移动互联网与煤矿安全(精选十篇)
移动互联网与煤矿安全 篇1
移动互联网欲变智慧互联网催生新商业模式
所谓移动互联网, 即是能让用户通过移动设备 (如手机、i Pad等移动终端) 随时、随地访问互联网, 获取信息, 进行商务、娱乐等各种网络服务。移动互联网具有有四大特征:手机媒体化、用户需求多样化、Web 2.0服务、应用微件化。移动互联网时代到来不仅加速了电信运营商企业的转型, 同时也推动了互联网行业的变革。
与此同时, 通过技术与业务模式的创新, 移动即时消息、移动浏览器、轻应用等信息业务平台加速发展, 位置服务、移动支付的技术, 线上与线下相结合得以实现, 移动互联网对社会各领域的渗透不断深化, 新的商业模式不断涌现, 对传统行业的影响十分深远。
对此, 参加2 0 14移动互联网国际研讨会 (IMIC) 的中国移动通信集团公司副总裁李正茂介绍, 近年来移动互联网发展迅猛, 截止到今年6月, 我国手机网民已经突破5.7亿户, 手机已成为第一大上网终端。今年上半年, 我国智能手机出货量接近两亿部, 占比达到90%, APP成为主流的模式, 应用商店成为移动互联网的重要入口, 到今年年初, 中国的第三方应用商店, 应用下载人数接近400万, 累计下载规模超过3000亿次。
另据最新统计显示, 今年6月份, 3G、4G的用户占整个移动用户比例38.5%, 预计今年年底将达40%。手机网民占整体网民比例83.4%。使用手机上网的用户数超过了单纯使用PC上网的用户数。今年6月份, 移动互联网每户平均每个月大概消耗175M的流量, 相比去年同期122.8M增速较快。而在智能手机中, SMS的业务增长很快。大约70%以上网民会使用手机搜索, 或者用手机看新闻。同时, 社交应用, 即时通信等在手机里占比达85%以上;游戏和娱乐业务占比超过50%;手机购物, 手机支付占比约40%。移动应用发展迅速。据中国互联网协会理事长邬贺铨院士介绍, 去年第三方手机支付的市场规模超过1.2万亿元人民币, 用户数已经超过1.25亿户, 同比增长超过700%。从全球市场来看, 全球移动支付总量超过2530亿美元, 占全球信用卡和借记卡交易总量的1/4。
按照参会的邬贺铨院士的话说:移动互联网现在是风头正旺, 风情万种。此外, 邬贺铨认为, 移动互联网重塑了产业链, 给创新留了很多空间和机会。同时, 移动互联网本身延伸了创新链, 移动互联网的创新链涉及到Web应用服务托管、网络、云平台等各个方面。
事实上, 移动互联网比桌面互联网的创新链长得多。他表示, 智能终端的兴起和4G牌照的发放, 促进了移动互联网的发展, 移动互联网是互联网发展的新阶段, 是云时代的重要特征, 是未来创新平台的主要支柱。
与邬贺铨院士的移动互联网新阶段论相比, 中国电子学会名誉理事长吴基传则在大会上表示, 移动互联网最终的发展动力在消费者, 必须研究和注重移动互联网消费者的感知。而对于移动互联网的发展趋势和走向, 吴基传认为, 随着技术的进步、智慧的引入, 互联网的下一个层次, 会演变成智慧互联网。
移动互联网新阶段也好, 未来是智慧互联网也罢, 这些新的变化, 都预示着新的商机模式和商业机会, 而传统电信运营商将如何应对这些变化?能否把握?
应对挑战运营商策略八仙过海
众所周知, 移动互联网的发展, 对于传统电信运营商的业务和既有的商业模式已经造成了冲击。面对这种冲击, 传统电信运营商已在根据自身企业的特点, 采取不同的策略来予以应对。
据中国移动通信集团公司副总裁李正茂介绍, 中国移动正通过四项举措来应对移动互联网时代的发展。一是打造无线宽带网络。4G是移动互联网的一个重要基础, 为各类应用业务提供了高速的, 高性能的保障。2013年底, 4G正式商用以来, 中国移动一直在加快4G网络的部署, 截止到6月, 已部署了超过40万个TD-LTE基站, 覆盖了全国300多个城市, 已经服务上千万的用户, 预计今年底, 中国移动建成的基站总数超过50万个, 实现在全国范围的深度覆盖。
其次是推动智能终端的发展。智能终端是承载移动互联网业务的重要载体, 是用户使用移动互联网业务的窗口和门户, 4G终端是移动互联网发展的重要驱动因素。截止到7月份, 全球近200家终端厂商, 共推出900余款TD-LTE的终端, 其中智能手机440余款, 中国移动将继续通过规模化的采购, 拉动TD-LTE的成熟和丰富。在6月份, 中国移动发布了首款自主品牌的低成本4G智能终端M811, 受到了用户的热烈欢迎。李正茂指出, 年内我们还将推出更多的500~1000元价位的低成本智能终端, 以加快4G的普及。同时, 中国移动将继续联合产业界大力推动多模多频终端的发展, 推动五模十二频, 乃至更多频终端的成熟。
第三是积极部署云计算平台。云计算作为移动互联网时代各类业务和服务的承载平台, 为企业、用户和开发者提供了更加集中化、智能化、服务化的IT基础资源。中国移动一直以来都在全力投入云计算的研发和实践, 从2007年起中国移动就启动了大云的研发计划, 并在云计算基础设施的建设上不断加大力度。
最后是发展融合通信业务, 为了适应新的竞争环境, 更加贴近移动互联网的市场需求, 中国移动从2013年开始布局融合通信的研发, 融合通信业务为移动终端提供原生的新通话, 新消息, 新通讯录三大核心功能, 形成运营商在移动互联网上的入口优势。此外, 中国移动还开展一体化的业务设计, 将融合通信延伸到生活、娱乐、商务、家庭等各个领域。同时, 融合通信也得到了众多运营商、系统厂家、终端芯片、终端厂家的关注和投入, 中国移动正在联合产业界共同推动融合通信的研发和商用。
而中国联通作为中国最主要的网络运营商之一, 近年来, 一直在积极面对移动互联网带来的各种挑战和机遇, 并成为移动互联网浪潮中重要的力量。中国联通副总裁张钧安表示, 中国联通在网络升级、大数据和云计算平台的建设, 物联网的运营等方面, 积极探索和储备, 使得中国联通的端、管、云能力不断提升, 用户规模持续扩大。
中国联通的网络能力不断升级, 为移动互联网的发展奠定了更好的基础。中国联通实施3G、4G一体化战略, 从今年7月开始, 开展LTE混合组网实验, 未来将给用户提供接入速率更高, 网络质量更可靠的3G、4G服务。同时在打造智能管道、实现网络可管、可控、可经营, 从而降低网络运营成本, 提高网络运行效率, 提升用户体验, 并为合作伙伴提供更开放的网络环境。
此外, 中国联通一直在积极探索和发展移动互联网业务, 2014年上半年, 中国联通移动业务中, 移动宽带业务收入占比达到68.3%, 同比提升10.6个百分点, 3G、4G移动宽带用户同比增长40.8%, 在移动用户中的渗透率达到48%, 移动宽带户均流量达到259M, 流量深入占比达到40%, 移动手机用户数据流量同比增长82%, 达到1998亿M。
张钧安表示, 中国联通适应移动互联网发展需要, 积极探索与OTT产品新的合作模式, 与多家互联网公司开展合作, 推出沃+视频和沃+音乐等流量产品, 并积极探索流量收费的新模式, 促进移动互联网业务快速发展和流量提升。
至于中国电信的变革, 中国电信集团副总经理张继平表示, 传统运营商的挑战在持续加大, 这推动了运营商自身的升级、创新、改造。他指出, “在中国电信的创新转型之中, 新业务的发展是最重要的。”为此, 2013年, 中国电信提出了二次转型, 五年再造一个新型中国电信的目标。张继平称, 2017年中国电信的新型业务占比目标是超过50%, 新的业务领域将占更大的比例。
同时, 中国电信还加快与互联网公司的合作, 在新型业务追寻互联网化的市场规律, 与网易合作的移动互联网业务易信发展态势良好, 目前, 易信用户进入到类似业务市场中的前三名。另外2011年, 中国电信对八大基地进行公司化改造, 吸收外部资本, 共同优化业务。在4G方面, 中国电信将加快部署4G业务, 在今年7月份, 中国电信已经在全国16个城市开放了天翼4G手机服务。据悉, 针对4G应用, 目前中国电信已推出爱看4G、爱玩4G、爱听4G、4G云游戏等一系列新产品。
对于上述运营商的转型之道, 华为技术有限公司董事电信业务部总裁张平安称:“运营商在数字经济化时代来临的时候, 将非常有希望成为本土数字经济的使能者, 并且能够以运营商为中心建立起生态链。运营商本身拥有的优势是在网络资产、客户资产、以及本地化, 他们对本地的文化、理念非常了解, 包含公信力, 正如Google在全球的成功, 并不能代表它在非洲的成功, 运营商拥有的本地化的能力, 还有拥有客户的信任能力, 将使得运营商成为本土经济的使能者。”
中兴副总裁王炜认为, 4G时代运营商需要成为互联网模式下的全业务超市, 需要注意三条跑道。流量的货币化、商业化, 面向LTE的新视频服务以及“三新”思路下的融合通信。
风急浪高移动互联网安全、管理不容忽视
尽管我国的移动互联网产业发展迅猛, 但由此引发的安全问题却日益突出。特别是斯诺登事件之后, 网络安全更被提到了前所未有的高度。用户个人信息的保护, 包括上网的安全, 网络安全、信息安全等, 将来都要向产业转移并且融合, 而在向传统产业跨界转型的过程中, 安全更显重要。同时, 移动应用的安全状况直接关系到我国移动互联网的安全水平。移动应用中存在着大量的恶意应用, 倘若用户在不知情的情况下下载安装这些恶意应用, 就可能遭遇隐私被窃、资费消耗、后台安装等恶意行为。
此外, 随着移动互联网的发展, 相关地下黑色产业链也开始浮出水面, 毋庸置疑, 这也埋下了极大的安全隐患。
对此, 邬贺铨表示, 通过2012年网络安全事件可以看出, 移动互联网在OSI物理层、传输层、网络层、应用层都有安全问题。移动互联网在身份认证、机密性管理、网络安全、移动支付等方面存在安全隐患。同时, HTML5也可能引入安全隐患。而目前用户经常使用的社交媒体都在网络安全方面存在隐患。
在邬贺铨看来, 目前网络安全内涵还在延伸, 现在经常说的网络安全, 是网络基础设施的安全。他认为现在最重要的防护措施应该既包括网络基础设施的安全、数据内容层面的安全、被控制对象执行决策层面的安全。
移动互联网与煤矿安全 篇2
一、课程概述
1.1课程目标
通过本章的学习,需掌握:
1、信息安全技术包括哪些方面;
2.存在于身边的主要安全问题有哪些
移动互联网是指互联网技术、平台、商业模式和应用于移动通信技术结合并实践的一个活动的总称
1.2课程内容
移动互联网时代的安全问题:设备与环境安全、数据安全、身份与访问安全、系统软件安全、网络安全、应用软件安全、信息内容安全。
1、设备与环境的安全:信息存在前提,信息安全的基础,影响信息的可用性和完整性物理设备的不安全会导致敏感信息的泄露和客体被重用。将介绍计算机设备与环境的安全问题和环境安全防护措施及针对设备的电磁安全防护和针对PC机的物理安全防护
2、要保证数据的保密性、完整性、不可否认行、可认证性和存在性,为避免数据灾难要重视数据的备份和恢复,将介绍用加密来保护数据的保密性、哈希函数保护信息的完整性、数字签名保护信息的不可否认性和可认证性、隐藏保护信息的存在性、容灾备份与恢复确保数据的可用性(以Windows系统中的常用文档为例)
3、用户访问计算机资源时会用到身份标识,以此来鉴别用户身份,届时将介绍身份认证和访问控制的概念,访问控制模型和访问控制方案
4、系统软件安全将介绍操作系统重用安全机制的原理,如,身份鉴别、访问控制、文件系统安全、安全审计等等,将以Windows XP系统为例给出安全加固的一些基本方法
5、网络安全将以最新的APT攻击为例来介绍攻击产生的背景、技术特点和基本流程,将给出防火墙、入侵检测、网络隔离、入侵防御的一些措施,在实例中给出APT攻击防范的基本思路
6、应用软件安全:
1、防止应用软件对支持其运行的计算机系统(手机系统)的安全产生怕破坏,如恶意代码的防范
2、防止对应用软件漏洞的利用,如代码安全漏洞的防范 其他:防止对应用软件本身的非法访问
7、信息内容安全:是信息安全的一个重要内容,信息的传播影响人们的思想和事件的走向、同时人肉搜索侵害隐私,将介绍信息内容安全问题、信息内容安全的保护对象及得到普遍认可和应用的信息安全网关和舆情监控以及预警系统
与同学密切相关的安全问题:个人隐私安全、网络交友安全、网络交易安全
相关的影视作品:《虎胆龙威4》黑客组织的攻击造成了整个城市的交通瘫痪、股市瘫痪、安全机关陷入混乱《鹰眼》信息监控 《网络危机》《夺命手机》《速度与激情7》 央视《每周质量报告》免费WiFi陷阱
1.3课程要求
1、黑客的行为是犯罪的2、严格遵守国家法律、法规
3、移动互联网技术是把双刃剑
二、信息安全威胁
1、简述网络空间威胁的主要内容、2、四大威胁包括哪些方面
2.1斯诺登事件
斯诺登事件和棱镜门
a.美国棱镜计划被曝光
棱镜计划(PRISM)是一项由美国国安局(NSA)自2007年开始实施的绝密电子监听计划。
2013年6月,该计划因美国防务承包商波斯艾伦咨询公司的雇员爱德华 斯诺登向英国《卫报》提供绝密文件而曝光。
根服务器管理权的争论?
b.棱镜计划是如何实施监控的? US-984XN 所有的数据运用全球骨干网,要传回美国
c.主干网的计算机与路由器的关系:
所有计算机收发的数据、文件都要经过关键路由器。这样截取的信息完全不必要入侵计算机的终端,d.棱镜工作流程
情报分析师首先向棱镜项目发出新的搜索请求,寻求获得一个新的监视目标及其信息,这个请求会自动发送到审查请求的主管,获得批准后开始监视。
每一个被棱镜监视的目标都会被分配一个编号,编号可以实时的反映出存储信息的可用状态
2.2网络空间安全
网络空间安全威胁
1、网络空间霸权美国a.把持着全球互联网的域名解析权
b.控制着互联网的根服务器
c.掌握着全球IP抵制的分配权
e.拥有世界上最大的、最主要的软件、硬件及互联网服务商
f.积极研制网络空间武器,强化在网络空间领域的霸主地位
j.将互联网当作对他国进行意识形态渗透的重要工具
2、网络恐怖主义
恐怖组织(如,基地组织、ISIS)利用网络,通过散布激进言论、散布谣言、散布血腥视频、攻击和破坏网络系统等方式造成社会轰动效应,增加对方(通常是国家)民众的恐惧心理,以达到破坏其社会稳定,甚至颠覆国家政权的目的。
3、网络谣言和网络政治动员
(1)、网络谣言是指通过网络介质(例如邮箱、聊天软件、社交网站、网络论坛等)传播的没有事实依据的话语,主要涉及突发事件、公共领域、名人要员、颠覆传统、离经叛道等内容。
(2)政治动员是指在一定的社会环境与政治局势下,动员主体为实现特定的目的,利用互联网在网络虚拟空间有意图地传播针对性的信息,诱发意见倾向,获得人们的支持和认同,号召和鼓动网民在现实社会进行政治行动,从而扩大自身政治资源和政治行动能力的行为和过程。
4、网络欺凌
个人或群体利用网络的便捷性,通过计算机或手机等电子媒介,以电子邮件,文字,图片,视频等方式对他人进行的谩骂、嘲讽、侮辱、威胁、骚扰等人身攻击,从而造成受害者精神和心理创伤。
5、网络攻击和网络犯罪
NORES?攻击直播?
网络攻击示意图有(图中显示的攻击方有可能只是真正攻击者的跳板): a.数字攻击地图网站,(提供攻击来源、方式、频率)b.FireEye公司的网络威胁地图
c.挪威公司的ipvikinge黑客攻击地图(包含的相关数据特别的多,如攻击组织的名称和网络地址,攻击目标所在的城市、被攻击的服务器,还列举了最易被攻击的一些国家,和最易发起攻击的一些国家)
d.卡巴斯基的网络实时地图(交互性强,可以布局自定义的扫描来过滤某些恶意的威胁,如email的恶意软件,website攻击、漏洞扫描等等)
e.国内 中国互联网信息安全地下产业链调查
2、实例
要塞病毒软件
2.3四大威胁总结
总结:根据信息流动的过程来划分威胁的种类
一、中断威胁
中断威胁破坏信息系统的可用性,1、使合法用户不能正常访问网络资源
2、使有严格时间要求的服务不能及时得到响应
摧毁系统:物理破坏网络系统和设备组件使或者破坏网络结构使之瘫痪,比如硬盘等硬件的毁坏、通讯线路的切断和文件管理系统的瘫痪等等因此我们常见的中断威胁是造成系统的拒绝服务,也就是说信息或信息系统的资源他的被利用价值或服务的能力下降或丧失
二、截获(Interception)威胁
指一个非授权方介入系统,使得信息在传输中被丢失或泄露的攻击,他破坏了保密性,非授权可以是一个人、一个程序或一台计算机。
这类攻击主要包括:利用电磁泄露或搭线窃听等方式截获机密信息,通过对信息的流向、流量、通信频度和长度对参数的分析,推测出有用信息,如用户口令、账号等。
非法复制程序或数据文件、三、篡改(Modification)威胁
以非法手段窃得对信息的管理权,通过未授权的创建、修改、删除和重放等操作而使信息的完整性受到破坏。攻击包括:
1、改变数据文件,如修改数据库中的某些值
2、替换一段程序使之执行另外的功能,设置修改硬件。
四、伪造(fabrication)威胁
一个非授权方将伪造的客体插入系统中,破坏信息的可认证性。
例如在网络通信系统当中插入伪造的事务处理或者向数据库中添加记录。
三、信息安全概念
需掌握和了解以下问题:
1、如果我们计算机的操作系统打过了补丁(patch)是不是就可以说这台机器就是安全的。
2、如果我们的计算机与互联网完全断开,是不是就可以确保我们的计算机安全。
了解信息安全的概念认识角度:
1、信息安全的感性认识
2、安全事件的发生机理
3、安全的几大需求 本讲内容:
1、您的电脑安全吗?这个主要是从信息安全的一个感性认识上来理解什么是安全的。
2、安全事件如何发生?这个主要是从安全事件的发生机理上来理解什么是安全的。
3、什么是安全?这个主要是从安全的几大需求来理解什么是安全的。
3.1你的电脑安全吗?
1、从对信息安全的感性认识理解信息安全
0 day漏洞:就是指在系统商不知晓或是尚未发布相关补丁前就被掌握或者公开的漏洞信息
强口令的破坏:
1、网上的破解器
2、不慎泄露
3、网站服务商用明文保存口令或者是泄露
2、计算机硬件的安全威胁:
1、计算机硬件被窃
2、机器硬件遭受自然灾害破坏
3、隐蔽窃取信息的设备 如:keysweeper(可以无线窃取附近无线键盘的信号,并记录每一次的输入,然后通过内置的GSM网络发送出去。一旦发现重要资料,比如银行账户和密码,会自动提醒黑客。)
3、另外,目前在移动互联网时代还存在着非常严重的BYOD问题
BYOD(bring your own device)指携带自己的设备办公,这些设备包括个人电脑,手机,平板灯(而更多的情况是指手机或平板这样的移动智能终端设备。)安全内网中计算机中的数据仍有通过移动智能终端等BYOD设备被传出的威胁。
4、什么是不安全:
1、不及时给系统打补丁
2、使用弱口令
3、打开陌生用户的电子邮件附件
4、链接不加密的无线网络
世界顶级黑客米特尼克 影像资料《无线网密码嗅探》
3.2安全事件如何发生
根据安全事件的发生机理来认识什么是安全安全事件的发生是由外在的威胁和内部的脆弱点所决定的。相对于表象具体的攻击,安全事件更具有一般性,比如棱镜计划是不是斯诺登发起的网络攻击,但是其信息泄露却是一次安全事件。
对信息系统的威胁:指潜在的、对信息系统造成危害的因素,对信息系统安全的威胁是多方面的,目前还没有统一的方法对各种威胁加以区别和进行标准的分类,因为不同威胁的存在及其重要性是随环境的变化而变化的。
(外部)网络中的信息安全威胁分为三个侧面:
1、针对国家层面的国家行为的网络版权威胁,非国家行为体的网络恐怖主义,网络谣言和网络社会动员。
2、针对组织和个人的网络攻击威胁
3、针对个人的网络欺凌等威胁(内部)信息系统中的脆弱点(有事又被称作脆弱性、弱点(weaknesses)、安全漏洞(holes):物理安全、操作系统、应用软件、TCP/IP网络协议和人的因素等各个方面都存在已知或未知的脆弱点,它们为女权事件的发生提供了条件。
1、脆弱点---物理:计算机系统物理方面的安全主要表现为物理可存取、电磁泄露等方面的问题。此外,物理安全问题还包括设备的环境安全、位置安全、限制物理访问、物理环境安全和地域因素等。比如机房安排的设备数量超过了机房空调的承载能力,你们设备就有可能由于过热而造成损坏;如,U盘
2、脆弱点---软件系统:计算机软件可分为操作系统软件、应用平台软件(如数据库管理系统)和应用业务软件三类,一层次结构构成软件体系。可以说,任何一个软件系统都会因为程序员的一个疏忽、开发中的一个不规范等原因而存在漏洞。
3、脆弱点---网络和通信协议:TCP/IP协议栈在设计时,指考虑了互联互通和资源共享的问题,并未考虑也无法同时解决来自网络的大量安全问题。比如电子邮件当初在设计时就没有认证和加密的功能。
4、脆弱点---人:(1)、人为的无意的失误,如误删某些文件(2)、人为的恶意攻击,如黑客制造的恶意代码(3)、管理上的因素,如管理不当造成的密码泄露,硬盘被盗等等。
3.3什么是安全
从安全的几大需求来理解什么是信息安全
CIA安全需求模型:C是confidentiality(保密性)、I是integrity(完整性)、A是availability(可用性)
1、保密性是指确保信息资源仅被合法的实体(如用户、进程)访问,使信息不泄露给未授权的实体。保密内容包括,国家秘密、各种社会团体、企业组织的工作及商业秘密、个人秘密和个人隐私,数据的存在性(有时候存在性比数据本身更能暴露信息)。计算机的进程、中央处理器、存储设备、打印设备等也必须实施严格的保密技术措施,同时要避免电磁泄露。实现保密性的方法:一般是通过对信息的加密,或是对信息划分密级并为访问者分配访问权限,系统根据用户的身份权限控制对不同密级信息的访问。
2、完整性是指信息资源只能由授权方或以授权的方式修改,在存储或传输过程中不被偶然或蓄意地修改、伪造等破坏。
不仅仅要考虑数据的完整性,还要考虑操作系统的逻辑正确性和可靠性,要实现保护机制的引荐和软件的逻辑完备性、数据结构和存储的一致性。实现完整性的方法:
1、事先的预防,通过阻止任何未经授权的改写企图,或者通过阻止任何未经授权的方法来改写数据的企图、以确保数据的完整性。
2、事后的检测,并不试图阻止完整性的破坏,而是通过分析用户或系统的行为,或是数据本身来发现数据的完整性是否遭受破坏。
3、可用性 是指信息资源可被合法永福访问并按要求的恶性使用而不遭拒绝服务。可用的对象包括:信息、服务、IT资源等。例如在网络环境下破坏网络和有关系统的正常运行就属于对可用性的攻击。如,12306瘫痪
实现可用性的方法:
1、备份与灾难恢复
2、应急响应
3、系统容侵其他的安全需求:
4、其他
(1)不可抵赖性,通常又称为不可否认性,是指信息的发送者无法否认已发出的信息或信息的部分内容,信息的接受者无法否认已经接收的信息或信息的部分内容。实现不可抵赖性的措施主要有:数字签名、可信第三方认证技术等。
(2)可认证性是指保证信息使用者和信息服务者都是真实声称者,防止冒充和重放的攻击。可认证性比鉴别(authentication)有更深刻的含义,他包含了对传输、消息和消息源的真实性进行核实。
(3)可控性是指对信息好信息系统的认证授权和监控管理,确保某个实体(用户、进程等)身份的真实性,确保信息内容的安全和合法,确保系统状态可被授权方所控制。管理机构可以通过信息监控、审计、过滤等手段对通信活动、信息的内容及传播进行监管和控制。(4)可审查性是指:使用审计、监控、防抵赖等安全机制,使得使用者(包括合法用户、攻击者、破坏者、抵赖者)行为有证可查,并能够对网络出现的安全问题提供调查一句和手段。审计是通过对网络上发生的各种访问情况记录日志,并对日志进行统计分析,是对资源使用情况进行事后分析的有效手段,也是发现和追踪时间的常用措施。
审计的主要对象为用户、主机和节点,主要内容为访问的主体、客体、时间和成败情况等。(5)可存活性(在当前复杂的互联网环境下遭受攻击应该说是不可避免的)是指计算机系统的这样一种能力:他能在面对各种攻击或错误的情况下继续提供核心的服务,而且能够及时地恢复全部的服务。信息安全的概念小结:
1、特定对象的安全:信息基础设施、计算环境、计算边界和连接、信息内容、信息的应用
2、特定过程的安全:主要保护信息生产、存储、传输、处理、使用、销毁这一全过程的安全因此,信息安全研究的内容应当围绕构建信息安全体系结构的人、技术、管理三个要素展开
信息安全技术七大方面:设备与环境安全、数据安全、身份与访问安全、系统软件安全、网络安全、应用软件安全、信息内容安全
信息安全管理:信息安全管理体系、信息安全工程
第六章
计算机设备与环境安全
需掌握
1、简述恶意代码检测和查杀工具、U盘检测工具及认证和加密工具的使用方法
2、什么是移动存储设备接入安全管理四部曲
内容
1、U盘之类的移动存储设备面临的安全威胁
2、移动存储设备安全防护措施 6.1移动存储设备安全威胁分析 安全问题:
1、设备质量低劣:U盘内部有主控和FLASH(U盘内存的大小),可以通过软件调整,来将128MB的U盘做到8G,16G甚至更大,主要是通过软件来欺骗Windows系统
2、感染和传播病毒等恶意代码
(1), iPod sharpinp恶意代码攻击,可以从一个系统到另外一个系统来回的搜索所有目标电脑的子目录,可以专注与去搜索目标系统里的word文档,PDF文档,HTML文档。Gartber Research建议所有注入iPods的移动存储设备都必须禁止逮到工作单位,Sansung已经采纳了这个建议并且禁止员工使用Samsung的最新款手机,因为该款手机拥有8GB甚至更大的存储
(2),密码插入和密码提取,密码插入可以通过执行一些程序来完成,如NT Password。
这个程序所需要的就是建立系统的物理访问,以及能够从软盘和其他设备上启动系统。当黑客启动了这个基于Linux的程序,那么他接下来就只需要简单地回答一系列关于他希望登录哪个账号以及他想修改的用户新密码的问题
移动互联网与煤矿安全 篇3
移动应用繁荣背后,安全威胁也如影随形
根据阿里移动安全统计显示,移动应用的安全风险主要集中在安全漏洞、病毒感染和应用仿冒等问题上。
2015年第一季度,安卓设备的病毒感染量高达2406.6万(数据去重后),平均7.6台安卓设备就有1台被感染,阿里聚安全病毒扫描引擎共检测查杀病毒达4514万个。
针对移动应用安全漏洞,统计16个行业的Top10应用共有4775个漏洞。100%的Top160应用有漏洞,高风险漏洞占44%。金融、购物、工具、影音等行业的Top10应用漏洞数量最多,漏洞量均超过335个。
对16类应用行业的安卓Top160应用进行仿冒检测,显示79.4%的应用存在仿冒,总仿冒量高达6329个,平均每个应用的仿冒量高达40个。根据统计可以发现社交和游戏2个行业是仿冒应用的重灾区,其中社交类应用中的Top10应用100%被仿冒。
移动设备时刻面临安全后门与漏洞威胁
2013年7月,美国Bluebox Security安全机构发布安卓系统上的“Master Key”致命漏洞。该漏洞从Android 1.6开始一直存在,恶意软件可以在不破解加密签名的前提下利用它来修改合规 APK 的代码,绕过Android应用的签名验证安全机制,允许将99%的应用程序转变成木马程序。“Master Key”影响了几乎所有安卓手机和平板电脑用户。
2015年4月,阿里安全研究实验室发现WiFi协议重大漏洞,安卓系统的WiFi功能组件wpa_supplicant存在缓冲区溢出,导致具有WiFi功能且开启WLAN直连的安卓设备全部沦陷。攻击者不用物理接触,也不用接入共用的无线网络,就可以远距离发起恶意攻击和入侵,安装恶意应用并完全控制手机。
即使以安全著称的苹果也存在安全隐患。2014年7月,知名iOS黑客Jonathan Zdziarski对外披露了iOS中存在的若干“后门”,并展示利用这些“后门”获取到用户的个人信息。苹果公司也承认存在技术可获取iPhone用户的短信、通讯录和照片等个人数据。
未雨绸缪,维护移动生态安全
面对众多移动应用安全威胁,我们在“互联网+”时代该怎么办?阿里移动安全携阿里钱盾,从系统底层开始为用户提供各类安全服务,还通过阿里聚安全产品,以移动应用安全为核心, 集风险发现、风险解决、大数据处理、持续监控为一体,使用多引擎风险扫描,一站式解决应用的安全问题。
移动互联网与煤矿安全 篇4
近几年,移动互联网技术的发展步伐不断加快,各大公司、学校、公共场所开始将互联网技术应用到管理中来。尤其是各个企业的运用,他们把互联网技术应用到企业内部管理工作中,这不仅给企业节省了大量的经济成本,同时也提高了企业的整体管理水平,给企业的未来发展打下了扎实的基础。
随着科技的发展越来越完善,移动互联网应用安全问题也随之展现出来,随着计算机病毒、互联网黑客的数量逐渐增多,这也给人们的工作、学习、生活带来了巨大的影响。所以,加强移动互联网应用安全管理力度,不仅可以保障移动互联网的安全,同时也能推动我国移动互联网更好的发展。
2 移动互联网的应用
所谓的移动互联网主要是指借助一些移动终端系统,来实现将移动网络与互联网进行连接,进而达到可以上网的目的。目前,我国移动互联网主要朝着三个方向发展:第一个是移动终端方面;第二个是移动网络方面;第三个是移动业务方面。
移动终端方面。所谓的移动终端方面主要是指把移动终端平台和移动业务平台进行紧密的融合。进而形成一个完整的生产链条,这样可以有效地推动我国移动互联网络的发展与推广。
移动网络方面。目前,我国移动互联网主要的接入技术就是“4G”,随着时间的推移,我国移动互联网的核心网也开始奔着全IP化领域发展。
移动业务方面。移动互联网主要是由两种网络结合之后得出的产物,第一个是移动通信网络,第二个是互联网络。因此,其具备这两种网络的全部特征。
3 我国移动互联网应用存在的安全问题
3.1 移动应用商店自身安全水平不足
根据目前的情况来看,我国绝大部分的移动应用商店都没有建立完善的移动网络应用安全监管机制以及检查机制,有些移动应用商店还不会对移动网络进行病毒查杀,这就使得整个移动互联网的安全得不到保障。根据调查,我们对25家移动应用商店的移动网络应用安全监管机制以及检查机制进行排查,其中,只有20%的移动应用商店具备完善的移动网络应用安全监管机制以及检查机制。
3.2 安卓移动应用盈利模式催生恶意应用增长
现阶段,我国大部分的安卓移动应用都是免费的。据调查显示,免费的安卓移动应用的盈利方式有两种,第一种是嵌入广告模式,第二种是灰色产业模式。嵌入广告模式主要是指开发者利用广告平台,将广告植入到安卓移动应用中,当网络用户点击这些广告时,广告平台就给开发者对应的费用。有些开发者,为了赚取一定的经济利益,在网络不知情的情况下,将广告直接接入到适当的位置进行下载,这样不仅会给网络用户带来一定的资费消耗,同时也给广告平台带来一定的经济损失。而所谓的灰色产业主要是指开发者利用技术手段,通过窃取的方式来获取一定的经济利益。这两种盈利模式的出现,严重扰乱了我国移动互联网市场的正常秩序。
3.3 用户安全意识不足
随着移动互联网技术的发展,网络用户的年龄、资历以及学历等方面存在着很大的差距,这就促使我国移动互联网应用安全出现差距。例如,我国只有45.63%的网络用户安装了移动互联网安全防护软件,大部分的用户都没有安装移动互联网安全防护软件,有的用户甚至不知道怎样安装移动互联网安全防护软件。这种现象的出现,不仅无法保障移动互联网的应用安全,情节严重者,还会给移动互联网相关企业以及网络用户带来一定的经济损失。
4 改善移动互联网安全的技术与管理思路
4.1 接入的安全保障性
通常情况下,我国移动互联网有两种接入方式:第一种是移动通信网络接入方式;第二种是Wi Fi接入方式。因此,为了保证移动互联网应用安全,就要加大接入的安全保障力度,在应用移动通信网络接入方式时,为了保障移动互联网的应用安全,就要加强接入的安全保障。如果应用的是Wi Fi接入方式,我们可以通过增加加密鲁棒性来保障移动互联网的安全。除此之外,我们还可以通过网络用户身份认证、重要文件加密的方式来保障网络用户的信息安全。
4.2 提高移动业务的安全保障
现阶段来看,我国移动互联网应用安全主要存在三方面的问题:第一方面是业务可视化问题;第二方面是非法业务监管问题;第三方面是业务管道化问题。因此,为了保障移动网络的应用安全,就要提高移动业务的安全保障。首先,我们可以通过采用DPI系统的方式,来实现移动互联网络的公开化以及透明化,这样可以有效地规避非法操作的出现,进而提高网络用户的信息安全;其次对不同的业务进行合理的划分,例如将移动互联网分为宽带、用户、业务三种模式;最后,加强移动互联网络的信息安全防范力度,进而有效地规避移动互联网络安全风险的发生。
4.3 注重产业链协作
由于移动互联网属于一个庞大的产业链,因此加大产业链的安全管理是非常必要的。首先,在进行互联网设备运行时,设备管理人员保证设备运行安全和可靠。其次,为了保障移动互联网的应用安全,终端厂家除了要和运营商建立友好的关系之外,还要和软件开发商进行密切的合作,进而保证移动互联网的应用安全。最后,还要对移动互联网软件进行不断的创新,进而提高应用软件的安全性能。
5 结束语
通过本文的阐述,使得我们对移动互联网应用安全方面有了新的认识。随着移动互联网的广泛应用,移动互联网应用安全方面的问题也逐渐显现出来。为了保证移动互联网的应用安全,加强移动互联网的安全力度是非常必要的。信息网络的快速发展,移动互联网中的安全隐患也逐渐增多,为了保障网络安全,我们需要做的就是加移动互联网安全管理力度。在面对问题时,我们除了加大防护力度之外,还要保持清醒的头脑,根据不同的问题找出相应的应对措施,从进而保障我们用户的切身利益。
参考文献
[1]成城,张春红,裘晓峰.新浪潮下的移动互联网安全及对策[J].电信网技术,2012,03:51-56.
[2]移动互联网应用安全分析报告(2012年8月)[J].信息安全与通信保密,2012,10:40-49.
[3]郑威.移动互联网应用安全的问题分析与建议[J].现代电信科技,2012,09:27-32.
[4]袁广翔,潘娟,马鑫.移动互联网安全挑战与应对措施探析[J].互联网天地,2014,03:21-25.
[5]张彦,黄宇明,于良玉.浅谈云计算应用模式下移动互联网安全问题[J].计算机光盘软件与应用,2014,13:98-99.
移动互联网与煤矿安全 篇5
一、单选题(题数:50,共 50.0 分)
1信息内容安全的一种定义是,对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象是(1.0分)1.0 分
A、通过内容可以判断出来的可对系统造成威胁的脚本病毒B、因无限制扩散而导致消耗用户资源的垃圾类邮件C、危害儿童成长的色情信息D、以上都正确 2看了童话《三只小猪的故事》,不正确的理解是()。(1.0分)1.0 分
A、安全防护意识很重要B、要注重消除安全漏洞C、安全防护具有动态性D、盖了砖头房子就高枕无忧了
3代课章节及考试答案()(1.0分)1.0 分。A、QQ B、20932+ C、02559 D、以上都对 3WD 2go的作用是()。(1.0分)1.0 分
A、共享存储B、私人存储C、恢复删除数据D、彻底删除数据 4黑客在攻击过程中通常进行嗅探,这是为了()。(1.0分)1.0 分
A、隐藏攻击痕迹B、提升权限C、截获敏感信息,如用户口令等D、获知目标主机开放了哪些端口服务
5创建和发布身份信息不需要具备()。(1.0分)1.0 分 A、唯一性B、非描述性C、资质可信D、权威签发 6CIA安全需求模型不包括()。(1.0分)1.0 分 A、保密性B、完整性C、便捷性D、可用性
7《保密通讯的信息理论》的作者是信息论的创始人()。(1.0分)1.0 分 A、迪菲B、赫尔曼C、香农D、奥本海默 8专门用于PC机上的监测系统是()。(1.0分)1.0 分
A、BitlockerB、金山毒霸C、360安全卫士D、卡巴斯基PURE 9信息内容安全防护的基本技术不包括()。(1.0分)1.0 分
A、信息获取技术B、身份认证C、内容分级技术D、内容审计技术 10LSB算法指把信息隐藏在图像的()。(1.0分)1.0 分
A、高级层位的平面上B、中级层位的平面上C、最低层或最低几层的平面上D、中高层位的平面上
11机房安排的设备数量超过了空调的承载能力,可能会导致()。(1.0分)1.0 分 A、设备过热而损坏B、设备过冷而损坏C、空调损坏D、以上都不对 12下列哪种方法无法隐藏文档?()(1.0分)1.0 分
A、运用信息隐藏工具B、修改文档属性为“隐藏”C、修改文档属性为“只读”D、修改文件扩展名
13以下对隐私的错误理解是()。(1.0分)1.0 分
A、隐私包括不愿告人的或不愿公开的个人的事B、个人的购买习惯、浏览网页、交往好友、活动位置等行为信息属于隐私信息C、个人姓名、性别不属于隐私D、个人能够决定何时、以何种方式和在何等程度上将隐私公开给他人 14下面哪个不是常用的非对称密码算法?()(1.0分)1.0 分 A、RSA算法B、ElGamal算法C、IDEA算法D、椭圆曲线密码 15伦敦骚乱事件反映出的问题不包括()。(1.0分)1.0 分
A、社交网络成为这些国家青年宣泄不满情绪,进行政治动员的重要平台B、对事件的发展起着推波助澜的作用C、社交网络直接导致了骚乱事件的发生D、社交媒体在此次事件中也发挥了正面的、积极的作用 16目前公认最安全、最有效的认证技术的是()。(1.0分)1.0 分 A、支付盾B、智能卡C、USB KeyD、生物认证
172015年上半年网络上盛传的橘子哥事件说明了()。(1.0分)1.0 分
A、橘子哥注重隐私防护B、iCloud云服务同步手机中的数据会造成隐私信息泄露C、网民喜欢橘子哥D、非正规渠道购买手机没有关系 18建设容灾备份的目的不包括()。(1.0分)1.0 分
A、保障组织数据安全B、保障组织业务处理能恢复C、减少组织灾难损失D、粉碎黑客组织危害性
19关于U盘安全防护的说法,不正确的是()。(1.0分)1.0 分
A、U盘之家工具包集成了多款U盘的测试B、鲁大师可以对硬件的配置进行查询C、ChipGenius是USB主机的测试工具D、ChipGenius软件不需要安装
20黑客在攻击过程中通常要入侵“肉鸡”作为跳板进行攻击,这是为了()。(1.0分)1.0 分 A、显示实力B、隐藏自己C、破解口令D、提升权限 21公钥基础设施简称为()。(1.0分)1.0 分 A、CKIB、NKIC、PKID、WKI 22网络的人肉搜索、隐私侵害属于()问题。(1.0分)1.0 分
A、应用软件安全B、设备与环境的安全C、信息内容安全D、计算机网络系统安全 23衡量容灾备份的技术指标不包括()。(1.0分)1.0 分
A、恢复点目标B、恢复时间目标C、安全防护目标D、降级运行目标 24信息安全等级保护制度的基本内容不包括()。(1.0分)1.0 分
A、对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护B、对信息系统中使用的信息安全产品实行按等级管理C、对信息系统中发生的信息安全事件分等级响应、处置D、对信息系统中存储和传输的数据进行加密等处理
25《第35次互联网络发展统计报告》的数据显示,截止2014年12月,我国的网民数量达到了()多人。(1.0分)1.0 分 A、2亿B、4亿C、6亿D、8亿 26应对数据库崩溃的方法不包括()。(1.0分)1.0 分
A、高度重视,有效应对B、确保数据的保密性C、重视数据的可用性D、不依赖数据 27容灾备份系统组成不包括()。(1.0分)1.0 分
A、数据粉碎系统B、数据备份系统C、备份数据处理系统D、备份通信网络系统 28现代密码技术保护数据安全的方式是()。(1.0分)1.0 分
A、把可读信息转变成不可理解的乱码B、能够检测到信息被修改C、使人们遵守数字领域的规则D、以上都是
29数字证书首先是由权威第三方机构()产生根证书。(1.0分)1.0 分 A、CAB、DNC、IDD、UE 302014年12月25日曝光的12306数据泄漏事件中,有大约()数据被泄漏。(1.0分)1.0 分
A、11万B、12万C、13万D、14万 31以下哪一项不属于隐私泄露的途径。()(1.0分)1.0 分
A、通过微信等社交网络平台B、通过手机应用软件C、恶意代码窃取D、谨慎处置手机、硬盘等存有个人信息的设备
32包过滤型防火墙检查的是数据包的()。(1.0分)1.0 分 A、包头部分B、负载数据C、包头和负载数据D、包标志位 33以下哪一项不属于信息安全面临的挑战()。(1.0分)1.0 分
A、下一代网络中的内容安全呈现出多元化、隐蔽化的特点。B、越来越多的安全意识参差不齐的用户让内容安全威胁变得更加难以防范。C、现在的大多数移动终端缺乏内容安全设备的防护。D、越来越多的人使用移动互联网。
34黑客在攻击过程中通常进行端口扫描,这是为了()。(1.0分)1.0 分
A、检测黑客自己计算机已开放哪些端口B、口令破解C、截获网络流量D、获知目标主机开放了哪些端口服务
35以下设备可以部署在DMZ中的是()。(1.0分)1.0 分
A、客户的账户数据库B、员工使用的工作站C、Web服务器D、SQL数据库服务器
36《福尔摩斯探案集之跳舞的小人》中福尔摩斯破解跳舞的小人含义时采用的方法是()。(1.0分)1.0 分
A、穷举攻击B、统计分析C、数学分析攻击D、社会工程学攻击 37以下哪一项安全措施不属于实现信息的可用性?()(1.0分)1.0 分 A、备份与灾难恢复B、系统响应C、系统容侵D、文档加密 38被称为“刨地三尺”的取证软件是()。(1.0分)1.0 分 A、ViewVRLB、ViewUVLC、ViewULRD、ViewURL 39终端接入安全管理四部曲中最后一步是()。(1.0分)1.0 分
A、准入认证B、安全评估C、行为的审计与协助的维护D、动态授权 40目前广泛应用的验证码是()。(1.0分)1.0 分 A、CAPTCHAB、DISORDERC、DSLRD、REFER 41APT攻击中常采用钓鱼(Phishing),以下叙述不正确的是()。(1.0分)1.0 分
A、这种攻击利用人性的弱点,成功率高B、这种漏洞尚没有补丁或应对措施C、这种漏洞普遍存在D、利用这种漏洞进行攻击的成本低 42不能防止计算机感染恶意代码的措施是()。(1.0分)1.0 分
A、定时备份重要文件B、经常更新操作系统C、除非确切知道附件内容,否则不要打开电子邮件附件D、重要部门的计算机尽量专机专用与外界隔绝 43打开证书控制台需要运行()命令。(1.0分)1.0 分 A、certmgr.mscB、wiaacmgrC、devmgmt.mscD、secpol.msc 44Web攻击事件频繁发生的原因不包括()。(1.0分)1.0 分
A、Web应用程序存在漏洞,被黑客发现后利用来实施攻击B、Web站点安全管理不善C、Web站点的安全防护措施不到位D、Web站点无法引起黑客的兴趣,导致自身漏洞难以及时发现
45不属于计算机病毒特点的是()。(1.0分)1.0 分 A、传染性B、可移植性C、破坏性D、可触发性 46在对全球的网络监控中,美国控制着()。(1.0分)1.0 分
A、全球互联网的域名解释权B、互联网的根服务器C、全球IP地址分配权D、以上都对 47关于常用文档安全防护的办法,下列选项错误的是()(1.0分)1.0 分 A、对文档加密B、隐藏文档C、进行口令认证、修改权限保护D、粉碎文档 48APT攻击中的字母“A”是指()。(1.0分)1.0 分 A、技术高级B、持续时间长C、威胁D、攻击 49影响移动存储设备安全的因素不包括()。(1.0分)1.0 分
A、设备质量低B、感染和传播病毒等恶意代码C、设备易失D、电源故障 50国家层面的信息安全意识的体现不包括()。(1.0分)1.0 分
A、建立相应的组织机构B、制定相应的法律法规、标准C、制定信息安全人才培养计划D、开设信息安全相关专业和课程
二、判断题(题数:50,共 50.0 分)1信息内容安全防护除了技术措施以外,网络用户个人也要加强修养、洁身自好、遵纪守法。()(1.0分)1.0 分
2我国刑法中有“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名。(1.0分)1.0 分
3网络环境下信息衍生出来的问题,尤其是语义层面的安全问题,称之为信息内容安全问题。()(1.0分)1.0 分
4网络虚假信息、欺骗信息、垃圾信息、侵害隐私的信息、网络欺凌信息、侵犯知识产权的信息等都属于信息内容安全威胁。()(1.0分)1.0 分
5QQ空间由于设置了密码保护因此不存在隐私泄露的风险。()(1.0分)1.0 分 6手机QQ、微信App可以设置隐私保护,而PC客户端没有这类功能。()(1.0分)1.0 分 7安装手机安全软件可以让我们不用再担心自己的隐私泄露问题。()(1.0分)1.0 分 8TCP/IP协议在设计时,考虑了并能同时解决来自网络的安全问题。()(1.0分)1.0 分 9移动互联网为我们提供了广泛交流的平台,我们可以想说什么就说什么,充分展示自我,充分表达自我。()(1.0分)1.0 分
10如果攻击者能取得一个设备的物理控制,那意味着他可以轻易控制这个设备。()(1.0分)1.0 分
11PC机防盗方式简单,安全系数较高。()(1.0分)1.0 分
12网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱等人身攻击。()(1.0分)1.0 分
13几乎所有的手机应用软件会收集用户的位置、通信录等个人信息。如果用户不想别人了解自己的位置信息,可以关闭手机的GPS功能。()(1.0分)1.0 分
14实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统,是国家法律和政策的要求。()(1.0分)1.0 分
15蠕虫的破坏性更多的体现在耗费系统资源的拒绝服务攻击上,而木马更多体现在秘密窃取用户信息上。()(1.0分)1.0 分 16《信息安全技术——公共及商用服务信息系统个人信息保护指南》这个国家标准不是强制性标准,只是属于技术指导文件”。()(1.0分)1.0 分 17数据备份是容灾备份的核心,也是灾难恢复的基础。()(1.0分)1.0 分 18常用的3种凭证信息包括用户所知道的、用户所拥有的以及用户本身的特征。()(1.0分)1.0 分
19我国已经颁布执行了《个人信息保护法》。()(1.0分)1.0 分 20非对称密码体制、单钥密码体制、私钥密码体制是一个概念。()(1.0分)1.0 分 21数字签名算法主要是采用基于私钥密码体制的数字签名。()(1.0分)1.0 分 22黑客的行为是犯罪,因此我们不能怀有侥幸的心理去触犯法律。()(1.0分)1.0 分 23美国签证全球数据库崩溃事件中,由于数据系统没有备份,直接导致了系统恢复缓慢,签证处理工作陷入停顿。()(1.0分)1.0 分
24“艳照门”事件本质上来说是由于数据的不设防引成的。()(1.0分)1.0 分 25通过软件可以随意调整U盘大小。()(1.0分)1.0 分
26在当前法律法规缺失,惩罚力度不够等问题存在的情况下,为了有效保护个人信息的安全,依靠安全技术和个人信息安全意识成为首选。()(1.0分)1.0 分 27IPS是指入侵检测系统。()(1.0分)1.0 分
28哈希值的抗碰撞性使得哈希值能用来检验数据的完整性。()(1.0分)1.0 分 29《信息安全等级保护管理办法》中将信息和信息系统的安全保护等级划分为5级,第1级的安全级别最高。()(1.0分)1.0 分
30三只小猪为了防止被大灰狼吃掉,各自盖了三种房子。这相当于安全防护措施的建设,做得越好,抗攻击能力越强。(1.0分)1.0 分
31CNCI是一个涉及美国国家网络空间防御的综合计划。()(1.0分)1.0 分 32数据恢复软件在使用时安装或预先安装的效果差别不大,可以根据个人情况而定。()(1.0分)1.0 分
33U盘具有易失性。()(1.0分)1.0 分
34WindowsXP的支持服务正式停止,造成影响最大的是中国用户。()(1.0分)1.0 分 35网络空间里,截获威胁的“非授权方”指一个程序,而非人或计算机。()(1.0分)1.0 分 36容灾备份与恢复的关键技术涉及到工作范围、备份点选择、需求衡量指标、恢复策略、恢复能力的实现等。(1.0分)1.0 分
37隐私就是个人见不得人的事情或信息。()(1.0分)1.0 分
38扫二维码送礼物虽然大多是以营销为目的的,没有恶意,但是被商家获取的个人信息存在被滥用甚至被盗取的风险。(1.0分)1.0 分
39木桶定律是讲一只水桶能装多少水取决于它最短的那块木板。()(1.0分)1.0 分 40身份认证中认证的实体既可以是用户,也可以是主机系统。()(1.0分)1.0 分 41信息隐藏就是指信息加密的过程。()(1.0分)1.0 分 42防火墙可以检查进出内部网的通信量。()(1.0分)1.0 分
43信息内容安全主要在于确保信息的可控性、可追溯性、保密性以及可用性等。()(1.0分)1.0 分
44即使计算机在网络防火墙之内,也不能保证其他用户不对该计算机造成威胁。()(1.0分)1.0 分
45可以设置QQ隐身让我们免受打扰。()(1.0分)1.0 分 46进入局域网的方式只能是通过物理连接。()(1.0分)1.0 分
47《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。()(1.0分)1.0 分
期待移动互联网越来越安全 篇6
近些年来,伴随着移动互联网的飞速发展,其安全问题也日渐突出。庞大的利益,正驱使着越来越多的黑客,将目光锁定于移动互联网。据工信部监测数据显示:将移动互联网视为攫取经济利益重要目标的黑客地下产业链正迅速形成更细的专业化分工,且攻击力量日趋强大。如此背景下,工信部适时出台移动互联网安全管理方面的规范性文件,对移动互联网的发展具有重要意义。
就《移动互联网恶意程序监测与处置机制》本身而言,该文件的出台不仅在监管程序方面,确立了监测、处置与通报的流程,提升了监管效能;还要求通信企业及相关单位对用户负责,发现的恶意程序后,要及时切断其对用户手机的远程控制,并报知政府管理机构,依法打击不法行为。如此来看,这份集合了多种力量的安全管理文件,可以较大程度地对移动互联网的安全进行维护,促进移动互联网行业的健康发展。
这份安全管理文件的另一个重要意义在于,将与企业形成联动,重塑用户对移动互联网的信心,最终推动移动互联网行业的良性运转。
一直以来,移动互联网中普遍存在的窃取用户信息、擅自使用付费业务、发送垃圾信息等恶意行为,严重损害了消费者的利益,甚至影响了消费者对移动互联网的信心。为了重获消费者信任,移动互联网相关企业也日渐将安全问题列为工作重点。
在2010年互联网大会上,UC优视就曾牵头发起手机上网安全联盟,与包括腾讯、金山在内的十多家互联网企业一起签署《保护手机用户上网安全倡议书》;2010年10月19日,支付宝联合60多家厂商成立“无线安全支付产业联盟”,并发布“手机安全支付”;2011年6月17日,腾讯公司发布《安自心简随行基于MTAA的安全解决方案白皮书》,并推出基于腾讯移动终端安全架构的移动安全解决方案。
而今,《移动互联网恶意程序监测与处置机制》顺利出台,令企业保护移动互联网安全的行为有了政策支撑,让移动互联网用户维护自身利益有了政策依靠。在政策的连接下,将用户、企业和政府监管部门将紧密结合在一起,形成一张保卫移动互联网健康发展的、严密的安全防护网。
移动互联网安全综述 篇7
关键词:移动互联网,智能终端安全,网络安全,应用安全,安全框架,态势感知
0 引言
移动互联网已经成为人们社会生活中的重要网络。据统计,截至2015 年6 月底,我国网民总数达6. 68 亿人,其中使用手机终端上网的移动互联网网民达到5. 94 亿人[1]。
总体而言,当前移动互联网产业环境正在向着“去电信化”和“互联网中心化”的方向演进[2]。随之而来的是应用创新和模式创新正在取代技术颠覆成为移动互联网产业发展的显著特征。
然而随着快速发展,移动互联网也面临着与日俱增的安全威胁以及安全保障方面的挑战,对于其安全技术的研究具有重要的现实意义,需要尽早提出相应的解决方法。
1 移动互联网的定义与技术体系
移动互联网是指互联网的技术、平台、商业模式和应用与移动通信技术结合并实践的活动的总称[3]。中国工业和信息化部电信研究院在《移动互联网白皮书( 2011 年) 》[4]。中指出: “移动互联网是以移动网络作为接入网络的互联网及服务,包括3 个要素: 移动终端、移动网络和应用服务。”
一个简单的移动互联网的拓扑结构如图1 所示。在该模式下,用户使用移动智能终端,通过将传统移动通信网络( 包括2G/3G/4G网络) 或者通过无线通信网络( 包括WLAN、Wi Max等网络) 作为接入网络,来访问传统互联网中提供的各类能够提供满足其个性化服务需求的可移动、可定制的应用。
移动互联网的技术体系有3 个水平功能层面,分别为云( 即应用与服务功能层面) 、管( 即网络功能层面) 、端( 即移动智能终端功能层面) 和1 个垂直功能层面( 即安全与隐私保护功能层面) ,如图2所示[5]。
1. 1 智能终端功能层面
随着信息技术的不断发展,移动智能终端已成为人们日常工作生活中关系最密切的电子设备。
通过将电信服务和互联网服务聚合在一个终端设备中,移动智能终端不仅具备了普通移动终端的语音通话、电信服务和移动性管理能力,而且具有了类似于计算机的处理能力和网络功能,以及更为强大的信息处理和存储空间。
目前,移动智能终端技术已成为影响移动互联网产业发展的最为关键的技术之一。其研究范围包括终端硬件、操作系统和应用软件技术,以及终端定位、节约能耗、上下文感知、内容适配和人机交互等技术。
1. 2 网络功能层面
移动互联网的网络主要包括两部分: 接入网和核心网。其中移动互联网的核心网是IP骨干信息传输网络,而其接入网络则以传统移动通信网络的接入网络以及无线城域网、无线局域网为主,此外还可以包括卫星通信网络以及使用蓝牙技术的无线个域网。这些采用不同技术体制的接入网络在带宽、覆盖、移动性支持能力和部署成本等方面各有长短[5]。例如,传统移动通信网络的接入网虽然具有移动性管理技术成熟和覆盖范围较大的优势,但却存在着成本过高、带宽较低等缺陷; 而无线局域网虽然具有成本较低和带宽较高的优势,但又存在着移动性管理技术还不成熟和覆盖范围有限等缺陷。
移动互联网的高速发展使得接入网络所需要支撑的应用已转变为包含语音、数据、图像在内的多媒体应用,并且需要满足在所需带宽、覆盖区域以及实时性等多个方面的需求。
2 应用服务功能层面
移动互联网以“移动”和“开放”作为主要的发展特征,辅以应用商店引发的应用提供模式的创新,大规模地推动了应用市场的繁荣。
移动互联网的应用具有移动性和个性化等属性: 比如用户可以随时随地获得根据其位置、兴趣偏好和环境特征等需求因素进行定制的具有个性化特征的移动互联网应用。而且随着业务和终端平台深度融合的趋势日益明显,移动智能终端对业务能力的支持程度将直接影响移动互联网业务的推广和普及[6]。
目前,移动互联网上的应用发展迅速,移动搜索、移动社交网络、移动电子商务、移动办公应用、智能导航应用等在内的多种应用正得到蓬勃发展。
3 安全与隐私保护功能层面
互联网自被使用以来,安全与隐私保护问题就一直困扰着人们。而与互联网的融合,使传统移动通信网的安全属性也受到很大的冲击。伴随移动互联网的业务多样化、网络开放化、终端智能化等技术特点的变化,安全与隐私保护问题也会出现新的特征,并提出更高的防护需求。
移动智能终端具有终端智能化、服务个性化等特征,更使得安全与隐私保护成为了移动互联网所必须解决的一大紧迫问题。与传统终端不同,移动智能终端与生俱来的用户紧密耦合性决定了其信息的敏感性,而其具有的移动特性又对于信息安全的保护提出了更高的要求[7]。
4 移动互联网安全问题产生的根源
随着移动互联网的爆炸式发展,受经济利益驱动,移动互联网面临的安全威胁也在近几年迅速增长[8]。究其问题产生的根源,可以从以下两方面进行分析。
( 1) 传统移动通信网封闭式的安全模式被打破
传统移动通信网的建设采用“围墙花园”模式,具有网络平台相对封闭、信息传输和管理控制平面分离、网络行为可溯源、终端类型单一且非智能,以及用户鉴权严格的特点,因此安全性相对较高[9]。
但是,从移动通信的角度看,与互联网的融合在很大程度上削弱了传统移动通信网络原有的安全特性。首先,作为移动互联网的一部分,IP化后的移动通信网逐渐开放了其原有的封闭体系,导致除了严格的用户鉴权和管理之外,原有的安全性优势所剩无几; 其次,由于其应用环境的封闭性,移动通信网络中原有的IP化的电信设备、信令和协议较少经受安全攻击方面的测试,其安全性被作为一个缺省项对待,因此也存在着各种可能被有意或者无意利用的软硬件漏洞。其安全防护能力在面对来自互联网的各种安全威胁时,出现明显降低的情形。
( 2) 传统互联网的安全问题被引入到移动互联网中
移动互联网作为互联网的一个组成部分,除了接入技术不同,在体系架构上并无本质区别,同样面临着传统互联网的种种安全威胁和挑战。
首先,产生移动互联网安全问题的总根源是其基于传统互联网的开放式IP架构。IP架构使攻击者可以很容易得到网络拓扑,获得网络中任意重要节点的IP地址,可以对网络中某一节点发起漏洞扫描及攻击,截获并修改网络中传送的数据,导致网络数据安全没有保障。而且用户对网络不透明、鉴权不严格、终端未经严格鉴权的认证机制即可接入网络; 网络对终端的安全能力和安全状况不知情、无法控制; 用户地址也可以伪造,无法溯源[10]。
其次,从现有互联网角度看,在融合了传统移动通信网络后,由于大量引入了具有安全脆弱性或者安全漏洞的IP化移动通信设备( 例如WAP网关、IMS设备等) ,同时又增加了无线空口接入模式,导致其产生了新的安全威胁。例如攻击者可以破解空口接入协议进而非法访问网络,可以监听和盗取空口传递的信息,也可以对无线资源和设备进行服务滥用攻击等[6]。
因此,传统互联网服务中信息传播和管控机制在很大程度上不能平滑过渡到移动互联网,信息安全和用户隐私保护已经成为移动互联网用户迫切关心和亟待解决的问题[11]。
5 移动互联网面临的主要安全问题分析
文献[12]中给出了一个简要的移动互联网的安全体系架构,如图3 所示。
按照攻击发生的位置,对移动互联网的安全威胁可分为对移动终端的威胁、对无线接入网络的威胁和对移动应用的威胁。
5. 1 移动智能终端层面临的安全问题
移动智能终端作为未来“无所不在”服务和个人信息的载体,具有移动性、多样性和智能性的特点,而附属于其上的各种应用则呈现出类型复杂、实现机制不公开、数量庞大的特点,这些因素叠加起来,导致其面临的威胁远大于以往[6]。
在表现形式上,移动智能终端的安全问题[8]主要聚焦在以下几个方面: 其一是非法内容传播; 其二是恶意吸费; 其三是用户隐私窃取; 其四是移动终端病毒以及非法刷机导致的黑屏、系统崩溃等问题。
下面以移动恶意代码和用户隐私窃取方面的问题为例对此进行说明。
( 1) 移动恶意代码问题
由于移动智能终端操作系统在设计及实现上存在的疏忽,导致其或多或少都存在系统漏洞或者脆弱性,有可能会被恶意代码利用。尤其是随着移动互联网黑客技术的不断成熟,以移动智能终端为攻击目标的恶意代码已对其安全构成重大威胁。
移动恶意代码[13,14]是一种具有破坏性的恶意移动智能终端程序,一般利用短信、彩信、电子邮件和浏览网站等方式在移动通信网内传播; 同时可利用红外、蓝牙等方式在移动智能终端间传播。
目前,移动智能终端操作系统市场占有率最高的是谷歌公司的Android操作系统,其次是苹果公司的i OS操作系统和微软公司的Windows Phone操作系统等。随着智能终端操作系统的日趋统一,恶意代码将加速扩张,并由简单吸费向复杂的诱骗欺诈和流氓行为进化,呈现出多发趋势[15]。而且随着移动智能终端与银行账号、第三方支付等金融业务绑定的增加,手机病毒制作和传播正加速向资费消耗、恶意扣费和隐私信息窃取方向发展[12]。
尤其是随着基于Android操作系统的快速发展,使用该操作系统的移动智能终端日渐成为黑客攻击的主要目标。2015 年上半年,我国新增Android病毒包数达到596. 7 万,同比增长1741% ,感染用户人次达到1. 4 亿,同比增长58% ,其中手机支付病毒感染用户总数达到1145. 5 万[16]。
( 2) 用户隐私窃取问题
伴随着移动互联网的普及和发展,用户对个人信息和网络隐私安全的关注程度也越来越高。与传统的个人计算机安全相比较,移动智能终端对用户的重要性更大。一般用户会将其私密、位置、金融等信息存储在移动智能终端中,由于这类信息的敏感性,使其遭受攻击的诱惑性更大,给用户隐私的保护带来了严峻挑战。
根据调研,相当多的移动智能终端在出厂时就被默认捆绑了很多应用,其中部分应用会在用户不知情的情况下收集用户的敏感信息和隐私信息,并且具有向其后门自动上传所收集用户信息的能力。比如,2012 年11 月,某著名安全防护软件被发现主动收集诸如用户打开过的浏览页面地址等用户隐私信息,并且在用户不知情的情况下利用云端指令,在后台执行规定内容之外的功能[17]。
同样,导航应用几乎是每个智能移动终端用户必用的服务,但是用户在使用这类服务发布的一些位置数据也可能会泄露其位置隐私。比如央视在2014 年曝光了苹果手机能够精准地记录用户使用过的定位服务功能及其位置的变化信息,包括他们的工作单位和家庭住址,甚至于包括每天去过什么地方、在该地方呆了多长时间的信息,这就涉嫌侵犯了用户的个人隐私。因为如果这些信息被不法分子得到,有可能会危及用户的财产和人身安全。
另外,在基于位置的服务中,还存在轨迹隐私泄露的问题。所谓轨迹,是指某个对象按时间顺序排列的位置序列[18]。通过大数据技术来分析对用户看似毫无用处的轨迹数据,就可能会泄露这些轨迹中含有的敏感位置信息,而依据这类敏感位置可能会得出令人吃惊的结果,比如可能会披露出用户的家庭住址、工作单位,甚至行为习惯、健康状况等更敏感的信息[19]。
但是另一方面,某些移动智能终端为了保护用户的通信隐私所采用的应用层加密技术,也给信息安全监管工作造成很大的挑战[20]。比如黑莓手机采用对数据进行加密后传输的方式来保证用户数据的安全,并且该手机使用的非公开加密算法的保密系数不低于银行数据系统。但是在2008 年发生的孟买的恐怖袭击事件中,恐怖分子却正是利用了黑莓手机的加密功能逃避了印度政府监管。
5. 2 网络层面临的安全问题分析
移动互联网具有的网络开放性、IP化以及无线传输的特性,使安全成为其接入网以及核心网面对的关键性问题之一。但是受限于现有技术能力,移动互联网尚缺乏对隐藏在所传输信息中的恶意攻击进行识别与限制的能力。
按照攻击的方式,移动互联网的网络面对的威胁方式有窃听、伪装、破坏完整性、拒绝服务、非授权访问服务、否认使用/提供、资源耗尽等[21,22],这些形形色色的潜在安全问题威胁着正常的通信服务。
( 1) 传统移动接入网面临的安全问题
网络协议和系统的弱点是3G移动通信系统面临的安全威胁的主要来源,攻击者可以利用此类弱点实现非授权访问敏感数据、非授权处理敏感数据、干扰或滥用网络服务,进而对用户和网络资源造成损失[9]。以通用移动通信系统( UMTS) 为例,在其安全机制中存在着许多的安全漏洞,攻击者利用这些漏洞能够对移动通信网发起诸如中间人攻击、流氓基站攻击和拒绝服务攻击等类型的攻击。
4G移动通信系统由于其异构和基于全IP技术的体系结构,也会继承由于IP技术具有的特定安全漏洞而产生的安全问题。比如LTE的网络架构采用了全IP技术,与GSM、UTMS采用的网络架构相比,这种平坦的结构易受诸如窃听、注入、修改等方式的攻击,增大了泄露用户隐私的风险。此外,LTE网络还容易受到MAC层位置跟踪、Do S攻击、数据完整性攻击以及用户设备和移动设备的非法使用的影响。
除了上述来自网络协议和系统的弱点之外,下面以信令风暴攻击为例对移动接入网面临的运行类安全问题进行说明。
信令风暴攻击[23]是指短时间内针对基站和基站控制器( BSC) 发起大量SYN扫描所导致的异常流量攻击行为。在这种攻击模式下,攻击者通过对大量3G用户地址段发起SYN扫描攻击,能够同时激活大量的休眠用户,进而出现无线空口资源的负荷激增的问题。而由于传统移动通信网仅具有有限的无线空口资源,并且这些无线空口资源还要在其覆盖范围内进行共享,因而信令风暴攻击行为将严重影响到移动通信网的服务质量及用户体验。例如,某运营商曾发生过上千个3G用户在短短的10 s内同时登录一个基站,产生大量信令,引发相关设备出现最高负荷过高的问题。目前应对异常流量攻击的检测及封堵技术手段尚不能有效实现对SYN扫描攻击的拦截,在应对信令风暴攻击者对移动网地址段发起的SYN扫描攻击时,均具有其局限性,还不能有效地防范该类攻击。
( 2) WLAN接入网面临的安全问题
WLAN技术采用公共的电磁波作为载体,具有标准统一、部署简单、性价比高的特点,同时又具有高灵活性和扩展能力强的特点,成为移动互联网接入的重要手段之一。但是由于其安全体制存在的缺陷,在认证与信息安全、网络安全等方面存在多项安全问题,使得其成为易被攻击和入侵的对象。
随着网络攻击技术的不断翻新,针对WLAN的攻击技术[24,25]中比较有代表性的包括针对秘钥的主动或者被动攻击、伪AP钓鱼攻击、利用DNS端口绕开计费问题、Web Portal安全问题、拒绝服务攻击、欺骗攻击和中间人攻击等等。
下面以针对秘钥的主动或者被动攻击以及分布式拒绝服务攻击为例对WLAN面临的安全问题进行说明。
在WLAN环境中,攻击者可采用主动方式或者被动方式截获用户秘钥。在采用主动攻击方式时,攻击者向接入特定WLAN的某个已知用户发送信息,比如通过有线互联网给某个用户发送电子邮件,然后通过比较加密前和加密后的数据包,就可以获得该用户的密钥。而当采用被动攻击方式时,攻击者只需要被动接收无线信号,并将所截获的加密信息与各种常用的提供未加密信息传输的网络传输协议及数据包格式进行针对性的比较就能获得密钥。
而拒绝服务攻击( Denial of Service,Do S) 是指攻击者利用软件( 含操作系统) 的缺陷和协议的漏洞,通过抢占主机或网络的几乎所有资源的方式,使得合法用户无法获得相应的服务。拒绝服务攻击可以很容易被应用到WLAN接入网络。在这种攻击模式中,攻击者通过发送与WLAN相同频率的干扰信号来干扰无线接入网络的正常运行,进而导致正常的用户无法使用无线资源接入网络。拒绝服务攻击的另一种攻击手段是在短时间内发送大量的同种类型的报文[26],比如发送大量的非法身份验证请求,此时无线访问接入点( Access Point,AP) 会被攻击设备发送的攻击报文淹没,而无法处理正常的移动智能终端( 合法用户) 的报文请求。
在WLAN领域的安全标准主要是IEEE制定的802. 11i标准和国内自主制定的WAPI标准,这两项标准都是用于解决无线接入段( 即用户到AP) 的认证和加密问题。其中,802. 11i标准采用基于共享密钥的方式实现认证,并定义了更加严谨的加密算法,弥补了原有用户认证协议的安全缺陷,而WAPI采用基于数字证书的机制实现认证,并定义了国内自主的加密算法。综合而言,这两大标准在接入控制方面都存在比较明显的缺陷,各有优劣[27]。
5. 3 应用层面临的安全问题分析
移动互联网带动了大批具有明显个性化特征,并且带有移动特色的创新型和融合型移动应用的快速发展。这类移动互联网应用一般都具有很强的信息安全敏感度,拥有如用户位置、通信录及交易密码等用户隐私信息。
移动互联网应用的上述特征与其潜在的巨大用户群的综合,导致其面临着更新的攻击目的、更多样化的攻击方式和更大的攻击规模[6]。
按照通行的分类方法,移动互联网应用面临的安全威胁[9]主要包括SQL注入、分布式拒绝服务( DDOS) 攻击、隐私敏感信息泄漏、移动支付安全威胁、恶意扣费、恶意商业广告传播、业务盗用、业务冒名使用、业务滥用、违法信息及不良信息等。在内容安全方面,还面临着非法、有害和垃圾信息的大量传播,严重污染了信息环境,并且干扰和妨碍了人们对信息的利用。
此外,移动互联网应用平台由于软硬件存在的漏洞,也极易受到来自外界的攻击。而另一方面,由于进行安全防护将会给应用平台带来附加的检测支出,且不会带来额外收入,导致应用提供商通常缺乏为用户提供安全防护的意愿。
下面以移动互联网应用的发布推广和移动支付安全为例,对移动互联网应用层面临的安全问题进行说明。
移动互联网应用的发布推广渠道中存在着安全审核环节薄弱的问题[2],使其难以阻挡恶意应用的发布和推广。以当前发展最广泛的Android应用的发布为例,目前采用的方式是由应用开发者自行利用Android平台提供的签名工具生成自签名并对外发布APK文件,而不是由权威的第三方机构发放用于标识应用及开发者基本信息的数字证书,这导致了恶意应用程序的开发者难以被追溯。另一方面,由于对上线应用程序的安全审核缺乏有效的管理制度和技术保障,部分渠道甚至完全通过聚合方式推广应用,导致针对Android移动终端操作系统的第三方应用商店成为手机病毒泛滥的主要推手。据工业和信息化部电信研究院信测平台对国内部分应用商店上线应用检测数据显示[4],恶意程序的平均占比超过4% ,部分占比甚至超过20% 。
其次,作为移动互联网的典型应用之一,移动支付类应用中除了存在着如钓鱼、连接中断导致交易失败、用户交易欺诈等安全威胁之外,还面临一些特殊安全风险,如短信交互风险。在移动支付类业务中,很多用户关键信息是通过短信方式传递的,而这些信息很可能在空口传递时被窃听盗取,从而导致用户金融信息以及交易信息的外泄。短信业务还存在丢失和重发的可能,如果应用于支付环节时,将会造成交易问题,如多次支付或者支付失效等。另一方面,基于手机短信验证的移动金融身份认证也存在着安全漏洞[28]。一旦发生手机卡被复制或者是验证短信被劫持转发等情况,攻击人员就能够非法控制被害人的手机银行,甚至可以通过“帮助”被害人注册并开通手机银行的方式来进行犯罪活动。
据统计[16],2015 年上半年涉及用户资金安全的资费消耗和恶意扣费类病毒类型占比超过80% ,对用户的安全威胁最大; 隐私类病毒占比仅为1. 80% ,但攻击方式更加多元化,如与短信相结合的“相册”木马病毒通过钓鱼、诱骗、欺诈的方式窃取用户姓名、身份证号、银行卡号、登录账号密码等重要的隐私信息,严重威胁用户财产安全。
目前,对移动互联网应用安全的监管工作起步不久,还缺乏相应的支撑手段以及适用政策和标准,因此,对于移动应用安全的监管尚处于“有心无力”的状态。
6 移动互联网安全体系与标准化研究
目前,业界已提出多种移动互联网安全体系的解决思路。概括而言,本文认为可以采用动静结合的方式制定移动互联网的安全标准体系。所谓静,是研究制定一套移动互联网安全总体架构,设计移动互联网可以采用的安全防护体系; 所谓动,是研究移动互联网主动安全防御技术,在网络运转过程中提高对异常流量、攻击流量的防控能力。
6. 1 移动互联网的安全框架设计
业界一般认为,移动互联网安全体系架构的设立应当采用物理与信息安全相互分层,并依据其体系结构来构建的原则。图4 是业界提出的一种移动互联网的安全框架[29],其中安全管理负责对所有安全设备进行统一管理和控制,基础支撑为各种安全技术手段提供密码管理、证书管理和授权管理服务。
但是,业界目前提出的移动互联网安全框架往往仅关注于其安全体系的某一方面,缺乏对于整体化规范的制定。
一般而言,移动互联网统一安全框架体系的制定,需要采用系统化的方法,在整体上把复杂的网络安全相关特征划分为多个构成部分,以便进行相关的安全规范制定。目前,移动互联网的安全体系框架的制定工作涉及多个标准化组织,但是这些标准化组织之间的协同性还存在不足,导致尚缺乏系统性的移动互联网安全体系的标准化工作。
移动互联网安全框架的构建可以参考ITU - T的X. 805 建议[30]定义的端到端的安全体系框架和安全尺度模型,该安全体系框架如图5 所示,包含有3 个层次、3 个平面和8 个维度。
在此基础上,移动互联网安全框架的构建还可以借鉴传统移动通信网的安全体系框架。为了保障用户信息的安全,3GPP和3GPP2 等标准化组织为传统移动通信网络制定了严格的安全体系框架和安全保障手段[9,10],其安全机制涵盖了移动终端层面、网络层面、应用层面以及管理层面。这种严谨的安全框架的制定方式为移动互联网安全框架的设计奠定了良好的参考基础。
除了安全体系框架之外,业界还提出了制定相应的移动互联网安全评测体系的需求。比如我国已制定了针对移动智能终端的安全评测体系[9],该安全评测体系包括两大部分,一是移动智能终端自身的安全评测,二是移动应用软件的安全评测。通过安全评测体系的建立,对移动互联网相关设备、软件以及应用的入网提供必要的安全保证。
6. 2 主动安全防御技术的研究
随着移动互联网面临的安全事件正在向规模化、复杂化、分布化和间接化的趋势发展,单纯依靠部署在局部范围内的传统安全产品或技术来识别和发现整个网络中的安全事件,已经变得非常困难或有失准确性,因此迫切需要一种能够主动监控大规模网络的安全态势并进行安全防御的新技术。
针对该需求,业界提出了主动安全防御技术[31,32],并积极进行相关产品与系统的研发。主动安全防御技术能够帮助用户预先识别网络系统脆弱性以及所面临的潜在的安全威胁,根据安全需求来选取符合最优成本效应的主动安全防御措施和策略,从而提前避免危险事件的发生[33]。
方滨兴院士也提出[34]: “主动实时防护模型与技术的战略目标是通过态势感知、风险评估和安全检测等手段对当前网络安全态势进行判断,并依据判断结果实施网络主动防御的主动安全防护体系。”
作为主动防御技术的一个重要组成,大规模网络态势感知通过综合各方面的安全因素,对网络安全信息进行深度挖掘和信息关联,及时发现已经发生的和正在发生的安全事件,并在此基础上提供一种直观的安全威胁态势图,在反映出网络整体安全状况变化的前提下,能够对其下一步的发展趋势进行预测和预警,可以方便管理人员进行准确及时的决策,并为网络安全性的提升提供一套可靠的参照依据。
在概念上,大规模网络的安全态势感知需要解决态势要素获取、态势理解和态势预测3 个重要环节[35]。其中,态势要素获取负责收集安全事件,包括主动和被动两种收集模式; 态势理解则负责分析安全事件,需要对上述态势要素获取步骤所得到的安全事件进行数据融合和关联分析,以获取具有表现网络运行状况的特性的数值。态势预测则根据网络安全威胁发展变化的实际数据和历史资料,运用科学的理论、方法和各种经验、判断、知识去推测、估计、分析其在未来一定时期内可能的变化情况[36]。
目前在标准化组织中尚未进行大规模网络安全态势感知技术的探讨,但是其在学术界则已成为研究的热点方向之一[37,38]。
7 结束语
移动互联网安全问题探讨 篇8
互联网是一把双刃剑, 互联网的应用越深入, 社会经济和人们生活对互联网的依赖越多, 互联网的可靠性和可信性带来的安全问题影响就越严重。“互联网+”行动计划, 确保网络信息安全尤为重要。“互联网+ 安全”, 没有网络安全就没有信息安全, 也就没有信息化。信息安全是一切信息化手段的基础。当前, 移动互联网环境下安全受到极大挑战。移动互联网支付最大的问题是安全和风险控制, 没有安全的保障, 任何支付业务都将是“空中楼阁”,
一、移动互联网及安全
移动互联网:就是将移动通信和互联网二者结合起来, 成为一体。是指互联网的技术、平台、商业模式和应用与移动通信技术结合并实践的活动的总称。4G时代的开启以及移动终端设备的凸显必将为移动互联网的发展注入巨大的能量, 移动互联网产业必将带来前所未有的飞跃。
互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说, 凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。互联网安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
二、移动互联网大潮充满新机遇
2015 年是移动互联的“爆发年”。2015 年, 移动互联网呈现爆发性增长, 移动互联网时代全面开启。移动宽带 (3G/4G) 用户累计达到6.74 亿户, 公共及家庭Wi-Fi无线网络环境日益普及, WLAN公共运营接入点 (AP) 总数达到604.5 万个。移动网络应用跨越式发展, 手机超越电脑成为中国网民第一大上网终端。
中国的移动用户数量已经全球第一, 中国移动互联网用户数已达7.8 亿人, 拥有世界上最大的移动互联网市场, 使用手机上网比率相比PC多20.5%。在移动互联网的高速增长期, 地图+ 服务+ 购买+ 游戏+ 支付, 基于移动端O2O新商业模式受到用户关注。18 到25 岁的中国年轻人使用微信等社交网络, 87% 的人智能手机从不离身, 80% 的人醒来的第一件事就是看手机, 78% 的人每天用手机超过2 小时, 60% 的人相信未来5 年一切事情都将转移到移动设备上。
移动互联网金融成为移动行业最大的热点, 手机应用软件 (APP) 爆发式增长, 主要应用商店规模超过400 万个, 从以支付宝为代表的“宝宝类”产品、股权众筹、互联网保险、券商、第三方支付、社交、消费、订票、娱乐等应用, 到百度百赚、微信财付通, 再后来传统银行业也推出自家银行的P2P理财产品, 移动金融深刻地影响着经济社会生活, 迎来前所未有的繁荣景象。
1. 移动金融渠道功能不断完善。利用手机银行APP, 用户可以实现查询、转账、投资理财、信用卡、贵金属买卖、基金买卖、国际结售汇等各类传统银行金融和投资业务的操作。也可以通过手机号转账, 无卡直接提取现金, 享受金融创新的“新功能”。
移动金融平台整合了全国上万家餐饮、KTV、影视、美容、超市、加油、4S店、百货等本地生活服务商, 将线上线下生活服务通过远程支付、近场支付等手段有机链接, 致力于构建一个基于银行客户和本地商户良性互动的商业生态圈, 并通过银行服务平台, 依托大数据分析及定向推送技术, 让这个生态圈发挥更大的作用。
在移动互联网时代, 用户使用客户端和微信公众号的频率要远远高于直接在PC端打开互联网金融服务网站的频率。最新版本支付宝, 除了含有支付功能外, 还涵盖各类消费的移动金融生态平台。还有依托于微信平台而运行的微信支付, 微信作为国内第一移动客户端, 拥有超6 亿用户, 微信支付就是在这一场景上运用而生的。
2. 移动互联网游戏进入爆发期。2015 年全球移动游戏市场收入规模超过300 亿美元, 其中中国市场收入规模已升至全球第一, 全年总收入达到65 亿美元 ( 相当于整个北美市场的收入) 。终端价格下降, 手机游戏可能进入爆发期。2016年移动游戏市场将持续增长。
3. 手机地图将成为生活服务的重要平台。手机地图除了解决用户搜索、定位、导航、路线规划等刚性需求, 也相应顾及了用户“衣食住行、吃喝玩乐”的本地生活服务需求, 用户对手机地图的看法和使用习惯也悄然发生转变。未来随着技术的发展, 手机地图基于LBS本地生活信息服务以及O2O的进一步打通, 也将满足更多用户在各方位的需求。
4. 移动互联网渗透衣食住。手机现在几乎成为了人类的一个“器官”。早上醒来, 通过微信查看朋友圈最新状态;出门上班, 用打车软件叫来一辆车, 颇受广大市民特别是年轻人的欢迎;上班间隙, 通过手机新闻客户端获取资讯;午饭时间, 手机上各类餐饮外卖任君选择;下班回家, 地铁上打开电商移动端购物下单;外出旅行, 手指轻点几下, 机票门票全搞定。
三、移动互联网面临的安全问题
移动互联网丰富了人们生活, 并给人们带来了工作、娱乐的体验。但是, 移动互联网在无线接入网络、移动终端、应用服务以及安全隐患上都将面临着巨大的挑战。手机移动病毒、黑客攻击、垃圾短信、手机死机、骚扰电话等现象暴露出来, 手机安全隐患越来越多、问题越来越突出。随着移动互联网不断发展, 移动互联网已经步入到了商用时代, 但最为关注的安全问题也愈加突显。
前不久, 多款知名社交、地图、出行App的i OS版被爆出有“恶意代码”。据悉元凶名叫Xcode, 受恶意代码影响, 由这款工具开发的i OS版App均存在泄露个人隐私的危险。目前已确认受影响的热门应用包括微信、滴滴出行、12306、同花顺等。据安全中心宣称, 一款名为“量僵尸”的手机木马已感染近45 万部手机, 其中近九成被植入到天天跑酷、极速狂飙等知名游戏中, 携带危险的应用不下90 个。中招者每解锁一次手机, 就会导致木马疯狂耗流量, 用户甚至不知不觉中为流量花费上千元。
以“流量僵尸”手机木马为例, 其控制服务器对于搜索关键词的选取是经过精心设计的, 不仅和当日新闻热点有关, 而且选词范围非常丰富。其中, 娱乐新闻最多, 占39.3%;其次是商品信息, 占25.2%, 这就使得木马所模拟的搜索行为看起来更加真实, 更加不容易被一般搜索引擎的反作弊机制发现。
用手机下载一个游戏, 没想到却导致手机欠费。在游戏下载安装过程中没有任何提示, 手机欠费后登录运营商网站查询, 却发现被莫名其妙扣了信息费。
移动互联网面临着安全挑战:
1. 系统漏洞的问题。手机木马病毒仅用两年时间就完成了PC木马病毒10 年的发展过程。个人也应该注意保护自己的隐私, 有些用户什么都从网上下载, 下载的时候一路畅通, 游戏玩得也很高兴, 但个人隐私却可能已经泄露了。
2. 手机通信安全危害用户。垃圾短信、骚扰电话及“响一声”吸费电话在今天更加猖獗。
3. 在当下的互联网时代, 包括网银、手机支付等在内的网络支付方式, 已经成为越来越多人的选择。网络支付提高了生活的便捷性, 免去了以往人们转账要到银行排长队、购物要用现金的麻烦和困扰。但网络支付屡屡爆出的安全问题, 却也令人心忧。
4. 通过Wi Fi共享文件易遭窥探。外出使用手机可能会连接陌生的无线wifi, 导致网银密码被盗;也可能在陌生场合输入密码时, 被陌生人盗取;甚至手机丢失、理财账户被盗、没有及时退出账户等事件, 都会衍生出一定的资金安全问题。
5. 手机用户的安全意识薄弱也是使自身手机陷入安全问题至关重要的因素, 很多用户没有意识到恶意软件在盗取个人信息、窃听等方面的危害。恶意软件通过安全漏洞收集手机用户信息, 利用倒卖信息牟取暴利。比如在有些系统中, 很多知名的游戏可以搜到打包的安装文件, 这些游戏未经发行商许可, 被塞进很多广告, 没有进行非常严格的审查, 滋生了这一类打包档, 这些被打包的软件在后台不断产生访问流量。
四、移动互联网安全解决方案
移动互联时代网络安全愈发被重视, 推动互联网+ 安全的平台化、系统化、标准化、制度化。目前移动端的安全措施主要包括:登录密码、手势密码、指纹密码, 以及对数据库和数据传输过程多重加密等。
构筑移动互联网产业链安全系统, 需要各个环节——警方、银行、安全厂商、运营商、个人等以开放联合姿态进行协作, 构建真正互联互通的安全开放平台。在这个安全开放平台基础上, 还需建立一整套全面高效的安全解决方案。移动金融行业要建立统一的行业标准, 避免行业乱象为不法分子提供可乘之机。此外, 还需要规范移动金融各个企业之间的竞争合作关系, 对于通过恶性竞争搅乱整个行业的个别企业应加大处罚力度。
完善移动互联网安全问题建议:
1. 依托国家法律法规, 积极引导网民尊法守法, 做有高度安全意识, 提高个人信息安全保护意识, 提高移动互联网信息安全整体水平。
2. 移动病毒防护。建立控制、预警、预警、检测等一系列的安全防护流程, 发现病毒及时有效地对其进行隔离处理。
3. 突破以核心芯片为代表的关键技术, 推动自主可控移动互联网安全生态系统的建设。
4. 建立健全发展自主可控的, 包括终端自身安全、接入安全和传输安全完整移动互联解决方案。
5. 不要盲目使用公共场所的免费Wi Fi。普通用户很难分辨这些免费Wi Fi的真伪, 同时大多数该类Wi Fi都无法对用户发送的信息进行加密, 因此一旦存在对网络进行监听的攻击者, 用户很难保护自己的隐私信息及网银账密不被泄露。
五、总结
移动互联网安全问题及其对策 篇9
1 移动互联网的安全现状
自由开放的移动网络带来巨大信息量的同时, 也给运营商带来了业务运营成本的增加, 给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性, 用户的上网模式和使用习惯与固网时代很不相同, 使得移动网络的安全跟传统固网安全存在很大的差别, 移动互联网的安全威胁要远甚于传统的互联网。
⑴移动互联网业务丰富多样, 部分业务还可以由第三方的终端用户直接运营, 特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务, 虽然丰富了手机应用, 同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
⑵移动互联网是扁平网络, 其核心是IP化, 由于IP网络本身存在安全漏洞, IP自身带来的安全威胁也渗透到了移动互联网。在网络层面, 存在进行非法接入网络, 对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击, 利用各种手段产生数据包造成网络负荷过重等等, 还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。
⑶随着通信技术的进步, 终端也越来越智能化, 内存和芯片处理能力也逐渐增强, 终端上也出现了操作系统并逐步开放。随着智能终端的出现, 也给我们带来了潜在的威胁:非法篡改信息, 非法访问, 或者通过操作系统修改终端中存在的信息, 产生病毒和恶意代码进行破坏。
综上所述, 移动互联网面临来自三部分安全威胁:业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。
2 移动互联网安全应对策略
2010年1月工业和信息化部发布了《通信网络安全防护管理办法》第11号政府令, 对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战, 运营商需要紧紧围绕“业务”中心, 全方位多层次地部署安全策略, 并有针对性地进行安全加固, 才能打造出绿色、安全、和谐的移动互联网世界。
2.1 业务安全
移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植, 第三类是移动通信网与互联网相互结合, 适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全:
⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配, 能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用, 应提供业务层的安全认证方式, 如双因素身份认证, 通过动态口令和静态口令结合等方式提升网络资源的安全等级, 防止机密数据、核心资源被非法访问。
⑵健全安全审计能力。业务系统应部署安全审计模块, 对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录, 实施安全设计策略, 并提供事后行为回放和多种审计统计报表。
⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统, 定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估, 确保拦截来自各方的攻击, 保证业务系统可靠运行。
⑷增强对于新业务的检查和控制, 尤其是针对于“移动商店”这种运营模式, 应尽可能让新业务与安全规划同步, 通过SDK和业务上线要求等将安全因素植入。
2.2 网络安全
移动互联网的网络架构包括两部分:接入网和互联网。前者即移动通信网, 由终端设备、基站、移动通信网络和网关组成;后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。
⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全, 3G以及未来LTE技术的安全保护机制有比较全面的考虑, 3G网络的无线空口接入采用双向认证鉴权, 无线空口采用加强型加密机制, 增加抵抗恶意攻击的安全特性等机制, 大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全, Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准, 用AES算法替代了原来的RC4, 提高了加密鲁棒性, 弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户, 可以采用VPDN、SSLVPN的方式构建安全网络, 实现内网的安全接入。
⑵承载网网络及边界网络安全。1) 实施分域安全管理, 根据风险级别和业务差异划分安全域, 在不同的安全边界, 通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2) 在关键安全域内部署人侵检测和防御系统, 监视和记录用户出入网络的相关操作, 判别非法进入网络和破坏系统运行的恶意行为, 提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时, 系统会及时作出响应, 包括断开网络连接、记录用户标识和报警等。3) 通过协议识别, 做好流量监测。依据控制策略控制流量, 进行深度检测识别配合连接模式识别, 把客户流量信息捆绑在安全防护系统上, 进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量, 可以防止异常大流量冲击导致网络设备瘫痪。4) 加强网络和设备管理, 在各网络节点安装防火墙和杀毒系统实现更严格的访问控制, 以防止非法侵人, 针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。
2.3 终端安全
移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。
⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时, 要对预装应用软件及提供者进行说明, 而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件, 也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。
⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力, 建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。
⑶安装安全客户端软件, 屏蔽垃圾短信和骚扰电话, 监控异常流量。根据软件提供的备份、删除功能, 将重要数据备份到远程专用服务器, 当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料, 从而最大限度避免手机用户的隐私泄露。
⑷借鉴目前定期发布PC操作系统漏洞的做法, 由指定研究机构跟踪国内外的智能终端操作系统漏洞发布信息, 定期发布官方的智能终端漏洞信息, 建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识, 鼓励安装移动智能终端安全软件, 在终端厂商的指导下及时升级操作系统、进行安全配置。
3 从产业链角度保障移动互联网安全
对于移动互联网的安全保障, 需要从整体产业链的角度来看待, 需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。
⑴立法机关要紧跟移动互联网的发展趋势, 加快立法调研工作, 在基于实践和借鉴他国优秀经验的基础上, 尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务, 明确规范信息数据的采集、保存和利用行为。同时, 要加大执法力度, 严厉打击移动互联网信息安全违法犯罪行为, 保护这一新兴产业持续健康发展。
⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构, 统筹规划, 综合治理, 形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系;要在国家层面建立移动互联网安全认证和准入制度, 形成常态化的信息安全评估机制, 进行统一规范的信息安全评估、审核和认证;要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度, 以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。
⑶运营商、网络安全供应商、手机制造商等厂商, 要从移动互联网整体建设的各个层面出发, 分析存在的各种安全风险, 联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施, 保护各类软硬件系统安全、数据安全和内容安全, 并对安全产品进行统一的管理, 包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统, 做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究, 利用集成防火墙或其他技术保障设备安全。
⑷内容提供商要与运营商合作, 为用户提供加密级业务, 并把好内容安全之源, 采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化, 提供整合的安全技术产品, 要提高软件技术研发水平, 由单一功能的产品防护向集中统一管理的产品类型过渡, 不断提高安全防御技术。
⑸普通用户要提高安全防范意识和技能, 加装手机防护软件并定期更新, 对敏感数据采取防护隔离措施和相关备份策略, 不访问问题站点、不下载不健康内容。
4 结束语
解决移动互联网安全问题是一个复杂的系统工程, 在不断提高软、硬件技术水平的同时, 应当加快互联网相关标准、法规建设步伐, 加大对互联网运营监管力度, 全社会共同参与进行综合防范, 移动互联网的安全才会有所保障。
摘要:本文根据移动互联网的特性, 分析了影响移动互联网的安全因素, 基于这些因素, 分别从业务、网络、移动终端三个层面讲述了移动互联网存在的安全威胁及应对策略。同时也提出移动互联网的安全保障, 需要全社会共同参与进行综合防范。
关键词:移动互联网,安全威胁,应对策略
参考文献
[1]陈尚义.移动互联网安全技术研究[J].信息安全与通信保密, 2010.8.
移动互联网的信息安全问题分析 篇10
随着互联网的快速发展,移动通信与之相融合产生了移动互联网,而这也是移动通信必然的发展趋势,移动互联网一经诞生就得到了迅猛的发展,但是应清楚的认识到,在移动互联网发展的同时还存在着信息安全问题。另外,由于移动互联网那个所特有的特点,其信息安全问题将会越来越突出,现阶段,其信息安全问题已经受到了广泛的关注,因此对移动互联网信息安全问题的分析具有十分重要的现实意义。
1移动互联网的信息安全问题
1.1终端智能化发展带来的信息安全问题
在传统的互联网中,处理信息的终端为台式电脑及笔记本电脑,不过这两种终端的便携性都比较差。移动互联网诞生之后, 智能手机等移动智能终端应运而生,并且功能变得越来越强大。 但是,传统互联网时代电脑的安全问题也转移到了移动终端平台上。移动智能终端之所以会存在信息安全问题,主要是因为现阶段的移动智能终端大多数来源于国外,我国无法对其安全性进行全面的监管,这就在一定程度上存在着安全隐患。在移动互联网时代,智能手机的使用变得越来越普遍,针对智能手机的病毒也变得越来越多,手机病毒的存在不但给信息安全带来严重的威胁,甚至有些不法分子利用手机病毒获得不义之财,给广大移动智能终端使用者带来了不同程度的财产损失。
1.2网络IP化带来新的安全挑战
在传统的互联网中,采用的通信网是多级、多层的网络,而在移动互联网中,所采用的通信网为扁平网络,扁平网络的核心就是IP化。IP网络从诞生之日起,就存在着安全漏洞。移动互联网将IP网络作为核心网,可以实现对数据的管理及控制,并完成数据传输,使用移动智能终端的用户可以访问和登陆核心网。这样一来,核心网用户在登陆和访问的过程中就存在着数据泄露等安全隐患。由此,IP网络带来的安全问题成为移动互联网信息安全问题新的挑战。
1.3运营模式导致的安全问题
在传统的互联网中,运营模式的中心为网络的设计与构建, 但是在移动互联网中,运营模式的中心为业务。随着移动互联网的发展,其所包含的内容和服务也变得越来越多,除了基本的服务之外,还存在着很多的增值服务,因此,移动网络的基础就变成了业务和服务,通过业务及服务,移动网络得到了更为迅速的发展。不过,也正是花样繁多的业务和服务,给移动互联网的信息安全带来了威胁,比如,在一些WAP网站运行的过程中,为了获得更多的点击率,就会在网站中添加非法或者色情的内容, 这不但给网站的安全性带来威胁,还会对社会道德产生不良的影响。
1.4物联网提出了新的安全需求
物联网是一种新型的网络系统,以传统网络及移动网络为基础,实现物品之间的信息通讯。物联网的产生提出了新的安全需求,主要包括以下几种:第一,分布式的终端,原有的防护模式为集中式,在分布式终端中这种模式无法再发挥其作用;第二, 物联网中的M2M终端,这些终端都是智能感知性设备,在移动时都是不固定的或者是在固定范围内,这就会存在非法移动,需要对非法移动进行监控;第三,在物联网中,隐私数据的数量非常庞大,需要对这些隐私数据进行保护;第四,物联网中进行通讯时,依靠通讯设备,需要格外的注意设备本身的安全问题。
2移动互联网信息安全问题的应对策略
2.1政府的安全主导
在2013年,我国出现了很多互联网数据泄露的现象,这也说明我国的网络安全问题越来越严重。为了保证网络信息安全, 政府需要在社会宣传网络信息安全的重要性,并适当的加大宣传的力度,使所有人都形成安全意识。在硬件方面,我国应加大研发的力度,争取我国人民全部使用本国生产的移动智能终端,从而方便国家进行安全管理;在软件方面,在进行相关的移动智能终端软件开发时,要选择具有国家安全认证的企业。这样一来, 从软硬件两个方面都保证了移动互联网的安全性。
2.2加强移动互联网信息安全立法建设
现阶段,尽管我国有移动互联网信息安全方面的法律,但是立法层次比较低,各个法律之间的协调性非常差,而且专业性的法律几乎不存在,因此,为了保证信息安全,就需要加强立法建设。此外,政府在对移动互联网进行监管时,最有效的手段也是立法,由此可见立法建设的重要性。我国要建立起完善的、相关的法律体系,在进行立法建设时,充分考虑我国的实际情况,并将外国成功的立法经验引进来,一般来说,在进行立法建设时, 可从三个方面来进行:第一,制定手机实名制法律,并将隐私保护法进行完善;第二,完善相关的互联网及互联网安全管理法律; 第三,建立信息安全法,并完善相关的法律。
2.3互联网信息安全机构建设
实际上,移动互联网的信息安全管理并不能等同于网络安全管理,在进行管理的过程中要将二者区分开。在对信息安全进行管理时,要在网络安全的基础上来进行。在我国,有不同等级的信息安全管理机构,国家级的机构对信息的管理全权负责,为了更好的保证信息安全,需要对我国现有机构的现状进行改变,并建立专门的信息安全机构,机构的成员全部有专门的人员组成, 这样一来,才能保证移动互联网的信息安全。
2.4强化新技术在信息安全问题上的应用
2.4.1后量子密码技术
在移动互谅网时代,保障信息安全的机制为公钥密码机制, 然而这种机制很容易就会被攻破,这就会导致移动互联网的信息安全受到威胁。为了保证安全性,将量子技术应用到安全防护中, 在应用量子技术时,要对抵抗量子计算机攻击的方式和途径予以确定及选择,这就是后量子密码技术,该技术在使用的过程中比较容易实现,应用范围非常广。
2.4.2同态密码技术
在现阶段的社会中,为了保证信息安全,密码技术得到了广泛的应用,密码技术的种类很多,同态密码技术得到了人们的广泛关注。在移动互联网中,通过同态密码技术,可以有效地实现对信息的保护,用户在访问移动互联网时,都会具有一定的权限, 同态加密技术通过对其权限的控制,以身份认证技术来保证用户访问时信息的安全。
2.4.3可信计算技术
对于可信计算技术的定义,并没有形成明确的规定,而且在可信计算平台联盟中,不同的成员对可信计算技术的理解也不相同,不过,可信计算技术被广泛认可的是,当一个实体实现其既定目标时,具有可信性。在可信计算技术中,存在可信计算模块, 将该模块引入到移动互联网中,进而通过卫星计算机系统全面的保护信息安全。
3结论
相关文章:
移动互联网安全02-28
药店顶岗实习报告02-28
移动互联网时代下传统手工艺品发展问题研究02-28
高职学院02-28
移动互联网坏境下的企业信息管理02-28
论移动互联网时代党建工作移动信息化建设的思考和探索02-28
移动互联网信息资源管理论文02-28
模糊翻译02-28
