移动互联网的信息安全防护

移动互联网的信息安全防护【摘要】本文分析了现阶段我国移动互联网面临的安全形势，在技术层面、管理层面和用户层面介绍了产生这些安全问题的原因，并在这三个方面提出了预防措施，为提高我国移动互联网安全水平提供了思路。【关键词】移动互联网；安全；技术；管理；用户近年来，随着移动通信技术及智能手机的飞跃式发展，全球已经正式进入移动互联网时代。与移动互联网用户规模与网络规模一起急速扩张的，还有日益严峻的移动信息安全问题。据中国互联网络信息中心（CNNIC）的相关统计数据，我国已经有86%的移动用户面临着包括个人隐私泄露、诈骗账单等在内的终端安全问题。随着我国移动互联网业务的进一步开放，其面对的安全问题必将越来越复杂，而安全问题反过来又会制约着移动互联网的发展。因此，怎样保障移动互联网的信息安全，对于建设移动互联网显得特别重要。本文主要探讨移动互联面临终端信息安全形势，并提出相关防范措施，仅供参考。我国移动互联网常见的恶意软件行为分析根据国际电信标准化部门（ITU-T）提出的X.805安全框架，移动互联网的信息安全主要集中在网络、终端及应用三个方面，以下主要从与用户联系最为紧密的应用方面分析我国移动互联网常见的恶意软件行为。目前世界上智能设备主流操作系统主要有苹果公司开发的ios系统，谷歌公司开发的安卓系统以及微软公司开发的wp系统。根据苹果公司数据，截止2013年12月底，appstore通过审核的应用总数已经超过100万个；而机锋网数据表明，针对安卓系统平台的应用数量已经达到120万个;起步稍晚的windowsphone应用也已经达到50万个。数量庞大、种类繁多的应用，必然有多种多样的恶意软件夹杂其间。按照应用软件产生的安全威胁等级，国家网络信息安全技术研究所（NINIS）将应用行为分为恶意行为、可疑行为和灰色行为三个级别。1.1恶意行为恶意行为是指明确带有恶意目的并且会对系统和用户利益造成直接侵害的行为。主要包括未经用户允许私安装恶意插件、诱导用户获取root权限（针对安卓用户）、在后台私自访问链接、向非法服务器发送扣费短信、拦截运营商服务短信、后台释放安装程序并修改系统分区等。包括但不限于以上的恶意行为最终会造成用户系统破坏、资费不明流失等严重后果。1.2可疑行为可疑行为是指存在一定风险，但不能直接被确认为恶意行为的行为。这些可疑行为如：泄露用户终端的IMEI串号、私自获取并泄露位置信息、泄露用户SIM卡信息及联系人信息、自动连接网络或自动接入wifi、自动开启并搜索蓝牙设备等。包括但不限于以上的恶意行为造成用户隐私泄露、用户终端运行缓慢等后果。1.3灰色行为灰色行为是指通过后台或者诱骗用户进行特定网络访问，但又难以判断是否具备恶意目的的行为，主要指的是嵌入广告的流氓行为。主要包括在程序运行时弹出广告弹窗、不定时推送广告信息等，灰色行为并不会产生特别恶劣的后果，但是却使用户体验急剧降低。带来信息安全问题的原因分析虽然获取非法利益是不法分子攻击移动互联网、造成信息安全隐患的根本原因，但是我们可以在源头上寻找在移动互联网的哪个环节产生漏洞并让不法分子有机可乘。2.1技术层面的安全漏洞首先，移动终端操作系统本身是存在漏洞的，这些漏洞成为黑客攻击的切入点。其次，为了跟上移动互联网的高速发展的脚步，很多应用在设计初期便由于种种原因存在技术上的漏洞。例如，很多移动支付应用采用的是预留手机号码进行短信验证的身份认证方式，该认证方式基于客户预留手机号的短信验证，一旦手机卡被复制或验证短信被劫持转发等情况发生，犯罪分子就可以非法控制被害人的手机银行，甚至“帮助”被害人注册开通手机银行，进行犯罪活动。从目前主流的移动支付方式看，如果用户办银行卡时有在银行预留手机号，那么只需填写银行卡号、姓名、身份证号和预留手机号就可实现与银行卡的绑定，然后通过设置的支付密码就可实现消费，并不需要银行卡的密码，而姓名、身份证号、银行卡号等信息在网络上很容易泄露，存在较大的身份盗用风险。从国家的层面上看，四大主流智能终端操作系统：苹果IOS、谷歌Android、微软WP以及诺基亚塞班（被微软收购）均是美国公司所有。同时，我国并没有自主的包括最重要的加密算法在内的技术上的安全策略。这些操作系统是否留有后门，这些加密算法是否如宣传中所说的那么完美，我们并不十分清楚。美国“棱镜门”事件的爆发更是提醒我们，移动互联网是不安全的。2.2管理层面的安全漏洞终端设备主要通过两种途径获得应用：一是设备出厂即有的预装软件，二是用户通过官方或非官方应用商店安装应用软件。按设备的操作系统分类，全球范围内，主流的官方应用商店主要有苹果公司的AppStore、谷歌公司GooglePlay、微软公司的WindowsphoneStore以及诺基亚公司的诺基亚OVI四家；非官方应用商店则包括第三方应用市场、电信运营商应用商店、终端制造商、定制系统提供商等。就如一般商品的实体店一样，非官方应用商店数量繁多。在中国，仅仅是安卓的主流第三方应用商店便多达三四十家。所有的第三方软件应用商店并没有对应用软件采取统一的审核标准，部分应用商店甚至不对开发者上传的应用进行病毒查杀。由此造成的后果便是各应用商店的应用质量良莠不齐，山寨和仿冒应用层出不穷，第三方广告和敏感权限滥用难以规范等混乱现状，导致用户无法分清应用是否安全。2.3用户层面的安全漏洞我国的数亿移动互联用户中，由于他们性别、年龄、学历以及使用习惯方面千差万别，导致用户在智能移动终端的安全意识、信息安全常识呈现参差不齐的现象。用户急需信息安全方面的常识普及以及权威的引导，但目前移动互联领域却恰恰缺乏这方面的宣传。据CNNIC的统计数据，仅41.1%的用户在移动智能终端安装了安全防护软件，大多数用户没有安装甚至不清楚是否安装了安全防护软件。在安装安全防护软件的用户中，仅有42%的用户是出于安全必要性考虑主动安装的，其他大部分用户则是由于系统预装、朋友或广告推荐等原因安装了安全防护软件。另外，部分智能手机发烧友喜欢破坏手机原有的操作系统以获取更大的权限，即苹果手机用户的“越狱”与安卓手机用户的获取root权限。虽然获取更大的权限之后，用户可以在手机的某些方面获得更舒适的用户体验，但却带来极大的安全隐患。例如，很大一部分，越狱”用户是为了“越狱”之后安装一款显示来电号码归属地的插件，该插件可能给用户造成联系人信息泄露等问题。防范安全漏洞的措施3.1技术上防范虽然智能终端的操作系统以及相关加密算法短期内无法实现自主化，但我们可以采取多种技术手段组织恶意程序的传播与运行。首先，要求所有官方与非官方应用商店对应用程序的代码采取强制检测。运用软件代码自动检测机对应用的代码进行逐行检测，分析每一条指令的目的，并将恶意应用、可疑应用与安全应用区分开，以此在源头上最大限度遏制恶意应用的传播。其次，通过各种分析技术监测恶意应用网络通道上的活动，可以发现恶意应用的各种活动，并在条件允许的情况下进行拦截，这便在网络通道上架起了一道安全屏障。第三，在所有终端出厂时便强制预装安全防护软件，并堵死苹果的“越狱”渠道与安卓系统的root权限获取，这相当于在终端架设一道防火墙。3.2管理上防范管理层面的安全防护主题主要是各应用商店。各应用商店需建立一套统一的应用审核机制，对审核通过的安全应用打上醒目的绿色安全标志。对于审核不通过的应用，除了不允许该应用被用户下载之外，开发者还需接受一定的处罚。除了建立准入机制外，各应用商店应建立抽检制度，并明确由第三方安全机构对应用进行抽检。同时对开发者采取实名制制度，对恶意应用采取黑名单制度。这套机制建立并严格执行之后，除了可以保障信息安全之外，还可以打击山寨与仿冒应用，维护开发者的合法权益，可谓一举多得。3.3用户的自我防范如今，智能终端，特别是智能手机存储了用户的身份信息、金融信息、工作信息等重要数据，养成安全使用智能终端的良好习惯可以明显降低设备感染木马、病毒等恶意软件的概率。建议用户尽量到官方应用商店下载官方发布的或者经过官方认证的软件，切勿下载来历不明的应用。用户在安装应用时应留意安装信息，应特别留意系统提示的应用将获取的权限信息，如发现应用获取了与该应用功能不相符的权限，应停止安装或选用其他功能类似的软件代替。用户应尽量安装口碑较好的厂商出品的安全防护软件，并及时更新病毒库，确保防病毒软件随时拥有最佳查收能力。最重要也是最容易做到的一点是，用户最好不要讲自己的苹果设备“越狱”或者root自己的安卓设备。这两种操作都将获得设备的最高权限，容易使病毒的破坏能力与范围扩大化。4.总结我国移动互联网发展迅速，面临的安全形势势必越来越严峻。面对夹杂在光明未来中间的不和谐一面，移动互联网厂商应加大技术上的投入，从技术层面对恶意应用以及将来出现的其他安全威胁严防死守；应用商店及其监管