移動互聯網安全問題分析及策略

明 芳， 彭亞雄

（貴州大學 計算機科學與信息學院，貴州 貴陽 550025）

0 引言

近幾年，移動通信和互聯網成為當今世界發展最快、市場潛力最大、前景最誘人的兩大業務。來自2012年中國移動互聯網產業應用大會數據顯示，中國手機網民2012年第一季度超過3.7億人，預計年底將達4.51億[1]。數據高速增長的現象反映了越來越多的人希望在移動的過程中高速接入互聯網，獲取急需的信息。但是，正是由于移動互聯網的高速發展，人們對移動互聯網的需求越來越大，使越來越多的不法分子將黑手伸向移動互聯網，從中牟取暴利，使移動互聯網安全問題再次成為人們關注的焦點。移動互聯網具有終端智能化、網絡IP化、業務多元化的特點，相比傳統的互聯網具有更大的安全威脅。文中分析了移動互聯網面臨的安全問題，并提出了解決辦法，同時分析了時下移動互聯網安全熱點問題。

1 安全分析

移動互聯網具有終端智能化，網絡IP化，業務多元化的特點。移動智能終端的出現，改變了行業生態，智能手機把通信行業、媒體和互聯網行業自然整合在一起，平板電腦把PC、媒體和互聯網整合在一起。由于移動互聯網終端的移動性和業務的個性化，用戶安全防范水平較低，黑色產業鏈開始伸向移動互聯網，黑客的攻擊目標進一步擴大，手機惡意軟件呈現爆炸式增長。移動互聯網在安全問題上所面臨的挑戰相比傳統互聯網要大很多，這是由其自身所具有的特性所決定的。移動互聯網面臨的安全威脅主要有以下4類：①網絡安全；②終端安全；③業務應用安全；④內容安全。

1.1 網絡安全

移動互聯網不但破壞了傳統互聯網的安全網絡環境，與此同時原有的通信安全也大大降低。另外因為移動互聯網的接入方式有許多種，使其具有所有IP互聯網所面臨的安全威脅。另外，移動互聯網新增家了無線空口接入方式，不法分子可以通過破解空中接口接入協議，監聽和盜取在空中接口傳遞的信息。另外，大量惡意軟件程序發起拒絕服務攻擊會大量占用移動網絡資源，一但惡意軟件感染移動終端后，會強制移動終端不斷向所在通信網絡發送垃圾信息，使通信網絡信息堵塞。而接入帶寬的提升加劇了有效資源的惡意利用威脅。移動互聯網網絡還存在一個大的弊端，即：信令干擾。

1.2 終端安全

隨著各種智能終端的出現及普及，使終端安全面臨著更大的威脅。現階段的智能終端操作系統都不是很完善，有很多安全漏洞還沒有解決，這些情況導致用戶在接收彩信，或者是通過手機瀏覽網頁、下載安裝軟件等許多情況下都及有可能被病毒感染或是被病毒入侵。至今為止，出現的終端威脅主要有以下幾類：①經濟類危害：盜打電話（如悄悄撥打聲訊電話），惡意訂購SP業務,群發彩信等；②信用類危害：通過發送惡意信息、不良信息、詐騙信息給他人等；③隱私類危害：個人隱私信息丟失、泄露。如通訊錄、本地文件、通話記錄、上網記錄、位置信息、日程安排、各種網絡賬戶、銀行密碼等；④設備類危害：移動終端死機、運行慢、功能失效、通訊錄被破壞、刪除重要文件、格式化系統、頻繁自動重啟等；⑤竊聽：通過安裝惡意軟件，可以撥打靜默電話，使得移動終端變成一個竊聽器；⑥騷擾電話，垃圾短信。

1.3 應用安全

目前，移動互聯網的業務發展特點主要是固定互聯網的業務復制，其業務發展方向主要是向融合了“移動”特征的業務創新方向發展。所以，移動互聯網的業務系統環節相比傳統互聯網會更多，并且移動互聯網應用會涉及到更多的用戶信息及服務器信息，導致其信息安全問題相比固定互聯網更加復雜。并且由于移動互聯網用戶數量相比固定互聯網來說要大很多，各節點自組織能力比較強，同時會涉及到大量的私密信息和位置信息，因此有可能引發大規模的攻擊和信息發掘[2]。移動互聯網應用安全主要包括SQL注入、DDOS攻擊、隱私敏感信息泄漏、移動支付安全威脅、惡意扣費、業務盜用、業務冒名使用、業務濫用、違法信息及不良信息等。

1.4 內容安全

對于移動互聯網，其信息來源不但有互聯網，還有移動網以及移動網與互聯網結合所得的創新業務。例如：移動瀏覽、移動Web2.0、移動搜索、移動地圖、移動,Mashup等。而這些信息通常都是公共信息，而非端到端通信。這讓不法分子有機可乘，移動互聯網上的不良信息、違法信息以及侵犯公民隱私的敏感信息等都不能進行有效過濾和檢查，在監管上存在一定難度，使整個社會以及人們的生活受到非常大的危害。

2 解決策略

針對移動互聯網的四類安全問題，應該可以從以下幾個方面來解決：

1）網絡方面：在用戶與網絡之間實行雙向認證鑒權機制。首先，用戶對網絡透明，要充分利用好“可鑒權，可溯源”的技術優勢，對于每一個接入網絡的用戶都進行嚴格的鑒權認證，并且綁定用戶地址與用戶身份，讓可鑒權可溯源充分發揮其威懾作用，規范用戶行為，加強對用戶行為的控制，降低各種來自用戶的安全威脅，從而使網絡的安全強度整體上得到提高；其次，在移動互聯網傳輸過程中，使用端到端的加密方法，以保證信息在傳輸過程中的保密性以及完整性。

2）終端方面：保證移動終端數據安全,預防最關鍵，管理手段為主,技術手段為輔[3]。可以在終端上設置密碼，對用戶身份進行認證，防止用戶在終端上的數據泄露，另外，可以通過終端或遠程服務器對已丟失的移動終端上的數據進行擦除，防止用戶私密信息落入不法分子之手。再次，可以在移動終端上按照安裝防病毒軟件，防止惡意軟件攻擊。

3）業務方面：隨著互聯網應用的大幅度增加,使通信過程中對端的安全風險更大，用戶在使用移動互聯網業務時很有可能被病毒感染，以及受到木馬等的攻擊。因此需要對服務提供方進行嚴格認證,另外，應該使用嚴格的用戶鑒權機制，防止非法用戶侵入和攻擊移動互聯網應用平臺，與此同時，使用防火墻對應用平臺進行防護。最后，由于移動支付類應用往往包含大量用戶隱私，應該加強對移動支付類應用防護的研究，防止交易出錯，或者在交易過程中，用戶信息被非法盜取，對用戶造成損失。

3 安全問題熱點

3.1 手機病毒

隨著移動通訊業的飛速發展,黑客技術的不斷成熟,以手機為攻擊目標的手機病毒呈快速增長的趨勢[4]。目前發展最為迅速的Android手機用戶，遭遇惡意軟件感染的幾率比一年前增長了2.5倍；2010年南方某省曾經爆發“小媒體”病毒導致手機不能通信，更有惡意軟件以及垃圾短信造成的話費糾紛難以完全統計。目前，主要有十大手機病毒：安卓吸費王、短信竊賊、短信大盜、X臥底、安卓竊聽貓、電話吸費軍團、電話殺手、聯網殺手、跟蹤隱形人、阿基德鎖。手機的安全性受到威脅，手機用戶很難暢快地享因此，各軟件商以及通信運營商投入到與手機病毒的對戰中，從應用軟件程序的源頭開始保障手機軟件安全，另外，研發病毒查殺軟件，治理垃圾短信，多管齊下，力爭為用戶打造一個綠色、安全的手機使用環境。

3.2 數據泄漏

靈活性、易用性、可操作性無疑是智能移動終端的最大優勢，但是它在方便人們工作方式的同時，也給企業內部網絡帶來了極大的安全隱患。智能移動終端便于攜帶和使用，可以通過 WLAN/WiMax/3G/GPRS等方式接入內部網絡訪問和獲取內部資源數據；網絡數據傳輸通道未得到安全保護，存在數據竊聽等泄密隱患；并且當設備丟失或被盜時，涉密信息將無法得到保護。如何防止內部數據泄露的安全問題，成為智能移動終端廣泛應用的巨大挑戰。隨著技術的不斷進步，應從移動終端用戶身份安全、移動終端網絡接入安全、網絡數據通信安全、應用訪問控制安全、數據存儲與訪問控制安全等多個環節，全面構建智能移動終端的數據泄露防護體系，為企業級移動互聯網用戶提供信息安全保障。

3.3 云計算安全

云計算是目前被廣泛討論的新興計算機熱點技術，目前各大IT巨擘都推出了自己的云計算產品，在商業領域發展迅速，并得到了越來越廣泛的運用[5]。隨著云計算技術應用的進一步深入,云安全也必將成為業界關注的焦點。云計算安全問題大致分為三個方面。第一，云計算服務提供商他們的網絡是安全的嗎，有沒有別人闖進去盜用用戶的賬號？他們提供的存儲是安全的嗎？會不會造成數據泄密？這些都需要云計算服務提供商們要解決、要向客戶承諾的問題。約束云計算服務提供商的行為和技術，需要國家出臺相應的法規。第二，客戶在使用云計算提供的服務時也要注意：在云計算服務提供商的安全性和自己數據的安全性上做個平衡，太重要的數據不要放到云里，而是藏在自己的保險柜中;或將其加密后再放到云中，只有自己才能解密數據，將安全性的主動權牢牢掌握在自己手中，而不依賴于服務提供商的承諾和他們的措施。第三，客戶要保管好自己的賬戶，防止他人盜取你的賬號使用云中的服務。從而提供分布、高效和低成本的安全服務。

4 結語

移動互聯網無疑使生活更加便捷，但同時移動互聯網的安全問題也成為人們在使用移動互聯網時所擔心的問題，并且，隨著移動互聯網的發展，同時產生了許多新的安全問題，例如手機病毒問題，病毒的種類及傳播方式越來越多元化，對于新產生的問題，目前還沒有很好的措施解決，同時隨著云技術的發展，云計算在移動互聯網方面的應用必將更加廣泛，因此其隨之帶來的安全問題也是今后研究的重點。

[1]佚名.移動互聯網應用安全分析報告[J].信息安全與通信保密,2012(10):40-49.

[2]郝江波,洪志國.對移動互聯網的安全問題分析及對策[J].中國煤炭工業,2012(02):64-65.

[3]龐思銘,張萬濤.移動終端安全問題探討[J]信息安全與通信保密,2012(11):111-114.

[4]李錦.手機病毒特點及防范對策[J].通信技術,2009,42(02):253-255.

[5]李昭銳,吳學智,何如龍,等.淺析云計算的軍事應用[J].通信技術,2011,44(09):120-122.