◆萬 軼

（中移鐵通有限公司青島分公司 山東 266001）

淺論如何加強移動網絡安全建設

◆萬 軼

（中移鐵通有限公司青島分公司 山東 266001）

隨著人們生活水平的日益提高及信息化應用能力的不斷提升，移動網絡已滲透至人們的日常生活中，如今幾乎每個人都在使用移動通信網絡。移動網絡在帶給人們便利的同時，也存在諸多安全隱患，本文就如何加強移動網絡安全建設做一簡要論述，并提出解決方法及建議。

移動網絡；網絡安全；風險感知；安全防控

0 引言

通過對移動網絡安全建設體系的深入研究，進一步了解掌握移動網絡安全先進防控技術和抵御入侵手段，通過開展移動網絡的安全防御手段革新與體系建設，以充分利用網絡安全技術來抵御非法入侵者對移動網絡的惡意破壞，并提升人們在日常通信中對移動網絡的安全風險防范能力。

1 網絡安全定義

網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據信息不因惡意或突發(fā)的原因而遭受到破壞、更改、泄漏。信息系統(tǒng)可以持續(xù)穩(wěn)定地運行，網絡通信不被中斷。

網絡安全具有保密性、完整性、可用性、可控性、可審查性。即移動網絡中用戶或數(shù)據信息不可泄漏給未授權用戶、過程或實體，或供給非法用戶使用。數(shù)據信息在存放或傳輸過程中能夠保證不被破壞、不被非法修改或丟失，在網絡遭受破壞時，可對出現(xiàn)的安全漏洞或安全問題提供可審查的數(shù)據與依據。

2 移動網絡存在的主要問題

2.1 移動網絡容易被木馬、病毒入侵

隨著互聯(lián)網的高速發(fā)展，全球信息化進程不斷推進，純粹的計算機病毒時代已經一去不復返，代替而來的是破壞強度呈指數(shù)倍增加的新型惡意木馬病毒。此類木馬病毒具有基礎的網絡特性及功能，能夠迅速找到全局移動網絡內個別計算機存在的安全漏洞，并根據具體漏洞進行攻擊。雖然目前絕大多數(shù)計算機操作系統(tǒng)都裝有殺毒軟件和防火墻程序，但仍然抵擋不了惡意病毒的入侵和攻擊。

對于絕大多數(shù)的惡意病毒程序，用戶只要將其刪除，破壞的危險就算過去了，威脅也不復存在。但有些頑固性木馬病毒情況特殊，和電腦病毒、蠕蟲等惡意破環(huán)程序一樣，也具有隨意刪除或修改用戶文件、私自上傳和下載文件、格式化硬盤數(shù)據等惡意功能。譬如常見的有攻擊者利用木馬程序入侵并霸占用戶計算機、控制U盤、將用戶磁盤剩余空間侵占殆盡、破壞或卸載殺毒軟件等，此外還有木馬病毒特有的“遠程控制”、“盜取被入侵計算機文件”等功能。

2.2 用戶和控制中心容易被入侵

有線通信網絡曾經為人類信息傳遞事業(yè)做出了巨大貢獻，隨著科技的發(fā)展，有線網絡將逐漸被無線網絡取而代之。如果將有線網絡和無線網絡進行對比的話，最顯著的不同之處就在于無線網絡的移動終端和控制中心之間沒有物理線路連接，而是利用無線通信信道進行數(shù)據傳輸，而有線網絡通常由數(shù)據光纖進行連接。因此，移動終端的身份驗證信息在無線傳輸過程中將更容易被非法入侵者截取，繼而用戶的私人信息被竊取，甚至進一步控制中心也被入侵控制，導致控制中心設備及數(shù)據遭到破壞，無法保證正常使用運行，用戶的訪問信息泄漏后將嚴重威脅到其信息及財產安全。

2.3 移動網絡傳輸?shù)男畔⑷菀妆桓`取

移動網絡存在著致命的弊端就是無線傳輸信號非常容易被發(fā)現(xiàn)，為了能讓使用者發(fā)現(xiàn)無線網絡信號的存在，移動網絡必須以特定參數(shù)的信標幀進行發(fā)送，這樣就給入侵者提供了可加以利用的信號信息。攻擊者通過使用高靈敏度的天線在高樓頂、公路旁或其他任何信號強度大的地方對移動網絡進行攻擊而不需要傳統(tǒng)意義上的物理線路侵入。

據RSA Security調查結果顯示，目前有67%的無線局域網絡并未采取安全防護措施。由于個人的計算機都可以通過購買非法的AP，不必經過授權就可接入移動網絡，很多下屬部門未經過單位網絡中心允許，私自建設WLAN網絡，入侵者通過非法AP，便可輕而易舉的接入該網絡，給單位整體網絡帶來巨大的安全隱患。在美國經常發(fā)生這樣的事情，入侵者只需要一塊802.11b的無線上網卡便可進入一些疏于防范的公司網絡，做他們想做的一切。

3 加強移動網絡安全對策及建議

3.1 加強風險感知能力

網絡風險感知系統(tǒng)往往是結合殺毒軟件、防火墻、安全審計系統(tǒng)、入侵監(jiān)控系統(tǒng)（IDS）等手段的安全防御數(shù)據體系。系統(tǒng)可對全局網絡當前的狀況進行快速評測，對接下來的變化趨勢進行預測，對APT攻擊及未知流量進行感知，達到網絡信息安全預警功能。

為了保證移動網絡的信息安全可靠，應注重加強大規(guī)模的網絡風險感知能力建設。深度的威脅態(tài)勢感知能力對移動網絡減少網絡攻擊造成的危害、預防潛在的惡意破壞入侵行為、提高應急響應能力都有著重要意義。

3.2 加強安全防御能力

移動網絡安全防御應為縱深防御，數(shù)據終端是創(chuàng)建和存放數(shù)據的源頭，大部分的入侵事件都是從數(shù)據終端引發(fā)而來的。如果移動網絡中每一個數(shù)據終端都經過正規(guī)的授權和認證，并且其日常的使用操縱符合網絡安全規(guī)范，那么我們就可以認為移動網絡系統(tǒng)是安全可信的。目前主流的終端保護方式分為兩種：一種為基于終端設備可信度的安全防護，二是從終端對病毒的防護與查殺。

除此之外，保證用戶端的身份認證信息、數(shù)據的機密性和完整性也十分重要。用戶端的安全威脅主要來自互聯(lián)網，如果用戶端設備是可信的，那么用戶端設備上就不能安裝未經授權的軟件。換句話說，只要是在用戶端設備上安裝和運行軟件一定要獲得安全服務的認證及授權使用許可，做到這點，網絡上的病毒才能不被植入到移動終端中。

3.3 加強監(jiān)測溯源能力

由于當前的TCP/IP協(xié)議對IP包的源地址沒有驗證機制，導致想要追溯數(shù)據包的真實發(fā)送地址十分困難，而要查找部分經過多個反射器后進行攻擊的真實源地址就更加困難。已有的監(jiān)測溯源技術分為以下三類：主動詢問類，該方法基于主動訪問數(shù)據流可能經過的全部路由器，確認其流向路徑的機制，此方法較為低端，通過路由器進行逐級查詢追溯，需要大量人力物力，且無法實現(xiàn)事后追溯的要求。數(shù)據檢測類，該方法通過建立覆蓋全局網絡的監(jiān)測點對全局網絡中數(shù)據流進行監(jiān)測，如訪問產生的日記記錄技術，如果移動網絡被入侵，由被入侵端發(fā)起查詢信息，以獲得入侵者的路徑信息，此方法需要大量的資源存儲空間，若使用HASH算法的日志類方法，則可大大減少數(shù)據儲存空間。路徑重構類，該類方法是目前較為成熟的追蹤溯源方法，其核心思想是通過在網絡中單獨發(fā)送含路徑信息的數(shù)據包或傳輸數(shù)據包時編入路徑信息，接收方通過接收儲存這些含有路徑信息的數(shù)據包，并依據重構算法找出攻擊數(shù)據包路徑的目的。

3.4 加強全局管控能力

網絡接入安全問題的防范依賴于網絡整體安全策略的全面有效實施，安全綜合管控平臺可以統(tǒng)一對策略進行定義、下發(fā)并在每個終端設備上進行統(tǒng)一實施，提高了集中管控能力，此外全局的安全管控還可以對安全事件的集中管理分析和應急響應提供支持，對全局的網絡安全風險及威脅進行評估，提供安全決策。

4 結語

隨著移動網絡與互聯(lián)網的高度融合，網絡多元化、設備智能化、信息開放性等特點也隨之在移動互聯(lián)網中體現(xiàn)出來。與這些技術特點的變化相伴的，移動網絡安全問題也相應出現(xiàn)了新的特點。本文對移動互聯(lián)網頻繁出現(xiàn)的安全技術問題進行了簡要分析，并提出四點解決策略及建議，希望對移動網絡安全技術問題的研究工作提供有益的借鑒。

[1]周學廣等.信息安全學.北京：機械工業(yè)出版社，2003.

[2][美]William Stallings.網絡安全基礎應用與標準（第4版）[M].北京：清華大學出版社，2011.

[3][美]Douglas Jacobson.網絡安全基礎-網絡攻防、協(xié)議與安全.北京：電子工業(yè)出版社，2011.

[4]（美）Mandy Andress著.楊濤等譯.計算機安全原理.北京：機械工業(yè)出版社，2002.

[5]王達.網管員必讀——網絡安全.電子工業(yè)出版社，2007.

[6]曹天杰等編著.計算機系統(tǒng)安全.北京：高等教育出版社，2003.

[7]石志國等編著.計算機網絡安全教程.北京：清華大學出版社，2004.