杜林明 遲云強(qiáng) 金濤

一、引言

在移動(dòng)網(wǎng)絡(luò)信息化時(shí)代背景下，人們的互聯(lián)網(wǎng)行為習(xí)慣發(fā)生了重大改變，手機(jī)已經(jīng)成為最主要的網(wǎng)絡(luò)登錄設(shè)備，同時(shí)，在IOS與安卓系統(tǒng)的基礎(chǔ)上，一批又一批的應(yīng)用產(chǎn)品被開(kāi)發(fā)出來(lái)，使人們的日常生活與移動(dòng)網(wǎng)絡(luò)間的距離進(jìn)一步縮小。與此同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也接踵而至，對(duì)移動(dòng)業(yè)務(wù)安全構(gòu)成了嚴(yán)重威脅，雖然各大運(yùn)營(yíng)商已經(jīng)對(duì)此采取了殺毒、防火墻、IDS等方式進(jìn)行抵御，但是仍然存在各種漏洞，需要研制和開(kāi)發(fā)出新一代防范技術(shù)，保障移動(dòng)網(wǎng)絡(luò)安全。

二、移動(dòng)業(yè)務(wù)安全隱患分析

（一）網(wǎng)絡(luò)開(kāi)放性帶來(lái)信息隱患

移動(dòng)網(wǎng)絡(luò)的開(kāi)放性在為人們提供便捷服務(wù)的同時(shí)，也帶來(lái)了較大的信息隱患。在無(wú)線網(wǎng)絡(luò)傳輸過(guò)程中，借助協(xié)議認(rèn)證、信令、私鑰等方式，便能夠使攻擊者獲取到數(shù)據(jù)包，通過(guò)對(duì)數(shù)據(jù)包的分析便獲得了其中的信息，然后對(duì)內(nèi)容進(jìn)行刪除或者篡改后，繼續(xù)傳輸下去。另外，攻擊者還可以利用物理手段截取通話信息，甚至通過(guò)遠(yuǎn)程操作刪除用戶信息，使用戶業(yè)務(wù)無(wú)法順利開(kāi)展。如若攻擊者能夠掌握加密算法，便能夠通過(guò)用戶設(shè)置的網(wǎng)絡(luò)認(rèn)證，對(duì)其手機(jī)SIM卡中的內(nèi)容進(jìn)行非法復(fù)制與竊取。

（二）核心網(wǎng)絡(luò)IP化降低信息安全度

現(xiàn)階段，VoIP語(yǔ)言業(yè)務(wù)在移動(dòng)通信中得到了廣泛應(yīng)用，從安全角度來(lái)看，安全通信服務(wù)水平不足，無(wú)法實(shí)現(xiàn)對(duì)通話來(lái)源的有效跟蹤與控制。例如，在VoIP應(yīng)用過(guò)程中，通信將會(huì)以多樣化的方式與網(wǎng)絡(luò)中心、數(shù)據(jù)庫(kù)等頻繁連接，由此導(dǎo)致許多威脅因素被引入到網(wǎng)絡(luò)當(dāng)中，使傳統(tǒng)IP網(wǎng)絡(luò)安全受到較大威脅，如針對(duì)移動(dòng)業(yè)務(wù)系統(tǒng)的CC攻擊、Synflood攻擊等等。隨著TCP/IP協(xié)議技術(shù)的不斷更新，攻擊者可以通過(guò)網(wǎng)絡(luò)通信對(duì)數(shù)據(jù)包進(jìn)行攔截，任由其改造后轉(zhuǎn)發(fā)，對(duì)用戶接收到信息的安全性受到影響。在我國(guó)目前主干網(wǎng)絡(luò)中，主要采用國(guó)外生產(chǎn)的IP路由設(shè)備，但是這些設(shè)備也并非完美無(wú)缺，或多或少的存在一些Bug，依然無(wú)法使網(wǎng)絡(luò)安全問(wèn)題得到徹底解決。

（三）業(yè)務(wù)類型多樣，泄密渠道增加

在移動(dòng)4G/5G網(wǎng)絡(luò)運(yùn)行背景下，各種應(yīng)用程序的數(shù)量也在逐漸增加，極大的豐富了網(wǎng)絡(luò)業(yè)務(wù)種類，如微信、彩信、語(yǔ)音短信等等。但是多樣化的業(yè)務(wù)類型也導(dǎo)致泄密渠道增加，一旦在信息傳遞過(guò)程中發(fā)生信息泄露，則用戶信息將在較短的時(shí)間以其他方式被傳播出去，為用戶帶來(lái)重大損失。這將要求移動(dòng)通信運(yùn)營(yíng)商在保障服務(wù)時(shí)效性的基礎(chǔ)上，還應(yīng)加強(qiáng)對(duì)用戶身份的驗(yàn)證，做到可信、可控。然而，要想讓通信運(yùn)營(yíng)商對(duì)每個(gè)用戶身份、會(huì)話等進(jìn)行嚴(yán)格控制幾乎不太可能，目前現(xiàn)有技術(shù)還難以實(shí)現(xiàn)用戶權(quán)限的分離。

（四）定位服務(wù)泄漏個(gè)人隱私

隨著移動(dòng)通信技術(shù)的不斷發(fā)展，管理功能也在不斷的豐富，推出了業(yè)務(wù)切換、定位跟新等功能，需要對(duì)用戶的位置進(jìn)行實(shí)時(shí)跟蹤。目前，用戶定位功能能夠使用戶獲取到的信息變得更加精確，達(dá)到2m以內(nèi)。然而這一功能也為用戶帶來(lái)較大的安全隱患。攻擊者采用非法手段對(duì)用戶手機(jī)中的隱私進(jìn)行獲取后，便能夠?qū)τ脩暨M(jìn)行實(shí)時(shí)跟蹤，對(duì)用戶的人身安全構(gòu)成極大威脅。

三、移動(dòng)業(yè)務(wù)安全防范技術(shù)開(kāi)發(fā)

（一）開(kāi)發(fā)目標(biāo)

隨著智能手機(jī)逐漸普及，由于在操作、防范等方面存在不科學(xué)操作，為網(wǎng)絡(luò)攻擊者的入侵提供可乘之機(jī)，對(duì)移動(dòng)業(yè)務(wù)安全防范技術(shù)的開(kāi)發(fā)成為大勢(shì)所趨，開(kāi)發(fā)的主要目標(biāo)有兩個(gè)，一是實(shí)現(xiàn)企業(yè)對(duì)移動(dòng)設(shè)備的統(tǒng)一管理；將移動(dòng)終端的狀態(tài)數(shù)據(jù)以動(dòng)態(tài)的方式展現(xiàn)出來(lái)，遠(yuǎn)程監(jiān)控終端信息；對(duì)系統(tǒng)管理中的全部移動(dòng)終端進(jìn)行集中管理，包括密碼復(fù)雜度、自動(dòng)鎖定、清空密碼等；一旦移動(dòng)終端丟失以后，能夠遠(yuǎn)程刪除應(yīng)用、設(shè)備鎖定、清空設(shè)備等等。二是提高移動(dòng)設(shè)備安全性，能夠防止越獄、遠(yuǎn)程修復(fù)系統(tǒng)安全漏洞；對(duì)用戶登錄進(jìn)行權(quán)限控制，當(dāng)不同用戶在相同設(shè)備上登錄時(shí)，不能對(duì)其他用戶的文件進(jìn)行讀?。辉谑褂脷⒍拒浖?，先對(duì)當(dāng)前環(huán)境安全性進(jìn)行檢測(cè)，一旦出現(xiàn)異常，則立即提示用戶，避免設(shè)備受到惡意軟件的攻擊。

（二）開(kāi)發(fā)手段

1.終端接入方式

主要采用WIFI接入、運(yùn)營(yíng)商網(wǎng)絡(luò)接入兩種方式，為了提高終端接入安全性，需要通過(guò)強(qiáng)認(rèn)證的方式，對(duì)用戶授權(quán)接入訪問(wèn)，利用WIFI開(kāi)啟身份認(rèn)證；采用公網(wǎng)接入時(shí)，利用數(shù)字證書對(duì)用戶身份進(jìn)行認(rèn)證。同時(shí)，還可以采用鏈路加密方式，對(duì)移動(dòng)終端接入進(jìn)行審計(jì)，設(shè)立操作日志，并將內(nèi)容傳輸?shù)竭h(yuǎn)程服務(wù)端中，開(kāi)展集中審計(jì)，指定一臺(tái)設(shè)備專門用于審計(jì)工作，進(jìn)一步保障終端接入安全，還能夠?yàn)槭潞笞粉櫶峁┍憷?/p>

移動(dòng)終端接入網(wǎng)絡(luò)認(rèn)證的流程為：首先，用戶通過(guò)AD域賬號(hào)與WLAN連接，分配到隔離VLAN中；然后，對(duì)訪問(wèn)文件服務(wù)器的Sep插件進(jìn)行修復(fù)，通過(guò)JUNOS PULSE軟件進(jìn)行認(rèn)證，如若認(rèn)證成功，則SSL VPN將用戶名與密碼轉(zhuǎn)送到IC設(shè)備中，完成用戶認(rèn)證；最后，終端用戶將會(huì)獲取到一個(gè)新的IP地址，SA對(duì)終端地質(zhì)進(jìn)行檢查，看其是否屬于授權(quán)用戶，如若“是”，則能夠正常上網(wǎng)。

2.移動(dòng)終端管理

企業(yè)通過(guò)構(gòu)建移動(dòng)終端管理體系的方式，實(shí)現(xiàn)對(duì)移動(dòng)辦公設(shè)備的統(tǒng)一管理，能夠充分實(shí)現(xiàn)終端資產(chǎn)跟蹤、數(shù)據(jù)備份、下達(dá)策略等管理功能。從終端管理生命周期來(lái)看，分為預(yù)配階段、使用階段與停用階段三個(gè)方面；在終端管理方面分為終端設(shè)備管理與終端安全管理，下面將分別針對(duì)三個(gè)階段的安全管理進(jìn)行分析：

終端設(shè)備管理：在預(yù)配階段的管理內(nèi)容主要包括劃分成員、制定策略、設(shè)備配置與連接、初始化應(yīng)用等；在使用階段的管理主要是對(duì)資產(chǎn)數(shù)據(jù)進(jìn)行跟蹤、更新文件信息與設(shè)備配置、計(jì)劃活動(dòng)、遠(yuǎn)程控制設(shè)備等；在停用階段的管理工作中，包括用戶設(shè)備更換、軟件重新部署、轉(zhuǎn)變?cè)O(shè)備用途、設(shè)備丟失后進(jìn)行數(shù)據(jù)復(fù)原等等；

終端安全管理：在預(yù)配階段的安全方面，構(gòu)建移動(dòng)業(yè)務(wù)安全策略、遠(yuǎn)程發(fā)布與保護(hù)數(shù)據(jù)、對(duì)終端密碼的強(qiáng)制管理等等；在使用階段，對(duì)設(shè)備中的數(shù)據(jù)信息進(jìn)行備份，安裝補(bǔ)丁、強(qiáng)化安全策略與用戶身份認(rèn)證、日志審計(jì)、跟蹤與監(jiān)視違法行為、杜絕一切威脅網(wǎng)絡(luò)安全的因素等；在停用階段，安全管理包括數(shù)據(jù)刪除、遠(yuǎn)程關(guān)機(jī)與上鎖、禁止設(shè)備、網(wǎng)絡(luò)、應(yīng)用等功能的使用等等。

3.本地?cái)?shù)據(jù)安全

通過(guò)設(shè)備安全管理系統(tǒng)來(lái)保障本地?cái)?shù)據(jù)安全，采用移動(dòng)終端殺毒軟件對(duì)病毒進(jìn)行掃描與查殺，及時(shí)更新和優(yōu)化病毒庫(kù)，高效查殺各類木馬病毒，保護(hù)用戶的個(gè)人隱私與人身安全。采用IOS、Android平臺(tái)對(duì)漏洞與病毒進(jìn)行掃描，嚴(yán)格把控終端安全風(fēng)險(xiǎn)。通過(guò)垃圾信息過(guò)濾功能，可以對(duì)彩信、短信、電話等設(shè)置黑（白）名單，使垃圾短信、騷擾電話被隔離掉；終端防盜功能可以在設(shè)備丟失后，自動(dòng)隱藏個(gè)人隱私數(shù)據(jù)，并且鎖定、報(bào)警，還可以遠(yuǎn)程取回、銷毀、定位、強(qiáng)制關(guān)機(jī)等；備份功能支持一鍵備份，將設(shè)備中的相關(guān)數(shù)據(jù)、短信、照片、通訊錄等均加密后傳送到服務(wù)器當(dāng)中。

四、結(jié)論

綜上所述，隨著智能手機(jī)逐漸普及，由于在操作、防范等方面存在不科學(xué)操作，為網(wǎng)絡(luò)攻擊者的入侵提供可乘之機(jī)，對(duì)移動(dòng)業(yè)務(wù)安全構(gòu)成較大威脅。對(duì)此，應(yīng)積極開(kāi)發(fā)和研制出完整的體系，并且在商用過(guò)程中取得良好的反饋。在4G/5G時(shí)代背景下，移動(dòng)網(wǎng)絡(luò)的構(gòu)建應(yīng)加大對(duì)安全方面的重視程度，確保傳輸端、用戶端、應(yīng)用端能夠形成安全的防控體系，從而提高新一代網(wǎng)絡(luò)安全防護(hù)水平。