武 釗

(同濟大學 上海 200092)

1 移動互聯(lián)網(wǎng)時代信息安全正受到嚴重威脅

1.1 智能手機受到的主要威脅

在移動互聯(lián)網(wǎng)高速發(fā)展的今天，4,G網(wǎng)絡給用戶帶來的是更快速高效的體驗。而在不同的智能手機和網(wǎng)絡背后，可能有一些別有用心的人，他們或是不正當獲取用戶的個人資料從事不法活動，或是以占有財物為目的侵占用戶的賬戶信息，或是推送一些用戶被動傳播的不良信息，或是利用用戶的現(xiàn)有賬號來資費消耗……這些無不困擾著廣大移動互聯(lián)網(wǎng)用戶。

1.2 來自移動互聯(lián)網(wǎng)威脅分類

來自于移動互聯(lián)網(wǎng)的威脅主要分為 3類，分別是硬件、系統(tǒng)和應用程序。針對終端硬件層面的威脅主要包括 SIM 卡克隆、監(jiān)控竊聽、設備丟失和破壞等。目前來看，危害最大的莫過于由于智能手機的丟失而造成的用戶信息泄露。眾所周知，現(xiàn)在的大部分設備都不具備指紋識別系統(tǒng)，也就是沒有用戶權限授權訪問、遠程保護等安全預案，造成由于不能及時鎖定手機而形成嚴重后果。現(xiàn)在流行的智能手機系統(tǒng)主要有 IOS、Android、WP等，而系統(tǒng)層面的威脅，主要針對安卓等開源系統(tǒng)。不法之徒會通過開放性的安卓論壇，以逆向工程還原成源代碼，經過惡意植入修改打包發(fā)布在一些網(wǎng)站上，在良莠不齊的論壇和網(wǎng)站中，這種惡意程序比比皆是，而無論是哪一種系統(tǒng)，都會自動運行收集用戶位置的程序，收集用戶的相關使用信息和 MAC物理地址等信息。應用程序層面的安全威脅，主要是指由于各種惡意程序木馬而引發(fā)的用戶財產損失、通話監(jiān)聽、惡意訂購等安全風險。據(jù)不完全統(tǒng)計，截至2014年底國內新增手機惡意程序 91萬個，同比增長了 5倍。而這些不良的程序通常被植入了木馬程序，成為滋生犯罪的溫床。

2 移動互聯(lián)網(wǎng)終端安全管理的現(xiàn)狀和問題

由于我國移動互聯(lián)網(wǎng)發(fā)展過快，大多數(shù)的網(wǎng)絡安全公司并沒有預料到這種情況的發(fā)生。大多數(shù)的手機防御軟件都是從電腦端移植過來的，存在著對于系統(tǒng)的適應性障礙。不同于電腦端的應用程序，手機應用程序的反安裝程序通常不容易在根目錄下找到，因此，普通用戶也不具備自行卸載的能力。由此可見，需要智能終端產業(yè)鏈上的各個環(huán)節(jié)都能夠重視應用安全，從標準建立、技術探索、管理規(guī)范等方面加強對于智能終端的安全保護。

2.1 建立行業(yè)標準規(guī)范

2013年，工信部頒布了《關于加強移動智能終端管理的通知》，此通知從根本上約束了終端生產商對于內置軟件的安裝，維護了用戶的合法權益和信息安全。要求生產企業(yè)在未經用戶同意的情況下，不可擅自安裝收集用戶個人信息、調用衛(wèi)星定位功能、耗費流量功能的插件。而后又發(fā)布了《聯(lián)網(wǎng)軟件安全行為規(guī)范》，進一步要求和規(guī)范網(wǎng)絡運營企業(yè)對于放置在網(wǎng)上的軟件運行機制、安全檢測、行為方式的監(jiān)管。

2.2 網(wǎng)絡安全的技術探索

對于整個產業(yè)鏈來看，終端生產廠商、系統(tǒng)商、安全服務廠商、應用商店運營者、科研機構都有責任和義務參與到網(wǎng)絡安全技術探索中來。這就要求智能終端廠商，首先要構建基于可信計算技術和現(xiàn)有智能終端的硬件結構的移動智能終端可信體系架構，以軟件形式的移動可信模塊為基礎建立面向各核心部件的信任鏈，保證整個系統(tǒng)的安全運行；按照應用運行的狀態(tài)，使用控制模型的移動應用動態(tài)行為可信度量機制，將動態(tài)度量劃分為靜態(tài)使用控制和運行動態(tài)使用控制兩個階段；建立移動可信網(wǎng)絡連接認證體系，不僅局限于客戶身份的認證，更要擴展到移動終端平臺的軟、硬件配置狀態(tài)，該方案采用直接匿名認證和遠程認證向認證服務器證明移動可信模塊的真實性和可靠性，實現(xiàn)移動終端設備在動態(tài)過程中的可信接入認證。同原有認證機制來比較，現(xiàn)有的方案更具有效率高、運算量小等特點；針對終端后臺解析過程中有可能產生的安全威脅，依照數(shù)字內容的使用流程分解成 4個解析過程，并借助可信終端提供的安全存儲、時間保護、技術保護等機制有效保護數(shù)字密鑰的安全，確保權限不被惡意篡改。

2.3 建立和實施針對移動安全的管理制度

2010年開始，我國相關部門連續(xù)出臺了一系列法律法規(guī)來規(guī)范和約束電信運營商的經營行為和對于應用軟件運營商的經營規(guī)范，一方面懲治那些制作和傳播不利于社會穩(wěn)定和網(wǎng)絡環(huán)境的不法之徒，另一方面為有關部門提供執(zhí)法的依據(jù)。這一系列法律法規(guī)的出臺，指導了移動通訊運營商、終端制造商、系統(tǒng)提供商、安全企業(yè)等相關各方共同凈化網(wǎng)絡環(huán)境，維護用戶的合法權益。這不僅是廣大移動互聯(lián)網(wǎng)用戶的訴求，更是國家戰(zhàn)略信息安全的要求。

3 移動互聯(lián)網(wǎng)時代信息安全的發(fā)展趨勢與展望

面對移動互聯(lián)網(wǎng)環(huán)境的不斷改善，作為硬件制造商的終端首先應該保證嚴格的質量體系，履行進網(wǎng)許可規(guī)范，提升終端安全技術的研發(fā)，保護自己的知識產權。這里的保護知識產權并不是指固步自封，閉門造車，而是指在安全標準引導下的自主創(chuàng)新研發(fā)能力。鼓勵企業(yè)參與設計芯片和操作系統(tǒng)等關系到國家戰(zhàn)略意義的行業(yè)，通過不斷的創(chuàng)新和創(chuàng)造，進一步固化我國在移動終端產業(yè)鏈上的優(yōu)勢地位，擺脫國外廠商對行業(yè)的壟斷，提高自身的控制力和議價能力。在國家的法律法規(guī)框架下，推動相關安全標準的制定和貫徹實施，加強對終端產品的安全檢測內容和科學檢測方法，發(fā)布對于硬件缺陷的補足程序，保護用戶信息，預置卡機互鎖模塊和完善系統(tǒng)的功能。

推進第三方權威檢測實驗室的建設，對于應用程序提供商和發(fā)布平臺進行評估和安全檢測，將法律法規(guī)的要求落在實處，從源頭上保證應用程序的安全和質量，保證研發(fā)、編碼、轉碼、發(fā)布、下載、升級等各個環(huán)節(jié)的信息安全，要求企業(yè)不斷改進技術和管理流程。

可以預見，未來的移動互聯(lián)網(wǎng)將是圍繞著智能終端發(fā)展、保證用戶安全的多維系統(tǒng)，企業(yè)不僅要實現(xiàn)更多的商業(yè)價值，還要承擔更多的社會責任。在攻防形式方面，巨大的經濟利益促使著不良企業(yè)繼續(xù)侵犯用戶數(shù)據(jù)安全，在安全廠商的博弈過程中，不斷考驗著決策者的管理智慧。

4 結 語

在移動互聯(lián)網(wǎng)快速發(fā)展的今天，沒有任何一種應對機制和行動方案永遠是最優(yōu)的，隨著硬件技術的不斷發(fā)展，網(wǎng)絡平臺的不斷優(yōu)化，應用程序的不斷更新，要求安全運營商和決策者有責任、有義務在保證行業(yè)健康發(fā)展的同時，以動態(tài)的眼光去看待相應的管理手段，只有這樣，移動互聯(lián)網(wǎng)才能在健康的快車道上發(fā)展進步。■

［1］楊劍.WatchGuard統(tǒng)一威脅管理平臺領跑信息安全[J].電子與電腦，2010(3)：106.

［2］胡宇新.金融網(wǎng)站安全保護問題研究[J].信息網(wǎng)絡安全，2010(7)：29-30.

［3］李文武，游文霞，王先培.電力系統(tǒng)信息安全研究綜述[J].電力系統(tǒng)保護與控制，2011(10)：140-147.