武 釗

(同濟大學(xué) 上海 200092)

1 移動互聯(lián)網(wǎng)時代信息安全正受到嚴(yán)重威脅

1.1 智能手機受到的主要威脅

在移動互聯(lián)網(wǎng)高速發(fā)展的今天，4,G網(wǎng)絡(luò)給用戶帶來的是更快速高效的體驗。而在不同的智能手機和網(wǎng)絡(luò)背后，可能有一些別有用心的人，他們或是不正當(dāng)獲取用戶的個人資料從事不法活動，或是以占有財物為目的侵占用戶的賬戶信息，或是推送一些用戶被動傳播的不良信息，或是利用用戶的現(xiàn)有賬號來資費消耗……這些無不困擾著廣大移動互聯(lián)網(wǎng)用戶。

1.2 來自移動互聯(lián)網(wǎng)威脅分類

來自于移動互聯(lián)網(wǎng)的威脅主要分為 3類，分別是硬件、系統(tǒng)和應(yīng)用程序。針對終端硬件層面的威脅主要包括 SIM 卡克隆、監(jiān)控竊聽、設(shè)備丟失和破壞等。目前來看，危害最大的莫過于由于智能手機的丟失而造成的用戶信息泄露。眾所周知，現(xiàn)在的大部分設(shè)備都不具備指紋識別系統(tǒng)，也就是沒有用戶權(quán)限授權(quán)訪問、遠程保護等安全預(yù)案，造成由于不能及時鎖定手機而形成嚴(yán)重后果。現(xiàn)在流行的智能手機系統(tǒng)主要有 IOS、Android、WP等，而系統(tǒng)層面的威脅，主要針對安卓等開源系統(tǒng)。不法之徒會通過開放性的安卓論壇，以逆向工程還原成源代碼，經(jīng)過惡意植入修改打包發(fā)布在一些網(wǎng)站上，在良莠不齊的論壇和網(wǎng)站中，這種惡意程序比比皆是，而無論是哪一種系統(tǒng)，都會自動運行收集用戶位置的程序，收集用戶的相關(guān)使用信息和 MAC物理地址等信息。應(yīng)用程序?qū)用娴陌踩{，主要是指由于各種惡意程序木馬而引發(fā)的用戶財產(chǎn)損失、通話監(jiān)聽、惡意訂購等安全風(fēng)險。據(jù)不完全統(tǒng)計，截至2014年底國內(nèi)新增手機惡意程序 91萬個，同比增長了 5倍。而這些不良的程序通常被植入了木馬程序，成為滋生犯罪的溫床。

2 移動互聯(lián)網(wǎng)終端安全管理的現(xiàn)狀和問題

由于我國移動互聯(lián)網(wǎng)發(fā)展過快，大多數(shù)的網(wǎng)絡(luò)安全公司并沒有預(yù)料到這種情況的發(fā)生。大多數(shù)的手機防御軟件都是從電腦端移植過來的，存在著對于系統(tǒng)的適應(yīng)性障礙。不同于電腦端的應(yīng)用程序，手機應(yīng)用程序的反安裝程序通常不容易在根目錄下找到，因此，普通用戶也不具備自行卸載的能力。由此可見，需要智能終端產(chǎn)業(yè)鏈上的各個環(huán)節(jié)都能夠重視應(yīng)用安全，從標(biāo)準(zhǔn)建立、技術(shù)探索、管理規(guī)范等方面加強對于智能終端的安全保護。

2.1 建立行業(yè)標(biāo)準(zhǔn)規(guī)范

2013年，工信部頒布了《關(guān)于加強移動智能終端管理的通知》，此通知從根本上約束了終端生產(chǎn)商對于內(nèi)置軟件的安裝，維護了用戶的合法權(quán)益和信息安全。要求生產(chǎn)企業(yè)在未經(jīng)用戶同意的情況下，不可擅自安裝收集用戶個人信息、調(diào)用衛(wèi)星定位功能、耗費流量功能的插件。而后又發(fā)布了《聯(lián)網(wǎng)軟件安全行為規(guī)范》，進一步要求和規(guī)范網(wǎng)絡(luò)運營企業(yè)對于放置在網(wǎng)上的軟件運行機制、安全檢測、行為方式的監(jiān)管。

2.2 網(wǎng)絡(luò)安全的技術(shù)探索

對于整個產(chǎn)業(yè)鏈來看，終端生產(chǎn)廠商、系統(tǒng)商、安全服務(wù)廠商、應(yīng)用商店運營者、科研機構(gòu)都有責(zé)任和義務(wù)參與到網(wǎng)絡(luò)安全技術(shù)探索中來。這就要求智能終端廠商，首先要構(gòu)建基于可信計算技術(shù)和現(xiàn)有智能終端的硬件結(jié)構(gòu)的移動智能終端可信體系架構(gòu)，以軟件形式的移動可信模塊為基礎(chǔ)建立面向各核心部件的信任鏈，保證整個系統(tǒng)的安全運行；按照應(yīng)用運行的狀態(tài)，使用控制模型的移動應(yīng)用動態(tài)行為可信度量機制，將動態(tài)度量劃分為靜態(tài)使用控制和運行動態(tài)使用控制兩個階段；建立移動可信網(wǎng)絡(luò)連接認(rèn)證體系，不僅局限于客戶身份的認(rèn)證，更要擴展到移動終端平臺的軟、硬件配置狀態(tài)，該方案采用直接匿名認(rèn)證和遠程認(rèn)證向認(rèn)證服務(wù)器證明移動可信模塊的真實性和可靠性，實現(xiàn)移動終端設(shè)備在動態(tài)過程中的可信接入認(rèn)證。同原有認(rèn)證機制來比較，現(xiàn)有的方案更具有效率高、運算量小等特點；針對終端后臺解析過程中有可能產(chǎn)生的安全威脅，依照數(shù)字內(nèi)容的使用流程分解成 4個解析過程，并借助可信終端提供的安全存儲、時間保護、技術(shù)保護等機制有效保護數(shù)字密鑰的安全，確保權(quán)限不被惡意篡改。

2.3 建立和實施針對移動安全的管理制度

2010年開始，我國相關(guān)部門連續(xù)出臺了一系列法律法規(guī)來規(guī)范和約束電信運營商的經(jīng)營行為和對于應(yīng)用軟件運營商的經(jīng)營規(guī)范，一方面懲治那些制作和傳播不利于社會穩(wěn)定和網(wǎng)絡(luò)環(huán)境的不法之徒，另一方面為有關(guān)部門提供執(zhí)法的依據(jù)。這一系列法律法規(guī)的出臺，指導(dǎo)了移動通訊運營商、終端制造商、系統(tǒng)提供商、安全企業(yè)等相關(guān)各方共同凈化網(wǎng)絡(luò)環(huán)境，維護用戶的合法權(quán)益。這不僅是廣大移動互聯(lián)網(wǎng)用戶的訴求，更是國家戰(zhàn)略信息安全的要求。

3 移動互聯(lián)網(wǎng)時代信息安全的發(fā)展趨勢與展望

面對移動互聯(lián)網(wǎng)環(huán)境的不斷改善，作為硬件制造商的終端首先應(yīng)該保證嚴(yán)格的質(zhì)量體系，履行進網(wǎng)許可規(guī)范，提升終端安全技術(shù)的研發(fā)，保護自己的知識產(chǎn)權(quán)。這里的保護知識產(chǎn)權(quán)并不是指固步自封，閉門造車，而是指在安全標(biāo)準(zhǔn)引導(dǎo)下的自主創(chuàng)新研發(fā)能力。鼓勵企業(yè)參與設(shè)計芯片和操作系統(tǒng)等關(guān)系到國家戰(zhàn)略意義的行業(yè)，通過不斷的創(chuàng)新和創(chuàng)造，進一步固化我國在移動終端產(chǎn)業(yè)鏈上的優(yōu)勢地位，擺脫國外廠商對行業(yè)的壟斷，提高自身的控制力和議價能力。在國家的法律法規(guī)框架下，推動相關(guān)安全標(biāo)準(zhǔn)的制定和貫徹實施，加強對終端產(chǎn)品的安全檢測內(nèi)容和科學(xué)檢測方法，發(fā)布對于硬件缺陷的補足程序，保護用戶信息，預(yù)置卡機互鎖模塊和完善系統(tǒng)的功能。

推進第三方權(quán)威檢測實驗室的建設(shè)，對于應(yīng)用程序提供商和發(fā)布平臺進行評估和安全檢測，將法律法規(guī)的要求落在實處，從源頭上保證應(yīng)用程序的安全和質(zhì)量，保證研發(fā)、編碼、轉(zhuǎn)碼、發(fā)布、下載、升級等各個環(huán)節(jié)的信息安全，要求企業(yè)不斷改進技術(shù)和管理流程。

可以預(yù)見，未來的移動互聯(lián)網(wǎng)將是圍繞著智能終端發(fā)展、保證用戶安全的多維系統(tǒng)，企業(yè)不僅要實現(xiàn)更多的商業(yè)價值，還要承擔(dān)更多的社會責(zé)任。在攻防形式方面，巨大的經(jīng)濟利益促使著不良企業(yè)繼續(xù)侵犯用戶數(shù)據(jù)安全，在安全廠商的博弈過程中，不斷考驗著決策者的管理智慧。

4 結(jié) 語

在移動互聯(lián)網(wǎng)快速發(fā)展的今天，沒有任何一種應(yīng)對機制和行動方案永遠是最優(yōu)的，隨著硬件技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)平臺的不斷優(yōu)化，應(yīng)用程序的不斷更新，要求安全運營商和決策者有責(zé)任、有義務(wù)在保證行業(yè)健康發(fā)展的同時，以動態(tài)的眼光去看待相應(yīng)的管理手段，只有這樣，移動互聯(lián)網(wǎng)才能在健康的快車道上發(fā)展進步?！?/p>

［1］楊劍.WatchGuard統(tǒng)一威脅管理平臺領(lǐng)跑信息安全[J].電子與電腦，2010(3)：106.

［2］胡宇新.金融網(wǎng)站安全保護問題研究[J].信息網(wǎng)絡(luò)安全，2010(7)：29-30.

［3］李文武，游文霞，王先培.電力系統(tǒng)信息安全研究綜述[J].電力系統(tǒng)保護與控制，2011(10)：140-147.