◆譚 旺 侯愛蓮

（中國(guó)人民銀行長(zhǎng)沙中心支行 湖南 410005）

移動(dòng)互聯(lián)網(wǎng)的信息安全問(wèn)題與對(duì)策

◆譚 旺 侯愛蓮

（中國(guó)人民銀行長(zhǎng)沙中心支行 湖南 410005）

互聯(lián)網(wǎng)安全本身的問(wèn)題同移動(dòng)網(wǎng)絡(luò)的安全問(wèn)題結(jié)合在一起，加大了人們使用移動(dòng)互聯(lián)網(wǎng)的風(fēng)險(xiǎn)，本文探討移動(dòng)互聯(lián)網(wǎng)的信息安全問(wèn)題，力求在安全使用移動(dòng)網(wǎng)絡(luò)方面探索一條有效途徑。

移動(dòng)互聯(lián)網(wǎng)；信息安全

0 前言

隨著物聯(lián)網(wǎng)的發(fā)展，有線網(wǎng)絡(luò)在支持網(wǎng)絡(luò)連接方面已經(jīng)遠(yuǎn)遠(yuǎn)落后于實(shí)際的需求。物聯(lián)網(wǎng)要求萬(wàn)物互聯(lián)，移動(dòng)的設(shè)備與網(wǎng)絡(luò)連接的最好方式就是無(wú)線網(wǎng)絡(luò)。近年來(lái)，人民銀行積極推動(dòng)移動(dòng)金融的發(fā)展，移動(dòng)金融首先必須有移動(dòng)網(wǎng)絡(luò)的支持。但由于移動(dòng)網(wǎng)絡(luò)出現(xiàn)較晚，在技術(shù)上沒有完整完善的信息安全規(guī)劃，各單位在無(wú)線網(wǎng)絡(luò)的使用方面面一直持謹(jǐn)慎態(tài)度，部分機(jī)構(gòu)內(nèi)部禁止私自使用無(wú)線網(wǎng)絡(luò)。為了明確移動(dòng)互聯(lián)網(wǎng)存在的安全問(wèn)題并探索解決方案，本文通過(guò)調(diào)研、座談、測(cè)試等多種方式，探討移動(dòng)互聯(lián)網(wǎng)的信息安全問(wèn)題，力求為安全使用移動(dòng)網(wǎng)絡(luò)探索一條有效途徑。

1 基本概念

移動(dòng)互聯(lián)網(wǎng)是移動(dòng)通信技術(shù)與互聯(lián)網(wǎng)技術(shù)融合而生，其主要特征是用戶在移動(dòng)的過(guò)程中通過(guò)移動(dòng)設(shè)備隨時(shí)隨地訪問(wèn)互聯(lián)網(wǎng)。以移動(dòng)通信作為接入網(wǎng)絡(luò)是狹義的移動(dòng)互聯(lián)網(wǎng)，以各種無(wú)線網(wǎng)絡(luò)作為接入網(wǎng)是廣義的移動(dòng)互聯(lián)網(wǎng)。中國(guó)工業(yè)和信息化部電信研究院在2011年的《移動(dòng)互聯(lián)網(wǎng)白皮書》中給出：“移動(dòng)互聯(lián)網(wǎng)是以移動(dòng)網(wǎng)絡(luò)作為接入網(wǎng)絡(luò)的互聯(lián)網(wǎng)及服務(wù)，包括3個(gè)要素：移動(dòng)終端、移動(dòng)網(wǎng)絡(luò)和應(yīng)用服務(wù)。

2 主要問(wèn)題

與固定互聯(lián)網(wǎng)相比，移動(dòng)互聯(lián)網(wǎng)的特征可以總結(jié)為3個(gè)方面，即移動(dòng)性、私密性和融合性。移動(dòng)互聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)的不同給信息安全帶來(lái)了新的問(wèn)題，主要體現(xiàn)在如下幾方面。一是如何對(duì)接入網(wǎng)絡(luò)的地點(diǎn)、設(shè)備、人員進(jìn)行認(rèn)證；二是如何保證網(wǎng)絡(luò)數(shù)據(jù)不被竊聽；三是如何保證發(fā)生信息安全問(wèn)題后的追查；四是病毒、木馬等惡意代碼的防范。

2.1 認(rèn)證問(wèn)題

一是身份認(rèn)證方式簡(jiǎn)單，普遍使用靜態(tài)口令，安全性不夠。二是數(shù)字證書的形式不夠靈活，復(fù)雜的操作、較高的計(jì)算負(fù)荷不能滿足移動(dòng)終端快速響應(yīng)的要求。三是跨域信任的問(wèn)題，身份認(rèn)證中廣泛應(yīng)用的 PKI體系在移動(dòng)終端應(yīng)用時(shí)會(huì)產(chǎn)生跨域信任的問(wèn)題。四是客戶端應(yīng)用實(shí)現(xiàn)存在安全風(fēng)險(xiǎn)，部分手機(jī) SIM 卡采用的加密技術(shù)存在安全漏洞，網(wǎng)絡(luò)犯罪分子可以利用這一漏洞，控制人們的手機(jī)。

2.2 數(shù)據(jù)通信問(wèn)題

無(wú)線電波傳輸?shù)拈_放性和無(wú)線信號(hào)獲取的便利性，使得不法分子對(duì)移動(dòng)網(wǎng)絡(luò)中的信息竊取是比較容易的。服務(wù)提供商提供了發(fā)送與接收雙向服務(wù)，為合法的用戶發(fā)送需求的數(shù)據(jù)，接收合法的用戶的訪問(wèn)請(qǐng)求及數(shù)據(jù)提交。若缺乏相應(yīng)的保密機(jī)制與技術(shù)措施，非法用戶通過(guò)竊聽等手段能夠輕易的得到合法用戶的訪問(wèn)權(quán)限，獲取用戶與服務(wù)提供商之間的交互信息，可利用這些信息偽裝成合法用戶獲取資源，或偽裝成服務(wù)提供商向用戶提供惡意信息。

2.3 審計(jì)問(wèn)題

傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施有防火墻、入侵檢測(cè)、防 DDOS攻擊設(shè)備等，但這些監(jiān)管技術(shù)手段難以在移動(dòng)互聯(lián)網(wǎng)上應(yīng)用，針對(duì)移動(dòng)互聯(lián)網(wǎng)的監(jiān)控和保護(hù)措施非常缺乏。移動(dòng)互聯(lián)網(wǎng)具有跨地區(qū)、跨網(wǎng)段、跨平臺(tái)的特點(diǎn)，在為人們隨時(shí)隨地提供便捷上網(wǎng)服務(wù)的同時(shí)，也存在著眾多的安全弊端以及審計(jì)漏洞。

2.4 病毒防范

病毒軟件是危害移動(dòng)互聯(lián)網(wǎng)安全的首要問(wèn)題，雖然相關(guān)機(jī)構(gòu)早已開始對(duì)病毒軟件開展整治工作，但病毒軟件在我國(guó)依舊十分猖獗。在現(xiàn)階段相關(guān)部門的調(diào)查中，我國(guó)現(xiàn)階段移動(dòng)互聯(lián)網(wǎng)上大約活動(dòng)著超過(guò)600種，并且增加的速度越來(lái)越明顯。當(dāng)前，手機(jī)病毒已經(jīng)泛濫成災(zāi)，維護(hù)移動(dòng)互聯(lián)網(wǎng)安全，任重而道遠(yuǎn)。

3 主要措施

移動(dòng)互聯(lián)網(wǎng)主要有兩種接入方式：移動(dòng)通信方式接入和企業(yè)級(jí)WLAN接入。移動(dòng)通信方式主要是通過(guò)手機(jī)卡、無(wú)線上網(wǎng)卡等終端接入移動(dòng)通信網(wǎng)絡(luò)，如3G、4G網(wǎng)絡(luò)，實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接，對(duì)信息安全的管理主要有運(yùn)營(yíng)商和手機(jī)廠商實(shí)現(xiàn)，普通用戶從技術(shù)上無(wú)法干預(yù)。企業(yè)級(jí)WLAN由企業(yè)自行構(gòu)建，安全體系可自行控制。因此，我們討論移動(dòng)互聯(lián)網(wǎng)信息安全的措施與手段，主要從企業(yè)級(jí)WLAN構(gòu)建的角度出發(fā)。

3.1 技術(shù)架構(gòu)

企業(yè)級(jí)WLAN構(gòu)建方案如圖1所示，主要包括無(wú)線的接入與無(wú)線的管控兩方面。

3.1.1 無(wú)線的接入

無(wú)線接入AP分為兩種，在樓層的公共區(qū)域（如走廊過(guò)道頂部）安裝放裝型 AP，均勻分布，保證信號(hào)覆蓋。個(gè)別信號(hào)覆蓋不到的地方，補(bǔ)充安裝面板型AP，實(shí)現(xiàn)無(wú)線信號(hào)的全覆蓋。

3.1.2 無(wú)線的管控

無(wú)線的管控主要由無(wú)線接入控制交換機(jī)完成，在該設(shè)備上，通過(guò)配置接入終端的MAC地址，實(shí)現(xiàn)設(shè)備的準(zhǔn)入，為配置物理信息的設(shè)備無(wú)法訪問(wèn)無(wú)線網(wǎng)絡(luò)。

上網(wǎng)管理行為系統(tǒng)能夠?qū)o(wú)線接入與有線接入一樣，對(duì)用戶的上網(wǎng)進(jìn)行監(jiān)測(cè)，對(duì)網(wǎng)絡(luò)的流量進(jìn)行控制。防火墻、防 DDOS攻擊設(shè)備都是通用的安全設(shè)備，當(dāng)無(wú)線接入?yún)R入有線設(shè)備后，其攻擊行為能夠受到安全設(shè)備的有效防范。

圖1 移動(dòng)互聯(lián)網(wǎng)構(gòu)建方案

3.2 注意事項(xiàng)

安全風(fēng)險(xiǎn)管理重在超前防范，在使用移動(dòng)互聯(lián)網(wǎng)時(shí)，提前學(xué)習(xí)相關(guān)風(fēng)險(xiǎn)防范措施，緊繃信息安全這根弦，是防止信息安全事件發(fā)生，保護(hù)個(gè)人隱私數(shù)據(jù)不受侵犯的有效手段。

一是安全使用WiFi。（1）不要隨意使用來(lái)源不明的無(wú)線網(wǎng)絡(luò)，免費(fèi)又不需密碼的公共 WiFi，安全風(fēng)險(xiǎn)最大；（2）在使用手機(jī)支付或者轉(zhuǎn)賬時(shí)，盡量使用移動(dòng)網(wǎng)絡(luò)，因?yàn)槭謾C(jī)移動(dòng)4G網(wǎng)絡(luò)比無(wú)線WiFi安全系數(shù)高。

二是注重終端安全防范。手機(jī)作為移動(dòng)終端，應(yīng)關(guān)閉移動(dòng)共享，防止文件泄露；應(yīng)安裝防病毒軟件，防范病毒入侵；應(yīng)關(guān)閉WiFi自動(dòng)連接功能，防止誤入釣魚網(wǎng)站，導(dǎo)致賬戶信息泄密與資金風(fēng)險(xiǎn)。

三是安全使用瀏覽器。瀏覽器是互聯(lián)網(wǎng)的入口，是用戶最常使用的軟件，漏洞的存在使其成為很多攻擊者追尋的目標(biāo)，導(dǎo)致一系列的安全問(wèn)題。因此，在筆記本電腦或智能手機(jī)使用無(wú)線網(wǎng)絡(luò)，應(yīng)經(jīng)常對(duì)瀏覽器進(jìn)行升級(jí)，并安裝一些安全控件進(jìn)行加固。

四是安全設(shè)置路由器。家里使用的路由器管理后臺(tái)的用戶名、密碼，不要使用默認(rèn)的用戶名密碼，密碼最好更改為數(shù)字+字母+字符的高強(qiáng)度密碼，同時(shí)設(shè)置的WiFi密碼選擇WPA2加密認(rèn)證方式，防止非法用戶篡改設(shè)備配置。

五是防止非法外聯(lián)。在辦公區(qū)域使用移動(dòng)互聯(lián)網(wǎng)，應(yīng)高度謹(jǐn)慎，防止非法外聯(lián)。當(dāng)移動(dòng)設(shè)備接入內(nèi)部網(wǎng)絡(luò)前，可通過(guò)關(guān)閉或者禁用無(wú)線網(wǎng)卡來(lái)杜絕非法外聯(lián)事件發(fā)生。

3.3 管理措施

3.3.1 建立接入審批制度

建立移動(dòng)互聯(lián)網(wǎng)申請(qǐng)審批流程，由申請(qǐng)人提交申請(qǐng)書，由本部門負(fù)責(zé)人、保密部門負(fù)責(zé)人和科技部門負(fù)責(zé)人審批后，登記移動(dòng)終端設(shè)備MAC地址，并簽署保密協(xié)議，方可接入移動(dòng)互聯(lián)網(wǎng)。用戶手機(jī)終端設(shè)備的變更，同樣需要報(bào)備審批，便于所有上網(wǎng)用戶的信息及時(shí)更新。

3.3.2 加強(qiáng)日常行為監(jiān)測(cè)

通過(guò)部署上網(wǎng)行為管理系統(tǒng)，對(duì)用戶日常上網(wǎng)行為，設(shè)定相關(guān)策略，阻止非法操作，防止信息安全事件發(fā)生。上網(wǎng)行為管理具備專業(yè)的行為管理、應(yīng)用控制、流量管控、信息管控、非法熱點(diǎn)管控、行為分析、無(wú)線網(wǎng)絡(luò)管理等功能，能夠做到全網(wǎng)全終端統(tǒng)一上網(wǎng)行為管理，有效防止員工進(jìn)行與工作無(wú)關(guān)的網(wǎng)絡(luò)行為。

提高帶寬資源利用率，規(guī)避泄密和法規(guī)風(fēng)險(xiǎn)、保障內(nèi)網(wǎng)數(shù)據(jù)安全，實(shí)現(xiàn)可視化管理以及全面管控?zé)o線AP。

3.3.3 強(qiáng)化操作日志審計(jì)

用戶訪問(wèn)日志的保存是相當(dāng)重要的，信息安全管理規(guī)定通常要求日志保存在三個(gè)月以上。無(wú)線管控需要部署日志服務(wù)器，增加日志審計(jì)功能模塊，包含 Web訪問(wèn)審計(jì)、文件傳輸審計(jì)、郵件審計(jì)、用戶行為審計(jì)等內(nèi)容。一方面，網(wǎng)絡(luò)管理員可以通過(guò)查詢系統(tǒng)日志記錄，隨時(shí)了解本單位網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)系統(tǒng)異常事件；另一方面，通過(guò)事后分析和豐富的報(bào)表系統(tǒng)，管理員可以高效地對(duì)用戶群體進(jìn)行有針對(duì)性的安全審計(jì)。遇到特殊安全事件和系統(tǒng)故障，日志審計(jì)系統(tǒng)可以幫助網(wǎng)管人員對(duì)故障進(jìn)行快速定位，并為責(zé)任追查和數(shù)據(jù)恢復(fù)提供客觀依據(jù)。

3.3.4 加大安全宣傳力度

人是決定移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題的關(guān)鍵性因素，只有擁有遵守法律法規(guī)和操作規(guī)范的使用人群，才能保證移動(dòng)互聯(lián)網(wǎng)不再出現(xiàn)安全問(wèn)題。因此，應(yīng)加大信息安全宣傳力度，通過(guò)宣傳板、公示欄、單位廣播等方式向人們宣傳移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題，在講述移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題對(duì)人們的危害時(shí)，也要講明相關(guān)安全問(wèn)題在人們生活中的體現(xiàn)，提高人們對(duì)移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題的認(rèn)識(shí)，降低相關(guān)安全問(wèn)題對(duì)人們的影響。

[1]趙玉雪.移動(dòng)互聯(lián)網(wǎng)中的認(rèn)證機(jī)制研究[D].南京郵電大學(xué)，2011.

[2]李佳.移動(dòng)互聯(lián)網(wǎng)的信息安全研究[D].首都經(jīng)濟(jì)貿(mào)易大學(xué)，2014.

[3]羅軍舟等.移動(dòng)互聯(lián)網(wǎng)：終端、網(wǎng)絡(luò)與服務(wù)[J].計(jì)算機(jī)學(xué)報(bào)，2011.

[4]李志永.移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)傳輸安全機(jī)制研究與審計(jì)[D].南京航空航天大學(xué)，2010.

[5]杜元?jiǎng)?移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題與應(yīng)對(duì)策略探討[J].電子技術(shù)與軟件工程，2014.

[6]周鵬東.銀行無(wú)線網(wǎng)絡(luò)的安全性探討[J].金融電子化，2008.