構(gòu)建移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)安全框架

黃斐一　孫立軍　孔繁盛

1 概述

近些年來，移動(dòng)互聯(lián)網(wǎng)的安全問題受到越來越多從業(yè)者的關(guān)注和研究，如何構(gòu)建移動(dòng)互聯(lián)網(wǎng)安全框架的課題也變得越來越重要。如果參照傳統(tǒng)的7層OSI網(wǎng)絡(luò)架構(gòu)的思路去構(gòu)建移動(dòng)互聯(lián)網(wǎng)安全框架，類似從物理安全、主機(jī)安全、中間件安全、操作系統(tǒng)安全到應(yīng)用層安全這樣的分層分類方式則呼之欲出。遺憾的是移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)種類和場(chǎng)景的多樣性使得這種通用型的框架在實(shí)際工作中并沒有多少實(shí)用價(jià)值。不同業(yè)務(wù)特性的巨大差異使得這些業(yè)務(wù)面臨的安全威脅及其安全側(cè)重點(diǎn)也各不相同，為這些不同種類的業(yè)務(wù)設(shè)計(jì)一個(gè)相對(duì)統(tǒng)一的、有實(shí)際參考價(jià)值的安全框架正在成為一個(gè)重要的研究課題。

如果回想一下我們耳熟能詳?shù)囊苿?dòng)互聯(lián)網(wǎng)業(yè)務(wù)，最先浮現(xiàn)在我們腦海的是如微信、QQ、飛信這樣的即時(shí)通訊業(yè)務(wù)，如新浪微博、百度視頻這樣的內(nèi)容型業(yè)務(wù)，如豌豆莢、機(jī)鋒市場(chǎng)這樣的應(yīng)用商城業(yè)務(wù)，如百度地圖這樣的基于位置的應(yīng)用。用戶在使用這些業(yè)務(wù)的時(shí)候可能涉及注冊(cè)、登錄等環(huán)節(jié)，可能會(huì)閱讀他人發(fā)布的文字或多媒體內(nèi)容，可能會(huì)從應(yīng)用商城中購(gòu)買、下載一些應(yīng)用，可能會(huì)使用GPS定位功能。如果這些場(chǎng)景的安全漏洞被利用，用戶可能會(huì)因?yàn)闃I(yè)務(wù)流程的漏洞在注冊(cè)過程中遭受短信炸彈的攻擊，可能因?yàn)橄螺d了帶有惡意代碼的應(yīng)用使得手機(jī)感染病毒；業(yè)務(wù)可能因?yàn)閻阂庥脩舭l(fā)布、轉(zhuǎn)載色情內(nèi)容遭受大面積投訴和輿情主管部門的處罰，也可能因?yàn)閮?nèi)部管理不善造成大面積的用戶信息泄露事件。

在對(duì)現(xiàn)有移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行統(tǒng)計(jì)分析的基礎(chǔ)上，筆者發(fā)現(xiàn)紛繁復(fù)雜的業(yè)務(wù)可以大致分為內(nèi)容發(fā)布型、信息交互型、在線電商型這幾大類。對(duì)于這些業(yè)務(wù)，首先需要保證它們?cè)诹鞒毯瓦壿嬌喜荒苡新┒?，否則很容易被惡意用戶利用；其次，需要保證其內(nèi)容的安全性，即無(wú)論是業(yè)務(wù)官方發(fā)布的還是用戶交互的內(nèi)容都要合法合規(guī)，不能包含宗教、種族、政治、色情等違規(guī)內(nèi)容；第三，業(yè)務(wù)的重要入口——客戶端，不能含有惡意代碼；最后，業(yè)務(wù)如果保留了用戶的隱私信息，則有義務(wù)保證這些信息的機(jī)密性。

綜上所述，本文將從業(yè)務(wù)流程安全、內(nèi)容安全、手機(jī)應(yīng)用安全、用戶信息安全4個(gè)角度構(gòu)建移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)安全框架。一方面，這4個(gè)角度是基于對(duì)現(xiàn)有移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行總結(jié)分析而來的，所以若有新的業(yè)務(wù)形態(tài)、安全威脅場(chǎng)景出現(xiàn)，這個(gè)框架需要進(jìn)一步更新；另一方面，這4個(gè)角度是平行的領(lǐng)域，沒有先后，不同業(yè)務(wù)在這4個(gè)領(lǐng)域各有側(cè)重。

2 移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)安全框架

2.1 業(yè)務(wù)流程安全

業(yè)務(wù)流程安全風(fēng)險(xiǎn)是移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)最直觀的風(fēng)險(xiǎn)。若某業(yè)務(wù)在注冊(cè)頁(yè)面未加載圖形驗(yàn)證碼，這可能會(huì)導(dǎo)致該業(yè)務(wù)被批量注冊(cè)；在登錄的時(shí)候未采用未成功嘗試次數(shù)限制，可能會(huì)導(dǎo)致賬戶被暴力破解。所以在移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的設(shè)計(jì)過程中，為了保證業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，首先要考慮的就是設(shè)計(jì)一個(gè)全面、完整、安全的業(yè)務(wù)流程，防范因流程不完善造成的風(fēng)險(xiǎn)。最典型的流程包括注冊(cè)、登錄、訂購(gòu)和計(jì)費(fèi)。

在用戶注冊(cè)過程中，一些業(yè)務(wù)由其業(yè)務(wù)特性決定了必須采用實(shí)名注冊(cè)的方式方可使用（如微博），但業(yè)務(wù)流程未強(qiáng)制要求用戶輸入手機(jī)號(hào)、身份證號(hào)等實(shí)名信息。這可能導(dǎo)致信息發(fā)布不可控、用戶行為不可追溯等風(fēng)險(xiǎn)。在注冊(cè)過程中，圖形驗(yàn)證碼、短信驗(yàn)證碼、電子郵件驗(yàn)證是防范批量注冊(cè)風(fēng)險(xiǎn)的重要手段。與此同時(shí)，業(yè)務(wù)還需要對(duì)使用同一手機(jī)號(hào)、郵箱地址注冊(cè)的用戶做出注冊(cè)次數(shù)限制，否則有可能會(huì)造成短信炸彈或者郵件炸彈。另外，業(yè)務(wù)還需要對(duì)用戶的密碼強(qiáng)度進(jìn)行限制，防范弱密碼風(fēng)險(xiǎn)。

在登錄過程中，很多業(yè)務(wù)通過下發(fā)短信驗(yàn)證碼或者郵件驗(yàn)證碼的方式保證賬號(hào)的安全性。但是需要注意的是，業(yè)務(wù)也需要對(duì)短信驗(yàn)證碼和郵件驗(yàn)證碼的下發(fā)次數(shù)做出限制，否則也可能造成短信炸彈或郵件炸彈。除此之外，登錄過程最常見的風(fēng)險(xiǎn)之一就是賬戶的暴力破解、字典攻擊。為了克服此類風(fēng)險(xiǎn)，除了在注冊(cè)階段強(qiáng)制用戶使用強(qiáng)密碼以外，還需要為用戶賬戶和IP地址設(shè)置登錄嘗試次數(shù)的限制。

訂購(gòu)和計(jì)費(fèi)是用戶使用過程中產(chǎn)生費(fèi)用、業(yè)務(wù)獲得收入的主要步驟。它面臨多個(gè)方面的安全風(fēng)險(xiǎn)，為此：首先，在訂購(gòu)關(guān)系的產(chǎn)生過程中，需要保證該訂購(gòu)出自于用戶的真實(shí)意愿。這就需要業(yè)務(wù)通過各種手段（如上行消息確認(rèn)、上行短信確認(rèn)等）二次確認(rèn)用戶的訂購(gòu)意愿。這樣一來，一可以防止用戶因客戶端病毒造成惡意訂購(gòu)或者不知情訂購(gòu)的現(xiàn)象，二可以保證訂購(gòu)結(jié)果的可追朔性和不可否認(rèn)性。其次，訂購(gòu)關(guān)系在用戶客戶端產(chǎn)生并上傳后必須實(shí)時(shí)同步到業(yè)務(wù)系統(tǒng)中的相關(guān)模塊。這可以避免因同步不及時(shí)造成的運(yùn)營(yíng)風(fēng)險(xiǎn)。最后，訂購(gòu)關(guān)系無(wú)論在傳輸還是存儲(chǔ)的過程中，都應(yīng)該根據(jù)實(shí)際情況考慮該類數(shù)據(jù)傳輸及存儲(chǔ)的機(jī)密性和完整性。因?yàn)閷?duì)于任何一種業(yè)務(wù)來說，訂購(gòu)關(guān)系數(shù)據(jù)的丟失或者不準(zhǔn)確就意味著該業(yè)務(wù)的收入無(wú)法對(duì)賬和確認(rèn)。

2.2 內(nèi)容安全

內(nèi)容安全風(fēng)險(xiǎn)源于對(duì)內(nèi)容管控的不利，大量違規(guī)內(nèi)容（如宗教、種族、政治、色情等）的擴(kuò)散會(huì)引起惡劣的社會(huì)反響。前不久中央電視臺(tái)曝光的微博“大V”用戶利用個(gè)人影響力左右輿論的案例表明，移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)內(nèi)容安全風(fēng)險(xiǎn)需要進(jìn)行大力防范。違規(guī)內(nèi)容可能來自業(yè)務(wù)本身的運(yùn)營(yíng)團(tuán)隊(duì)，也可能來自用戶。內(nèi)容安全的目標(biāo)就在于保證該業(yè)務(wù)的所有內(nèi)容擴(kuò)散渠道沒有違規(guī)內(nèi)容出現(xiàn)。

（1）廣告位：廣告位一般位于業(yè)務(wù)醒目的位置以方便將此位置的內(nèi)容廣而告之。若它被惡意利用作為擴(kuò)散違規(guī)信息的載體，則會(huì)給業(yè)務(wù)帶來災(zāi)難性的后果。這就要求業(yè)務(wù)運(yùn)營(yíng)團(tuán)隊(duì)在發(fā)布、更新廣告位內(nèi)容時(shí)遵循“編”、“審”、“發(fā)”分離的原則。即廣告內(nèi)容的編輯、審核和發(fā)布必須分離，且由不同人來完成，這樣可以很好地克服單人操作的風(fēng)險(xiǎn)。除此之外，如果業(yè)務(wù)運(yùn)營(yíng)團(tuán)隊(duì)能夠搭建一個(gè)內(nèi)容發(fā)布平臺(tái)將此流程固化到平臺(tái)中，則可以保證所有的操作人員嚴(yán)格地執(zhí)行“編”、“審”、“發(fā)”分離的要求；平臺(tái)也能夠記錄每一步操作的日志，保證了操作的可追溯性和不可否認(rèn)性。

（2）短彩信：租用運(yùn)營(yíng)商的短彩信端口，并將短彩信發(fā)送能力提供給用戶是很多移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的重要功能之一。當(dāng)然，業(yè)務(wù)運(yùn)營(yíng)團(tuán)隊(duì)也可以利用該短彩信端口開展業(yè)務(wù)營(yíng)銷。所以移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)短彩信內(nèi)容的安全風(fēng)險(xiǎn)一般需要從兩個(gè)角度去考量：業(yè)務(wù)運(yùn)營(yíng)團(tuán)隊(duì)營(yíng)銷短彩信的內(nèi)容安全和用戶自寫短彩信的安全。用戶自寫短彩信的內(nèi)容安全屬于UGC（User Generate Content）安全的范疇，將在下文集中討論。對(duì)于營(yíng)銷短彩信的安全來說，內(nèi)容合規(guī)以及對(duì)發(fā)送對(duì)象的管控是主要管控目標(biāo)。與廣告位內(nèi)容合規(guī)一樣，營(yíng)銷短彩信的內(nèi)容合規(guī)性可以通過遵循“編”、“審”、“發(fā)”分離的原則達(dá)成。對(duì)于短信發(fā)送對(duì)象的管控則比較復(fù)雜。近年來，垃圾短信的現(xiàn)象日益嚴(yán)重，2014年2月，國(guó)家開始研究設(shè)立新廣告法，并將短信廣告納入其約束范圍：在沒有用戶允許的情況下，向其發(fā)送含有廣告內(nèi)容的短信將成為違法行為。所以，在業(yè)務(wù)團(tuán)隊(duì)群發(fā)營(yíng)銷短彩信時(shí)需要注意該發(fā)送對(duì)象是否已經(jīng)同意接收此短信。如果在不知用戶是否同意的情況下，則可以考慮在發(fā)送給用戶的短信后面添加類似“回復(fù)‘X不再收到此類短信”的字樣。endprint

（3）用戶自寫信息（UGC）：它的種類多種多樣，包括微博發(fā)文、論壇發(fā)帖、評(píng)論、昵稱、頭像、個(gè)人文件共享、短彩信等。它可以以文字、圖片、音頻、視頻、文件等多種形態(tài)出現(xiàn)。UGC內(nèi)容安全面臨的最大挑戰(zhàn)是業(yè)務(wù)運(yùn)營(yíng)團(tuán)隊(duì)必須保證用戶自寫內(nèi)容的合規(guī)性，不能讓業(yè)務(wù)成為非法傳播違規(guī)內(nèi)容的手段和渠道。實(shí)現(xiàn)UGC內(nèi)容合規(guī)的主要手段有兩個(gè)：自動(dòng)化過濾和人工審核。自動(dòng)化過濾是通過過濾引擎自動(dòng)識(shí)別非法內(nèi)容。到目前為止，自動(dòng)化文字過濾相對(duì)來說比較成熟，但是圖片和視頻過濾準(zhǔn)確度較低，音頻、文件等內(nèi)容尚無(wú)自動(dòng)化過濾手段。所以，業(yè)務(wù)運(yùn)營(yíng)團(tuán)隊(duì)可以通過人工審核的方式為自動(dòng)化過濾進(jìn)行修正和補(bǔ)充。

（4）App：絕大部分App中都包含著文字和圖片，有些還包含有音頻和視頻。一方面，業(yè)務(wù)運(yùn)營(yíng)團(tuán)隊(duì)需要嚴(yán)格控制自有App的內(nèi)容發(fā)布流程，遵循“編”、“審”、“發(fā)”分離的原則；另一方面，第三方App（如“豌豆莢”應(yīng)用商城發(fā)布來自于個(gè)人或企業(yè)開發(fā)者的應(yīng)用）的內(nèi)容管控則可以借鑒UGC內(nèi)容安全管控的方法。需要注意是，App的開發(fā)者可能會(huì)將違規(guī)的內(nèi)容放置在加密文件夾中，用戶安裝且輸入密碼后才能瀏覽，這就造成應(yīng)用商城無(wú)法對(duì)其進(jìn)行過濾和審核。另外，App可以通過在線更新的方式將非法內(nèi)容更新到新版本的App中。這兩種場(chǎng)景對(duì)于應(yīng)用商城業(yè)務(wù)運(yùn)營(yíng)團(tuán)隊(duì)來說，都沒有較好的方案在第三方應(yīng)用上線前將其發(fā)現(xiàn)和解決，只能通過例如用戶投訴或在線監(jiān)測(cè)等手段了解哪些App帶有不合規(guī)內(nèi)容，隨后進(jìn)行處理。

2.3 手機(jī)應(yīng)用安全

手機(jī)應(yīng)用安全風(fēng)險(xiǎn)是移動(dòng)互聯(lián)網(wǎng)時(shí)代重要且典型的安全風(fēng)險(xiǎn)之一。用戶在手機(jī)上安裝了某款手機(jī)應(yīng)用（App）以后，如果App中包含或被植入（因?yàn)楸旧淼穆┒矗阂獯a，手機(jī)終端可能會(huì)被修改系統(tǒng)的設(shè)置、被申請(qǐng)敏感的權(quán)限甚至被竊取隱私信息。比如“不知情訂購(gòu)”可以在用戶不知情或未授權(quán)的情況下，通過隱蔽執(zhí)行、欺騙用戶點(diǎn)擊等手段，訂購(gòu)各類收費(fèi)業(yè)務(wù)或使用移動(dòng)終端支付，導(dǎo)致用戶的經(jīng)濟(jì)損失；又如“隱私竊取”可以在用戶不知情或未授權(quán)的情況下，收集涉及用戶個(gè)人的信息，并以短信、聯(lián)網(wǎng)等形式泄露這些信息，導(dǎo)致用戶隱私泄露。手機(jī)應(yīng)用安全的目標(biāo)就在于通過對(duì)App惡意性的研判、識(shí)別和對(duì)惡意應(yīng)用的查殺，幫助用戶很好地面對(duì)這些安全場(chǎng)景、解決這些安全問題。

到目前為止，惡意應(yīng)用和行為的檢測(cè)與識(shí)別技術(shù)主要包括兩大類：基于特征值匹配技術(shù)和基于行為的啟發(fā)式檢測(cè)技術(shù)?；谔卣髦灯ヅ浼夹g(shù)是目前反病毒公司普遍采用的惡意代碼檢測(cè)技術(shù)。該技術(shù)主要通過將手機(jī)應(yīng)用與惡意代碼數(shù)據(jù)庫(kù)進(jìn)行匹配的方式判定該應(yīng)用是否包含惡意代碼或者感染病毒。它主要包含兩類方案：第一，通過掃描引擎將手機(jī)應(yīng)用的安裝包進(jìn)行解壓，逐一對(duì)單個(gè)文件計(jì)算特征值，并與惡意代碼特征庫(kù)中的特征值逐一比對(duì)，從而判斷應(yīng)用中是否包含惡意性代碼。第二，掃描引擎將安裝包反編譯成虛擬機(jī)識(shí)別的Dalvik字節(jié)碼，以每個(gè)語(yǔ)句單元的“操作碼”為主特征碼，以細(xì)節(jié)信息為輔助特征碼，與惡意代碼特征庫(kù)進(jìn)行匹配，若發(fā)現(xiàn)匹配項(xiàng)則可判斷該應(yīng)用包含惡意代碼或感染了病毒。

基于行為的啟發(fā)式掃描是基于特征值匹配技術(shù)的升級(jí)，與后者相比有著對(duì)未知惡意代碼和病毒進(jìn)行防御的優(yōu)點(diǎn)。由于惡意代碼要達(dá)到感染和破壞的目的，具備一定的行為特征，因此可以通過動(dòng)態(tài)的分析和監(jiān)測(cè)手機(jī)應(yīng)用的代碼與行為來判斷其是否具有惡意性，而不依賴惡意代碼特征庫(kù)。

2.4 用戶信息安全

在移動(dòng)互聯(lián)網(wǎng)時(shí)代，手機(jī)逐漸演變?yōu)橛脩舻膫€(gè)人輔助性數(shù)字終端，它包含了用戶非常多的個(gè)人信息，如手機(jī)號(hào)碼、通訊錄、短信信息、位置信息、各類賬戶密碼信息等。個(gè)人信息和隱私保護(hù)問題變得愈發(fā)重要。

從理論上說，信息保密的原則在于信息的產(chǎn)生、傳輸、存儲(chǔ)、處理的各個(gè)環(huán)節(jié)的保密。典型的信息產(chǎn)生階段是用戶的注冊(cè)階段，用戶密碼顯然就是敏感的、需要被保護(hù)的信息。除此之外，一些有實(shí)名注冊(cè)需求的業(yè)務(wù)（如微博）要求輸入用戶的手機(jī)號(hào)碼和身份證號(hào)碼。這些信息在用戶提交給系統(tǒng)的時(shí)候，可以采用加密通道傳輸?shù)姆绞椒乐剐畔⒃趥鬏數(shù)倪^程中被截獲和竊聽，如SSL VPN、IPSEC VPN。當(dāng)用戶敏感信息上傳到系統(tǒng)中以后，可采用加密存儲(chǔ)的方式保證信息的機(jī)密性。當(dāng)業(yè)務(wù)系統(tǒng)需要訪問、處理這些信息的時(shí)候，可采用多人操作的模式，通過遵循“授權(quán)不操作、操作不授權(quán)”的原則防止個(gè)人權(quán)限過大帶來的信息泄露風(fēng)險(xiǎn)。

但是在實(shí)際的業(yè)務(wù)運(yùn)營(yíng)過程中，是很難達(dá)到這種理論的效率的。從用戶角度來說，一旦其敏感信息被業(yè)務(wù)運(yùn)營(yíng)方獲取以后，他們很難相信業(yè)務(wù)方能夠真正地保障其隱私信息的機(jī)密性?；谶@種需求，近些年學(xué)術(shù)界興起了一個(gè)新的研究方向：如何使得業(yè)務(wù)方在并不真正擁有用戶隱私信息的情況下順利地開展業(yè)務(wù)。比如業(yè)務(wù)方只擁有用戶的地理位置的加密信息，不了解用戶真實(shí)的地理位置（如經(jīng)緯度），卻能夠?yàn)橛脩籼峁╊愃啤案浇娜恕钡刃畔ⅰ５沁@一類技術(shù)尚在理論研究的階段，并沒有大規(guī)模的商業(yè)應(yīng)用。另外，大數(shù)據(jù)挖掘技術(shù)能夠從一些看似不包含隱私信息的公開數(shù)據(jù)中挖掘出非常有用的隱私信息。比如“表哥”佩戴的手表的價(jià)格顯然是隱私信息，但是通過搜集、分析網(wǎng)絡(luò)上公開的十余張照片，我們不難了解他的收入水平。這也使得在大數(shù)據(jù)時(shí)代用戶隱私的保護(hù)變得越來越困難。

3 結(jié)束語(yǔ)

本文著眼于移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的形態(tài)和特點(diǎn)，梳理了移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)安全框架。隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展，構(gòu)建其安全框架其實(shí)是一個(gè)開放性的命題。傳統(tǒng)通信領(lǐng)域中使用同一框架（如ITU X.805）去適配多個(gè)場(chǎng)景、多種網(wǎng)絡(luò)的思路已不再適用移動(dòng)互聯(lián)網(wǎng)領(lǐng)域，那會(huì)使得安全框架的可用性和可落地性有限。新的業(yè)務(wù)必將引發(fā)新的安全威脅，這就需要安全從業(yè)者不斷地從業(yè)務(wù)形態(tài)和場(chǎng)景出發(fā)，設(shè)計(jì)面向業(yè)務(wù)的安全解決方案，不斷地更新和完善業(yè)務(wù)安全框架。

參考文獻(xiàn)：

[1] 孫澤鋒. 移動(dòng)互聯(lián)網(wǎng)發(fā)展技術(shù)與安全分析[J]. 電信科學(xué)， 2011（S1）.

[2] Zhang Bin， Xu Miao， Wu Minli. Research on Web Filtering Technology Based on the Dual Feature Selection[C]//2012 Proceedings of the 3rd IEEE International Conference on the Network Infrastructure and Digital Content（IEEE IC-NIDC2012）. Beijing： [s.n.]， 2012： 675-679.

[3] 羅喧，梁柏青，潘軍彪，等. 智能手機(jī)應(yīng)用安全關(guān)鍵技術(shù)探討[J]. 電信科學(xué)， 2013（5）.

[4] 霍崢，孟小峰，徐建良. 云計(jì)算中面向隱私保護(hù)的查詢處理技術(shù)研究[J]. 計(jì)算機(jī)科學(xué)與探索， 2012（5）.

[5] 張壽華，劉振鵬. 網(wǎng)絡(luò)輿情熱點(diǎn)話題聚類方法研究[J]. 小型微型計(jì)算機(jī)系統(tǒng)， 2013（3）.endprint