【摘要】 移動互聯(lián)網(wǎng)已進(jìn)入爆發(fā)式增長階段，而移動互聯(lián)網(wǎng)獨特的網(wǎng)絡(luò)環(huán)境也對信息安全帶了很多新的挑戰(zhàn)。本文分析了移動互聯(lián)網(wǎng)下的信息安全威脅，進(jìn)一步剖析了其原因，并提出了在移動互聯(lián)網(wǎng)環(huán)境下加強信息安全管理的措施。

【關(guān)鍵詞】 信息安全 移動互聯(lián)網(wǎng)

Abstract The mobile Internet has entered the stage of explosive growth. The unique network environment of mobile internet brings lots of new challenges on information security. The paper describes the threats to information security in mobile internet， analyzes its causes， and proposed several measures to strengthen the management of information security in the mobile Internet environment.

Keywords： Information security， Mobile internet

2013年中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）的報告顯示，我國網(wǎng)民規(guī)模達(dá)5.64億，其中手機網(wǎng)民超過4億，年增長率為18.1%。移動互聯(lián)網(wǎng)用戶持續(xù)增加，移動互聯(lián)網(wǎng)應(yīng)用不斷增加，微信、手機地圖，手機支付等不但改變了用戶習(xí)慣，也顛覆了傳統(tǒng)的商業(yè)模式。移動互聯(lián)網(wǎng)的爆發(fā)式發(fā)展，新的技術(shù)領(lǐng)域、網(wǎng)絡(luò)架構(gòu)及業(yè)務(wù)應(yīng)用帶來了新的安全隱患。如何打造引動互聯(lián)網(wǎng)的信息安全保障體系，也成為越來越重要的議題。

一、移動互聯(lián)網(wǎng)環(huán)境下的信息安全威脅

1.1 數(shù)據(jù)丟失和泄露

隨著用戶在智能終端上保存的信息越來越多，包括了用戶銀行賬號、密碼等重要信息，甚至公司敏感信息，對智能終端的信息竊取行為也越來越多。而在移動互聯(lián)網(wǎng)環(huán)境下，智能手機的數(shù)據(jù)數(shù)據(jù)更容易面臨丟失和泄露風(fēng)險，例如被盜、未經(jīng)授權(quán)的訪問或未經(jīng)授權(quán)的傳輸?shù)?。在企業(yè)內(nèi)部，也有越來越多的機密數(shù)據(jù)通過智能手機郵件附件或文件傳輸而丟失和泄露。

部分手機病毒不但可以竊取用戶數(shù)據(jù)，監(jiān)控用戶的短信和通話，還可監(jiān)聽手機周圍的聲音，利用GPS功能監(jiān)測手機用戶所在位置等。

1.2 惡意收費及散布網(wǎng)絡(luò)垃圾

大量的網(wǎng)站、開源軟件及應(yīng)用中存在大量消費陷阱以及不健康的信息。某些應(yīng)用中內(nèi)嵌的廣告會產(chǎn)生大量的額外流量；網(wǎng)頁中藏有的病毒及木馬會竊取用戶信息，自動訂購業(yè)務(wù)、發(fā)送短信等，對用戶惡意收費；而淫穢圖片、虛假新聞等非法、有害的垃圾信息也通過移動互聯(lián)網(wǎng)得以傳播。

1.3用戶隱私無法保障

移動智能終端中保存了大量的用戶隱私數(shù)據(jù)，例如通信錄、郵件、日程表等，而廠家可為用戶提供數(shù)據(jù)同步及定位等功能。用戶手機中個人隱私數(shù)據(jù)信息可實時上傳到國外服務(wù)器上，用戶的個人活動范圍也會通過定位功能被掌握和監(jiān)控。國外企業(yè)可通過服務(wù)器上的海量中國用戶數(shù)據(jù)進(jìn)行分析，獲得社會輿情、用戶社交等信息，不但用戶隱私被泄露，甚至國家安全也受到監(jiān)控及威脅。

二、移動互聯(lián)網(wǎng)環(huán)境下信息安全威脅的主要原因

2.1 缺乏政策指導(dǎo)

目前我國目前還沒有建設(shè)專業(yè)的移動互聯(lián)網(wǎng)法律，尚未出臺移動互聯(lián)網(wǎng)接入、手機實名制、手機病毒等的立法。從而缺乏對移動互聯(lián)網(wǎng)的法律制約和保護(hù)，不能依法協(xié)調(diào)移動互聯(lián)網(wǎng)運營、企業(yè)、用戶的利益與權(quán)益，保障移動互聯(lián)網(wǎng)信息安全。

2.2 手機病毒泛濫

目前的手機病毒已數(shù)千種，其增長速度甚至可能會超過傳統(tǒng)計算機病毒。隨著移動互聯(lián)網(wǎng)的發(fā)展，手機病毒泛濫并可能進(jìn)入大爆發(fā)期。手機病毒可以通過短信、彩信、電子郵件、瀏覽網(wǎng)站等方式在移動通信網(wǎng)內(nèi)傳播，也可利用紅外、藍(lán)牙等方式在手機終端間傳播，手機病毒的攻擊手段也愈發(fā)智能化、多樣化。

2.3 第三方軟件管理欠完善

隨著移動互聯(lián)網(wǎng)的開展，第三方軟件開發(fā)者眾多，為了迎合大眾需要及商業(yè)利益，各種應(yīng)用層出不窮，而針對第三方軟件的管理卻難以保障。例如蘋果商店的應(yīng)用就多達(dá)數(shù)十萬種，應(yīng)用平臺難以確保每款應(yīng)用的安全性和合法性。

2.4 網(wǎng)絡(luò)環(huán)境復(fù)雜

在移動互聯(lián)網(wǎng)中，終端可能通過2G、3G或者4G網(wǎng)絡(luò)接入，也可能通過Wi-Fi接入，移動互聯(lián)網(wǎng)的信息處理方法比傳統(tǒng)互聯(lián)網(wǎng)更加復(fù)雜，也導(dǎo)致其受到的威脅更多更大。大量的移動終端，也使得移動互聯(lián)網(wǎng)更容易受到拒絕服務(wù)攻擊的風(fēng)險。

2.5 用戶行為難以溯源

由于移動互聯(lián)網(wǎng)增加了空中接入，采用了網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，破壞了互聯(lián)網(wǎng)“端到端透明” 的架構(gòu)，再加上部分移動上網(wǎng)日志的缺失，使得只能追溯到某一對應(yīng)多個私網(wǎng)用戶的公網(wǎng)Ip地址，而無法精確溯源，給不法分子提供了可乘之機。另外，手機實名制尚未普及，也使得移動互聯(lián)網(wǎng)成為不法分子實施犯罪的保護(hù)傘。

2.6 缺乏安全意識

大眾對傳統(tǒng)計算機的安全意識水平較低，對智能手機的安全意識更為缺乏。例如缺乏防病毒軟件，將重要信息保存或自動保存在手機中，隨意登陸免費無線網(wǎng)絡(luò)，通過手機隨意瀏覽頁面，在朋友圈傳播各類文件、應(yīng)用、小游戲等，均帶來了信息安全隱患。部分公司中，智能手機通過無線連接方式連接企業(yè)網(wǎng).并可通過移動蜂窩連接方式連接外網(wǎng)，從而可將數(shù)據(jù)傳輸?shù)狡髽I(yè)網(wǎng)內(nèi)和網(wǎng)外，避開了IT的監(jiān)控和控制及公司內(nèi)外網(wǎng)的隔離，對公司的信息安全帶來威脅。

三、加強移動互聯(lián)網(wǎng)環(huán)境下信息安全的措施

3.1 建立移動互聯(lián)網(wǎng)環(huán)境下的信息安全管理政策

針對移動互聯(lián)網(wǎng)技術(shù)發(fā)展制定安全法規(guī)，例如手機實名制、隱私保護(hù)法、移動互聯(lián)網(wǎng)絡(luò)安全監(jiān)控與防護(hù)、智能終端安全標(biāo)準(zhǔn)、應(yīng)用軟件與應(yīng)用軟件商店管理標(biāo)準(zhǔn)等，使通訊公司、設(shè)備廠家、服務(wù)提供商和軟件開發(fā)商有相應(yīng)信息安全指導(dǎo)，使第三方的信息安全評測有據(jù)可依。建立起政府主管部門、通信行業(yè)、互聯(lián)網(wǎng)行業(yè)、軟件和硬件供應(yīng)商，內(nèi)容服務(wù)商的統(tǒng)一有效的安全管理平臺。

3.2構(gòu)建移動互聯(lián)網(wǎng)信息安全管理架構(gòu)

在傳統(tǒng)信息安全管理的基礎(chǔ)上，建立移動互聯(lián)網(wǎng)的信息安全管理框架。包括風(fēng)險分析、安全需求分析、安全策略、安全的技術(shù)標(biāo)準(zhǔn)與規(guī)范、安全體系設(shè)計、安全審計眾多方面。既包含策略層面、管理層面，也涉及具體的技術(shù)層面、設(shè)備層面，覆蓋通信平臺、網(wǎng)絡(luò)平臺、系統(tǒng)平臺、應(yīng)用平臺等。針對各種移動互聯(lián)網(wǎng)新技術(shù)、新業(yè)務(wù)建立網(wǎng)絡(luò)與信息安全評估機制，使安全隱患在業(yè)務(wù)推廣普及前得到及時有效的預(yù)防。

3.3 加強網(wǎng)絡(luò)管理與監(jiān)督

1、在網(wǎng)絡(luò)架構(gòu)方面，以LTE、P2P等技術(shù)為典型的扁平化網(wǎng)絡(luò)、分布式網(wǎng)絡(luò)的發(fā)展，需要在復(fù)雜的異構(gòu)的網(wǎng)絡(luò)環(huán)境中建立統(tǒng)一的鑒權(quán)控制體系，確保用戶的接入控制，從而實現(xiàn)用戶鑒權(quán)及用戶行為溯源。2、擴展、延伸現(xiàn)有互聯(lián)網(wǎng)安全監(jiān)管措施，使其覆蓋移動互聯(lián)網(wǎng)范圍。移動網(wǎng)絡(luò)運營商應(yīng)當(dāng)加強對無線網(wǎng)絡(luò)環(huán)境的監(jiān)管和維護(hù)，包括IP承載網(wǎng)和接入網(wǎng)的安全。其中，IP承載網(wǎng)主要包括交換機、路由器、接入服務(wù)器等相關(guān)的設(shè)備和鏈路，IP接入網(wǎng)包括基站服務(wù)器、基站控制器、移動業(yè)務(wù)交換中心等，采用無線接入的還會涉及到部分AP等。3、加強網(wǎng)絡(luò)安全管理支撐技術(shù)。例如安全漏洞檢測技術(shù)、無線通道加密技術(shù)、端對端加密技術(shù)、密匙管理技術(shù)、主動防御技術(shù)、風(fēng)險評測技術(shù)等。4、對移動互聯(lián)網(wǎng)中一些安全保密程度要求高的用戶實行入網(wǎng)認(rèn)證和審計，通過U盾，加密卡或者字證書對信息進(jìn)行加密認(rèn)證，只有通過移動安全網(wǎng)關(guān)認(rèn)證的用戶才能接入移動互聯(lián)網(wǎng)絡(luò)，避免通過破解身份鑒權(quán)算法和加密算法獲取用戶信息非法進(jìn)入網(wǎng)絡(luò)。

3.4 加強移動終端管理

在移動終端加強安全管理，包括智能移動終端的固件安全管理，操作系統(tǒng)層及應(yīng)用層安全管理。采用固件代碼完整性檢查分析技術(shù)和基于固件漏洞的信息檢查分析技術(shù)對智能移動終端網(wǎng)絡(luò)進(jìn)行漏洞掃描和應(yīng)用安全分析，采用智能移動終端源代碼安全分析技術(shù)對應(yīng)用代碼進(jìn)行安全靜態(tài)分析和動態(tài)安全分析，以及對智能移動終端本地數(shù)據(jù)進(jìn)行安全分析等。

3.5 增強用戶安全意識

移動終端的防護(hù)是用戶主導(dǎo)的防護(hù)措施，提高用戶的安全意識成為了加強信息安全的重要手段。用戶應(yīng)當(dāng)在以下方面增強信息安全意識，養(yǎng)成良好的使用習(xí)慣。

1、啟動必要的用戶認(rèn)證，為移動終端設(shè)置密碼；重要的或者敏感的個人信息，比如銀行卡的賬號、密碼等盡量不要存在或者不要明文保存在移動終端上。2、不濫用不安全的公共無線網(wǎng)絡(luò)，在公共無線網(wǎng)區(qū)域，注意盡量不要使用涉及到重要或敏感信息的軟件，不要在即時通信軟件中透露敏感信息。3、在家庭使用無線網(wǎng)絡(luò)的時候，應(yīng)對無線網(wǎng)絡(luò)進(jìn)行加密，并確保采用了足夠復(fù)雜和安全的加密方式。4、需要安裝APP時，選擇權(quán)威的網(wǎng)站及經(jīng)過安全檢測的軟件，不要點擊未經(jīng)驗證的下載、鏈接，不打開不安全的郵件。安裝必要的安全軟件，并了解安全軟件不是萬能的，并及時對軟件進(jìn)行更新。5、通過手機軟件或者運營商提供的信息，經(jīng)常關(guān)注流量情況，如果發(fā)現(xiàn)某一應(yīng)用或一段時期的明顯流量異常，可能存在盜取流量行為或安裝了惡意軟件，應(yīng)進(jìn)一步進(jìn)行檢查。6、移動終端在物理上始終為用戶所有，定期對機密或重要數(shù)據(jù)進(jìn)行備份。如果智能終端遺失，應(yīng)立即通過運營商進(jìn)行安全保護(hù)處理。

四、結(jié)束語

網(wǎng)絡(luò)與信息安全任重道遠(yuǎn)，在移動互聯(lián)網(wǎng)時代，安全問題是否得到良好解決對其本身發(fā)展有深遠(yuǎn)影響。我們只有從立法、技術(shù)、監(jiān)控、自律等多方面入手，建立完善的安全管理系統(tǒng)，對政府、廠家、運行商、用戶提供整個安全體系的支持和監(jiān)管，才能營造安全的移動互聯(lián)網(wǎng)環(huán)境，保障移動互聯(lián)網(wǎng)的穩(wěn)定健康發(fā)展。

作者簡介

呂曉峰 碩士研究生、工程師、信息系統(tǒng)項目管理師，主要研究方向為移動互聯(lián)網(wǎng)應(yīng)用，通信網(wǎng)絡(luò)優(yōu)化，大數(shù)據(jù)分析

周蓓 碩士研究生、講師，主要研究方向為信息安全，管理信息系統(tǒng)

參 考 文 獻(xiàn)

[1]孫穎，馬軍.網(wǎng)絡(luò)與信息安全形勢展望.電信技術(shù)[J].2010.6：54-56

[2]石慧.智能手機給移動互聯(lián)網(wǎng)帶來的問題與對策.科技向?qū)J].2012（21）：82

[2]胡建明.移動互聯(lián)網(wǎng)業(yè)務(wù)信息安全.信息通信[J].2013（4）：258-259

[3]班曉芳，佟鑫.移動互聯(lián)網(wǎng)安全威脅分析.電信技術(shù)[J].2012（7）：77-78

[4]趙書峰.移動互聯(lián)網(wǎng)的信息安全探析.韶關(guān)學(xué)院學(xué)報[J].2011（10）：30-33