一場有關移動終端安全的探討

幽藍

在大數據時代，移動互聯網蓬勃發展的同時，信息安全越發受到重視，特別是移動終端信息安全。手機作為移動終端的承載者，已成為被廣泛使用的電子產品之一，而不斷曝光的手機泄密事件，不得不讓我們對移動終端的信息安全擔憂。

細數一下，移動終端面臨的安全風險，大概有這么幾類，比如偷窺，隱私泄露，手機被盜以后數據的丟失，還有同化的短信、無線數據，以及木馬、病毒對手機數據的竊取。為了應對移動智能終端應用帶來的新安全挑戰，中關村信息安全產業聯盟里9家企業共同簽署企業移動智能終端安全標準合作協議。標準合作協議的簽署開啟了我國企業自發聯合制定網絡安全標準的新模式、新途徑。

如何防范移動終端的

安全風險？

隨著移動互聯網的迅猛發展，移動支付市場風起云涌，各路英豪迅速搶占移動支付的藍海，微信紅包、微信財付通、嘀嘀打車、刷NFC手機購物或乘公交等等，各種創新的移動支付應用和終端技術方案的采用層出不窮。但不管是哪一個產品，安全是非常重要的一環。

相對傳統互聯網而言，移動互聯網的進入門檻和開發成本低，APP產品能以更快速度、更好效果來反映和滿足用戶需求，可以提供更精準精致的服務，給用戶帶來互動體驗和創新性感受。

另一方面，據權威媒體報道，APP的廣泛應用，給用戶帶來了全方位的互聯網新服務，便利了人們的日常生活，但同時APP產品市場魚龍混雜、良莠不齊，也給移動互聯網安全帶來極大挑戰。

首先，通過APP不當使用個人信息的問題突出。現實中超越用戶授權和必要性限度抓取個人信息的情況不勝枚舉，非法使用、出售個人信息的違法行為也比比皆是，個人隱私遭到惡意泄露。第二，智能手機病毒形成明顯威脅。目前常見的智能手機安全威脅主要包括惡意代碼威脅（木馬）、應用程序中的隱蔽功能威脅、隱通道和安全漏洞/后門威脅、特殊功能和特定服務中的威脅以及針對相關基礎設施的威脅和針對數據內容的其他攻擊威脅。第三，利用APP從事違法活動的情況嚴重。有些不法商家為片面追求更多客戶數量，非法竊取手機通訊錄、聯系人信息，推送促銷廣告信息，引誘其他用戶安裝APP。據移動安全服務廠商網秦發布的報告，今年上半年，網秦查殺手機惡意軟件85970款，同比增長68.3%。

如何進行移動終端的安全設計呢？有人總結到，從硬件設計上，要能提供硬件隔離保護、安全的數據采集和傳輸、運行安全支付的獨立硬件模塊等手段保護用戶的關鍵信息。在操作系統層面上，要能支持可信運行環境，并提供唯一的SE訪問接口。訪問控制策略既可以來自業界標準，也可來自銀聯、銀行、運營商和集團用戶的定制需求。在應用層面上，要有手機防盜等應用。這樣，從軟件、硬件和操作系統層面上提供系統級別的安全保護和優化，從而使得移動終端更加安全。

中關村信息安全企業

重擊網絡“盜賊”

2014年11月30日，移動智能終端應用安全高峰論壇——暨企業移動智能終端安全標準合作協議簽字儀式在北京中華世紀壇紀念廣場成功舉辦。

2014年11月24日至30日，“首屆國家網絡安全宣傳周（以下簡稱宣傳周）”活動在全國掀起了一股宣傳網絡安全知識的熱潮。作為宣傳周的壓軸活動，本次高峰論壇借助“國家網絡安全宣傳周”平臺，充分發揮中關村信息安全產業聯盟（以下簡稱聯盟）行業引導作用，組織移動計算相關企業及專家，面向社會研討交流企業移動計算安全領域的新技術、新方法、新對策，提高企業對移動信息處理安全風險的意識，有效推動了我國企業移動信息化建設安全健康發展，為宣傳周活動畫上了完美的句號。

論壇由中關村信息安全產業聯盟主辦，公安部網絡安全保衛局、工信部通信保障局、北京公安局網絡安全保衛總隊、中關村管理委員會作為指導單位。論壇特別邀請到中央網絡安全和信息化領導小組辦公室副局長楊春艷、公安部網絡安全保衛局副局長兼總工郭啟全、工業和信息化部通訊保障局副局長李學林出席并致辭;中國工程院院士倪光南、原國家網絡信息安全技術研究所所長杜躍進及多位行業資深專家發表主題演講。論壇共有來自行業用戶、企業、媒體等近200人參加論壇。

國內最大的信息安全產業聯盟

隨著移動互聯網技術的飛速發展，移動終端、移動信息系統越來越廣泛地應用于政府公務、企業辦公和業務處理中，移動信息系統的安全問題也日益凸顯。如何應對移動智能終端應用帶來的新安全挑戰，與會專家從“移動操作系統安全問題”、“移動網絡安全研究”、“APP程序第三方電子簽名模式和實現路徑”、“移動智能終端安全等級規范研究”、“移動智能終端安全”、“企業與開放標準的關系”等方面進行了技術分享與探討。

中國工程院院士倪光南強調，不管是臺式或筆記本電腦還是平板電腦、手機、車載設備、智能電視等，都要用到操作系統，其它所有的應用都要在操作系統的平臺上運行，所有的信息都要通過操作系統來進行處理和管理。所以，要確保網絡信息安全，作為最基礎的設施——操作系統的安全非常關鍵。

縱觀我國移動信息系統產品及移動互聯網信息安全發展現狀，移動信息系統安全還處于初級階段，缺乏統一完備的規范體系，行業標準出臺迫在眉睫。通過向國際先進企業的合作模式學習，為了讓市場發揮資源配置的主導性作用，升級產業鏈，增強產業創新活力，在本次論壇上，中關村信息安全產業聯盟企業移動計算工作組召集中興通訊、華為、聯想、小米、奇虎360、中油瑞飛、聯信摩貝、安天、鼎普科技9家企業共同簽署企業移動智能終端安全標準合作協議。標準合作協議的簽署開啟了我國企業自發聯合制定網絡安全標準的新模式、新途徑，標志著由政府主導向企業自制的轉變，為網絡安全產業的發展提供了新的思路。

中關村信息安全產業聯盟企業移動計算工作組于2014年4月24日成立，開展的主要工作有：一、研究行業重大技術需求，推進、主導、制定企業移動技術標準;二、開展項目協作，組織實施重大技術創新項目和產業化專項;三、整合聯盟成員單位優勢，展開聯合技術攻關，集成產學研各方力量，建立企業級自主創新的平臺。

另外，中關村信息安全產業聯盟秘書長王海洋在會上介紹了聯盟發展情況。聯盟成立一年以來，成員單位已經發展到近百家。在2014年9月，公安部網絡安全保衛局成為聯盟業務指導單位。2015年，聯盟成員企業將達到數百家，成為國內最大的信息安全產業聯盟。