黃斐一　孫立軍　孔繁盛

1 概述

近些年來，移動互聯(lián)網(wǎng)的安全問題受到越來越多從業(yè)者的關(guān)注和研究，如何構(gòu)建移動互聯(lián)網(wǎng)安全框架的課題也變得越來越重要。如果參照傳統(tǒng)的7層OSI網(wǎng)絡(luò)架構(gòu)的思路去構(gòu)建移動互聯(lián)網(wǎng)安全框架，類似從物理安全、主機安全、中間件安全、操作系統(tǒng)安全到應(yīng)用層安全這樣的分層分類方式則呼之欲出。遺憾的是移動互聯(lián)網(wǎng)業(yè)務(wù)種類和場景的多樣性使得這種通用型的框架在實際工作中并沒有多少實用價值。不同業(yè)務(wù)特性的巨大差異使得這些業(yè)務(wù)面臨的安全威脅及其安全側(cè)重點也各不相同，為這些不同種類的業(yè)務(wù)設(shè)計一個相對統(tǒng)一的、有實際參考價值的安全框架正在成為一個重要的研究課題。

如果回想一下我們耳熟能詳?shù)囊苿踊ヂ?lián)網(wǎng)業(yè)務(wù)，最先浮現(xiàn)在我們腦海的是如微信、QQ、飛信這樣的即時通訊業(yè)務(wù)，如新浪微博、百度視頻這樣的內(nèi)容型業(yè)務(wù)，如豌豆莢、機鋒市場這樣的應(yīng)用商城業(yè)務(wù)，如百度地圖這樣的基于位置的應(yīng)用。用戶在使用這些業(yè)務(wù)的時候可能涉及注冊、登錄等環(huán)節(jié)，可能會閱讀他人發(fā)布的文字或多媒體內(nèi)容，可能會從應(yīng)用商城中購買、下載一些應(yīng)用，可能會使用GPS定位功能。如果這些場景的安全漏洞被利用，用戶可能會因為業(yè)務(wù)流程的漏洞在注冊過程中遭受短信炸彈的攻擊，可能因為下載了帶有惡意代碼的應(yīng)用使得手機感染病毒；業(yè)務(wù)可能因為惡意用戶發(fā)布、轉(zhuǎn)載色情內(nèi)容遭受大面積投訴和輿情主管部門的處罰，也可能因為內(nèi)部管理不善造成大面積的用戶信息泄露事件。

在對現(xiàn)有移動互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行統(tǒng)計分析的基礎(chǔ)上，筆者發(fā)現(xiàn)紛繁復(fù)雜的業(yè)務(wù)可以大致分為內(nèi)容發(fā)布型、信息交互型、在線電商型這幾大類。對于這些業(yè)務(wù)，首先需要保證它們在流程和邏輯上不能有漏洞，否則很容易被惡意用戶利用；其次，需要保證其內(nèi)容的安全性，即無論是業(yè)務(wù)官方發(fā)布的還是用戶交互的內(nèi)容都要合法合規(guī)，不能包含宗教、種族、政治、色情等違規(guī)內(nèi)容；第三，業(yè)務(wù)的重要入口——客戶端，不能含有惡意代碼；最后，業(yè)務(wù)如果保留了用戶的隱私信息，則有義務(wù)保證這些信息的機密性。

綜上所述，本文將從業(yè)務(wù)流程安全、內(nèi)容安全、手機應(yīng)用安全、用戶信息安全4個角度構(gòu)建移動互聯(lián)網(wǎng)業(yè)務(wù)安全框架。一方面，這4個角度是基于對現(xiàn)有移動互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行總結(jié)分析而來的，所以若有新的業(yè)務(wù)形態(tài)、安全威脅場景出現(xiàn)，這個框架需要進(jìn)一步更新；另一方面，這4個角度是平行的領(lǐng)域，沒有先后，不同業(yè)務(wù)在這4個領(lǐng)域各有側(cè)重。

2 移動互聯(lián)網(wǎng)業(yè)務(wù)安全框架

2.1 業(yè)務(wù)流程安全

業(yè)務(wù)流程安全風(fēng)險是移動互聯(lián)網(wǎng)業(yè)務(wù)最直觀的風(fēng)險。若某業(yè)務(wù)在注冊頁面未加載圖形驗證碼，這可能會導(dǎo)致該業(yè)務(wù)被批量注冊；在登錄的時候未采用未成功嘗試次數(shù)限制，可能會導(dǎo)致賬戶被暴力破解。所以在移動互聯(lián)網(wǎng)業(yè)務(wù)的設(shè)計過程中，為了保證業(yè)務(wù)的正常運轉(zhuǎn)，首先要考慮的就是設(shè)計一個全面、完整、安全的業(yè)務(wù)流程，防范因流程不完善造成的風(fēng)險。最典型的流程包括注冊、登錄、訂購和計費。

在用戶注冊過程中，一些業(yè)務(wù)由其業(yè)務(wù)特性決定了必須采用實名注冊的方式方可使用（如微博），但業(yè)務(wù)流程未強制要求用戶輸入手機號、身份證號等實名信息。這可能導(dǎo)致信息發(fā)布不可控、用戶行為不可追溯等風(fēng)險。在注冊過程中，圖形驗證碼、短信驗證碼、電子郵件驗證是防范批量注冊風(fēng)險的重要手段。與此同時，業(yè)務(wù)還需要對使用同一手機號、郵箱地址注冊的用戶做出注冊次數(shù)限制，否則有可能會造成短信炸彈或者郵件炸彈。另外，業(yè)務(wù)還需要對用戶的密碼強度進(jìn)行限制，防范弱密碼風(fēng)險。

在登錄過程中，很多業(yè)務(wù)通過下發(fā)短信驗證碼或者郵件驗證碼的方式保證賬號的安全性。但是需要注意的是，業(yè)務(wù)也需要對短信驗證碼和郵件驗證碼的下發(fā)次數(shù)做出限制，否則也可能造成短信炸彈或郵件炸彈。除此之外，登錄過程最常見的風(fēng)險之一就是賬戶的暴力破解、字典攻擊。為了克服此類風(fēng)險，除了在注冊階段強制用戶使用強密碼以外，還需要為用戶賬戶和IP地址設(shè)置登錄嘗試次數(shù)的限制。

訂購和計費是用戶使用過程中產(chǎn)生費用、業(yè)務(wù)獲得收入的主要步驟。它面臨多個方面的安全風(fēng)險，為此：首先，在訂購關(guān)系的產(chǎn)生過程中，需要保證該訂購出自于用戶的真實意愿。這就需要業(yè)務(wù)通過各種手段（如上行消息確認(rèn)、上行短信確認(rèn)等）二次確認(rèn)用戶的訂購意愿。這樣一來，一可以防止用戶因客戶端病毒造成惡意訂購或者不知情訂購的現(xiàn)象，二可以保證訂購結(jié)果的可追朔性和不可否認(rèn)性。其次，訂購關(guān)系在用戶客戶端產(chǎn)生并上傳后必須實時同步到業(yè)務(wù)系統(tǒng)中的相關(guān)模塊。這可以避免因同步不及時造成的運營風(fēng)險。最后，訂購關(guān)系無論在傳輸還是存儲的過程中，都應(yīng)該根據(jù)實際情況考慮該類數(shù)據(jù)傳輸及存儲的機密性和完整性。因為對于任何一種業(yè)務(wù)來說，訂購關(guān)系數(shù)據(jù)的丟失或者不準(zhǔn)確就意味著該業(yè)務(wù)的收入無法對賬和確認(rèn)。

2.2 內(nèi)容安全

內(nèi)容安全風(fēng)險源于對內(nèi)容管控的不利，大量違規(guī)內(nèi)容（如宗教、種族、政治、色情等）的擴散會引起惡劣的社會反響。前不久中央電視臺曝光的微博“大V”用戶利用個人影響力左右輿論的案例表明，移動互聯(lián)網(wǎng)業(yè)務(wù)內(nèi)容安全風(fēng)險需要進(jìn)行大力防范。違規(guī)內(nèi)容可能來自業(yè)務(wù)本身的運營團隊，也可能來自用戶。內(nèi)容安全的目標(biāo)就在于保證該業(yè)務(wù)的所有內(nèi)容擴散渠道沒有違規(guī)內(nèi)容出現(xiàn)。

（1）廣告位：廣告位一般位于業(yè)務(wù)醒目的位置以方便將此位置的內(nèi)容廣而告之。若它被惡意利用作為擴散違規(guī)信息的載體，則會給業(yè)務(wù)帶來災(zāi)難性的后果。這就要求業(yè)務(wù)運營團隊在發(fā)布、更新廣告位內(nèi)容時遵循“編”、“審”、“發(fā)”分離的原則。即廣告內(nèi)容的編輯、審核和發(fā)布必須分離，且由不同人來完成，這樣可以很好地克服單人操作的風(fēng)險。除此之外，如果業(yè)務(wù)運營團隊能夠搭建一個內(nèi)容發(fā)布平臺將此流程固化到平臺中，則可以保證所有的操作人員嚴(yán)格地執(zhí)行“編”、“審”、“發(fā)”分離的要求；平臺也能夠記錄每一步操作的日志，保證了操作的可追溯性和不可否認(rèn)性。

（2）短彩信：租用運營商的短彩信端口，并將短彩信發(fā)送能力提供給用戶是很多移動互聯(lián)網(wǎng)業(yè)務(wù)的重要功能之一。當(dāng)然，業(yè)務(wù)運營團隊也可以利用該短彩信端口開展業(yè)務(wù)營銷。所以移動互聯(lián)網(wǎng)業(yè)務(wù)短彩信內(nèi)容的安全風(fēng)險一般需要從兩個角度去考量：業(yè)務(wù)運營團隊營銷短彩信的內(nèi)容安全和用戶自寫短彩信的安全。用戶自寫短彩信的內(nèi)容安全屬于UGC（User Generate Content）安全的范疇，將在下文集中討論。對于營銷短彩信的安全來說，內(nèi)容合規(guī)以及對發(fā)送對象的管控是主要管控目標(biāo)。與廣告位內(nèi)容合規(guī)一樣，營銷短彩信的內(nèi)容合規(guī)性可以通過遵循“編”、“審”、“發(fā)”分離的原則達(dá)成。對于短信發(fā)送對象的管控則比較復(fù)雜。近年來，垃圾短信的現(xiàn)象日益嚴(yán)重，2014年2月，國家開始研究設(shè)立新廣告法，并將短信廣告納入其約束范圍：在沒有用戶允許的情況下，向其發(fā)送含有廣告內(nèi)容的短信將成為違法行為。所以，在業(yè)務(wù)團隊群發(fā)營銷短彩信時需要注意該發(fā)送對象是否已經(jīng)同意接收此短信。如果在不知用戶是否同意的情況下，則可以考慮在發(fā)送給用戶的短信后面添加類似“回復(fù)‘X不再收到此類短信”的字樣。endprint

（3）用戶自寫信息（UGC）：它的種類多種多樣，包括微博發(fā)文、論壇發(fā)帖、評論、昵稱、頭像、個人文件共享、短彩信等。它可以以文字、圖片、音頻、視頻、文件等多種形態(tài)出現(xiàn)。UGC內(nèi)容安全面臨的最大挑戰(zhàn)是業(yè)務(wù)運營團隊必須保證用戶自寫內(nèi)容的合規(guī)性，不能讓業(yè)務(wù)成為非法傳播違規(guī)內(nèi)容的手段和渠道。實現(xiàn)UGC內(nèi)容合規(guī)的主要手段有兩個：自動化過濾和人工審核。自動化過濾是通過過濾引擎自動識別非法內(nèi)容。到目前為止，自動化文字過濾相對來說比較成熟，但是圖片和視頻過濾準(zhǔn)確度較低，音頻、文件等內(nèi)容尚無自動化過濾手段。所以，業(yè)務(wù)運營團隊可以通過人工審核的方式為自動化過濾進(jìn)行修正和補充。

（4）App：絕大部分App中都包含著文字和圖片，有些還包含有音頻和視頻。一方面，業(yè)務(wù)運營團隊需要嚴(yán)格控制自有App的內(nèi)容發(fā)布流程，遵循“編”、“審”、“發(fā)”分離的原則；另一方面，第三方App（如“豌豆莢”應(yīng)用商城發(fā)布來自于個人或企業(yè)開發(fā)者的應(yīng)用）的內(nèi)容管控則可以借鑒UGC內(nèi)容安全管控的方法。需要注意是，App的開發(fā)者可能會將違規(guī)的內(nèi)容放置在加密文件夾中，用戶安裝且輸入密碼后才能瀏覽，這就造成應(yīng)用商城無法對其進(jìn)行過濾和審核。另外，App可以通過在線更新的方式將非法內(nèi)容更新到新版本的App中。這兩種場景對于應(yīng)用商城業(yè)務(wù)運營團隊來說，都沒有較好的方案在第三方應(yīng)用上線前將其發(fā)現(xiàn)和解決，只能通過例如用戶投訴或在線監(jiān)測等手段了解哪些App帶有不合規(guī)內(nèi)容，隨后進(jìn)行處理。

2.3 手機應(yīng)用安全

手機應(yīng)用安全風(fēng)險是移動互聯(lián)網(wǎng)時代重要且典型的安全風(fēng)險之一。用戶在手機上安裝了某款手機應(yīng)用（App）以后，如果App中包含或被植入（因為本身的漏洞）惡意代碼，手機終端可能會被修改系統(tǒng)的設(shè)置、被申請敏感的權(quán)限甚至被竊取隱私信息。比如“不知情訂購”可以在用戶不知情或未授權(quán)的情況下，通過隱蔽執(zhí)行、欺騙用戶點擊等手段，訂購各類收費業(yè)務(wù)或使用移動終端支付，導(dǎo)致用戶的經(jīng)濟損失；又如“隱私竊取”可以在用戶不知情或未授權(quán)的情況下，收集涉及用戶個人的信息，并以短信、聯(lián)網(wǎng)等形式泄露這些信息，導(dǎo)致用戶隱私泄露。手機應(yīng)用安全的目標(biāo)就在于通過對App惡意性的研判、識別和對惡意應(yīng)用的查殺，幫助用戶很好地面對這些安全場景、解決這些安全問題。

到目前為止，惡意應(yīng)用和行為的檢測與識別技術(shù)主要包括兩大類：基于特征值匹配技術(shù)和基于行為的啟發(fā)式檢測技術(shù)?；谔卣髦灯ヅ浼夹g(shù)是目前反病毒公司普遍采用的惡意代碼檢測技術(shù)。該技術(shù)主要通過將手機應(yīng)用與惡意代碼數(shù)據(jù)庫進(jìn)行匹配的方式判定該應(yīng)用是否包含惡意代碼或者感染病毒。它主要包含兩類方案：第一，通過掃描引擎將手機應(yīng)用的安裝包進(jìn)行解壓，逐一對單個文件計算特征值，并與惡意代碼特征庫中的特征值逐一比對，從而判斷應(yīng)用中是否包含惡意性代碼。第二，掃描引擎將安裝包反編譯成虛擬機識別的Dalvik字節(jié)碼，以每個語句單元的“操作碼”為主特征碼，以細(xì)節(jié)信息為輔助特征碼，與惡意代碼特征庫進(jìn)行匹配，若發(fā)現(xiàn)匹配項則可判斷該應(yīng)用包含惡意代碼或感染了病毒。

基于行為的啟發(fā)式掃描是基于特征值匹配技術(shù)的升級，與后者相比有著對未知惡意代碼和病毒進(jìn)行防御的優(yōu)點。由于惡意代碼要達(dá)到感染和破壞的目的，具備一定的行為特征，因此可以通過動態(tài)的分析和監(jiān)測手機應(yīng)用的代碼與行為來判斷其是否具有惡意性，而不依賴惡意代碼特征庫。

2.4 用戶信息安全

在移動互聯(lián)網(wǎng)時代，手機逐漸演變?yōu)橛脩舻膫€人輔助性數(shù)字終端，它包含了用戶非常多的個人信息，如手機號碼、通訊錄、短信信息、位置信息、各類賬戶密碼信息等。個人信息和隱私保護(hù)問題變得愈發(fā)重要。

從理論上說，信息保密的原則在于信息的產(chǎn)生、傳輸、存儲、處理的各個環(huán)節(jié)的保密。典型的信息產(chǎn)生階段是用戶的注冊階段，用戶密碼顯然就是敏感的、需要被保護(hù)的信息。除此之外，一些有實名注冊需求的業(yè)務(wù)（如微博）要求輸入用戶的手機號碼和身份證號碼。這些信息在用戶提交給系統(tǒng)的時候，可以采用加密通道傳輸?shù)姆绞椒乐剐畔⒃趥鬏數(shù)倪^程中被截獲和竊聽，如SSL VPN、IPSEC VPN。當(dāng)用戶敏感信息上傳到系統(tǒng)中以后，可采用加密存儲的方式保證信息的機密性。當(dāng)業(yè)務(wù)系統(tǒng)需要訪問、處理這些信息的時候，可采用多人操作的模式，通過遵循“授權(quán)不操作、操作不授權(quán)”的原則防止個人權(quán)限過大帶來的信息泄露風(fēng)險。

但是在實際的業(yè)務(wù)運營過程中，是很難達(dá)到這種理論的效率的。從用戶角度來說，一旦其敏感信息被業(yè)務(wù)運營方獲取以后，他們很難相信業(yè)務(wù)方能夠真正地保障其隱私信息的機密性?；谶@種需求，近些年學(xué)術(shù)界興起了一個新的研究方向：如何使得業(yè)務(wù)方在并不真正擁有用戶隱私信息的情況下順利地開展業(yè)務(wù)。比如業(yè)務(wù)方只擁有用戶的地理位置的加密信息，不了解用戶真實的地理位置（如經(jīng)緯度），卻能夠為用戶提供類似“附近的人”等信息。但是這一類技術(shù)尚在理論研究的階段，并沒有大規(guī)模的商業(yè)應(yīng)用。另外，大數(shù)據(jù)挖掘技術(shù)能夠從一些看似不包含隱私信息的公開數(shù)據(jù)中挖掘出非常有用的隱私信息。比如“表哥”佩戴的手表的價格顯然是隱私信息，但是通過搜集、分析網(wǎng)絡(luò)上公開的十余張照片，我們不難了解他的收入水平。這也使得在大數(shù)據(jù)時代用戶隱私的保護(hù)變得越來越困難。

3 結(jié)束語

本文著眼于移動互聯(lián)網(wǎng)業(yè)務(wù)的形態(tài)和特點，梳理了移動互聯(lián)網(wǎng)業(yè)務(wù)安全框架。隨著移動互聯(lián)網(wǎng)的飛速發(fā)展，構(gòu)建其安全框架其實是一個開放性的命題。傳統(tǒng)通信領(lǐng)域中使用同一框架（如ITU X.805）去適配多個場景、多種網(wǎng)絡(luò)的思路已不再適用移動互聯(lián)網(wǎng)領(lǐng)域，那會使得安全框架的可用性和可落地性有限。新的業(yè)務(wù)必將引發(fā)新的安全威脅，這就需要安全從業(yè)者不斷地從業(yè)務(wù)形態(tài)和場景出發(fā)，設(shè)計面向業(yè)務(wù)的安全解決方案，不斷地更新和完善業(yè)務(wù)安全框架。

參考文獻(xiàn)：

[1] 孫澤鋒. 移動互聯(lián)網(wǎng)發(fā)展技術(shù)與安全分析[J]. 電信科學(xué)， 2011（S1）.

[2] Zhang Bin， Xu Miao， Wu Minli. Research on Web Filtering Technology Based on the Dual Feature Selection[C]//2012 Proceedings of the 3rd IEEE International Conference on the Network Infrastructure and Digital Content（IEEE IC-NIDC2012）. Beijing： [s.n.]， 2012： 675-679.

[3] 羅喧，梁柏青，潘軍彪，等. 智能手機應(yīng)用安全關(guān)鍵技術(shù)探討[J]. 電信科學(xué)， 2013（5）.

[4] 霍崢，孟小峰，徐建良. 云計算中面向隱私保護(hù)的查詢處理技術(shù)研究[J]. 計算機科學(xué)與探索， 2012（5）.

[5] 張壽華，劉振鵬. 網(wǎng)絡(luò)輿情熱點話題聚類方法研究[J]. 小型微型計算機系統(tǒng)， 2013（3）.endprint