移动互联网安全(精选十篇)
移动互联网安全 篇1
关键词:移动互联网,智能终端安全,网络安全,应用安全,安全框架,态势感知
0 引言
移动互联网已经成为人们社会生活中的重要网络。据统计,截至2015 年6 月底,我国网民总数达6. 68 亿人,其中使用手机终端上网的移动互联网网民达到5. 94 亿人[1]。
总体而言,当前移动互联网产业环境正在向着“去电信化”和“互联网中心化”的方向演进[2]。随之而来的是应用创新和模式创新正在取代技术颠覆成为移动互联网产业发展的显著特征。
然而随着快速发展,移动互联网也面临着与日俱增的安全威胁以及安全保障方面的挑战,对于其安全技术的研究具有重要的现实意义,需要尽早提出相应的解决方法。
1 移动互联网的定义与技术体系
移动互联网是指互联网的技术、平台、商业模式和应用与移动通信技术结合并实践的活动的总称[3]。中国工业和信息化部电信研究院在《移动互联网白皮书( 2011 年) 》[4]。中指出: “移动互联网是以移动网络作为接入网络的互联网及服务,包括3 个要素: 移动终端、移动网络和应用服务。”
一个简单的移动互联网的拓扑结构如图1 所示。在该模式下,用户使用移动智能终端,通过将传统移动通信网络( 包括2G/3G/4G网络) 或者通过无线通信网络( 包括WLAN、Wi Max等网络) 作为接入网络,来访问传统互联网中提供的各类能够提供满足其个性化服务需求的可移动、可定制的应用。
移动互联网的技术体系有3 个水平功能层面,分别为云( 即应用与服务功能层面) 、管( 即网络功能层面) 、端( 即移动智能终端功能层面) 和1 个垂直功能层面( 即安全与隐私保护功能层面) ,如图2所示[5]。
1. 1 智能终端功能层面
随着信息技术的不断发展,移动智能终端已成为人们日常工作生活中关系最密切的电子设备。
通过将电信服务和互联网服务聚合在一个终端设备中,移动智能终端不仅具备了普通移动终端的语音通话、电信服务和移动性管理能力,而且具有了类似于计算机的处理能力和网络功能,以及更为强大的信息处理和存储空间。
目前,移动智能终端技术已成为影响移动互联网产业发展的最为关键的技术之一。其研究范围包括终端硬件、操作系统和应用软件技术,以及终端定位、节约能耗、上下文感知、内容适配和人机交互等技术。
1. 2 网络功能层面
移动互联网的网络主要包括两部分: 接入网和核心网。其中移动互联网的核心网是IP骨干信息传输网络,而其接入网络则以传统移动通信网络的接入网络以及无线城域网、无线局域网为主,此外还可以包括卫星通信网络以及使用蓝牙技术的无线个域网。这些采用不同技术体制的接入网络在带宽、覆盖、移动性支持能力和部署成本等方面各有长短[5]。例如,传统移动通信网络的接入网虽然具有移动性管理技术成熟和覆盖范围较大的优势,但却存在着成本过高、带宽较低等缺陷; 而无线局域网虽然具有成本较低和带宽较高的优势,但又存在着移动性管理技术还不成熟和覆盖范围有限等缺陷。
移动互联网的高速发展使得接入网络所需要支撑的应用已转变为包含语音、数据、图像在内的多媒体应用,并且需要满足在所需带宽、覆盖区域以及实时性等多个方面的需求。
2 应用服务功能层面
移动互联网以“移动”和“开放”作为主要的发展特征,辅以应用商店引发的应用提供模式的创新,大规模地推动了应用市场的繁荣。
移动互联网的应用具有移动性和个性化等属性: 比如用户可以随时随地获得根据其位置、兴趣偏好和环境特征等需求因素进行定制的具有个性化特征的移动互联网应用。而且随着业务和终端平台深度融合的趋势日益明显,移动智能终端对业务能力的支持程度将直接影响移动互联网业务的推广和普及[6]。
目前,移动互联网上的应用发展迅速,移动搜索、移动社交网络、移动电子商务、移动办公应用、智能导航应用等在内的多种应用正得到蓬勃发展。
3 安全与隐私保护功能层面
互联网自被使用以来,安全与隐私保护问题就一直困扰着人们。而与互联网的融合,使传统移动通信网的安全属性也受到很大的冲击。伴随移动互联网的业务多样化、网络开放化、终端智能化等技术特点的变化,安全与隐私保护问题也会出现新的特征,并提出更高的防护需求。
移动智能终端具有终端智能化、服务个性化等特征,更使得安全与隐私保护成为了移动互联网所必须解决的一大紧迫问题。与传统终端不同,移动智能终端与生俱来的用户紧密耦合性决定了其信息的敏感性,而其具有的移动特性又对于信息安全的保护提出了更高的要求[7]。
4 移动互联网安全问题产生的根源
随着移动互联网的爆炸式发展,受经济利益驱动,移动互联网面临的安全威胁也在近几年迅速增长[8]。究其问题产生的根源,可以从以下两方面进行分析。
( 1) 传统移动通信网封闭式的安全模式被打破
传统移动通信网的建设采用“围墙花园”模式,具有网络平台相对封闭、信息传输和管理控制平面分离、网络行为可溯源、终端类型单一且非智能,以及用户鉴权严格的特点,因此安全性相对较高[9]。
但是,从移动通信的角度看,与互联网的融合在很大程度上削弱了传统移动通信网络原有的安全特性。首先,作为移动互联网的一部分,IP化后的移动通信网逐渐开放了其原有的封闭体系,导致除了严格的用户鉴权和管理之外,原有的安全性优势所剩无几; 其次,由于其应用环境的封闭性,移动通信网络中原有的IP化的电信设备、信令和协议较少经受安全攻击方面的测试,其安全性被作为一个缺省项对待,因此也存在着各种可能被有意或者无意利用的软硬件漏洞。其安全防护能力在面对来自互联网的各种安全威胁时,出现明显降低的情形。
( 2) 传统互联网的安全问题被引入到移动互联网中
移动互联网作为互联网的一个组成部分,除了接入技术不同,在体系架构上并无本质区别,同样面临着传统互联网的种种安全威胁和挑战。
首先,产生移动互联网安全问题的总根源是其基于传统互联网的开放式IP架构。IP架构使攻击者可以很容易得到网络拓扑,获得网络中任意重要节点的IP地址,可以对网络中某一节点发起漏洞扫描及攻击,截获并修改网络中传送的数据,导致网络数据安全没有保障。而且用户对网络不透明、鉴权不严格、终端未经严格鉴权的认证机制即可接入网络; 网络对终端的安全能力和安全状况不知情、无法控制; 用户地址也可以伪造,无法溯源[10]。
其次,从现有互联网角度看,在融合了传统移动通信网络后,由于大量引入了具有安全脆弱性或者安全漏洞的IP化移动通信设备( 例如WAP网关、IMS设备等) ,同时又增加了无线空口接入模式,导致其产生了新的安全威胁。例如攻击者可以破解空口接入协议进而非法访问网络,可以监听和盗取空口传递的信息,也可以对无线资源和设备进行服务滥用攻击等[6]。
因此,传统互联网服务中信息传播和管控机制在很大程度上不能平滑过渡到移动互联网,信息安全和用户隐私保护已经成为移动互联网用户迫切关心和亟待解决的问题[11]。
5 移动互联网面临的主要安全问题分析
文献[12]中给出了一个简要的移动互联网的安全体系架构,如图3 所示。
按照攻击发生的位置,对移动互联网的安全威胁可分为对移动终端的威胁、对无线接入网络的威胁和对移动应用的威胁。
5. 1 移动智能终端层面临的安全问题
移动智能终端作为未来“无所不在”服务和个人信息的载体,具有移动性、多样性和智能性的特点,而附属于其上的各种应用则呈现出类型复杂、实现机制不公开、数量庞大的特点,这些因素叠加起来,导致其面临的威胁远大于以往[6]。
在表现形式上,移动智能终端的安全问题[8]主要聚焦在以下几个方面: 其一是非法内容传播; 其二是恶意吸费; 其三是用户隐私窃取; 其四是移动终端病毒以及非法刷机导致的黑屏、系统崩溃等问题。
下面以移动恶意代码和用户隐私窃取方面的问题为例对此进行说明。
( 1) 移动恶意代码问题
由于移动智能终端操作系统在设计及实现上存在的疏忽,导致其或多或少都存在系统漏洞或者脆弱性,有可能会被恶意代码利用。尤其是随着移动互联网黑客技术的不断成熟,以移动智能终端为攻击目标的恶意代码已对其安全构成重大威胁。
移动恶意代码[13,14]是一种具有破坏性的恶意移动智能终端程序,一般利用短信、彩信、电子邮件和浏览网站等方式在移动通信网内传播; 同时可利用红外、蓝牙等方式在移动智能终端间传播。
目前,移动智能终端操作系统市场占有率最高的是谷歌公司的Android操作系统,其次是苹果公司的i OS操作系统和微软公司的Windows Phone操作系统等。随着智能终端操作系统的日趋统一,恶意代码将加速扩张,并由简单吸费向复杂的诱骗欺诈和流氓行为进化,呈现出多发趋势[15]。而且随着移动智能终端与银行账号、第三方支付等金融业务绑定的增加,手机病毒制作和传播正加速向资费消耗、恶意扣费和隐私信息窃取方向发展[12]。
尤其是随着基于Android操作系统的快速发展,使用该操作系统的移动智能终端日渐成为黑客攻击的主要目标。2015 年上半年,我国新增Android病毒包数达到596. 7 万,同比增长1741% ,感染用户人次达到1. 4 亿,同比增长58% ,其中手机支付病毒感染用户总数达到1145. 5 万[16]。
( 2) 用户隐私窃取问题
伴随着移动互联网的普及和发展,用户对个人信息和网络隐私安全的关注程度也越来越高。与传统的个人计算机安全相比较,移动智能终端对用户的重要性更大。一般用户会将其私密、位置、金融等信息存储在移动智能终端中,由于这类信息的敏感性,使其遭受攻击的诱惑性更大,给用户隐私的保护带来了严峻挑战。
根据调研,相当多的移动智能终端在出厂时就被默认捆绑了很多应用,其中部分应用会在用户不知情的情况下收集用户的敏感信息和隐私信息,并且具有向其后门自动上传所收集用户信息的能力。比如,2012 年11 月,某著名安全防护软件被发现主动收集诸如用户打开过的浏览页面地址等用户隐私信息,并且在用户不知情的情况下利用云端指令,在后台执行规定内容之外的功能[17]。
同样,导航应用几乎是每个智能移动终端用户必用的服务,但是用户在使用这类服务发布的一些位置数据也可能会泄露其位置隐私。比如央视在2014 年曝光了苹果手机能够精准地记录用户使用过的定位服务功能及其位置的变化信息,包括他们的工作单位和家庭住址,甚至于包括每天去过什么地方、在该地方呆了多长时间的信息,这就涉嫌侵犯了用户的个人隐私。因为如果这些信息被不法分子得到,有可能会危及用户的财产和人身安全。
另外,在基于位置的服务中,还存在轨迹隐私泄露的问题。所谓轨迹,是指某个对象按时间顺序排列的位置序列[18]。通过大数据技术来分析对用户看似毫无用处的轨迹数据,就可能会泄露这些轨迹中含有的敏感位置信息,而依据这类敏感位置可能会得出令人吃惊的结果,比如可能会披露出用户的家庭住址、工作单位,甚至行为习惯、健康状况等更敏感的信息[19]。
但是另一方面,某些移动智能终端为了保护用户的通信隐私所采用的应用层加密技术,也给信息安全监管工作造成很大的挑战[20]。比如黑莓手机采用对数据进行加密后传输的方式来保证用户数据的安全,并且该手机使用的非公开加密算法的保密系数不低于银行数据系统。但是在2008 年发生的孟买的恐怖袭击事件中,恐怖分子却正是利用了黑莓手机的加密功能逃避了印度政府监管。
5. 2 网络层面临的安全问题分析
移动互联网具有的网络开放性、IP化以及无线传输的特性,使安全成为其接入网以及核心网面对的关键性问题之一。但是受限于现有技术能力,移动互联网尚缺乏对隐藏在所传输信息中的恶意攻击进行识别与限制的能力。
按照攻击的方式,移动互联网的网络面对的威胁方式有窃听、伪装、破坏完整性、拒绝服务、非授权访问服务、否认使用/提供、资源耗尽等[21,22],这些形形色色的潜在安全问题威胁着正常的通信服务。
( 1) 传统移动接入网面临的安全问题
网络协议和系统的弱点是3G移动通信系统面临的安全威胁的主要来源,攻击者可以利用此类弱点实现非授权访问敏感数据、非授权处理敏感数据、干扰或滥用网络服务,进而对用户和网络资源造成损失[9]。以通用移动通信系统( UMTS) 为例,在其安全机制中存在着许多的安全漏洞,攻击者利用这些漏洞能够对移动通信网发起诸如中间人攻击、流氓基站攻击和拒绝服务攻击等类型的攻击。
4G移动通信系统由于其异构和基于全IP技术的体系结构,也会继承由于IP技术具有的特定安全漏洞而产生的安全问题。比如LTE的网络架构采用了全IP技术,与GSM、UTMS采用的网络架构相比,这种平坦的结构易受诸如窃听、注入、修改等方式的攻击,增大了泄露用户隐私的风险。此外,LTE网络还容易受到MAC层位置跟踪、Do S攻击、数据完整性攻击以及用户设备和移动设备的非法使用的影响。
除了上述来自网络协议和系统的弱点之外,下面以信令风暴攻击为例对移动接入网面临的运行类安全问题进行说明。
信令风暴攻击[23]是指短时间内针对基站和基站控制器( BSC) 发起大量SYN扫描所导致的异常流量攻击行为。在这种攻击模式下,攻击者通过对大量3G用户地址段发起SYN扫描攻击,能够同时激活大量的休眠用户,进而出现无线空口资源的负荷激增的问题。而由于传统移动通信网仅具有有限的无线空口资源,并且这些无线空口资源还要在其覆盖范围内进行共享,因而信令风暴攻击行为将严重影响到移动通信网的服务质量及用户体验。例如,某运营商曾发生过上千个3G用户在短短的10 s内同时登录一个基站,产生大量信令,引发相关设备出现最高负荷过高的问题。目前应对异常流量攻击的检测及封堵技术手段尚不能有效实现对SYN扫描攻击的拦截,在应对信令风暴攻击者对移动网地址段发起的SYN扫描攻击时,均具有其局限性,还不能有效地防范该类攻击。
( 2) WLAN接入网面临的安全问题
WLAN技术采用公共的电磁波作为载体,具有标准统一、部署简单、性价比高的特点,同时又具有高灵活性和扩展能力强的特点,成为移动互联网接入的重要手段之一。但是由于其安全体制存在的缺陷,在认证与信息安全、网络安全等方面存在多项安全问题,使得其成为易被攻击和入侵的对象。
随着网络攻击技术的不断翻新,针对WLAN的攻击技术[24,25]中比较有代表性的包括针对秘钥的主动或者被动攻击、伪AP钓鱼攻击、利用DNS端口绕开计费问题、Web Portal安全问题、拒绝服务攻击、欺骗攻击和中间人攻击等等。
下面以针对秘钥的主动或者被动攻击以及分布式拒绝服务攻击为例对WLAN面临的安全问题进行说明。
在WLAN环境中,攻击者可采用主动方式或者被动方式截获用户秘钥。在采用主动攻击方式时,攻击者向接入特定WLAN的某个已知用户发送信息,比如通过有线互联网给某个用户发送电子邮件,然后通过比较加密前和加密后的数据包,就可以获得该用户的密钥。而当采用被动攻击方式时,攻击者只需要被动接收无线信号,并将所截获的加密信息与各种常用的提供未加密信息传输的网络传输协议及数据包格式进行针对性的比较就能获得密钥。
而拒绝服务攻击( Denial of Service,Do S) 是指攻击者利用软件( 含操作系统) 的缺陷和协议的漏洞,通过抢占主机或网络的几乎所有资源的方式,使得合法用户无法获得相应的服务。拒绝服务攻击可以很容易被应用到WLAN接入网络。在这种攻击模式中,攻击者通过发送与WLAN相同频率的干扰信号来干扰无线接入网络的正常运行,进而导致正常的用户无法使用无线资源接入网络。拒绝服务攻击的另一种攻击手段是在短时间内发送大量的同种类型的报文[26],比如发送大量的非法身份验证请求,此时无线访问接入点( Access Point,AP) 会被攻击设备发送的攻击报文淹没,而无法处理正常的移动智能终端( 合法用户) 的报文请求。
在WLAN领域的安全标准主要是IEEE制定的802. 11i标准和国内自主制定的WAPI标准,这两项标准都是用于解决无线接入段( 即用户到AP) 的认证和加密问题。其中,802. 11i标准采用基于共享密钥的方式实现认证,并定义了更加严谨的加密算法,弥补了原有用户认证协议的安全缺陷,而WAPI采用基于数字证书的机制实现认证,并定义了国内自主的加密算法。综合而言,这两大标准在接入控制方面都存在比较明显的缺陷,各有优劣[27]。
5. 3 应用层面临的安全问题分析
移动互联网带动了大批具有明显个性化特征,并且带有移动特色的创新型和融合型移动应用的快速发展。这类移动互联网应用一般都具有很强的信息安全敏感度,拥有如用户位置、通信录及交易密码等用户隐私信息。
移动互联网应用的上述特征与其潜在的巨大用户群的综合,导致其面临着更新的攻击目的、更多样化的攻击方式和更大的攻击规模[6]。
按照通行的分类方法,移动互联网应用面临的安全威胁[9]主要包括SQL注入、分布式拒绝服务( DDOS) 攻击、隐私敏感信息泄漏、移动支付安全威胁、恶意扣费、恶意商业广告传播、业务盗用、业务冒名使用、业务滥用、违法信息及不良信息等。在内容安全方面,还面临着非法、有害和垃圾信息的大量传播,严重污染了信息环境,并且干扰和妨碍了人们对信息的利用。
此外,移动互联网应用平台由于软硬件存在的漏洞,也极易受到来自外界的攻击。而另一方面,由于进行安全防护将会给应用平台带来附加的检测支出,且不会带来额外收入,导致应用提供商通常缺乏为用户提供安全防护的意愿。
下面以移动互联网应用的发布推广和移动支付安全为例,对移动互联网应用层面临的安全问题进行说明。
移动互联网应用的发布推广渠道中存在着安全审核环节薄弱的问题[2],使其难以阻挡恶意应用的发布和推广。以当前发展最广泛的Android应用的发布为例,目前采用的方式是由应用开发者自行利用Android平台提供的签名工具生成自签名并对外发布APK文件,而不是由权威的第三方机构发放用于标识应用及开发者基本信息的数字证书,这导致了恶意应用程序的开发者难以被追溯。另一方面,由于对上线应用程序的安全审核缺乏有效的管理制度和技术保障,部分渠道甚至完全通过聚合方式推广应用,导致针对Android移动终端操作系统的第三方应用商店成为手机病毒泛滥的主要推手。据工业和信息化部电信研究院信测平台对国内部分应用商店上线应用检测数据显示[4],恶意程序的平均占比超过4% ,部分占比甚至超过20% 。
其次,作为移动互联网的典型应用之一,移动支付类应用中除了存在着如钓鱼、连接中断导致交易失败、用户交易欺诈等安全威胁之外,还面临一些特殊安全风险,如短信交互风险。在移动支付类业务中,很多用户关键信息是通过短信方式传递的,而这些信息很可能在空口传递时被窃听盗取,从而导致用户金融信息以及交易信息的外泄。短信业务还存在丢失和重发的可能,如果应用于支付环节时,将会造成交易问题,如多次支付或者支付失效等。另一方面,基于手机短信验证的移动金融身份认证也存在着安全漏洞[28]。一旦发生手机卡被复制或者是验证短信被劫持转发等情况,攻击人员就能够非法控制被害人的手机银行,甚至可以通过“帮助”被害人注册并开通手机银行的方式来进行犯罪活动。
据统计[16],2015 年上半年涉及用户资金安全的资费消耗和恶意扣费类病毒类型占比超过80% ,对用户的安全威胁最大; 隐私类病毒占比仅为1. 80% ,但攻击方式更加多元化,如与短信相结合的“相册”木马病毒通过钓鱼、诱骗、欺诈的方式窃取用户姓名、身份证号、银行卡号、登录账号密码等重要的隐私信息,严重威胁用户财产安全。
目前,对移动互联网应用安全的监管工作起步不久,还缺乏相应的支撑手段以及适用政策和标准,因此,对于移动应用安全的监管尚处于“有心无力”的状态。
6 移动互联网安全体系与标准化研究
目前,业界已提出多种移动互联网安全体系的解决思路。概括而言,本文认为可以采用动静结合的方式制定移动互联网的安全标准体系。所谓静,是研究制定一套移动互联网安全总体架构,设计移动互联网可以采用的安全防护体系; 所谓动,是研究移动互联网主动安全防御技术,在网络运转过程中提高对异常流量、攻击流量的防控能力。
6. 1 移动互联网的安全框架设计
业界一般认为,移动互联网安全体系架构的设立应当采用物理与信息安全相互分层,并依据其体系结构来构建的原则。图4 是业界提出的一种移动互联网的安全框架[29],其中安全管理负责对所有安全设备进行统一管理和控制,基础支撑为各种安全技术手段提供密码管理、证书管理和授权管理服务。
但是,业界目前提出的移动互联网安全框架往往仅关注于其安全体系的某一方面,缺乏对于整体化规范的制定。
一般而言,移动互联网统一安全框架体系的制定,需要采用系统化的方法,在整体上把复杂的网络安全相关特征划分为多个构成部分,以便进行相关的安全规范制定。目前,移动互联网的安全体系框架的制定工作涉及多个标准化组织,但是这些标准化组织之间的协同性还存在不足,导致尚缺乏系统性的移动互联网安全体系的标准化工作。
移动互联网安全框架的构建可以参考ITU - T的X. 805 建议[30]定义的端到端的安全体系框架和安全尺度模型,该安全体系框架如图5 所示,包含有3 个层次、3 个平面和8 个维度。
在此基础上,移动互联网安全框架的构建还可以借鉴传统移动通信网的安全体系框架。为了保障用户信息的安全,3GPP和3GPP2 等标准化组织为传统移动通信网络制定了严格的安全体系框架和安全保障手段[9,10],其安全机制涵盖了移动终端层面、网络层面、应用层面以及管理层面。这种严谨的安全框架的制定方式为移动互联网安全框架的设计奠定了良好的参考基础。
除了安全体系框架之外,业界还提出了制定相应的移动互联网安全评测体系的需求。比如我国已制定了针对移动智能终端的安全评测体系[9],该安全评测体系包括两大部分,一是移动智能终端自身的安全评测,二是移动应用软件的安全评测。通过安全评测体系的建立,对移动互联网相关设备、软件以及应用的入网提供必要的安全保证。
6. 2 主动安全防御技术的研究
随着移动互联网面临的安全事件正在向规模化、复杂化、分布化和间接化的趋势发展,单纯依靠部署在局部范围内的传统安全产品或技术来识别和发现整个网络中的安全事件,已经变得非常困难或有失准确性,因此迫切需要一种能够主动监控大规模网络的安全态势并进行安全防御的新技术。
针对该需求,业界提出了主动安全防御技术[31,32],并积极进行相关产品与系统的研发。主动安全防御技术能够帮助用户预先识别网络系统脆弱性以及所面临的潜在的安全威胁,根据安全需求来选取符合最优成本效应的主动安全防御措施和策略,从而提前避免危险事件的发生[33]。
方滨兴院士也提出[34]: “主动实时防护模型与技术的战略目标是通过态势感知、风险评估和安全检测等手段对当前网络安全态势进行判断,并依据判断结果实施网络主动防御的主动安全防护体系。”
作为主动防御技术的一个重要组成,大规模网络态势感知通过综合各方面的安全因素,对网络安全信息进行深度挖掘和信息关联,及时发现已经发生的和正在发生的安全事件,并在此基础上提供一种直观的安全威胁态势图,在反映出网络整体安全状况变化的前提下,能够对其下一步的发展趋势进行预测和预警,可以方便管理人员进行准确及时的决策,并为网络安全性的提升提供一套可靠的参照依据。
在概念上,大规模网络的安全态势感知需要解决态势要素获取、态势理解和态势预测3 个重要环节[35]。其中,态势要素获取负责收集安全事件,包括主动和被动两种收集模式; 态势理解则负责分析安全事件,需要对上述态势要素获取步骤所得到的安全事件进行数据融合和关联分析,以获取具有表现网络运行状况的特性的数值。态势预测则根据网络安全威胁发展变化的实际数据和历史资料,运用科学的理论、方法和各种经验、判断、知识去推测、估计、分析其在未来一定时期内可能的变化情况[36]。
目前在标准化组织中尚未进行大规模网络安全态势感知技术的探讨,但是其在学术界则已成为研究的热点方向之一[37,38]。
7 结束语
移动互联网安全 篇2
我承诺严格遵守公司对互联网经营等安全管理的各项要求,具体如下:
一、关于互联网各产品内容运营安全的承诺
在从事移动梦网、MM产品、无线城市等中国移动互联网基地各类产品的运营过程中,遵守宪法所确定的基本原则,正确把握党和国家的政策导向,与党和国家的立场保持一致,对相关信息的采集、编辑、传播、审核、发布严禁出现以下情形:
1.危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的内容;
2.损害国家荣誉和利益、攻击党和政府各级领导人的内容;
3.煽动民族仇恨、民族歧视、破坏民族团结的内容;
4.破坏国家宗教政策,宣扬邪教(如法轮功)和封建迷信的内容;
5.散布谣言,扰乱社会秩序,破坏社会稳定的内容;
6.散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的内容;
7.侮辱或者诽谤他人,侵害他人合法权益,违背人性、无视人权,诅咒、低俗性质的内容;
8.关于中国移动通信集团及旗下各公司的负面内容;
9.攻击新华网、中新网、人民网三大媒体以及中国移动合作媒体的内容;
10.国家法律、法规禁止的其他内容。
具体操作方法上遵守以下原则:
1.对涉及国与国之间重大关系处理的、党和国家领导人的、国际外交等各
类重大政治事件的新闻内容仅从新华社(网)选稿发布;
2.群体性事件新闻内容仅从新华社(网)选稿发布;
3.涉及食品安全的新闻只发布新华社(网)等权威媒体来源,其余不得发
布。
二、关于互联网产品研发、维护工作安全的承诺
在从事移动梦网、MM、无线城市等中国移动互联网基地产品的开发和维护的工作过程中,遵守宪法所确定的基本原则,正确把握党和国家的政策导向,与党和国家的立场保持一致,对相关技术的使用,禁止出现以下情形:
1.利用技术便利条件,本人或提供他人实施违反上述第一点内容运营安全
要求的操作;
2.利用短信群发通道,发布违反上述第一点内容运营安全要求的内容;
3.对各系统的权限疏于管理,被他人窃取后实施违反上述第一点内容运营
安全要求的操作;
4.其它违反技术安全要求的操作行为。
三、对于违反上述安全承诺的处罚规定
如出现与上述安全承诺违背的行为,本人清楚知道,可能面临以下处罚:
1.涉及刑事犯罪的,公司交移交司法机关处理;
2.不涉及刑事犯罪的,公司视情节严重情况,采取开除、降级、记过、警
告等行政处罚,并可能被扣罚薪酬。
管理单位:
承诺人签字:
移动互联网安全框架 篇3
关键词:移动互联网;网络与信息安全;安全框架
Abstract: The article describes the layered model of network and information security, and gets the security framework of mobile Internet according to the structure of mobile Internet. The mobile Internet has three parts, i.e. terminal, network and service system, and the network and information security; and it can be studied in 4 layers: equipment/environment security layer, service and application security layer, information security layer and information content security layer.
Key words: mobile Internet; network and information security; security framework
基金项目:国家高技术研究发展计划(“863”计划)资助项目(2008AA01A204)
随着信息化水平的提高,互联网逐渐深入到使用者的日常工作和生活,人们对互联网使用的需求也随之水涨船高。除了在家和在办公室接入互联网外,出现了随时随地,在移动过程中,在野外,在地铁等交通工具中接入互联网的需求。与此同时,无线技术的飞速发展也为此提供了相应的技术支撑,除了无线局域网(如Wi-Fi)技术外,还有WCDMA、CDMA2000 EV-DO、TD-SCDMA、WiMAX等3G移动通信技术。据中国互联网信息中心(CNNIC)统计,截至2008年底,中国移动互联网的用户数达到了1.17亿户,相当于互联网2005年的网民人数,增长率已经连续两年超过100%。随着中国移动、中国电信和中国联通分别推出了3G上网方案,移动互联网驶入了发展的快车道[1-6]。
与此同时,移动互联网上的安全问题也逐渐显现出来。网络上出现了大量如:GTP over Billing攻击、DDoS攻击、DHCP地址耗尽攻击、伪冒地址恶意阻断上下文攻击、“沉默诅咒”拒绝服务攻击、垃圾信息群发、隐私信息窃取、手机病毒等在内的威胁互联网安全的案例。截至2008年底,能运行在智能手机平台上的病毒已经接近400个。移动互联网继承了传统互联网技术以及移动通信网技术的脆弱性,面临来自“问题多多”的互联网和正在IP化的移动网的双重安全风险威胁。可以预计,移动互联网安全问题将在不久的将来凸现出来,成为安全重灾区。
1 移动互联网
移动互联网的概念是相对传统互联网而言,强调可以在随时随地,并且可以在移动中接入互联网并使用业务。与此类似还有无线互联网的概念,强调以无线方式而非同轴、双绞线、光纤等有线方式接入互联网并使用互联网业务。一般来说移动互联网与无线互联网并不完全等同:移动互联网强调使用蜂窝移动通信网接入互联网,因此常常特指手机终端采用移动通信网(如2G、3G、E3G)接入互联网并使用互联网业务;而无线互联网强调接入互联网的方式是无线接入,除了蜂窝网外还包括各种无线接入技术,例如便携式计算机采用802.11(Wi-Fi)技术接入互联网并使用互联网业务。
随着电信网络和计算机网络在技术、业务方面的相互融合:手机除了通过移动通信网外也可以通Wi-Fi接入互联网;便携式计算机除了通过无线局域网(如Wi-Fi)外也可以使用数据卡通过移动通信网接入互联网。很多人已经不再纠缠移动互联网与无线互联网的细微差别。一般人们可以认为移动互联网是采用手机、个人数字助理(PDA)、便携式计算机、专用移动互联网终端等作为终端,移动通信网络(包括2G、3G、E3G等)或无线局域网作为接入手段,直接或通过无线应用协议(WAP)访问互联网并使用互联网业务。移动互联网网络结构如图1所示。 与此对应,移动互联网安全研究采用手机、PDA、便携式计算机、专用移动互联网终端等作为终端,移动通信网络(包括2G、3G、E3G等)或无线局域网作为接入手段,直接或通过WAP访问互联网并使用互联网业务时的安全问题。
2 移动互联网安全架构
2.1 网络与信息安全分层
移动互联网既涉及传统的移动通信网络(现包含电路域和分组域),又涉及被公认安全问题比较严重的互联网,相关网络与信息安全研究相对复杂,应当分层研究。通常基础网络安全研究可以分4层研究,如图2所示。
(1)设备/环境安全
设备/环境物理安全通常是指网络、主机、终端等设备所处环境温度、湿度、电磁、防尘、防火、门禁、访问控制等条件符合必要的标准要求;操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力;保障设备稳定可靠稳定运行。
(2)业务应用安全
对于通信网络而言,业务一般是指和网络捆绑紧密,由网络向用户提供的服务;应用是指在网络之上,将网络作为通道为用户提供的服务。业务应用安全通常是指业务应用正常提供、用户可靠接入、计费等管理信息安全、信令等控制信息安全,防止非授权使用、服务滥用、服务盗用、DDoS攻击、服务否认、信令干扰等。
(3)信息自身安全
信息自身安全包括信息完整性、机密性和不可否认性:信息完整性可以依靠报文鉴别机制例如哈希算法等来保障;信息机密性可以依靠加密机制以及密钥分发等来保障;信息不可否认性可以依靠数字签名等技术保障。
(4)信息内容安全
信息内容安全通常是指传播信息不包含违反国家相关法律法规明文禁止发布和传播的违法信息;违背社会主义精神文明建设要求、违背中华民族优良文化传统与习惯以及其他违背社会公德的不良信息;侵犯公民隐私的个人敏感信息;垃圾信息、病毒等。
2.2 移动互联网安全
依据无线互联网网络架构网络与信息安全分层,移动互联网安全可以分为互联网终端安全、移动互联网网络安全以及移动互联网业务安全3个部分分别研究,如图3所示。
2.2.1 移动互联网终端安全
移动互联网终端通常是指手机、PDA、上网本、便携式计算机等。移动互联网终端安全可以按照网络与信息安全,分设备/环境安全、业务应用安全、信息自身安全以及信息内容安全4个层面进行研究。
(1)设备/环境安全
手机等移动互联网终端属于信息技术设备和电信终端设备,首先应符合包括电磁兼容(EMC)和电器安全在内的中国强制认证(CCC)要求;其次移动互联网终端使用无线电技术,应符合无线电管理局(SRRC)的型号核准认证(TYC);第三手机等电信终端设备应符合包括网络安全要求在内的工信部的通信入网认证(NAL)。此外移动互联网终端多属智能设备,通常具备操作系统,应当对常见的病毒、如木马、钓鱼和针对操作系统、应用程序漏洞的攻击具备一定的防范能力。
(2)业务应用安全
移动互联网终端的业务应用安全通常用于终端配合网络设备,确保合法用户可以正常使用,防止业务被盗用、冒名使用等,防止包括用户密码在内的用户隐私信息泄露,在承诺范围内随时使用,防范DDoS等攻击,必要的加密、隔离等手段保障通信秘密等。使用移动通信网作为接入手段时,终端相关的接入安全在设备/环境安全(电信终端设备入网要求)和移动互联网网络安全中考虑。因此业务应用安全主要考虑与接入无关的应用安全。
(3)信息自身安全
移动互联网终端的信息自身安全主要是指存储在终端中(包括通信录、通话记录、收发的短信/彩信、IMEI号、SIM卡内信息、用户文档、图片、照片在内)的用户隐私信息、个人信息不被非法获取。用户信息在传递中的保密性、完整性和可用性在互联网网络安全以及业务应用安全中考虑。终端的信息自身安全主要考虑终端内信息的授权访问、防入侵、加密存储等。
(4)信息内容安全
移动互联网终端信息内容安全涉及较少,当前主要关注保护青少年在使用移动互联网的过程中免受包括黄色、淫秽、暴力在内的不良信息侵扰。
2.2.2 移动互联网网络安全
移动互联网网络分两部分,接入网以及IP承载网/互联网。接入网采用移动通信网时涉及基站(BTS)、基站控制器(BSC)、无线网络控制器(RNC)、移动交换中心(MSC)、媒体网关(MGW)、服务通用分组无线业务支持节点(SGSN)、网关通用分组无线业务支持节点(GGSN)等设备以及相关链路,采用Wi-Fi时涉及接入(AP)设备。IP承载网/互联网主要涉及路由器、交换机、接入服务器等设备以及相关链路。移动互联网网络安全同样分设备/环境安全、业务应用安全、信息自身安全以及信息内容安全4个层面进行研究。
(1)设备/环境安全
移动互联网设备/环境安全主要是指路由器等网络设备自身的安全性、所处环境符合标准要求等。上述设备自身安全主要包括符合工信部设备入网要求中的安全要求,环境安全主要是指上述设备所处环境温度、湿度、电磁、防尘、防火、门禁、访问控制等条件符合必要的标准要求。此外设备/环境安全还包括网络设备的操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力;保障设备稳定可靠稳定运行。
(2)业务应用安全
移动互联网网络的业务应用安全主要是指接入服务的安全性,主要采用认证等技术手段确保合法用户可以正常使用,防止业务被盗用、冒名使用等。在2G的GSM网络中实施单向认证,采用A3/A8实现认证和密钥协商。在3G网络中以3GPP为例,在R99中引入了双向认证、新的鉴权算法:高级加密标准(ASE),将加密算法后移至无线网络控制器(RNC),引入新的密码算法Kasumi,增加了信令完整性保护;在R4中增加了MAPSec保护移动应用协议(MAP)信令安全;在R5中利用IPSec保护分组域安全,并引入IP多媒体子系统(IMS)接入安全;在R6中增加了通用鉴权架构。采用Wi-Fi接入时,有802.11i以及中国自主知识产权的无线局域网认证和保密基础设施(WAPI)提供接入安全。
(3)信息自身安全
移动互联网信息自身安全主要包括信息空口传播、IP承载网/互联网传递时网络所提供必要的隔离和保密以及接入网络所涉及的用户注册信息安全。虽然移动通信网中定义了空口加密算法,但是中国无论是2G网络还是正在部署的3G网络都没有实施。多数Wi-Fi的接入网也没有实施加密。因此信息自身安全主要依赖端到端实施。
(4)信息内容安全
移动互联网有大量业务来自传统互联网,所传递的信息内容属于公众信息而不是端到端通信,因此移动互联网网络的内容安全应当涉及必要的有害信息过滤与检查。
2.2.3 移动互联网应用安全
移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植;第三类是移动通信网与互联网相互结合,适配移动互联网终端的创新业务。当前可以预期的移动互联网业务包括利用智能手机等移动互联网终端获取的移动浏览、移动Web2.0、移动搜索、移动电子邮件、移动即时消息、移动电子商务、移动在线游戏、电话、短信、彩铃、彩信、移动定位、移动导航、移动支付、移动VoIP、移动地图、移动音频、移动视频、移动广告、移动Mashup、移动SaaS等。移动互联网应用安全也可以分设备/环境安全、业务应用安全、信息自身安全以及信息内容安全4个层面进行研究。
(1)设备/环境安全
移动互联网应用安全相关设备/环境安全主要是指应用服务器、Web服务器、数据库服务器、邮件服务器、网关、存储介质等设备自身的安全性、所处环境符合标准要求等。上述设备自身安全主要符合涉及电器安全的中国强制认证(CCC)认证要求,环境安全主要是指上述设备所处环境温度、湿度、电磁、防尘、防火、门禁、访问控制等条件符合必要的标准要求。此外设备/环境安全还包括上述的操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力;保障设备稳定可靠稳定运行。
(2)业务应用安全
移动互联网业务应用安全主要是指业务应用的安全性,主要采用认证等技术手段确保合法用户可以正常使用,防止业务被盗用、冒名使用等。当前多数应用安全机制与网络层接入的安全机制无关,由移动互联网终端与移动互联网业务设备端到端实施。
(3)信息自身安全
移动互联网应用安全中信息自身安全主要包括业务应用相关信息完整性、机密性和不可否认性。虽然网络可能采取一定的加密、隔离措施保障信息自身安全,但是当前移动互联网应用主要依靠移动互联网终端与移动互联网业务设备端到端实施。
(4)信息内容安全
移动互联网业务可以来自互联网、移动网以及移动网与互联网结合所得的创新业务。包括动浏览、移动Web2.0、移动搜索、移动地图、移动音频、移动视频、移动广告、移动Mashup在内的多数业务相关的信息属于公众信息而不是端到端通信。因此移动互联网应用应当采取足够有效的措施来防范应用所涉及内容不包括违法信息、不良信息以及侵犯公民隐私的敏感信息等。
3 移动互联网安全展望
移动互联网是一个新生事物。是移动通信网与互联网相结合的产物,既有来自互联网的基因也有来自移动网的基因,具备明显的杂交优势。随着3G的部署、智能手机以及上网本的成熟,现已显示出勃勃生机。然而移动互联网相关的安全问题也逐渐显露出来,有来自互联网的病毒、垃圾信息等,也有来自移动网互联网相结合后的非法定位、移动网身份窃取等。随着3G网络的进一步建设、智能终端的普及以及对互联网需求以及依赖性的进一步增强,移动互联网用户规模和网络规模都将呈现爆炸性增长,移动互联网安全问题也即将随之凸显。
当前无论是移动互联网还是移动互联网的安全,与传统的互联网、互联网安全相比有较大的差距。其原因主要来源移动互联网终端带宽有限,计算能力有限,显示屏幕有限,内容源有限以及输入手段受限等。随着技术的发展与进步,移动互联网与传统互联网将逐渐趋同,用户将不再刻意区分是移动互联网还是传统互联网,使用有线上网还是移动网上网。但是在当前移动互联网发展初期,完全有机会依据移动互联网安全框架,通盘考虑安全需求与技术,使移动互联网乃至未来整个互联网都变得更安全。可以预期,移动互联网安全研究将在很长一段时间成为安全研究的重点和热点。
4 参考文献
[1] Mobile working needs a security rethink [EB/OL]. 2009-04-07. http://www.zdnetasia.com/insight/security/0,39044829,62052863,00.htm.
[2] 陈灿峰. 宽带移动互联网 [M]. 北京: 北京邮电大学出版社, 2005.
[3] 张惠媛. 移动互联网与WAP技术 [M]. 北京: 电子工业出版社, 2003.
[4] Mobiles to come under attack from 'bad guys' [EB/OL]. 2008-04-25. http://www.zdnetasia.com/news/communications/0,39044192,62040620,00.htm.
[5] Mobile security technology fights fraud [EB/OL]. 2008-06-20. http:/www.zdnetasia.com/news/security/0,39044215,62042941,00.htm.
[6] Botnets on cell phones in 2009? [EB/OL]. 2008-10-17. http://news.cnet.com/8301-1009_3-10067994-83.html.
收稿日期:2009-05-11
作者简介
移动互联网安全问题探讨 篇4
互联网是一把双刃剑, 互联网的应用越深入, 社会经济和人们生活对互联网的依赖越多, 互联网的可靠性和可信性带来的安全问题影响就越严重。“互联网+”行动计划, 确保网络信息安全尤为重要。“互联网+ 安全”, 没有网络安全就没有信息安全, 也就没有信息化。信息安全是一切信息化手段的基础。当前, 移动互联网环境下安全受到极大挑战。移动互联网支付最大的问题是安全和风险控制, 没有安全的保障, 任何支付业务都将是“空中楼阁”,
一、移动互联网及安全
移动互联网:就是将移动通信和互联网二者结合起来, 成为一体。是指互联网的技术、平台、商业模式和应用与移动通信技术结合并实践的活动的总称。4G时代的开启以及移动终端设备的凸显必将为移动互联网的发展注入巨大的能量, 移动互联网产业必将带来前所未有的飞跃。
互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说, 凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。互联网安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
二、移动互联网大潮充满新机遇
2015 年是移动互联的“爆发年”。2015 年, 移动互联网呈现爆发性增长, 移动互联网时代全面开启。移动宽带 (3G/4G) 用户累计达到6.74 亿户, 公共及家庭Wi-Fi无线网络环境日益普及, WLAN公共运营接入点 (AP) 总数达到604.5 万个。移动网络应用跨越式发展, 手机超越电脑成为中国网民第一大上网终端。
中国的移动用户数量已经全球第一, 中国移动互联网用户数已达7.8 亿人, 拥有世界上最大的移动互联网市场, 使用手机上网比率相比PC多20.5%。在移动互联网的高速增长期, 地图+ 服务+ 购买+ 游戏+ 支付, 基于移动端O2O新商业模式受到用户关注。18 到25 岁的中国年轻人使用微信等社交网络, 87% 的人智能手机从不离身, 80% 的人醒来的第一件事就是看手机, 78% 的人每天用手机超过2 小时, 60% 的人相信未来5 年一切事情都将转移到移动设备上。
移动互联网金融成为移动行业最大的热点, 手机应用软件 (APP) 爆发式增长, 主要应用商店规模超过400 万个, 从以支付宝为代表的“宝宝类”产品、股权众筹、互联网保险、券商、第三方支付、社交、消费、订票、娱乐等应用, 到百度百赚、微信财付通, 再后来传统银行业也推出自家银行的P2P理财产品, 移动金融深刻地影响着经济社会生活, 迎来前所未有的繁荣景象。
1. 移动金融渠道功能不断完善。利用手机银行APP, 用户可以实现查询、转账、投资理财、信用卡、贵金属买卖、基金买卖、国际结售汇等各类传统银行金融和投资业务的操作。也可以通过手机号转账, 无卡直接提取现金, 享受金融创新的“新功能”。
移动金融平台整合了全国上万家餐饮、KTV、影视、美容、超市、加油、4S店、百货等本地生活服务商, 将线上线下生活服务通过远程支付、近场支付等手段有机链接, 致力于构建一个基于银行客户和本地商户良性互动的商业生态圈, 并通过银行服务平台, 依托大数据分析及定向推送技术, 让这个生态圈发挥更大的作用。
在移动互联网时代, 用户使用客户端和微信公众号的频率要远远高于直接在PC端打开互联网金融服务网站的频率。最新版本支付宝, 除了含有支付功能外, 还涵盖各类消费的移动金融生态平台。还有依托于微信平台而运行的微信支付, 微信作为国内第一移动客户端, 拥有超6 亿用户, 微信支付就是在这一场景上运用而生的。
2. 移动互联网游戏进入爆发期。2015 年全球移动游戏市场收入规模超过300 亿美元, 其中中国市场收入规模已升至全球第一, 全年总收入达到65 亿美元 ( 相当于整个北美市场的收入) 。终端价格下降, 手机游戏可能进入爆发期。2016年移动游戏市场将持续增长。
3. 手机地图将成为生活服务的重要平台。手机地图除了解决用户搜索、定位、导航、路线规划等刚性需求, 也相应顾及了用户“衣食住行、吃喝玩乐”的本地生活服务需求, 用户对手机地图的看法和使用习惯也悄然发生转变。未来随着技术的发展, 手机地图基于LBS本地生活信息服务以及O2O的进一步打通, 也将满足更多用户在各方位的需求。
4. 移动互联网渗透衣食住。手机现在几乎成为了人类的一个“器官”。早上醒来, 通过微信查看朋友圈最新状态;出门上班, 用打车软件叫来一辆车, 颇受广大市民特别是年轻人的欢迎;上班间隙, 通过手机新闻客户端获取资讯;午饭时间, 手机上各类餐饮外卖任君选择;下班回家, 地铁上打开电商移动端购物下单;外出旅行, 手指轻点几下, 机票门票全搞定。
三、移动互联网面临的安全问题
移动互联网丰富了人们生活, 并给人们带来了工作、娱乐的体验。但是, 移动互联网在无线接入网络、移动终端、应用服务以及安全隐患上都将面临着巨大的挑战。手机移动病毒、黑客攻击、垃圾短信、手机死机、骚扰电话等现象暴露出来, 手机安全隐患越来越多、问题越来越突出。随着移动互联网不断发展, 移动互联网已经步入到了商用时代, 但最为关注的安全问题也愈加突显。
前不久, 多款知名社交、地图、出行App的i OS版被爆出有“恶意代码”。据悉元凶名叫Xcode, 受恶意代码影响, 由这款工具开发的i OS版App均存在泄露个人隐私的危险。目前已确认受影响的热门应用包括微信、滴滴出行、12306、同花顺等。据安全中心宣称, 一款名为“量僵尸”的手机木马已感染近45 万部手机, 其中近九成被植入到天天跑酷、极速狂飙等知名游戏中, 携带危险的应用不下90 个。中招者每解锁一次手机, 就会导致木马疯狂耗流量, 用户甚至不知不觉中为流量花费上千元。
以“流量僵尸”手机木马为例, 其控制服务器对于搜索关键词的选取是经过精心设计的, 不仅和当日新闻热点有关, 而且选词范围非常丰富。其中, 娱乐新闻最多, 占39.3%;其次是商品信息, 占25.2%, 这就使得木马所模拟的搜索行为看起来更加真实, 更加不容易被一般搜索引擎的反作弊机制发现。
用手机下载一个游戏, 没想到却导致手机欠费。在游戏下载安装过程中没有任何提示, 手机欠费后登录运营商网站查询, 却发现被莫名其妙扣了信息费。
移动互联网面临着安全挑战:
1. 系统漏洞的问题。手机木马病毒仅用两年时间就完成了PC木马病毒10 年的发展过程。个人也应该注意保护自己的隐私, 有些用户什么都从网上下载, 下载的时候一路畅通, 游戏玩得也很高兴, 但个人隐私却可能已经泄露了。
2. 手机通信安全危害用户。垃圾短信、骚扰电话及“响一声”吸费电话在今天更加猖獗。
3. 在当下的互联网时代, 包括网银、手机支付等在内的网络支付方式, 已经成为越来越多人的选择。网络支付提高了生活的便捷性, 免去了以往人们转账要到银行排长队、购物要用现金的麻烦和困扰。但网络支付屡屡爆出的安全问题, 却也令人心忧。
4. 通过Wi Fi共享文件易遭窥探。外出使用手机可能会连接陌生的无线wifi, 导致网银密码被盗;也可能在陌生场合输入密码时, 被陌生人盗取;甚至手机丢失、理财账户被盗、没有及时退出账户等事件, 都会衍生出一定的资金安全问题。
5. 手机用户的安全意识薄弱也是使自身手机陷入安全问题至关重要的因素, 很多用户没有意识到恶意软件在盗取个人信息、窃听等方面的危害。恶意软件通过安全漏洞收集手机用户信息, 利用倒卖信息牟取暴利。比如在有些系统中, 很多知名的游戏可以搜到打包的安装文件, 这些游戏未经发行商许可, 被塞进很多广告, 没有进行非常严格的审查, 滋生了这一类打包档, 这些被打包的软件在后台不断产生访问流量。
四、移动互联网安全解决方案
移动互联时代网络安全愈发被重视, 推动互联网+ 安全的平台化、系统化、标准化、制度化。目前移动端的安全措施主要包括:登录密码、手势密码、指纹密码, 以及对数据库和数据传输过程多重加密等。
构筑移动互联网产业链安全系统, 需要各个环节——警方、银行、安全厂商、运营商、个人等以开放联合姿态进行协作, 构建真正互联互通的安全开放平台。在这个安全开放平台基础上, 还需建立一整套全面高效的安全解决方案。移动金融行业要建立统一的行业标准, 避免行业乱象为不法分子提供可乘之机。此外, 还需要规范移动金融各个企业之间的竞争合作关系, 对于通过恶性竞争搅乱整个行业的个别企业应加大处罚力度。
完善移动互联网安全问题建议:
1. 依托国家法律法规, 积极引导网民尊法守法, 做有高度安全意识, 提高个人信息安全保护意识, 提高移动互联网信息安全整体水平。
2. 移动病毒防护。建立控制、预警、预警、检测等一系列的安全防护流程, 发现病毒及时有效地对其进行隔离处理。
3. 突破以核心芯片为代表的关键技术, 推动自主可控移动互联网安全生态系统的建设。
4. 建立健全发展自主可控的, 包括终端自身安全、接入安全和传输安全完整移动互联解决方案。
5. 不要盲目使用公共场所的免费Wi Fi。普通用户很难分辨这些免费Wi Fi的真伪, 同时大多数该类Wi Fi都无法对用户发送的信息进行加密, 因此一旦存在对网络进行监听的攻击者, 用户很难保护自己的隐私信息及网银账密不被泄露。
五、总结
移动互联网安全 篇5
一、单选题(题数:50,共 50.0 分)1目前广泛应用的验证码是()。1.0 分 A、CAPTCHA B、DISORDER C、DSLR D、REFER 正确答案: A 我的答案:A 2公钥基础设施简称为()。1.0 分 A、CKI B、NKI C、PKI D、WKI 正确答案: C 我的答案:C 3系统管理员放置Web服务器并能对其进行隔离的网络区域称为()。0.0 分 A、蜜罐 B、非军事区DMZ C、混合子网 D、虚拟局域网VLAN 正确答案: B 我的答案:D 4信息安全防护手段的第三个发展阶段是()。1.0 分 A、信息保密阶段 B、网络信息安全阶段 C、信息保障阶段 D、空间信息防护阶段
正确答案: C 我的答案:C 5一个数据包过滤系统被设计成只允许你要求服务的数据包进入,而过滤掉不必要的服务。这属于的基本原则是()。1.0 分 A、失效保护状态 B、阻塞点 C、最小特权 D、防御多样化
正确答案: C 我的答案:C 6下面关于哈希函数的特点描述不正确的一项是()。1.0 分 A、能够生成固定大小的数据块 B、产生的数据块信息的大小与原始信息大小没有关系 C、无法通过散列值恢复出元数据 D、元数据的变化不影响产生的数据块 正确答案: D 我的答案:D 7第一次出现“Hacker”这一单词是在()。1.0 分 A、Bell实验室 B、麻省理工AI实验室 C、AT&A实验室 D、美国国家安全局
正确答案: B 我的答案:B 8下列属于USB Key的是()。1.0 分 A、手机宝令 B、动态口令牌 C、支付盾 D、智能卡
正确答案: C 我的答案:C 9APT攻击中常采用钓鱼(Phishing),以下叙述不正确的是()。1.0 分 A、这种攻击利用人性的弱点,成功率高 B、这种漏洞尚没有补丁或应对措施 C、这种漏洞普遍存在 D、利用这种漏洞进行攻击的成本低 正确答案: B 我的答案:B 10把明文信息变换成不能破解或很难破解的密文技术称为()。1.0 分 A、密码学 B、现代密码学 C、密码编码学 D、密码分析学
正确答案: C 我的答案:C 11不能防止计算机感染恶意代码的措施是()。0.0 分 A、定时备份重要文件 B、经常更新操作系统 C、除非确切知道附件内容,否则不要打开电子邮件附件 D、重要部门的计算机尽量专机专用与外界隔绝 正确答案: A 我的答案:D 12《第35次互联网络发展统计报告》的数据显示,截止2014年12月,我国的网民数量达到了()多人。1.0 分 A、2亿 B、4亿 C、6亿 D、8亿
正确答案: C 我的答案:C 132015年上半年网络上盛传的橘子哥事件说明了()。1.0 分 A、橘子哥注重隐私防护 B、iCloud云服务同步手机中的数据会造成隐私信息泄露 C、网民喜欢橘子哥 D、非正规渠道购买手机没有关系 正确答案: B 我的答案:B 14信息内容安全事关()。1.0 分 A、国家安全 B、公共安全 C、文化安全 D、以上都正确
正确答案: D 我的答案:D 15被称为“刨地三尺”的取证软件是()。1.0 分 A、ViewVRL B、ViewUVL C、ViewULR D、ViewURL 正确答案: D 我的答案:D 16Windows系统中自带的防火墙属于()。0.0 分 A、企业防火墙 B、软件防火墙 C、硬件防火墙 D、下一代防火墙
正确答案: B 我的答案:D 17《保密通讯的信息理论》的作者是信息论的创始人()。1.0 分 A、迪菲 B、赫尔曼 C、香农 D、奥本海默
正确答案: C 我的答案:C 18以下对信息安全风险评估描述不正确的是()。0.0 分 A、风险评估是等级保护的出发点 B、风险评估是信息安全动态管理、持续改进的手段和依据 C、评估安全事件一旦发生,给组织和个人各个方面造成的影响和损失程度 D、通常人们也将潜在风险事件发生前进行的评估称为安全测评 正确答案: D 我的答案:C 19信息内容安全的一种定义是,对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象是1.0 分 A、通过内容可以判断出来的可对系统造成威胁的脚本病毒 B、因无限制扩散而导致消耗用户资源的垃圾类邮件 C、危害儿童成长的色情信息 D、以上都正确
正确答案: D 我的答案:D 20对于用户来说,提高口令质量的方法主要不包括()。1.0 分 A、增大口令空间 B、选用无规律口令 C、多个口令 D、登陆时间限制
正确答案: D 我的答案:D 21以下哪一项不属于BYOD设备?()1.0 分 A、个人电脑 B、手机 C、电视 D、平板
正确答案: C 我的答案:C 22美国“棱镜计划”的曝光者是谁?()1.0 分 A、斯诺德 B、斯诺登 C、奥巴马 D、阿桑奇
正确答案: B 我的答案:B 23以下哪一项不属于保护个人信息的法律法规()。0.0 分 A、《刑法》及刑法修正案 B、《消费者权益保护法》 C、《侵权责任法》 D、《信息安全技术——公共及商用服务信息系统个人信息保护指南》 正确答案: D 我的答案:B 24应对数据库崩溃的方法不包括()。1.0 分 A、高度重视,有效应对 B、确保数据的保密性 C、重视数据的可用性 D、不依赖数据
正确答案: D 我的答案:D 25专业黑客组织Hacking Team被黑事件说明了()。1.0 分 A、Hacking Team黑客组织的技术水平差 B、安全漏洞普遍存在,安全漏洞防护任重道远 C、黑客组织越来越多 D、要以黑治黑
正确答案: B 我的答案:B 26下列关于网络政治动员的说法中,不正确的是()1.0 分 A、动员主体是为了实现特点的目的而发起的 B、动员主体会有意传播一些针对性的信息来诱发意见倾向 C、动员主体会号召、鼓动网民在现实社会进行一些政治行动 D、这项活动有弊无利
正确答案: D 我的答案:D 27信息隐私权保护的客体包括()。1.0 分 A、个人属性的隐私权,以及个人属性被抽象成文字的描述或记录。B、通信内容的隐私权。C、匿名的隐私权。D、以上都正确
正确答案: D 我的答案:D 28黑客群体大致可以划分成三类,其中白帽是指()。1.0 分 A、具有爱国热情和明显政治倾向、非官方的、使用技术来“维护国家和民族尊严”的人 B、主观上没有破坏企图的黑客,热衷于发现漏洞和分享漏洞的人 C、非法侵入计算机网络或实施计算机犯罪的人 D、不为恶意或个人利益攻击计算机或网络,但是为了达到更高的安全性,可能会在发现漏洞的过程中打破法律界限的人 正确答案: B 我的答案:B 29一张快递单上不是隐私信息的是()。1.0 分 A、快递公司名称 B、收件人姓名、地址 C、收件人电话 D、快递货品内容
正确答案: A 我的答案:A 30提高个人信息安全意识的途径中,能够及时给听众反馈,并调整课程内容的是()。0.0 分 A、以纸质材料和电子资料为媒介来教育并影响用户,主要包括海报、传单和简讯 B、专家面向大众授课的方式 C、培训资料以Web页面的方式呈现给用户 D、宣传视频、动画或游戏的方式 正确答案: B 我的答案:C 31计算机软件可以分类为()。1.0 分 A、操作系统软件 B、应用平台软件 C、应用业务软件 D、以上都对
正确答案: D 我的答案:D 32日常所讲的用户密码,严格地讲应该被称为()。1.0 分 A、用户信息 B、用户口令 C、用户密令 D、用户设定
正确答案: B 我的答案:B 33震网病毒攻击针对的对象系统是()。1.0 分 A、Windows B、Android C、ios D、SIMATIC WinCC 正确答案: D 我的答案:D 34信息系统中的脆弱点不包括()。1.0 分 A、物理安全 B、操作系统 C、网络谣言 D、TCP/IP网络协议
正确答案: C 我的答案:C 35不同安全级别的网络相连接,就产生了网络边界,以下哪一项不属于网络边界安全访问策略()。1.0 分 A、允许高级别的安全域访问低级别的安全域 B、限制低级别的安全域访问高级别的安全域 C、全部采用最高安全级别的边界防护机制 D、不同安全域内部分区进行安全防护 正确答案: C 我的答案:C 36信息隐藏在多媒体载体中的条件是()。1.0 分 A、人眼对色彩感觉的缺陷 B、耳朵对相位感知缺陷 C、多媒体信息存在冗余 D、以上都是
正确答案: D 我的答案:D 37机房安排的设备数量超过了空调的承载能力,可能会导致()。1.0 分 A、设备过热而损坏 B、设备过冷而损坏 C、空调损坏 D、以上都不对
正确答案: A 我的答案:A 38信息安全防护手段的第二个发展阶段的标志性成果包括()。1.0 分 A、VPN B、PKI C、防火墙 D、以上都对
正确答案: D 我的答案:D 392014年12月25日曝光的12306数据泄漏事件中,有大约()数据被泄漏。1.0 分 A、11万 B、12万 C、13万 D、14万
正确答案: C 我的答案:C 40机箱电磁锁安装在()。1.0 分 A、机箱边上 B、桌腿 C、电脑耳机插孔 D、机箱内部
正确答案: D 我的答案:D 41下面关于数字签名的特征说法不正确的一项是()。1.0 分 A、不可否认 B、只能使用自己的私钥进行加密 C、不可伪造 D、可认证
正确答案: B 我的答案:B 42计算机硬件设备及其运行环境是计算机网络信息系统运行的()。1.0 分 A、保障 B、前提 C、条件 D、基础
正确答案: D 我的答案:D 43个人应当加强信息安全意识的原因不包括()。1.0 分 A、人的信息安全意识薄弱具有普遍性且容易被渗透,攻击者更喜欢选择这条路径发起攻击 B、基于技术的防御手段已经无法成为安全防护体系的重要组成部分 C、研究实验已表明,增强个人信息安全意识能有效减少由人为因素造成安全威胁发生的概率 D、认识信息安全防护体系中最薄弱的一个环节 正确答案: B 我的答案:B 44下列关于计算机网络系统的说法中,正确的是()。1.0 分 A、它可以被看成是一个扩大了的计算机系统 B、它可以像一个单机系统当中一样互相进行通信,但通信时间延长 C、它的安全性同样与数据的完整性、保密性、服务的可用性有关 D、以上都对
正确答案: D 我的答案:D 45下列哪种方法无法隐藏文档?()1.0 分 A、运用信息隐藏工具 B、修改文档属性为“隐藏” C、修改文档属性为“只读” D、修改文件扩展名
正确答案: C 我的答案:C 46网络的人肉搜索、隐私侵害属于()问题。1.0 分 A、应用软件安全 B、设备与环境的安全 C、信息内容安全 D、计算机网络系统安全 正确答案: C 我的答案:C 47网络空间的安全威胁中,最常见的是()。1.0 分 A、中断威胁 B、截获威胁 C、篡改威胁 D、伪造威胁
正确答案: A 我的答案:A 48当前社交网站往往是泄露我们隐私信息的重要途径,这是因为()。1.0 分 A、有些社交网站要求或是鼓励用户实名,以便与我们真实世界中的身份联系起来 B、用户缺乏防护意识,乐于晒自己的各种信息 C、网站的功能设置存在问题 D、以上都正确
正确答案: D 我的答案:D 49《信息技术安全评估通用标准》的简称是()。1.0 分 A、PX B、PP C、CC D、TCSEC 正确答案: C 我的答案:C 50衡量容灾备份的技术指标不包括()。1.0 分 A、恢复点目标 B、恢复时间目标 C、安全防护目标 D、降级运行目标
正确答案: C 我的答案:C
二、判断题(题数:50,共 50.0 分)
1网络舆情监测与预警系统通过对海量非结构化信息的挖掘与分析,实现对网络舆情的热点、焦点、演变等信息的掌握。()1.0 分 正确答案: √ 我的答案: √
2密码注入允许攻击者提取密码并破解密码。()1.0 分 正确答案: × 我的答案: ×
3即使计算机在网络防火墙之内,也不能保证其他用户不对该计算机造成威胁。()1.0 分 正确答案: √ 我的答案: √
4信息安全管理的最终目标是将系统(即管理对象)的安全风险降低到用户可接受的程度,保证系统的安全运行和使用。()1.0 分 正确答案: √ 我的答案: √
5扫二维码送礼物虽然大多是以营销为目的的,没有恶意,但是被商家获取的个人信息存在被滥用甚至被盗取的风险。1.0 分 正确答案: √ 我的答案: √
6IDS中,能够监控整个网络的是基于网络的IDS。()1.0 分 正确答案: √ 我的答案: √
7基于口令的认证实现了主机系统向用户证实自己的身份。()1.0 分 正确答案: × 我的答案: ×
8数字签名算法主要是采用基于私钥密码体制的数字签名。()1.0 分 正确答案: × 我的答案: × 9《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。()1.0 分 正确答案: √ 我的答案: √
10PC机防盗方式简单,安全系数较高。()1.0 分 正确答案: × 我的答案: ×
11信息隐藏就是指信息加密的过程。()1.0 分 正确答案: × 我的答案: ×
12对打印设备不必实施严格的保密技术措施。()1.0 分 正确答案: × 我的答案: ×
13通过设置手机上的VPN功能,我们可以远程安全访问公司内网。()1.0 分 正确答案: √ 我的答案: √
14通过软件可以随意调整U盘大小。()1.0 分 正确答案: √ 我的答案: √
15安装手机安全软件可以让我们不用再担心自己的隐私泄露问题。()1.0 分 正确答案: × 我的答案: × 16人是信息活动的主体。()1.0 分 正确答案: √ 我的答案: √
17CC被认为是任何一个安全操作系统的核心要求。()0.0 分 正确答案: × 我的答案: √
18“艳照门”事件本质上来说是由于数据的不设防引成的。()1.0 分 正确答案: √ 我的答案: √
19计算机设备除面临自身的缺陷,还可能会受到自然灾害因素的影响。()1.0 分 正确答案: √ 我的答案: √
200 day漏洞就是指在系统商不知晓或是尚未发布相关补丁就被掌握或者公开的漏洞信息。()1.0 分
正确答案: √ 我的答案: √
2112306网站证书的颁发机构签发的证书无法吊销,可能给系统带来危害。()1.0 分 正确答案: √ 我的答案: √
22可以设置QQ隐身让我们免受打扰。()1.0 分 正确答案: √ 我的答案: √
23“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。()1.0 分
正确答案: √ 我的答案: √
24《信息安全等级保护管理办法》中将信息和信息系统的安全保护等级划分为5级,第1级的安全级别最高。()0.0 分 正确答案: × 我的答案: √
25网络空间是指依靠各类电子设备所形成的互联网。()1.0 分 正确答案: × 我的答案: ×
26WindowsXP的支持服务正式停止,造成影响最大的是中国用户。()1.0 分 正确答案: √ 我的答案: √
27通常路由器设备中包含了防火墙功能。()1.0 分 正确答案: √ 我的答案: √
28如果攻击者能取得一个设备的物理控制,那意味着他可以轻易控制这个设备。()1.0 分 正确答案: √ 我的答案: √ 29在烟囱底下架上一口装满开水的锅,相当于发现了自身漏洞后要及时弥补。1.0 分 正确答案: √ 我的答案: √
30WEP协议使用了CAST算法。1.0 分 正确答案: × 我的答案: ×
31防火墙可以检查进出内部网的通信量。()1.0 分 正确答案: √ 我的答案: √
32黑客的行为是犯罪,因此我们不能怀有侥幸的心理去触犯法律。()1.0 分 正确答案: √ 我的答案: √
33容灾备份与恢复的关键技术涉及到工作范围、备份点选择、需求衡量指标、恢复策略、恢复能力的实现等。1.0 分 正确答案: √ 我的答案: √
34实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统,是国家法律和政策的要求。()1.0 分 正确答案: √ 我的答案: √
35在当前法律法规缺失,惩罚力度不够等问题存在的情况下,为了有效保护个人信息的安全,依靠安全技术和个人信息安全意识成为首选。()1.0 分 正确答案: √ 我的答案: √
36没有一个安全系统能够做到百分之百的安全。()1.0 分 正确答案: √ 我的答案: √
37信息内容安全防护除了技术措施以外,网络用户个人也要加强修养、洁身自好、遵纪守法。()1.0 分
正确答案: √ 我的答案: √ 38安装运行了防病毒软件后要确保病毒特征库及时更新。()1.0 分 正确答案: √ 我的答案: √
39如今,虽然互联网在部分国家已经很普及,但网络还是比较安全,由网络引发的信息安全尚未成为一个全球性的、全民性的问题。()0.0 分 正确答案: × 我的答案: √
40进入局域网的方式只能是通过物理连接。()1.0 分 正确答案: × 我的答案: ×
41哈希值的抗碰撞性使得哈希值能用来检验数据的完整性。()1.0 分 正确答案: √ 我的答案: √
42美国签证全球数据库崩溃事件中,由于数据系统没有备份,直接导致了系统恢复缓慢,签证处理工作陷入停顿。()1.0 分 正确答案: √ 我的答案: √
43非对称密码体制、单钥密码体制、私钥密码体制是一个概念。()1.0 分 正确答案: × 我的答案: ×
44隐通道会破坏系统的保密性和完整性。()1.0 分 正确答案: √ 我的答案: √
45美国海军计算机网络防御体系图体现了信息安全防护的整体性原则。()1.0 分 正确答案: × 我的答案: ×
46隐私就是个人见不得人的事情或信息。()1.0 分 正确答案: × 我的答案: ×
47TCP/IP协议在设计时,考虑了并能同时解决来自网络的安全问题。()1.0 分 正确答案: × 我的答案: × 48数据备份是容灾备份的核心,也是灾难恢复的基础。()1.0 分 正确答案: √ 我的答案: √
49网络空间里,截获威胁的“非授权方”指一个程序,而非人或计算机。()1.0 分 正确答案: × 我的答案: ×
移动互联网安全需被重视 篇6
不过UC优视CEO俞永福随后在微博表示,这件事情是竞争对手策划的抹黑事件,同时UC发布声明,主要内容如下:竞争对手故意抹黑;公共场合存在钓鱼wifi,任何情况下网民该注意公共场合的wifi使用;呼吁竞争企业阳光竞争等。
在真真假假的网络竞争当中,普通网民已经分不清该信谁,不该信谁。不管是不是竞争对手在使用抹黑手段,还是UC本身确实存在“明文密码”的漏洞,这件事都足以让整个移动互联网企业反思。在希望网民使用你的产品的同时,一定要对网民的信息安全提供保证,同样,用户也该小心移动互联网应用当中的一些陷阱。
移动互联网安全问题及其对策 篇7
1 移动互联网的安全现状
自由开放的移动网络带来巨大信息量的同时, 也给运营商带来了业务运营成本的增加, 给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性, 用户的上网模式和使用习惯与固网时代很不相同, 使得移动网络的安全跟传统固网安全存在很大的差别, 移动互联网的安全威胁要远甚于传统的互联网。
⑴移动互联网业务丰富多样, 部分业务还可以由第三方的终端用户直接运营, 特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务, 虽然丰富了手机应用, 同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
⑵移动互联网是扁平网络, 其核心是IP化, 由于IP网络本身存在安全漏洞, IP自身带来的安全威胁也渗透到了移动互联网。在网络层面, 存在进行非法接入网络, 对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击, 利用各种手段产生数据包造成网络负荷过重等等, 还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。
⑶随着通信技术的进步, 终端也越来越智能化, 内存和芯片处理能力也逐渐增强, 终端上也出现了操作系统并逐步开放。随着智能终端的出现, 也给我们带来了潜在的威胁:非法篡改信息, 非法访问, 或者通过操作系统修改终端中存在的信息, 产生病毒和恶意代码进行破坏。
综上所述, 移动互联网面临来自三部分安全威胁:业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。
2 移动互联网安全应对策略
2010年1月工业和信息化部发布了《通信网络安全防护管理办法》第11号政府令, 对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战, 运营商需要紧紧围绕“业务”中心, 全方位多层次地部署安全策略, 并有针对性地进行安全加固, 才能打造出绿色、安全、和谐的移动互联网世界。
2.1 业务安全
移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植, 第三类是移动通信网与互联网相互结合, 适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全:
⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配, 能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用, 应提供业务层的安全认证方式, 如双因素身份认证, 通过动态口令和静态口令结合等方式提升网络资源的安全等级, 防止机密数据、核心资源被非法访问。
⑵健全安全审计能力。业务系统应部署安全审计模块, 对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录, 实施安全设计策略, 并提供事后行为回放和多种审计统计报表。
⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统, 定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估, 确保拦截来自各方的攻击, 保证业务系统可靠运行。
⑷增强对于新业务的检查和控制, 尤其是针对于“移动商店”这种运营模式, 应尽可能让新业务与安全规划同步, 通过SDK和业务上线要求等将安全因素植入。
2.2 网络安全
移动互联网的网络架构包括两部分:接入网和互联网。前者即移动通信网, 由终端设备、基站、移动通信网络和网关组成;后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。
⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全, 3G以及未来LTE技术的安全保护机制有比较全面的考虑, 3G网络的无线空口接入采用双向认证鉴权, 无线空口采用加强型加密机制, 增加抵抗恶意攻击的安全特性等机制, 大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全, Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准, 用AES算法替代了原来的RC4, 提高了加密鲁棒性, 弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户, 可以采用VPDN、SSLVPN的方式构建安全网络, 实现内网的安全接入。
⑵承载网网络及边界网络安全。1) 实施分域安全管理, 根据风险级别和业务差异划分安全域, 在不同的安全边界, 通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2) 在关键安全域内部署人侵检测和防御系统, 监视和记录用户出入网络的相关操作, 判别非法进入网络和破坏系统运行的恶意行为, 提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时, 系统会及时作出响应, 包括断开网络连接、记录用户标识和报警等。3) 通过协议识别, 做好流量监测。依据控制策略控制流量, 进行深度检测识别配合连接模式识别, 把客户流量信息捆绑在安全防护系统上, 进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量, 可以防止异常大流量冲击导致网络设备瘫痪。4) 加强网络和设备管理, 在各网络节点安装防火墙和杀毒系统实现更严格的访问控制, 以防止非法侵人, 针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。
2.3 终端安全
移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。
⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时, 要对预装应用软件及提供者进行说明, 而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件, 也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。
⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力, 建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。
⑶安装安全客户端软件, 屏蔽垃圾短信和骚扰电话, 监控异常流量。根据软件提供的备份、删除功能, 将重要数据备份到远程专用服务器, 当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料, 从而最大限度避免手机用户的隐私泄露。
⑷借鉴目前定期发布PC操作系统漏洞的做法, 由指定研究机构跟踪国内外的智能终端操作系统漏洞发布信息, 定期发布官方的智能终端漏洞信息, 建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识, 鼓励安装移动智能终端安全软件, 在终端厂商的指导下及时升级操作系统、进行安全配置。
3 从产业链角度保障移动互联网安全
对于移动互联网的安全保障, 需要从整体产业链的角度来看待, 需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。
⑴立法机关要紧跟移动互联网的发展趋势, 加快立法调研工作, 在基于实践和借鉴他国优秀经验的基础上, 尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务, 明确规范信息数据的采集、保存和利用行为。同时, 要加大执法力度, 严厉打击移动互联网信息安全违法犯罪行为, 保护这一新兴产业持续健康发展。
⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构, 统筹规划, 综合治理, 形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系;要在国家层面建立移动互联网安全认证和准入制度, 形成常态化的信息安全评估机制, 进行统一规范的信息安全评估、审核和认证;要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度, 以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。
⑶运营商、网络安全供应商、手机制造商等厂商, 要从移动互联网整体建设的各个层面出发, 分析存在的各种安全风险, 联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施, 保护各类软硬件系统安全、数据安全和内容安全, 并对安全产品进行统一的管理, 包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统, 做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究, 利用集成防火墙或其他技术保障设备安全。
⑷内容提供商要与运营商合作, 为用户提供加密级业务, 并把好内容安全之源, 采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化, 提供整合的安全技术产品, 要提高软件技术研发水平, 由单一功能的产品防护向集中统一管理的产品类型过渡, 不断提高安全防御技术。
⑸普通用户要提高安全防范意识和技能, 加装手机防护软件并定期更新, 对敏感数据采取防护隔离措施和相关备份策略, 不访问问题站点、不下载不健康内容。
4 结束语
解决移动互联网安全问题是一个复杂的系统工程, 在不断提高软、硬件技术水平的同时, 应当加快互联网相关标准、法规建设步伐, 加大对互联网运营监管力度, 全社会共同参与进行综合防范, 移动互联网的安全才会有所保障。
摘要:本文根据移动互联网的特性, 分析了影响移动互联网的安全因素, 基于这些因素, 分别从业务、网络、移动终端三个层面讲述了移动互联网存在的安全威胁及应对策略。同时也提出移动互联网的安全保障, 需要全社会共同参与进行综合防范。
关键词:移动互联网,安全威胁,应对策略
参考文献
[1]陈尚义.移动互联网安全技术研究[J].信息安全与通信保密, 2010.8.
移动互联网的信息安全问题分析 篇8
随着互联网的快速发展,移动通信与之相融合产生了移动互联网,而这也是移动通信必然的发展趋势,移动互联网一经诞生就得到了迅猛的发展,但是应清楚的认识到,在移动互联网发展的同时还存在着信息安全问题。另外,由于移动互联网那个所特有的特点,其信息安全问题将会越来越突出,现阶段,其信息安全问题已经受到了广泛的关注,因此对移动互联网信息安全问题的分析具有十分重要的现实意义。
1移动互联网的信息安全问题
1.1终端智能化发展带来的信息安全问题
在传统的互联网中,处理信息的终端为台式电脑及笔记本电脑,不过这两种终端的便携性都比较差。移动互联网诞生之后, 智能手机等移动智能终端应运而生,并且功能变得越来越强大。 但是,传统互联网时代电脑的安全问题也转移到了移动终端平台上。移动智能终端之所以会存在信息安全问题,主要是因为现阶段的移动智能终端大多数来源于国外,我国无法对其安全性进行全面的监管,这就在一定程度上存在着安全隐患。在移动互联网时代,智能手机的使用变得越来越普遍,针对智能手机的病毒也变得越来越多,手机病毒的存在不但给信息安全带来严重的威胁,甚至有些不法分子利用手机病毒获得不义之财,给广大移动智能终端使用者带来了不同程度的财产损失。
1.2网络IP化带来新的安全挑战
在传统的互联网中,采用的通信网是多级、多层的网络,而在移动互联网中,所采用的通信网为扁平网络,扁平网络的核心就是IP化。IP网络从诞生之日起,就存在着安全漏洞。移动互联网将IP网络作为核心网,可以实现对数据的管理及控制,并完成数据传输,使用移动智能终端的用户可以访问和登陆核心网。这样一来,核心网用户在登陆和访问的过程中就存在着数据泄露等安全隐患。由此,IP网络带来的安全问题成为移动互联网信息安全问题新的挑战。
1.3运营模式导致的安全问题
在传统的互联网中,运营模式的中心为网络的设计与构建, 但是在移动互联网中,运营模式的中心为业务。随着移动互联网的发展,其所包含的内容和服务也变得越来越多,除了基本的服务之外,还存在着很多的增值服务,因此,移动网络的基础就变成了业务和服务,通过业务及服务,移动网络得到了更为迅速的发展。不过,也正是花样繁多的业务和服务,给移动互联网的信息安全带来了威胁,比如,在一些WAP网站运行的过程中,为了获得更多的点击率,就会在网站中添加非法或者色情的内容, 这不但给网站的安全性带来威胁,还会对社会道德产生不良的影响。
1.4物联网提出了新的安全需求
物联网是一种新型的网络系统,以传统网络及移动网络为基础,实现物品之间的信息通讯。物联网的产生提出了新的安全需求,主要包括以下几种:第一,分布式的终端,原有的防护模式为集中式,在分布式终端中这种模式无法再发挥其作用;第二, 物联网中的M2M终端,这些终端都是智能感知性设备,在移动时都是不固定的或者是在固定范围内,这就会存在非法移动,需要对非法移动进行监控;第三,在物联网中,隐私数据的数量非常庞大,需要对这些隐私数据进行保护;第四,物联网中进行通讯时,依靠通讯设备,需要格外的注意设备本身的安全问题。
2移动互联网信息安全问题的应对策略
2.1政府的安全主导
在2013年,我国出现了很多互联网数据泄露的现象,这也说明我国的网络安全问题越来越严重。为了保证网络信息安全, 政府需要在社会宣传网络信息安全的重要性,并适当的加大宣传的力度,使所有人都形成安全意识。在硬件方面,我国应加大研发的力度,争取我国人民全部使用本国生产的移动智能终端,从而方便国家进行安全管理;在软件方面,在进行相关的移动智能终端软件开发时,要选择具有国家安全认证的企业。这样一来, 从软硬件两个方面都保证了移动互联网的安全性。
2.2加强移动互联网信息安全立法建设
现阶段,尽管我国有移动互联网信息安全方面的法律,但是立法层次比较低,各个法律之间的协调性非常差,而且专业性的法律几乎不存在,因此,为了保证信息安全,就需要加强立法建设。此外,政府在对移动互联网进行监管时,最有效的手段也是立法,由此可见立法建设的重要性。我国要建立起完善的、相关的法律体系,在进行立法建设时,充分考虑我国的实际情况,并将外国成功的立法经验引进来,一般来说,在进行立法建设时, 可从三个方面来进行:第一,制定手机实名制法律,并将隐私保护法进行完善;第二,完善相关的互联网及互联网安全管理法律; 第三,建立信息安全法,并完善相关的法律。
2.3互联网信息安全机构建设
实际上,移动互联网的信息安全管理并不能等同于网络安全管理,在进行管理的过程中要将二者区分开。在对信息安全进行管理时,要在网络安全的基础上来进行。在我国,有不同等级的信息安全管理机构,国家级的机构对信息的管理全权负责,为了更好的保证信息安全,需要对我国现有机构的现状进行改变,并建立专门的信息安全机构,机构的成员全部有专门的人员组成, 这样一来,才能保证移动互联网的信息安全。
2.4强化新技术在信息安全问题上的应用
2.4.1后量子密码技术
在移动互谅网时代,保障信息安全的机制为公钥密码机制, 然而这种机制很容易就会被攻破,这就会导致移动互联网的信息安全受到威胁。为了保证安全性,将量子技术应用到安全防护中, 在应用量子技术时,要对抵抗量子计算机攻击的方式和途径予以确定及选择,这就是后量子密码技术,该技术在使用的过程中比较容易实现,应用范围非常广。
2.4.2同态密码技术
在现阶段的社会中,为了保证信息安全,密码技术得到了广泛的应用,密码技术的种类很多,同态密码技术得到了人们的广泛关注。在移动互联网中,通过同态密码技术,可以有效地实现对信息的保护,用户在访问移动互联网时,都会具有一定的权限, 同态加密技术通过对其权限的控制,以身份认证技术来保证用户访问时信息的安全。
2.4.3可信计算技术
对于可信计算技术的定义,并没有形成明确的规定,而且在可信计算平台联盟中,不同的成员对可信计算技术的理解也不相同,不过,可信计算技术被广泛认可的是,当一个实体实现其既定目标时,具有可信性。在可信计算技术中,存在可信计算模块, 将该模块引入到移动互联网中,进而通过卫星计算机系统全面的保护信息安全。
3结论
移动互联网的安全性探究 篇9
据《中国互联网络发展状况统计报告》截至2011年12月底, 中国手机网民规模已经达到3.56亿人, 占总体网民中的比例达到69.4%。其中, 智能手机网民规模达到1.9亿,
工业和信息化部电信研究院于2012年4月的《移动终端白皮书》指出“2011年全球移动智能终端的出货量超越PC, 标志着一个新的时代来临。2011年我国移动智能终端出货量超过1.1亿部, 超过2011年之前我国历年移动智能终端出货量的总和”。随着移动通讯产业的发展, 手机和移动智能终端必将取代PC而成为移动互联网的主流, 影响并推动移动互联的技术变革和产业模式。
2. 移动互联网及其发展趋势
移动互联网是移动通信和互联网相互渗透、相互融合的产物。移动互联网以移动通讯为接入方式、以宽带IP为技术核心, 可同时提供话音、数据、图像、多媒体等高品质信息服务。
借助移动通信这个平台实现访问互联网的过程, 可以让人们不受时间、地域等的限制方便地实现上网。
移动互联网应用最早让人们接受的方式, 是从短消息服务开始, 它为移动通信网和互联网的相生相融奠定了基础, 展现出强大的生命力和广阔的市场前景。
随着3G技术及无线网络技术的日趋成熟, 必将为移动互联网带来新的应用和活力, 主要表现在以下方面:
移动支付
支付手段的电子化和移动化是不可避免的必然趋势, 移动支付业务发展预示着移动行业
与金融行业融合的深入。消费者可用具有支付、认证功能的手机来购买车票和电影票、打开
大门、借书、充当会员卡, 可以实现移动通信与金融服务的结合以及有线通信和无线通信的
结合, 让消费者能够享受到方便安全的金融生活服务。
影音产品
移动设备作为互联网终端, 通过移动数据传输, 可以实现视频、音频的载入, 拓展承载
的内容可以是电视、电影、音乐、电台。相比传统电视、电台, 移动视听服务互动性将成为一大优势。由于人们文化水平和个人爱好的差别, 个性化的视听内容更受青睐。移动视听通过内容点播、观众点评等形式能够分层次提供服务。另外, 移动视听的最大好处就是可以随时随地收看。随着技术的不断成熟, 移动视听将成为移动互联网的新亮点。
电子读物
随着手机功能不断扩展、容量不断提升、屏幕更大更清晰, 更因为用户身份易于确认、付款方便等诸多优势, 移动电子读物发展势头十分迅猛。内容数字化使电子阅读内容丰富, 结合手机多媒体的互动优势, 不但增加了音乐、动画、视频等新的阅读感受, 还可将这种感受随时带在身边, 移动电子阅读市场的繁荣是可以预见。
手机游戏
据统计08年中国手机游戏市场规模达到13.65亿元, 手机游戏活跃用户数达698万户,
其中手机网游用户占总体手机游戏用户的比例近40%, 规模达280万户, 已出现同时在线规
模上万人的手机网游。
如同互联网时代带来了联网游戏的蓬勃发展, 移动互联网时代的手机游戏除传统的单机
游戏外, 能够产生用户交互的手机联网游戏将有着更大的发展空间。
移动电子商务
移动电子商务可以让用户随时随地利用手机终端便捷地选择及购买商品和服务。移动电
子商务处在信息、个性化与商务的交汇点, 是传统商务信息化的结果, 承载于信息服务又为
信息服务提供商务动力。
未来, 移动电子商务与手机搜索的融合, 跨平台、跨业务的服务商之间的合作, 将带动
移动电子商务的爆炸式成长。
手机搜索
手机搜索引擎整合搜索概念、智能搜索、语义互联网等概念, 综合了多种搜索方法, 可
以提供范围更宽广的垂直和水平搜索体验, 更加注重提升用户的使用体验。
手机搜索给用户提供方便快捷的移动内容搜索, 搜索结果更具相关性, 用户可以定制自
己的搜索引擎和确定的互联网内容, 这给用户相当程度的自由和灵活性, 让用户对条理清晰的手机搜索服务沉迷不已。对运营商来说, 加大对搜索领域的投入与积极参与, 加速手机搜索引擎和移动增值业务的融合, 帮助搜索引擎向信息化产品集成平台转变
移动定位
随着手机、PDA等随身电子终端日益普及, 加之人们移动性的日益增强, 对位置信息的需求也日益高涨, 市场对移动定位服务需求将快速增加。随着社会网络渗入到现实世界, 未来移动定位功能将更加注重个性化信息服务以及SNS社区的结合。手机可提醒用户附近有哪些朋友, 来自亲朋好友甚至陌生人的消息会与物理位置联系起来。随着移动定位市场认知、内容开发、终端支持、产业合作、隐私保护等方面的加强, 移动定位业务前景广阔。
3. 移动互联网的安全问题
移动互联网具有网络融合化、终端智能化、应用多样化、平台开放化等特点, 随着移动互联网各种应用的推广, 信息安全问题日显突出, 主要表现在以下三个方面:
手机病毒及木马
近年来, 随着智能手机及终端的出现及其操作系统平台和源代码的开放性, 使得手机病毒和木马日益猖獗, 特别值得注意的是, Android是目前主流的两大移动操作系统之一, 由于其开放性特点, 成为国内手机厂商和移动互联网从业者追逐的应用平台。然而正是由于它的开放性, 在未来3G应用和Android类开放系统普及后, 将面临极大的安全隐患。
手机病毒是一种以手机为攻击目标的软件病毒, 它以手机为感染对象, 以手机网络和计算机网络为平台, 通过病毒短信等形式, 对手机进行攻击, 从而造成手机异常。
手机病毒通过三种途径进行攻击造成危害。
一是攻击手机本身系统, 影响其正常服务。这是手机病毒目前的主要攻击方式, 主要以“病毒短信”的方式发起攻击, 当用户收到由乱码组成的病毒短信并试图打开时, 病毒发作导致手机死机、关机等异常情况发生。
二是通过信息传播感染其它手机, 对其它手机造成破坏。“卡比尔”病毒就属于这种类型, 它通过手机的蓝牙设备传播, 使得染毒的蓝牙手机通过无线方式搜索并传染其它蓝牙手机。病毒发作时, 屏幕上显示“caribe-VZ/29a”, 中毒手机的电池将很快耗尽, 蓝牙功能丧失。
三是攻击和控制网关, 向手机发送大量垃圾信息, 使得网络运行瘫痪。
移动互联网网络安全
传统2G移动通信网络安全性较好, 其原因是网络封闭。由运营商自建专有网络传输, 不经由公共网络传输, 受外界影响小。媒体面和控制面独立, 采用TDM传输, 媒体面不能干扰控制面。
互联网安全问题的重要根源一是网络对用户透明。用户可以获得任意网络重要节点的IP地址并发起漏洞扫描及攻击, 网络拓扑很容易被攻击者得到, 攻击者可以在某一网络节点截获、修改网络中传送的数据, 用户数据安全没有保障。二是用户对网络不透明。鉴权不严格, 未经严格的认证机制即可接入网络, 终端的安全能力和安全状况网络不知情、不控制, 用户地址可以伪造, 无法可靠查找信息源。
移动互联网的融合, 网络IP化的引入, IP安全隐患增加, 网络扁平化, 增加了安全隐患, 互联网固有的安全问题依然存在, 传统移动通讯网络安全性优势丧失殆尽。
同时, 移动互联网的高覆盖性、平台的高差异性让统一的安全方案难以实施, 运营商也更容易遭受安全困扰。
业务内容的安全
移动互联网内容广泛, 包含了各种网站及信息内容服务, 同时任何用户随时随地可以通过移动终端接收发送文字、语音、视频等多媒体数据信息, 移动互联网在方便信息传播的同时, 也充斥着不法分子网上违法言论及犯罪活动, 包括煽动颠覆、分裂国家和破坏国家统一, 煽动民族仇恨、民族歧视和侮辱的反动言论, 散布谣言, 扰乱社会秩序, 煽动非法集会、游行、示威、非法组党结社和损害国家信誉, 制作、发布、传播淫秽、色情信息, 侮辱、诽谤和恐吓他人, 网络赌博, 网络诈骗等, 随着移动互联网的应用和发展, 网络诈骗手法也出现以下新的变化:
.地址欺骗式
传统的网络诈骗通常利用伪装的电子邮件和欺骗性的网址进行诈骗, 但是目前网络骗子通过使用一种动态的Java Script代码, 而不仅是过去所用的静态的假地址栏图像, 然后通过JAVA程序更改地址栏和远程用户系统中的浏览器数据, 从而将人诱骗到显示为某官方站点的假网站, 最后欺骗用户登录达到盗取账号的目的。
.漏洞诈骗式
传统诈骗一般是利用一种方式进行的, 以后可能会在一次诈骗中使用多个方法, 让对方防不胜防。由于目前Web2.0概念逐渐开始流行, 所以骗子会利用网站XSS (跨站) 漏洞进行诈骗。或者利用网站漏洞进行入侵, 然后通过管理员的身份进行诈骗。
关心引诱式
微软最新的操作系统Vista虽然在安全性方面有了较大提升, 但是利用系统漏洞进行的网络诈骗方式仍然不可掉以轻心。因为网络骗子可能借口某个重大的安全漏洞, 欺骗用户运行某个假的安全补丁, 从而最终获得需要的用户信息。
这给移动互联网内容的监管带来了沉重的压力。
4. 移动互联网安全解决对策
针对移动互联网的三个组成部分即网络、终端、内容, 采取有效措施, 加强安全防范:
一、加强移动用户的实名制管理, 建立网络诚信信用体系, 把握
网络虚拟社会的源头, 加强网站内容发布的审查和监督, 特别是网络社区及群组的管理, 同时充分运用身份识别及认证等网络安全技术, 纯净网络空间和网络环境, 整体提高网络信息安全水平。
二、加强手机和智能终端的安全保护。
提高用户手机和移动智能终端安全使用保护意识, 在人流量大的公共场合要注意关闭手机蓝牙功能、对于接收到的来历不明的短信或乱码怪字符短信切忌打开并及时删除, 及时安装和升级手机防病毒木马软件, 避免手机浏览网页、下载安装软件时感染病毒或遭到入侵, 加强对手机及移动智能终端软件系统的审查和监管, 从源头上杜绝引发病毒木马的系统漏洞。
三、加强网络安全保护。
随着国内WLAN网络覆盖范围和用户增长, 无线宽带接入服务发展迅速。加强移动互联网关的安全防控, 部署防火墙、入侵检测、流量监测和无线网管监控软件, 对客户端屏蔽网络架构及部署, 结合不同类型注册用户赋予不同的访问权限, 根据具体应用的不同, 进行网络带宽的智能调配, 提供对应网络Qo S保证, 严格用户权限和资源管理, 组成完整的业务控制和安全管理平台, 确保移动互联网络的可管可控。
5. 结束语
移动互联网以其人性化、个性化和方便、实用、便携的特性赢得了用户的认可, 发展前景广阔。同时, 我们必须未雨绸缪, 从信息安全法律法规、网络管理模式、标准化等方面加强对移动互联网的安全性做深入研究, 通过政府相关部门的严格把关, 业内研究机构和技术人员的不断探索, 为移动互联网的健康发展奠定坚实的基础。
参考文献
[1]蒋晓琳, 黄红艳移动互联网安全问题分析[J]电信网技术2009 (12) :04-06
[2]徐海东移动互联网面临的三大安全问题[EB/OL] (2009-10-23) http://tech.qq.com/a/20091023/000325_1.htm
移动互联网安全现状及应对措施 篇10
从本质上说,计算机体系无法避免出现漏洞,它具有较差的安全性能。从目前看来,人们正处于信息化时代,计算机的程序越来越为繁杂,会存有一些缺陷。对于移动互联网来说, 这些缺陷能够对其安全带来巨大的隐患。在日常生活中,我们很容易看到,移动互联网恶意程序频繁出现,这为我们工作、 学习造成了不少困扰。为了更好的处置移动互联网恶意程序的控制端,国家互联网应急中心进行了专项打击。
1我国移动互联网安全现状
值得肯定的是,无数互联网用户的切身利益,与移动互联网安全之间存在着十分密切的联系。
1.1移动应用商店自身安全水平不足
在实践中,我们应该清楚地看到,我国移动应用商店的安全现状不容乐观。移动应用商店作为“集成化开放平台”,它是广大移动互联网用户下载移动应用软件,安装移动应用软件的关键途径。更进一步说,移动应用商店发展越来越快,一定程度上促使移动互联网用户规模不断扩大。但是,在这个过程中, 出现了多种多样的安全问题,这给社会带来的负面影响越来越大。对于电信主管部门来说,在已有电信监管体系中,合理纳入移动应用商店,科学加入运营的应用软件,是最为主要的任务。限于操作系统,应用程序商店产生了巨头竞争格局。从目前看来,我国的移动互联网开始建起了一条广告产业链。但是, 该广告产业链不受欢迎的主要原因在于:以强制通知栏广告, 或者以匿名广告居多。对于移动互联网安全来说,恶意广告是主要威胁。我们可以这么说,移动应用商店就是一个传播平台, 它主要为移动应用软件服务。但是,导致移动应用软件安全环境不够好的关键要素在于:移动应用商店的应用承载量越来越大。另外,移动应用商店的安全审核机制具有不足之处,也是需要考虑的因素之一。值得肯定的是,移动应用商店自身安全水平不足。
1.2用户安全意识不足,缺乏权威引导
实际上,在不知不觉中,移动恶意应用软件数量日益变多, 广大移动互联网用户的合法权益受到了侵害。更详细地说,在广大移动互联网用户没有明确授权的前提之下,移动恶意软件被安装在移动智能终端中,并且予以运行,出现了不少恶意行为。这些恶意行为包括:损耗各种资费、恶意扣费、窃取广大移动互联网用户的隐私、欺诈诱骗等等。不容置疑,这种恶意行为,会泄露移动互联网用户的隐私,会给移动互联网用户带来一定的经济损失。对于媒体来说,在网络安全知识的宣传方面,有待提高。对于绝大多数媒体而言,通常会在报纸上开设专栏,也会在网站上开设专栏。在这个过程中,动画制作具有一定的实用性。虽然,不少媒体会定期让广大用户保护好个人数据资料,提醒广大用户在从事电子交易的时候更加仔细小心。 但是,在实践中,不少移动互联网用户在网上支付的过程中遇到了麻烦,受到了一定程度的损失。对于国内外网络安全现状不够了解,无法及时掌握国内外移动互联网的先进技术。值得肯定的是,跨境传播的违法信息越来越多。绝大多数代理翻墙类浏览器软件出现在移动应用商店里面。为了能够突破国内关防束缚,有些违法乱纪者凭借这些代理翻墙类浏览器软件达到自己的目标。更严重的是,有些违法乱纪者利用信息化手段, 策划突发性群体事件,不利于我国构建完善的信息安全监管体系。
2应对措施
当前,我们针对各种实际情况,采取了一系列的应对措施。
2.1加强移动互联网信息安全立法建设
实践表明,我们应该结合各种现实条件,不断强化移动互联网信息安全立法。从一定程度上说,我们应该进一步明确网络违法犯罪的量刑标准,充分认清网络违法犯罪的法定范围。 为了最大限度地规避网络违法犯罪,我们应该坚持以法律为依据,以法律为参考标准。从目前看来,我国移动互联网络的安全法规还不够健全,不少地方法律没有明确予以规定。更详细地说,针对现实生活中存在的移动互联网络违法行为,有关部门不能够制定法律,及时处理类似情况。不可否认的是,政府部门必须建立健全各项规章制度。值得一提的是,在安全审计、 立法监督等方面,应该引起有关部门的高度重视。从一定意义上说,针对各种违法犯罪行为,只有充分考虑到目前移动应用商店企业的实际状况,才能制定科学、有效的法律法规。除此之外,我们应该充分调动各种社会力量,重点打击移动互联网络犯罪。考虑到网络安全的影响,我们必须加大科研力度,大幅度增强网络安全保障技术能力。对于政府来说,应该不断加大资金投入力度,合理配置各种资源。为了达到保障移动互联网络安全的目标,政府部门应该不断加强重要信息系统的建设, 不断强化基础系统的建设工作。只有注重移动互联网络的管理, 才能更好的完善移动互联网络空间。
2.2互联网信息安全机构建设
在实践中,相当一部分移动应用商店都建立了安全管理机制,在这个方面做的较为不错。由于不一样的经营主体,会出现不一样的安全审查措施的执行效果。对于绝大部分官方移动应用商店来说,会需要更为符合要求的安全审核机制。例如: 苹果官方应用商店十分负责任,它会逐一检查全部软件。无论这些应用软件是升级之前,还是上线销售。只要这些应用软件违背了以上规则,苹果官方应用商店均会对其作出相应的处理。 值得肯定的是,在一些移动应用商店中,存在着不一样的安全审核设置。在开发者身份审核方面,电信天翼商城采用了一些方式,避免应用商店受到恶意应用的影响。在移动应用商店与政府之间,构建较为完善的处置结果自动反馈机制。与此同时, 不断建立健全对移动应用商店经营者的退出机制,不断完善移动应用商店经营者的处罚机制。
2.3加强对移动终端的管理
当前,随着科技水平的大幅度提升,我们应该集中主要精力,努力做好移动互联网安全技术的研发工作。与此同时,我们必须跟上时代的步伐,调动一切积极因素,研制移动互联网安全产品。特别是,移动互联网应用安全技术,应该引起人们的极大关注。在此,我们很清楚,部门与部门之间必须加强沟通,注重协调,产生一条管理链条。调查表明,在生产环节中, 我们应该不断提高质监部门的管理质量。同样的道理,在销售环节中,我们必须强调工商部门的监督管理,实现预期的效果。 事实表明,在查处环节中,我们应该结合实际状况,不断加强公安部门的查处力度。资料显示,在司法环节中,我们必须从全局角度出发,及时制定相应的法律。对于广大移动互联网用户来说,我们必须从实际出发,加强对他们的安全意识培训工作。更详细地说,我们可以通过一些较为先进的科技手段,对广大移动互联网用户进行安全教育。一般来说,移动应用商店运营商和政府等网站,在教育培训广大移动互联网用户方面起到了至关重要的作用。除此之外,我们应该全面考虑各种现实状况,努力保障政府、企业单位的信息安全,加强保密管理工作。正因为如此,加强对移动终端的管理,具有极其重要的意义。
3结束语
综上所述,移动互联网安全现状及应对措施具有一定的现实意义。事实上,在互联网刚开始发展起来的时候,安全问题就存在了。的确,我们正处于移动互联网的虚拟环境中,不少名气较大的应用商店,促使移动互联网经济的高速腾飞。但是, 相当一部分移动互联网用户的手机信息,被一些恶意程序侵扰, 移动互联网用户的利益得不到切实保障。为此,加强移动互联网信息安全立法建设,强化互联网信息安全机构建设势在必行。 从某种程度上说,完善监管模式,构建信息安全保障体系,十分有必要。
摘要:近些年,移动互联网发展越来越快。当前,我国正处于移动互联网时期,与发展相比,安全更为重要。只有在确保安全的前提之下,移动互联网才会发展的越来越好。本文分析了我国移动互联网安全现状,提出了一系列有效措施,包括:加强移动互联网信息安全立法建设、互联网信息安全机构建设和加强对移动终端的管理等等,希望能够对实践工作发挥一定的指导作用。
相关文章:
药店顶岗实习报告02-28
移动互联网时代下传统手工艺品发展问题研究02-28
移动互联网的发展现状02-28
移动互联网与煤矿安全02-28
高职学院02-28
移动互联网坏境下的企业信息管理02-28
论移动互联网时代党建工作移动信息化建设的思考和探索02-28
移动互联网信息资源管理论文02-28
