構建移動互聯網業務安全框架

黃斐一　孫立軍　孔繁盛

1 概述

近些年來，移動互聯網的安全問題受到越來越多從業者的關注和研究，如何構建移動互聯網安全框架的課題也變得越來越重要。如果參照傳統的7層OSI網絡架構的思路去構建移動互聯網安全框架，類似從物理安全、主機安全、中間件安全、操作系統安全到應用層安全這樣的分層分類方式則呼之欲出。遺憾的是移動互聯網業務種類和場景的多樣性使得這種通用型的框架在實際工作中并沒有多少實用價值。不同業務特性的巨大差異使得這些業務面臨的安全威脅及其安全側重點也各不相同，為這些不同種類的業務設計一個相對統一的、有實際參考價值的安全框架正在成為一個重要的研究課題。

如果回想一下我們耳熟能詳的移動互聯網業務，最先浮現在我們腦海的是如微信、QQ、飛信這樣的即時通訊業務，如新浪微博、百度視頻這樣的內容型業務，如豌豆莢、機鋒市場這樣的應用商城業務，如百度地圖這樣的基于位置的應用。用戶在使用這些業務的時候可能涉及注冊、登錄等環節，可能會閱讀他人發布的文字或多媒體內容，可能會從應用商城中購買、下載一些應用，可能會使用GPS定位功能。如果這些場景的安全漏洞被利用，用戶可能會因為業務流程的漏洞在注冊過程中遭受短信炸彈的攻擊，可能因為下載了帶有惡意代碼的應用使得手機感染病毒；業務可能因為惡意用戶發布、轉載色情內容遭受大面積投訴和輿情主管部門的處罰，也可能因為內部管理不善造成大面積的用戶信息泄露事件。

在對現有移動互聯網業務進行統計分析的基礎上，筆者發現紛繁復雜的業務可以大致分為內容發布型、信息交互型、在線電商型這幾大類。對于這些業務，首先需要保證它們在流程和邏輯上不能有漏洞，否則很容易被惡意用戶利用；其次，需要保證其內容的安全性，即無論是業務官方發布的還是用戶交互的內容都要合法合規，不能包含宗教、種族、政治、色情等違規內容；第三，業務的重要入口——客戶端，不能含有惡意代碼；最后，業務如果保留了用戶的隱私信息，則有義務保證這些信息的機密性。

綜上所述，本文將從業務流程安全、內容安全、手機應用安全、用戶信息安全4個角度構建移動互聯網業務安全框架。一方面，這4個角度是基于對現有移動互聯網業務進行總結分析而來的，所以若有新的業務形態、安全威脅場景出現，這個框架需要進一步更新；另一方面，這4個角度是平行的領域，沒有先后，不同業務在這4個領域各有側重。

2 移動互聯網業務安全框架

2.1 業務流程安全

業務流程安全風險是移動互聯網業務最直觀的風險。若某業務在注冊頁面未加載圖形驗證碼，這可能會導致該業務被批量注冊；在登錄的時候未采用未成功嘗試次數限制，可能會導致賬戶被暴力破解。所以在移動互聯網業務的設計過程中，為了保證業務的正常運轉，首先要考慮的就是設計一個全面、完整、安全的業務流程，防范因流程不完善造成的風險。最典型的流程包括注冊、登錄、訂購和計費。

在用戶注冊過程中，一些業務由其業務特性決定了必須采用實名注冊的方式方可使用（如微博），但業務流程未強制要求用戶輸入手機號、身份證號等實名信息。這可能導致信息發布不可控、用戶行為不可追溯等風險。在注冊過程中，圖形驗證碼、短信驗證碼、電子郵件驗證是防范批量注冊風險的重要手段。與此同時，業務還需要對使用同一手機號、郵箱地址注冊的用戶做出注冊次數限制，否則有可能會造成短信炸彈或者郵件炸彈。另外，業務還需要對用戶的密碼強度進行限制，防范弱密碼風險。

在登錄過程中，很多業務通過下發短信驗證碼或者郵件驗證碼的方式保證賬號的安全性。但是需要注意的是，業務也需要對短信驗證碼和郵件驗證碼的下發次數做出限制，否則也可能造成短信炸彈或郵件炸彈。除此之外，登錄過程最常見的風險之一就是賬戶的暴力破解、字典攻擊。為了克服此類風險，除了在注冊階段強制用戶使用強密碼以外，還需要為用戶賬戶和IP地址設置登錄嘗試次數的限制。

訂購和計費是用戶使用過程中產生費用、業務獲得收入的主要步驟。它面臨多個方面的安全風險，為此：首先，在訂購關系的產生過程中，需要保證該訂購出自于用戶的真實意愿。這就需要業務通過各種手段（如上行消息確認、上行短信確認等）二次確認用戶的訂購意愿。這樣一來，一可以防止用戶因客戶端病毒造成惡意訂購或者不知情訂購的現象，二可以保證訂購結果的可追朔性和不可否認性。其次，訂購關系在用戶客戶端產生并上傳后必須實時同步到業務系統中的相關模塊。這可以避免因同步不及時造成的運營風險。最后，訂購關系無論在傳輸還是存儲的過程中，都應該根據實際情況考慮該類數據傳輸及存儲的機密性和完整性。因為對于任何一種業務來說，訂購關系數據的丟失或者不準確就意味著該業務的收入無法對賬和確認。

2.2 內容安全

內容安全風險源于對內容管控的不利，大量違規內容（如宗教、種族、政治、色情等）的擴散會引起惡劣的社會反響。前不久中央電視臺曝光的微博“大V”用戶利用個人影響力左右輿論的案例表明，移動互聯網業務內容安全風險需要進行大力防范。違規內容可能來自業務本身的運營團隊，也可能來自用戶。內容安全的目標就在于保證該業務的所有內容擴散渠道沒有違規內容出現。

（1）廣告位：廣告位一般位于業務醒目的位置以方便將此位置的內容廣而告之。若它被惡意利用作為擴散違規信息的載體，則會給業務帶來災難性的后果。這就要求業務運營團隊在發布、更新廣告位內容時遵循“編”、“審”、“發”分離的原則。即廣告內容的編輯、審核和發布必須分離，且由不同人來完成，這樣可以很好地克服單人操作的風險。除此之外，如果業務運營團隊能夠搭建一個內容發布平臺將此流程固化到平臺中，則可以保證所有的操作人員嚴格地執行“編”、“審”、“發”分離的要求；平臺也能夠記錄每一步操作的日志，保證了操作的可追溯性和不可否認性。

（2）短彩信：租用運營商的短彩信端口，并將短彩信發送能力提供給用戶是很多移動互聯網業務的重要功能之一。當然，業務運營團隊也可以利用該短彩信端口開展業務營銷。所以移動互聯網業務短彩信內容的安全風險一般需要從兩個角度去考量：業務運營團隊營銷短彩信的內容安全和用戶自寫短彩信的安全。用戶自寫短彩信的內容安全屬于UGC（User Generate Content）安全的范疇，將在下文集中討論。對于營銷短彩信的安全來說，內容合規以及對發送對象的管控是主要管控目標。與廣告位內容合規一樣，營銷短彩信的內容合規性可以通過遵循“編”、“審”、“發”分離的原則達成。對于短信發送對象的管控則比較復雜。近年來，垃圾短信的現象日益嚴重，2014年2月，國家開始研究設立新廣告法，并將短信廣告納入其約束范圍：在沒有用戶允許的情況下，向其發送含有廣告內容的短信將成為違法行為。所以，在業務團隊群發營銷短彩信時需要注意該發送對象是否已經同意接收此短信。如果在不知用戶是否同意的情況下，則可以考慮在發送給用戶的短信后面添加類似“回復‘X不再收到此類短信”的字樣。endprint

（3）用戶自寫信息（UGC）：它的種類多種多樣，包括微博發文、論壇發帖、評論、昵稱、頭像、個人文件共享、短彩信等。它可以以文字、圖片、音頻、視頻、文件等多種形態出現。UGC內容安全面臨的最大挑戰是業務運營團隊必須保證用戶自寫內容的合規性，不能讓業務成為非法傳播違規內容的手段和渠道。實現UGC內容合規的主要手段有兩個：自動化過濾和人工審核。自動化過濾是通過過濾引擎自動識別非法內容。到目前為止，自動化文字過濾相對來說比較成熟，但是圖片和視頻過濾準確度較低，音頻、文件等內容尚無自動化過濾手段。所以，業務運營團隊可以通過人工審核的方式為自動化過濾進行修正和補充。

（4）App：絕大部分App中都包含著文字和圖片，有些還包含有音頻和視頻。一方面，業務運營團隊需要嚴格控制自有App的內容發布流程，遵循“編”、“審”、“發”分離的原則；另一方面，第三方App（如“豌豆莢”應用商城發布來自于個人或企業開發者的應用）的內容管控則可以借鑒UGC內容安全管控的方法。需要注意是，App的開發者可能會將違規的內容放置在加密文件夾中，用戶安裝且輸入密碼后才能瀏覽，這就造成應用商城無法對其進行過濾和審核。另外，App可以通過在線更新的方式將非法內容更新到新版本的App中。這兩種場景對于應用商城業務運營團隊來說，都沒有較好的方案在第三方應用上線前將其發現和解決，只能通過例如用戶投訴或在線監測等手段了解哪些App帶有不合規內容，隨后進行處理。

2.3 手機應用安全

手機應用安全風險是移動互聯網時代重要且典型的安全風險之一。用戶在手機上安裝了某款手機應用（App）以后，如果App中包含或被植入（因為本身的漏洞）惡意代碼，手機終端可能會被修改系統的設置、被申請敏感的權限甚至被竊取隱私信息。比如“不知情訂購”可以在用戶不知情或未授權的情況下，通過隱蔽執行、欺騙用戶點擊等手段，訂購各類收費業務或使用移動終端支付，導致用戶的經濟損失；又如“隱私竊取”可以在用戶不知情或未授權的情況下，收集涉及用戶個人的信息，并以短信、聯網等形式泄露這些信息，導致用戶隱私泄露。手機應用安全的目標就在于通過對App惡意性的研判、識別和對惡意應用的查殺，幫助用戶很好地面對這些安全場景、解決這些安全問題。

到目前為止，惡意應用和行為的檢測與識別技術主要包括兩大類：基于特征值匹配技術和基于行為的啟發式檢測技術。基于特征值匹配技術是目前反病毒公司普遍采用的惡意代碼檢測技術。該技術主要通過將手機應用與惡意代碼數據庫進行匹配的方式判定該應用是否包含惡意代碼或者感染病毒。它主要包含兩類方案：第一，通過掃描引擎將手機應用的安裝包進行解壓，逐一對單個文件計算特征值，并與惡意代碼特征庫中的特征值逐一比對，從而判斷應用中是否包含惡意性代碼。第二，掃描引擎將安裝包反編譯成虛擬機識別的Dalvik字節碼，以每個語句單元的“操作碼”為主特征碼，以細節信息為輔助特征碼，與惡意代碼特征庫進行匹配，若發現匹配項則可判斷該應用包含惡意代碼或感染了病毒。

基于行為的啟發式掃描是基于特征值匹配技術的升級，與后者相比有著對未知惡意代碼和病毒進行防御的優點。由于惡意代碼要達到感染和破壞的目的，具備一定的行為特征，因此可以通過動態的分析和監測手機應用的代碼與行為來判斷其是否具有惡意性，而不依賴惡意代碼特征庫。

2.4 用戶信息安全

在移動互聯網時代，手機逐漸演變為用戶的個人輔助性數字終端，它包含了用戶非常多的個人信息，如手機號碼、通訊錄、短信信息、位置信息、各類賬戶密碼信息等。個人信息和隱私保護問題變得愈發重要。

從理論上說，信息保密的原則在于信息的產生、傳輸、存儲、處理的各個環節的保密。典型的信息產生階段是用戶的注冊階段，用戶密碼顯然就是敏感的、需要被保護的信息。除此之外，一些有實名注冊需求的業務（如微博）要求輸入用戶的手機號碼和身份證號碼。這些信息在用戶提交給系統的時候，可以采用加密通道傳輸的方式防止信息在傳輸的過程中被截獲和竊聽，如SSL VPN、IPSEC VPN。當用戶敏感信息上傳到系統中以后，可采用加密存儲的方式保證信息的機密性。當業務系統需要訪問、處理這些信息的時候，可采用多人操作的模式，通過遵循“授權不操作、操作不授權”的原則防止個人權限過大帶來的信息泄露風險。

但是在實際的業務運營過程中，是很難達到這種理論的效率的。從用戶角度來說，一旦其敏感信息被業務運營方獲取以后，他們很難相信業務方能夠真正地保障其隱私信息的機密性。基于這種需求，近些年學術界興起了一個新的研究方向：如何使得業務方在并不真正擁有用戶隱私信息的情況下順利地開展業務。比如業務方只擁有用戶的地理位置的加密信息，不了解用戶真實的地理位置（如經緯度），卻能夠為用戶提供類似“附近的人”等信息。但是這一類技術尚在理論研究的階段，并沒有大規模的商業應用。另外，大數據挖掘技術能夠從一些看似不包含隱私信息的公開數據中挖掘出非常有用的隱私信息。比如“表哥”佩戴的手表的價格顯然是隱私信息，但是通過搜集、分析網絡上公開的十余張照片，我們不難了解他的收入水平。這也使得在大數據時代用戶隱私的保護變得越來越困難。

3 結束語

本文著眼于移動互聯網業務的形態和特點，梳理了移動互聯網業務安全框架。隨著移動互聯網的飛速發展，構建其安全框架其實是一個開放性的命題。傳統通信領域中使用同一框架（如ITU X.805）去適配多個場景、多種網絡的思路已不再適用移動互聯網領域，那會使得安全框架的可用性和可落地性有限。新的業務必將引發新的安全威脅，這就需要安全從業者不斷地從業務形態和場景出發，設計面向業務的安全解決方案，不斷地更新和完善業務安全框架。

參考文獻：

[1] 孫澤鋒. 移動互聯網發展技術與安全分析[J]. 電信科學， 2011（S1）.

[2] Zhang Bin， Xu Miao， Wu Minli. Research on Web Filtering Technology Based on the Dual Feature Selection[C]//2012 Proceedings of the 3rd IEEE International Conference on the Network Infrastructure and Digital Content（IEEE IC-NIDC2012）. Beijing： [s.n.]， 2012： 675-679.

[3] 羅喧，梁柏青，潘軍彪，等. 智能手機應用安全關鍵技術探討[J]. 電信科學， 2013（5）.

[4] 霍崢，孟小峰，徐建良. 云計算中面向隱私保護的查詢處理技術研究[J]. 計算機科學與探索， 2012（5）.

[5] 張壽華，劉振鵬. 網絡輿情熱點話題聚類方法研究[J]. 小型微型計算機系統， 2013（3）.endprint