王歡

移動互聯(lián)網(wǎng)需要全新移動安全解決方案，安全開放平臺成為了網(wǎng)絡(luò)安全的發(fā)展趨勢。

據(jù)2014年統(tǒng)計(jì)，中國智能手機(jī)用戶已經(jīng)突破5億。2015年第一季度，移動支付業(yè)務(wù)13.76億筆，金額39.78萬億元，同比分別增長108.85%和921.49%。根據(jù)普華永道數(shù)據(jù)統(tǒng)計(jì)，中國消費(fèi)者使用移動支付意愿比例為63% ，是全球平均值的兩倍。

但是，當(dāng)前中國移動互聯(lián)網(wǎng)的安全現(xiàn)狀并不容樂觀。近年來，手機(jī)軟件所導(dǎo)致的個(gè)人信息泄露問題變得日益突出，引起社會各方的關(guān)注。

安全現(xiàn)狀不容樂觀

通過智能手機(jī)、平板電腦等移動終端，收發(fā)郵件、洽談業(yè)務(wù)、傳送圖文資料等是每個(gè)政府部門、企事業(yè)單位以及商務(wù)人士的都會涉及的工作。移動辦公因其便捷、高效、節(jié)約成本等優(yōu)勢正在成為許多單位的選擇，而與之相伴的安全威脅實(shí)則讓用戶頭疼不已。由于移動辦公接入硬件設(shè)備的多樣性，且大部分無健全的安全防護(hù)措施，使得信息安全問題異常凸顯。如今，智能手機(jī)的安全隱患主要體現(xiàn)在以下六個(gè)方面：

手機(jī)賬戶的安全問題日益凸顯。國內(nèi)的支付寶、微信支付、百度錢包以及各大銀行的手機(jī)銀行、網(wǎng)銀等都出現(xiàn)過用戶賬號密碼泄露或綁定銀行卡后被盜刷和轉(zhuǎn)賬的案件。

垃圾短信橫生、垃圾號碼偽裝成了易事。黑基站、偽基站的架設(shè)使得利用來電和短信的詐騙活動層出不窮，由于調(diào)查難、取證難、破案率低，成為各地公安部門棘手的案件類別。

偽WIFI熱點(diǎn)竊取各類賬號和手機(jī)內(nèi)信息。將路由器或手機(jī)偽裝成公共WIFI熱點(diǎn)是輕而易舉的事情，許多人在公共場所因?yàn)椴渚W(wǎng)而極有可能連上偽裝的WIFI熱點(diǎn)，被過濾捕捉到賬號信息、應(yīng)用口令等敏感信息，后果不堪設(shè)想。

非法的二維碼讓機(jī)主一掃就中毒。二維碼作為使用方便的引導(dǎo)入口，被廣泛運(yùn)用于商業(yè)和公共事務(wù)中，也導(dǎo)致其成為主要的惡意網(wǎng)站和病毒木馬誘導(dǎo)方式。用戶見碼就掃的行為，會輕而易舉導(dǎo)致手機(jī)中毒中馬。

植入木馬的手機(jī)瞬間變成竊聽器和定位器。激活的木馬極易暴露機(jī)主的隱私，泄漏機(jī)主的行蹤，甚至遠(yuǎn)程控制打開攝像頭，讓用戶的信息在不知不覺中被挖掘一空，使機(jī)主的個(gè)人隱私、賬號密碼、商業(yè)機(jī)密甚至國家安全信息被竊取，蒙受無法想象的損失。

智能手機(jī)內(nèi)核芯片缺乏主導(dǎo)權(quán)導(dǎo)致大隱患。斯諾登事件就爆出美國安全部門責(zé)令微軟、谷歌、Facebook、蘋果等軟硬件廠商提供后臺服務(wù)器接口，以數(shù)據(jù)進(jìn)行分析。對于沒有技術(shù)軟硬件主導(dǎo)權(quán)的其他國家，隱患很大。

此外，用戶對移動安全威脅的認(rèn)知不盡人意，很多用戶在個(gè)人信息保護(hù)方面意識不夠，對于很多個(gè)人信息泄露帶來的危害不甚了解，在手機(jī)軟件個(gè)人信息泄露方面沒有保持足夠的警惕性，這就給手機(jī)軟件安全隱患打開了方便之門。同時(shí)，外部情報(bào)間諜、競爭對手通過各種技術(shù)手段竊取政府部門和企業(yè)機(jī)密；內(nèi)部員工疏于管控，使用不安全的通訊方式無意中造成泄密。兩種情況都會對用戶造成無法挽回的損失。導(dǎo)致政府機(jī)關(guān)、事業(yè)單位重要機(jī)密信息，企業(yè)產(chǎn)品資料、制作工藝、客戶資料、合同報(bào)價(jià)等重要商業(yè)機(jī)密被有意或無意中通過手機(jī)或網(wǎng)泄露，企業(yè)為此付出了沉重的代價(jià)。

2013年是移動安全問題進(jìn)入全面爆發(fā)的新階段：2013年安卓（Android）平臺新增惡意程序樣本67.1萬個(gè)，較2012年增長4.4倍；用戶感染惡意程序9747萬人次，較2012年增長了88.3%，其中資費(fèi)消耗、惡意扣費(fèi)、隱私竊取和誘騙欺詐類惡意程序的感染量最高用戶手機(jī)感染惡意程序后面臨直接經(jīng)濟(jì)損失的可能性達(dá)到了近七成。根據(jù)《2014年中國手機(jī)安全狀況報(bào)告》，手機(jī)木馬近似模仿流行APP成最新趨勢，竊密木馬偽裝成系統(tǒng)軟件是其傳播和加載的常用手段，極具隱蔽性。2015年互聯(lián)網(wǎng)安全中心累計(jì)截獲Android平臺心中惡意程序樣本達(dá)326萬余個(gè)，較2013年增長了3.86倍。手機(jī)一旦被木馬控制，可能會發(fā)生手機(jī)中存儲的文本信息、通訊錄被竊取；持機(jī)人的環(huán)境音被竊聽，使手機(jī)成為一部竊聽器；持機(jī)人的地理位置信息被掌握；通話信息、收發(fā)短信的內(nèi)容被截取。

鑒于目前信息安全的嚴(yán)峻形式，我國對涉密網(wǎng)絡(luò)、涉密人員的管理成為國家安全保密工作中的當(dāng)務(wù)之急。2014年1月17日在全國保密工作會議上，中共中央政治局委員、中央保密委員會主任栗戰(zhàn)書強(qiáng)調(diào)：“做好新形勢下的保密工作，要增強(qiáng)憂患意識、創(chuàng)新意識和責(zé)任意識，聚焦重點(diǎn)難點(diǎn)，打好‘持久戰(zhàn)、‘攻堅(jiān)戰(zhàn)，要從制度和技術(shù)上做好對智能手機(jī)的技術(shù)安全防護(hù)工作?！?014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，習(xí)近平親自擔(dān)任組長，網(wǎng)絡(luò)安全問題已經(jīng)提升到國家層面。各地黨政機(jī)關(guān)等重要單位和部門，都加大了對手機(jī)、涉密網(wǎng)絡(luò)、涉密人員的安全防護(hù)與保密管理工作的力度。國家高度重視國產(chǎn)密碼產(chǎn)品和技術(shù)的研究，特別是現(xiàn)在國家商用密碼管理部門更是對網(wǎng)絡(luò)安全方面提出了應(yīng)用生產(chǎn)密碼產(chǎn)品的要求。

安全防護(hù)要對癥下藥

如今，移動互聯(lián)網(wǎng)需要全新移動安全解決方案，安全開放平臺成為了網(wǎng)絡(luò)安全的發(fā)展趨勢。因此，未來對不同使用智能手機(jī)的對象需要采取不同的加密防護(hù)：

對相關(guān)需保密單位的工作人員的智能手機(jī)、通訊工具進(jìn)行加密防護(hù)。由于工作性質(zhì)的原因，一些重要崗位的工作人員（如政府工作人員、敏感崗位人員、有商業(yè)機(jī)密需要保守的企業(yè)人員）在使用智能手機(jī)的過程中，可能會涉及到敏感、重要信息（工作類的敏感文件信息、通訊數(shù)據(jù)傳輸安全等方面），需要進(jìn)行技術(shù)安全防護(hù)，以防止被人竊取而造成失泄密。通過某些手機(jī)安全產(chǎn)品，可以為這些單位用戶的智能手機(jī)提供加密服務(wù)，以集團(tuán)用戶的方式接入。加密的方式可以用公司已有的產(chǎn)品，也可以根據(jù)用戶的特殊需求量身定制。目前，加密手機(jī)只能提供加密通話功能，在手機(jī)App應(yīng)用防護(hù)、木馬查殺、辦公運(yùn)用、文件傳輸?shù)溶浖矫娴姆雷o(hù)和普通智能手機(jī)的防護(hù)功能一樣。

為高端人群提供智能手機(jī)的加密服務(wù)。目前移動智能平臺惡意程序泛濫，竊密行為頻發(fā)、用戶個(gè)人信息受到嚴(yán)重威脅的現(xiàn)象，加強(qiáng)智能手機(jī)的個(gè)人隱私保護(hù)已經(jīng)越來越引起人們的重視。因此，為重要工商界人士、白領(lǐng)階層、注重個(gè)人隱私保護(hù)的人群等提供加密服務(wù)，以保障商業(yè)秘密、個(gè)人隱私不被泄露已成為許多公司的重要加密產(chǎn)品。這種產(chǎn)品的服務(wù)方式是通過與運(yùn)營商合作，在運(yùn)營商的增值服務(wù)中增加隱私保護(hù)的內(nèi)容。

為喜歡手機(jī)支付的新消費(fèi)觀念人群提供技術(shù)安全保障。當(dāng)前，通過手機(jī)來支付各種費(fèi)用，或是進(jìn)行家電的智能化控制，已經(jīng)越來越多的被人們所接受。但是由于手機(jī)本身的技術(shù)缺陷，通過手機(jī)進(jìn)行支付、家電智能控制等操作時(shí)存在著很大的風(fēng)險(xiǎn)。通過與運(yùn)營商的合作，在增值服務(wù)中對操作系統(tǒng)的加密防護(hù)，可以增強(qiáng)手機(jī)本身的安全性能，以保障用戶的使用安全。

除此之外，還要培養(yǎng)個(gè)人使用智能手機(jī)的安全意識。首先，不要“見碼就掃”，防止被導(dǎo)入病毒木馬鏈接入口；其次，不要貪圖免費(fèi)WIFI熱點(diǎn)，在確定是安全信號源之前，不要連接，防止信息被過濾分析，賬號被竊；第三，經(jīng)常檢查已安裝的手機(jī)應(yīng)用，發(fā)現(xiàn)不明應(yīng)用程序或異常流量，要卸載；第四，不要輕易相信帶有“中獎”、“獵奇”類的短信，尤其不要點(diǎn)擊這類誘惑性短信中的網(wǎng)址鏈接；第五，對手機(jī)支付始終保持警惕性，要加入多重認(rèn)證，防止手機(jī)銀行用戶名和口令被盜；第六，國家政府部門和涉密部門，避免使用QQ、微信等大眾類即時(shí)通訊軟件，要使用經(jīng)過國家密碼管理部門認(rèn)證的應(yīng)用軟件，處理敏感信息和工作信息；最后，政府機(jī)關(guān)保密、安全部門人員，需使用專業(yè)的木馬、病毒查殺工具，定期對工作手機(jī)進(jìn)行查殺。

（作者單位：浙江省杭州市保密技術(shù)檢查中心）