃圾短消息填满手机存储器, 不仅干扰了手机的正常通信, 而且使手机电池很快耗尽;另外, 当手机存储器存满后, 手机会自动选择SIM卡作为存储器, 并通过UPDATE命令将短信按特定的格式保存到SIM卡的存储单元中, 多次读写SIM卡, 会缩短SIM卡的使用寿命;但总的说来这类病毒不具有明显的危害性, 且比较容易防范。3.2.4蠕虫类手机病毒。这类病毒目前利用具有蓝牙功能手机的漏洞进行繁殖传播, 该类病毒暂时不具有危害性, 只是一种处于实验室阶段的概念性病毒。3.2.5木马类手机病毒。这类病毒是在正常程序中植入恶意代码, 当用户启动程序时, 该恶意代码也同时运行, 并做一些破坏性动作。

4 智能手机信息安全监管策略

目前, 由于我国智能手机持有率较低, 手机病毒还没有大规模爆发。但随着我国3G环境日益成熟, 手机病毒的威胁正在逼近。如果安全问题得不到解决, 手机病毒将会给用户乃至社会和国家带来巨大经济损失和政治影响, 因此, 有必要加强智能手机的信息安全监管工作, 具体可以从以下几个方面入手:

4.1 提高用户的安全意识

建议用户在手机内安装杀毒软件, 使用手机上网功能时, 尽量从正规网站上下载软件和应用, 且这些软件和应用需先经过杀毒再传送到手机里。另外, 鉴于病毒短信或乱码电话是手机病毒的主要攻击方式, 对于陌生人发送的短信息, 不要轻易打开, 不要随意在一些网站登记自己的手机号码, 以免感染上手机病毒。

4.2 明确运营企业的软件审核责任

运营企业负责对移动终端定制软件进行审查, 确保没有色情、暴力、恶意扣费等软件内置在手机中, 遏制手机病毒的源头。

4.3 加强对智能手机质量的管理

在手机进网检测过程中, 加强对智能手机的审查力度, 对手机质量实行严格把关。对于已经获得进网许可证的手机, 要在证后监督中加强抽查, 发现有擅自更改手机性能的、或者有违规生产不合格产品的要予以处罚, 同时根据质量投诉、售后服务等综合情况建立手机厂家信用等级制度, 对产品投诉率居高不下的厂商进行相应处理。

4.4 加强对手机市场的管理

目前, 许多消费者使用的智能手机都是水货手机、翻新手机、贴牌手机, 不仅严重扰乱了整个手机市场秩序, 影响到正牌厂商对各市场区域的统筹管理, 而且严重影响到智能手机的信息安全, 许多非法智能手机都是手机病毒和恶意代码的传播平台, 对于这部分手机要严格管理。

4.5 尽快建立手机实名制

智能手机中个人信息保护研究篇9

一、信息泄露问题的由来

(一) 网络的兴起

一般认为, 计算机广泛普及于私人生活领域是在20世纪80年代, 当IBM公司推出第一台微型计算机, 也就是今天我们所说的PC (1) 。这样算起来, 网络泄露信息的历史最多也不过三十几年。然而, 在这三十几年中, PC并不是一枝独秀, 智能手机的后军突起, 使得个人信息泄露问题有了新的发展平台。

据《2013-2017年中国智能手机行业市场需求预测与投资战略规划分析报告》统计, 2011前三季度全球智能手机的用户量只有约7亿户, 而2012前三季度, 这个数字已经突破了10亿大关。

智能手机旋风式的发展速度, 以及不成熟的建设技术, 使得个人信息泄露问题也以超乎平常的速度涌现。通过以上数据我们可以看出, 在不久的将来, 智能手机将与PC并驾成为两大信息泄露源之一, 而且前者有赶超后者之势。

(二) 智能手机的信息泄露源

智能手机, 一般由以下几个部分构成, 每一个部分的不完美都会使信息泄露成为可能:

1. 操作系统

智能手机的最大价值在于它的操作系统比传统手机要强。目前采用最广的当属android系统, 其开放源代码可以被任何手机采用。据统计, 目前世界上80%以上的手机生产商都采用android系统。但实力雄厚的手机生产商都有自己特制的操作系统, 如苹果的i OS系统、三星的Bada OS系统、RIM的黑莓等。这些操作系统都是闭源代码, 不能被其他手机随意采用。这些公司以其优越的技术研制出优于其他的操作系统, 并使这种操作系统专为其自制的手机服务, 这种生产的一体化和技术性的垄断为其在智能手机市场长盛不衰保驾护航。而其他的手机生产商在生产手机时则需要按照一定的操作系统进行配制。

因操作系统问题导致的信息泄露事件已屡见不鲜, 如2013年的北京电影学院教务系统漏洞导致演员信息泄露。目前, 此类信息泄露现象正往银行业务、IT领域、交易系统等方向普及。

2. 手机生产商

是指生产手机硬件设施的厂家, 如诺基亚、华为、酷派等品牌。一般来说, 手机生产商在生产一部手机时, 需要配置一定的操作系统, 如诺基亚、三星、LG、索尼等都采用塞班系统。除此之外, 手机还需要确定网络制式。在3G还未出世之前, 所有手机都是2G制式;当网络运营商开发出3G网络之后, 只支持2G的手机逐渐被淘汰, 手机生产商纷纷研制3G手机。这使得手机生产商一改往日辉煌的历史, 逐渐显示出被动的局面———他们需要根据网络开发技术的发展而不断更改、淘汰自己的手机制式。这种地位的转换加强了手机生产商与网络运营商之间的关系。一些手机生产商为了自己的手机能够提供更好的网络服务以加强市场竞争力而与特定的网络运营商合作。最典型的当属电信单模手机, 这种手机就是严格按照电信的网络运营模式生产的, 只能用电信的卡。合作就意味着信息共享, 因此双方合作过程中的任何瑕疵都是对用户信息安全的极大威胁。

3. 运营商

运营商是指网络服务的供应商, 在中国就是指中国移动、中国联通和中国电信。用户在使用手机过程中常常需要办理流量、套餐等各种业务, 自然免不了填写详细的个人资料。这些资料运营商是怎么处理的, 没有监管部门进行监控。从山东联通密码门、德州移动分公司泄露用户资料事件中可以看出, 没有社会的监管、法律的约束, 再正规的公司都是不可信任的。

4. 软件供应商

软件供应商是指为各类手机系统开发应用软件的商家。自2008年谷歌公司对外发布了安卓手机操作系统的源代码后, 各种为安卓手机开发的应用软件铺天盖地而来。可以说, 应用软件是安卓手机中信息泄露的重灾区。据DCCI互联网数据中心发布的《2013移动隐私安全评测报告》显示, 66.9%的智能手机移动应用在抓取用户隐私数据。网秦《2012年第一季度全球Android手机安全报告》的数据显示, 目前有超过30%的恶意软件存在盗取隐私的能力。这几个部分共同架构了一部智能手机。信息泄露可以在任何一个部分产生, 当然也可以在他们的相互配合中产生。如手机生产商为赚取额外利润, 与软件商合作, 在手机内预置软件商提供的应用软件, 并且禁止用户自行删除。这些软件被使用后会出现流量消耗、费用损失、信息丢失等问题。他们的合作过程, 没有任何的部门或规则进行干预。预置软件的规格的标准在我国立法和行政领域都是空白。

二、智能手机中个人信息泄露的特点

(一) 集网络服务与通讯功能与一身, 使用频率高

智能手机已经发展到无所不能的地步了, 除了传统的视频、音乐、拍照、微信、QQ、新闻、微云、英语词典等功能外, 手机购物、订机票、手机银行、手写邮件等功能成了手机用户最得意的助手。这些全方位的智能服务已经毫不亚于PC了, 更何况它还有PC不可代替的两大优势———通讯功能和便携性。

智能手机不仅能够提供流畅的网络服务, 还能够满足用户的通讯需要, 发短息、打电话等功能是PC所不具有的。这种‘一机两用’的特性让智能手机迅速普及。人们出门不必带一台PC, 却必须兜里揣一部手机。另外, 智能手机的灵巧形小、贴身、便于携带, 手机用户可以随时随地使用, 无论等公交还是上厕所都不影响。这种高频率的使用加大了信息泄露的风险。

(二) 应用软件弱化了用户的自我保护意识

智能手机的受欢迎度之所以高, 还是取决于它不断推陈出新的应用软件。而由于我国对好坏软件缺乏统一的界定标准、对软件的投放的没有统一的审核、缺乏对恶意软件投放的管控等原因, 使得软件市场难以控制。

科技发展的前瞻性与管控的滞后性之间的差距使信息泄露局面难以控制, 也弱化了用户的自我保护意识。一方面, 用户在下载各种应用软件时, 过于关注其趣味性和娱乐性, 而忽视了对自己隐私权的保护, 没有防范恶意软件的意识;另一方面, 由于政府没有明确的警示和有效管理, 用户也很难简单地从产品描述上辨别软件的好坏。

(三) 通讯功能让信息泄露呈连环波状

如上所述, 通讯功能是智能手机相对于PC的一大优势, 但这种优势却加大了信息泄露的风险。几乎所有的手机应用软件在安装时都会要求读取通讯录或修改、删除SD卡内容。这些要求有的是为提供正当服务所必须, 比如一些社交类的应用, 读取用户的通讯录有利于了解用户的交际圈, 为用户提供更广阔的社交对象。而有的是完全无必要的, 比如一些游戏类软件。当然更不排除一些恶意软件, 以提供娱乐服务为虚, 以搜集用户信息为实。通讯信息的泄露不仅伤害了自己的隐私权, 更伤害了他人的隐私权。由于人与人之间一环扣一环的交际关系, 也使得智能手机的信息泄露呈现由我及你、由你及他的连环关系。

三、对智能手机中个人信息泄露的法律保护

综上所述, 智能手机中信息泄露问题得不到控制与解决, 追根到底是缺乏法律基础。由于没有法律的震慑, 不法分子可以肆意作案;由于无法可依, 有关部门在接到报案后也不知该如何解决。因此, 尽快完善立法是遏制此类问题、保护消费者合法权利的有效途径。

目前, 我国没有关于个人信息泄露问题的专门立法, 对此类问题的处理只能依附于相关的法条与文件, 与此有关的法条与文件有:《刑法》第253条“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”;《侵权法》第36条“网络侵权”;《中华人民共和国电信条例》;《最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》 (2000年) ;《最高人民法院关于对非法复制移动电话码号案件如何定性问题的批复》 (1995年) ;《工信部关于加强移动智能终端管理的通知》 (2013年) ;《全国人大常委会关于加强网络信息保护的决定》 (2013年) 。

这些相关法律条文虽然或多或少涉及到个人信息问题, 但过于零散, 可操作性差。笔者认为, 信息泄露问题由来已久、事态严峻, 应当对此类问题展开系统、全面的立法工作。

鉴于信息泄露问题有恶意盗取、中介转卖、非法利用等环节, 笔者认为, 立法上也应该从这几个环节入手。立法体系上, 笔者主张全方位、多层次立法, 具体阐述如下:

(一) 将“公民私有信息神圣不可侵犯”写入宪法

随着电子信息技术的发展, 社会机构组织对公民私有信息的侵入已使公民成为“透明人”, 而我国现行《宪法》第40条对公民信息的保护仅限于‘通信秘密’, 显然应当扩大。笔者建议, 应将“公民私有信息神圣不可侵犯”作为总原则写入宪法, 再分别从部门法中加以细分和具体化。

(二) 在《刑法》中加入“非法搜集个人信息罪”、“非法转卖个人信息罪”、“非法利用个人信息罪”和“恶意开发不良软件罪”

2009年《刑法修正案 (七) 》在《刑法》第253条“私自开拆、隐匿、毁弃邮件、电报罪”后补缀了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”, 但这两项罪名的主体仅限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。笔者认为, 这样的规定显然过于老化, 首先应将这两项罪名独立出来, 作为侵犯个人信息这一类罪中的一条 (或两条) 。其次, 应将这一类罪的主体扩大。这也有两种方法, 一是对这两条进行修改, 将主体扩大到国家机关和国有单位工作人员之外的个人或单位;二是对这两条不进行任何修改, 另增设专为除上述几类人之外的个人或组织设置的罪名。具体的罪名应包含搜集、转卖、利用等几个环节。

另外, 如上所述, 不良软件是信息泄露的重要源泉, 我国现行《刑法》应针对不良软件的恶意开发商出台整治措施, 这样才能有效治理信息泄露问题。

(三) 创建一部单行法, 可称之为“个人资料 (信息) 保护法”

这是一项很大的工程, 但国内已有不少学者致力于这方面的研究了。如武汉大学的齐爱民教授, 其出版的《个人资料保护法原理及其跨国流通法律问题研究》一书就详细对个人资料保护作了说明, 比如‘个人资料’如何界定, “个人资料保护法”的概念和性质如何、“个人资料保护法律关系”的主体、客体、内容如何等等。

这本书是从整体、宏观的角度来介绍“个人资料”的保护, 笔者认为智能手机作为一种特殊的信息泄露的载体, 与“个人资料 (信息) ”的保护既有相同点又有不同点。因此在单行法的立法结构上, 笔者主张采取“一般”与“特殊”两编立法。“一般”立法中规定一般条款, 同时应将《工信部关于加强移动智能终端管理的通知》、《全国人大常委会关于加强网络信息保护的决定》中有关内容具体到法条上;“特殊”立法中可将智能手机的信息泄露问题作为单独的一章加以独立规定。以后如果出现新型的侵犯“个人资料 (信息) ”的情况, 也就可以将其纳入第二编。这样做也是为以后发现新问题留有空间。

至于这三者之间的关系, 第 (二) 和第 (三) 点都是不与第 (一) 点冲突的, 即使创建一部单行法, 也可在《宪法》中写入“公民私有信息神圣不可侵犯”作为最高原则加以指导;即使在刑法中增设这几种罪, 也不影响“公民私有信息神圣不可侵犯”被写入《宪法》。至于第 (二) 点和第 (三) 点之间的关系, 笔者认为两者也可以并用, 其理由是:“个人资料 (信息) 保护法”一般是以人格权或隐私权作为法律依据的 (2) , 所以究其性质应为民事法律。发生侵犯他人个人信息的案件时, 可以先以民事纠纷的形式解决。如果侵犯方有明显的恶意, 或影响重大的, 也可以追究刑事责任。这样从民、刑两个层次来约束不失为更妥帖之举。

四、结语

虽然我国有关个人信息保护的法律还不完善, 但可喜可贺的是, 我国官方部门早已注意到这个问题并已将其提到法制日程。2006年7月12日, 国务院办公厅发布了《2006-2020年国家信息化发展战略》明确提出, 要加快推进信息化法制建设, ……制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规……。因此笔者相信, 只要有关部门和专家学者共同努力, 构建一个完善的个人信息保护体系不再是难事!

参考文献

[1]齐爱民主编.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社, 2004.

[2]孔令杰.个人资料隐私的法律保护[M].武汉:武汉大学出版社, 2009.

[3]郎庆斌, 孙毅等.个人信息保护概论[M].北京:人民出版社, 2008.

手机信息安全篇10

国内手机垃圾短信大致分四大类:

第一类:是“骚扰型”,多为一些无聊的恶作剧;第二类:是“欺诈型”,此类短信多是想骗取用户的钱财,如中奖信息;第三类:非法广告短信,如出售黑车、麻醉枪之类;第四类:SP(短信业务提供商)违规群发,误导用户订制短信业务,发送号码多为SP接入代码,一般为四位数字,发送号码不分网内网外。

根据去年的一项统计,我国手机用户平均每周收到8.29条垃圾信息,6.25%的用户每周收到多达40条以上垃圾信息,2008年的CCTV“2008年3.15晚会”针对现代社会的数字化生活中存在的这个最引人关注的新问题进行了审视和思考。

1 研究垃圾短信过滤的现状

短信服务SMS(Short Messaging Service),是现在普及率最高的一种短消息业务,通过移动终端实现发送和接收有限长度的以文本、数字或二进制非文本数据为主的功能。目前,这种短消息的长度被限定在140字节之内。

SMS的发送过程如图1所示,短消息是从外部信息实体(ESME)提交到短消息服务中心(SMSC),完成内部处理后短消息服务中心询问归属位置寄存器(HLR),并从移动用户中得到相关的路由信息,接下来短消息服务中心将短信息发送给移动交换中心(MSC),并从访问位置寄存器(VLR)中找回用户的信息记录。其中,访问位置寄存器向移动用户发送一个交互请求并返回操作的结果,最后移动交换中心将短信息发送给移动用户(MS)并将操作结果返回到SMSC。

以上可以看出,垃圾短信的过滤可以在两个环节进行,第一是在短消息服务中心SMSC接收到短信之后,发送短信之前的暂存的时期对该短信进行过滤。对短信中心的信息进行过滤的基础是移动运营商在短信服务器端进行处理,在网关处拦截来自运营商及互联网的垃圾短信,在服务器端进行过滤效果好,但同时成本高,会加重服务器的额外负担。第二是在短信被接收方接收之后,由接收方手机进行过滤。基于客户端的短信过滤可以大致分为三种:基于来电号码的匹配过滤、基于关键词的匹配过滤、基于短信内容的垃圾短信过滤。

2 基于分层过滤的垃圾短信过滤方法

垃圾短信过滤的实质属于文本分类,由于单独的对基于来电号码、关键词、短信内容的垃圾短信进行过滤,在处理上过于简单,很大程度上会将许多正常的短信错判成垃圾短信。本文结合了基于来电号码的匹配过滤及基于关键词的匹配过滤的优点,信息在被接收前除了要通过对手机通信录号码簿,公共号码名单里的电话号码这两个“关口”进行过滤,还要对短信内容进行相关关键字匹配的过滤检索,从而做到分层过滤,经过中国通信企业协会测试比较,这种技术漏报和误报率最小。

本文用于开发测试的手机短信过滤系统是市场占有率达到70%的symbian智能手机操作系统,运用Nokia公司提供的S60_3rd Edition FP1 SDK包。由于手机的处理能力和各种资源有限,因此在架构设计上需要考虑诸如运行效率,可扩展性,稳定性等因素。垃圾短信过滤系统总体结构模型如图2所示。

垃圾短信过滤系统由短信监控模块、短信提取模块、手机通讯录检索模块、公共号码名单检索模块以及内容分析模块这五个模块构成。

1)短信监控模块:该模块负责对手机接收端口进行实时监控,对发送到接收方手机的短信进行实时捕获,当短信接收端口收到短信时,将短信交给短信提取模块。短信监控模块监控的范围包括移动网内及网间点对点的短信息、移动梦网SP短信、行业应用短信等。

2)短信提取模块:该模块负责将短信解码,从短信的消息中提取发送方的号码和短信内容,并将其送给手机通讯录模块、公共号码本模块和内容分析模块进行检索。

SMS是由Etsi所制定的一个规范(GSM 03.40和GSM 03.38),一共有Block Mode,Text Mode和PDU Mode三种方式来发送和接收SMS信息,其中PDU Mode被所有手机支持默认的编码方式,可以使用任何字符集。PDU相当于一个数据包,数据和代码都经过编码所以无法直接读懂;但PDU模式同时支持中英文两种短信。PDU模式收发短信包括3种编码:7位、8位和UCS2编码。7位编码用于发送普通的ASCII字符,8位编码用于发送数据信息,UCS2编码用于发送Unicode字符它由构成消息(SMS)的信息组成,每条消息可以发送140个字节。英文解码就是将7位字符编码转换为8位字符编码,中文解码将代码页为CP936的Unicode编码转换为GB2312的中文编码即可作为一种数据单元,它必须包含SMS服务中心号码、目标号码、回复号码、服务时间、数据格式、协议类型和正文。以下是C++Builder的中文解码的实现代码:String DecoedeChinse(String InputStr)

3)手机通讯录检索模块:由于用户收到的信息的号码大部分来自于手机通讯录中,所以先对手机通讯录进行检索。首先将手机通讯录中所有号码导入手机通讯录检索模块,在短信提取短信号码后将收到的信息号码导入手机通讯录检索模块,该模块根据手机SIM卡的号码和收到的短信号码进行匹配,如果收到信息的的号码存在于手机通讯录中,则把信息放进短信收件箱;如果发现通讯录中不存在该号码,就送入公共号码本检索模块。在优化处理手机号码过滤方面,可以通过号码段将手机通讯录里的号码分类,如中国大陆移动分为134,135,136,137,138,139,157,158,159号码段、中国联通的130,131,132,133,153,156号码段和中国网通3G手机188,189号码段等。

由于提前将手机通讯录中的号码按号码段的不同分成不同的号码类,可将需要过滤的号码前三位数字同手机通讯录中各个的号码段的前三位数字进行比较,分两种情况:

如果有待过滤的号码不存在于各个号码段之内,则此号码可不用进行接下来的匹配直接送入下一步过滤。

如果有待过滤的号码存在于各个号码段之内,则从有待过滤号码的第四位数字开始同所属号码段中的号码第四位开始对应匹配是否正确,若正确,则继续递归,否则将进入下一步过滤。

4)公共服务号码检索模块:公共服务号码诸如通信机构服务电话号码(比较常见的如移动客户服务10086、移动彩铃服务12530、联通客户服务10010等)、银行客户服务电话号码(工商银行95588、中国银行95566、建设银行95533、招商银行95555、交通银行95559等)、保险公司服务电话号码(太平洋保险95500、中国人寿保险95519、中国平安保险95511等)等,该模块根据预先设定好的号码和短信号码进行匹配来决定是否通过,过滤方法同手机通讯录中的过滤方法基本一致,所不同的是公共号码匹配从第一位数字开始比较,如果发现公共服务号码名单中不存在此号码,就将短信内容送入内容分析模块。

5)内容分析模块:该模块式整个系统的核心,用来对来自于未知号码的短信进行文本检测。根据手机用户预先设定的关键字运用精确模式匹配算法BM对短信内容进行匹配。如果短信内容包含了关键字库中的内容,则直接将接收到的信息转移到垃圾箱中,否则允许通过。

3 内容分析模块实现的关键技术

我们通过对短信文本的预处理,再结合运用BM算法的关键字匹配将模糊匹配转换成精确匹配。

3.1 短信文本预处理

1)通配符的处理:由于我们关心的是中文短信,所以当我们接收到一条短信的时候,可以对夹杂在短信中的一些诸如*、.、%、@、&……等无意义的符号去掉。如“本公司可以长期办@假&证”,处理后变为“本公司可长期办假证”。从而,将对关键字进行的匹配转换为精确匹配。

2)拆分字的处理:通过一个拆分字字典将关键字扩充,并将扩充后的关键字也加入到关键字库中。比如关键字库为“法轮功办证弹药走私”,经过这一步,得到的新的关键词表为“法车仑工力办证弓单药走私”,如果短信中出现“法轮功”,因为这个关键字已经出现在关键字库中,所以可以进行精确匹配。

3)组合关键字的处理:运用关键字进行匹配时,许多关键字之间是“与”的关系。很多时候在一个短信中往往需要结合几个关键字才能判断该短信是否有害,因此,在配置关键词时,常常要将多个关键词进行“与”操作。

4)谐音字与拼音的处理

3.2 内容分析

目前经典的精确模式匹配算法有Aho-Corasick算法、BM算法、AC-BM算法和Wu-Mander算法等。BM算法是一种精确符串匹配算法,它采用从右向左比较的方法,若某趟比较不匹配时,BM算法就采用“坏字符规则”和“好后缀规则”两种启发式规则来计算字符串向右移动的距离,直至整个匹配过程的结束。

1)坏字符规则(Bad Character):

设短信文本字符串为T,待匹配的字符串为P,在BM算法从右向左扫描的过程中,若发现T中某个字符x与P对应位置的字符不匹配,则按如下两种情况讨论: