警惕！移動(dòng)智能終端信息安全

王歡

移動(dòng)互聯(lián)網(wǎng)需要全新移動(dòng)安全解決方案，安全開(kāi)放平臺(tái)成為了網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)。

據(jù)2014年統(tǒng)計(jì)，中國(guó)智能手機(jī)用戶已經(jīng)突破5億。2015年第一季度，移動(dòng)支付業(yè)務(wù)13.76億筆，金額39.78萬(wàn)億元，同比分別增長(zhǎng)108.85%和921.49%。根據(jù)普華永道數(shù)據(jù)統(tǒng)計(jì)，中國(guó)消費(fèi)者使用移動(dòng)支付意愿比例為63% ，是全球平均值的兩倍。

但是，當(dāng)前中國(guó)移動(dòng)互聯(lián)網(wǎng)的安全現(xiàn)狀并不容樂(lè)觀。近年來(lái)，手機(jī)軟件所導(dǎo)致的個(gè)人信息泄露問(wèn)題變得日益突出，引起社會(huì)各方的關(guān)注。

安全現(xiàn)狀不容樂(lè)觀

通過(guò)智能手機(jī)、平板電腦等移動(dòng)終端，收發(fā)郵件、洽談業(yè)務(wù)、傳送圖文資料等是每個(gè)政府部門(mén)、企事業(yè)單位以及商務(wù)人士的都會(huì)涉及的工作。移動(dòng)辦公因其便捷、高效、節(jié)約成本等優(yōu)勢(shì)正在成為許多單位的選擇，而與之相伴的安全威脅實(shí)則讓用戶頭疼不已。由于移動(dòng)辦公接入硬件設(shè)備的多樣性，且大部分無(wú)健全的安全防護(hù)措施，使得信息安全問(wèn)題異常凸顯。如今，智能手機(jī)的安全隱患主要體現(xiàn)在以下六個(gè)方面：

手機(jī)賬戶的安全問(wèn)題日益凸顯。國(guó)內(nèi)的支付寶、微信支付、百度錢(qián)包以及各大銀行的手機(jī)銀行、網(wǎng)銀等都出現(xiàn)過(guò)用戶賬號(hào)密碼泄露或綁定銀行卡后被盜刷和轉(zhuǎn)賬的案件。

垃圾短信橫生、垃圾號(hào)碼偽裝成了易事。黑基站、偽基站的架設(shè)使得利用來(lái)電和短信的詐騙活動(dòng)層出不窮，由于調(diào)查難、取證難、破案率低，成為各地公安部門(mén)棘手的案件類別。

偽WIFI熱點(diǎn)竊取各類賬號(hào)和手機(jī)內(nèi)信息。將路由器或手機(jī)偽裝成公共WIFI熱點(diǎn)是輕而易舉的事情，許多人在公共場(chǎng)所因?yàn)椴渚W(wǎng)而極有可能連上偽裝的WIFI熱點(diǎn)，被過(guò)濾捕捉到賬號(hào)信息、應(yīng)用口令等敏感信息，后果不堪設(shè)想。

非法的二維碼讓機(jī)主一掃就中毒。二維碼作為使用方便的引導(dǎo)入口，被廣泛運(yùn)用于商業(yè)和公共事務(wù)中，也導(dǎo)致其成為主要的惡意網(wǎng)站和病毒木馬誘導(dǎo)方式。用戶見(jiàn)碼就掃的行為，會(huì)輕而易舉導(dǎo)致手機(jī)中毒中馬。

植入木馬的手機(jī)瞬間變成竊聽(tīng)器和定位器。激活的木馬極易暴露機(jī)主的隱私，泄漏機(jī)主的行蹤，甚至遠(yuǎn)程控制打開(kāi)攝像頭，讓用戶的信息在不知不覺(jué)中被挖掘一空，使機(jī)主的個(gè)人隱私、賬號(hào)密碼、商業(yè)機(jī)密甚至國(guó)家安全信息被竊取，蒙受無(wú)法想象的損失。

智能手機(jī)內(nèi)核芯片缺乏主導(dǎo)權(quán)導(dǎo)致大隱患。斯諾登事件就爆出美國(guó)安全部門(mén)責(zé)令微軟、谷歌、Facebook、蘋(píng)果等軟硬件廠商提供后臺(tái)服務(wù)器接口，以數(shù)據(jù)進(jìn)行分析。對(duì)于沒(méi)有技術(shù)軟硬件主導(dǎo)權(quán)的其他國(guó)家，隱患很大。

此外，用戶對(duì)移動(dòng)安全威脅的認(rèn)知不盡人意，很多用戶在個(gè)人信息保護(hù)方面意識(shí)不夠，對(duì)于很多個(gè)人信息泄露帶來(lái)的危害不甚了解，在手機(jī)軟件個(gè)人信息泄露方面沒(méi)有保持足夠的警惕性，這就給手機(jī)軟件安全隱患打開(kāi)了方便之門(mén)。同時(shí)，外部情報(bào)間諜、競(jìng)爭(zhēng)對(duì)手通過(guò)各種技術(shù)手段竊取政府部門(mén)和企業(yè)機(jī)密；內(nèi)部員工疏于管控，使用不安全的通訊方式無(wú)意中造成泄密。兩種情況都會(huì)對(duì)用戶造成無(wú)法挽回的損失。導(dǎo)致政府機(jī)關(guān)、事業(yè)單位重要機(jī)密信息，企業(yè)產(chǎn)品資料、制作工藝、客戶資料、合同報(bào)價(jià)等重要商業(yè)機(jī)密被有意或無(wú)意中通過(guò)手機(jī)或網(wǎng)泄露，企業(yè)為此付出了沉重的代價(jià)。

2013年是移動(dòng)安全問(wèn)題進(jìn)入全面爆發(fā)的新階段：2013年安卓（Android）平臺(tái)新增惡意程序樣本67.1萬(wàn)個(gè)，較2012年增長(zhǎng)4.4倍；用戶感染惡意程序9747萬(wàn)人次，較2012年增長(zhǎng)了88.3%，其中資費(fèi)消耗、惡意扣費(fèi)、隱私竊取和誘騙欺詐類惡意程序的感染量最高用戶手機(jī)感染惡意程序后面臨直接經(jīng)濟(jì)損失的可能性達(dá)到了近七成。根據(jù)《2014年中國(guó)手機(jī)安全狀況報(bào)告》，手機(jī)木馬近似模仿流行APP成最新趨勢(shì)，竊密木馬偽裝成系統(tǒng)軟件是其傳播和加載的常用手段，極具隱蔽性。2015年互聯(lián)網(wǎng)安全中心累計(jì)截獲Android平臺(tái)心中惡意程序樣本達(dá)326萬(wàn)余個(gè)，較2013年增長(zhǎng)了3.86倍。手機(jī)一旦被木馬控制，可能會(huì)發(fā)生手機(jī)中存儲(chǔ)的文本信息、通訊錄被竊??；持機(jī)人的環(huán)境音被竊聽(tīng)，使手機(jī)成為一部竊聽(tīng)器；持機(jī)人的地理位置信息被掌握；通話信息、收發(fā)短信的內(nèi)容被截取。

鑒于目前信息安全的嚴(yán)峻形式，我國(guó)對(duì)涉密網(wǎng)絡(luò)、涉密人員的管理成為國(guó)家安全保密工作中的當(dāng)務(wù)之急。2014年1月17日在全國(guó)保密工作會(huì)議上，中共中央政治局委員、中央保密委員會(huì)主任栗戰(zhàn)書(shū)強(qiáng)調(diào)：“做好新形勢(shì)下的保密工作，要增強(qiáng)憂患意識(shí)、創(chuàng)新意識(shí)和責(zé)任意識(shí)，聚焦重點(diǎn)難點(diǎn)，打好‘持久戰(zhàn)、‘攻堅(jiān)戰(zhàn)，要從制度和技術(shù)上做好對(duì)智能手機(jī)的技術(shù)安全防護(hù)工作。”2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，習(xí)近平親自擔(dān)任組長(zhǎng)，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)提升到國(guó)家層面。各地黨政機(jī)關(guān)等重要單位和部門(mén)，都加大了對(duì)手機(jī)、涉密網(wǎng)絡(luò)、涉密人員的安全防護(hù)與保密管理工作的力度。國(guó)家高度重視國(guó)產(chǎn)密碼產(chǎn)品和技術(shù)的研究，特別是現(xiàn)在國(guó)家商用密碼管理部門(mén)更是對(duì)網(wǎng)絡(luò)安全方面提出了應(yīng)用生產(chǎn)密碼產(chǎn)品的要求。

安全防護(hù)要對(duì)癥下藥

如今，移動(dòng)互聯(lián)網(wǎng)需要全新移動(dòng)安全解決方案，安全開(kāi)放平臺(tái)成為了網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)。因此，未來(lái)對(duì)不同使用智能手機(jī)的對(duì)象需要采取不同的加密防護(hù)：

對(duì)相關(guān)需保密單位的工作人員的智能手機(jī)、通訊工具進(jìn)行加密防護(hù)。由于工作性質(zhì)的原因，一些重要崗位的工作人員（如政府工作人員、敏感崗位人員、有商業(yè)機(jī)密需要保守的企業(yè)人員）在使用智能手機(jī)的過(guò)程中，可能會(huì)涉及到敏感、重要信息（工作類的敏感文件信息、通訊數(shù)據(jù)傳輸安全等方面），需要進(jìn)行技術(shù)安全防護(hù)，以防止被人竊取而造成失泄密。通過(guò)某些手機(jī)安全產(chǎn)品，可以為這些單位用戶的智能手機(jī)提供加密服務(wù)，以集團(tuán)用戶的方式接入。加密的方式可以用公司已有的產(chǎn)品，也可以根據(jù)用戶的特殊需求量身定制。目前，加密手機(jī)只能提供加密通話功能，在手機(jī)App應(yīng)用防護(hù)、木馬查殺、辦公運(yùn)用、文件傳輸?shù)溶浖矫娴姆雷o(hù)和普通智能手機(jī)的防護(hù)功能一樣。

為高端人群提供智能手機(jī)的加密服務(wù)。目前移動(dòng)智能平臺(tái)惡意程序泛濫，竊密行為頻發(fā)、用戶個(gè)人信息受到嚴(yán)重威脅的現(xiàn)象，加強(qiáng)智能手機(jī)的個(gè)人隱私保護(hù)已經(jīng)越來(lái)越引起人們的重視。因此，為重要工商界人士、白領(lǐng)階層、注重個(gè)人隱私保護(hù)的人群等提供加密服務(wù)，以保障商業(yè)秘密、個(gè)人隱私不被泄露已成為許多公司的重要加密產(chǎn)品。這種產(chǎn)品的服務(wù)方式是通過(guò)與運(yùn)營(yíng)商合作，在運(yùn)營(yíng)商的增值服務(wù)中增加隱私保護(hù)的內(nèi)容。

為喜歡手機(jī)支付的新消費(fèi)觀念人群提供技術(shù)安全保障。當(dāng)前，通過(guò)手機(jī)來(lái)支付各種費(fèi)用，或是進(jìn)行家電的智能化控制，已經(jīng)越來(lái)越多的被人們所接受。但是由于手機(jī)本身的技術(shù)缺陷，通過(guò)手機(jī)進(jìn)行支付、家電智能控制等操作時(shí)存在著很大的風(fēng)險(xiǎn)。通過(guò)與運(yùn)營(yíng)商的合作，在增值服務(wù)中對(duì)操作系統(tǒng)的加密防護(hù)，可以增強(qiáng)手機(jī)本身的安全性能，以保障用戶的使用安全。

除此之外，還要培養(yǎng)個(gè)人使用智能手機(jī)的安全意識(shí)。首先，不要“見(jiàn)碼就掃”，防止被導(dǎo)入病毒木馬鏈接入口；其次，不要貪圖免費(fèi)WIFI熱點(diǎn)，在確定是安全信號(hào)源之前，不要連接，防止信息被過(guò)濾分析，賬號(hào)被竊；第三，經(jīng)常檢查已安裝的手機(jī)應(yīng)用，發(fā)現(xiàn)不明應(yīng)用程序或異常流量，要卸載；第四，不要輕易相信帶有“中獎(jiǎng)”、“獵奇”類的短信，尤其不要點(diǎn)擊這類誘惑性短信中的網(wǎng)址鏈接；第五，對(duì)手機(jī)支付始終保持警惕性，要加入多重認(rèn)證，防止手機(jī)銀行用戶名和口令被盜；第六，國(guó)家政府部門(mén)和涉密部門(mén)，避免使用QQ、微信等大眾類即時(shí)通訊軟件，要使用經(jīng)過(guò)國(guó)家密碼管理部門(mén)認(rèn)證的應(yīng)用軟件，處理敏感信息和工作信息；最后，政府機(jī)關(guān)保密、安全部門(mén)人員，需使用專業(yè)的木馬、病毒查殺工具，定期對(duì)工作手機(jī)進(jìn)行查殺。

（作者單位：浙江省杭州市保密技術(shù)檢查中心）