新形勢下移動終端安全需求和對策

李興新，郭曉花，侯玉華，陳禮波，曠 煒，齊 霄（中訊郵電咨詢設計院有限公司，北京 100048）

0 引言

伴隨5G網絡應用的普及和物聯網的發展，移動智能終端從最初的以智能手機為主，逐漸向形態多樣化、跨終端生態化的新階段演進。

當前，世界政治經濟形勢正在發生深刻復雜的變化，從單純的技術競爭變成國際政治經濟斗爭，信息安全也不再是單純的個人問題，成為國家網絡空間安全的重要組成部分，不僅僅關系到應用安全和行業安全，更成為國家戰略安全的關鍵環節［1］。

本文從終端生態所面臨的相關安全挑戰入手，論證了終端產業的安全需求和安全對策，并給出了安全建議。

1 移動終端發展新階段

1.1 市場規模進一步擴張

伴隨著設備廣連接和終端智能化發展，智能手機滲透率進一步穩步提升，移動終端的形態向多樣化、智能化的泛終端演進，市場規模大規模擴張。

整體上看，快速擴張的移動終端市場呈現以下幾個顯著特征［2］。

a）終端硬件性能大幅提升。終端芯片依舊遵循著摩爾定論快速迭代發展，尤其是移動終端領域發展更為迅猛，且同時伴隨著硬件成本下降，同價位終端設備中配置了更高性能的硬件，為提供更豐富的功能和性能做好準備。

b）終端操作系統發展迅猛。以iOS 和Android 為代表的智能手機操作系統繼續高速迭代，同時面向物聯網設備的輕型、實時操作系統走向前臺，促進移動設備快速進入智能時代。

c）終端形態多樣，類型豐富。在5G 技術推動下，智能手機、智能機器人、智慧大屏設備、智能可穿戴設備、智能家居、智能醫療、智能車載智能終端等智能硬件蓬勃發展，智能終端產業鏈和市場規模同步放大，形成以智能手機為代表的泛智能終端體系。

d）終端數據規模急劇擴大。形態多樣的智能終端是大數據的重要輸入輸出口。2020 年中國連接設備的數量已超過80億臺，物聯網市場產生數據已接近40 ZB，終端產生的收入和數據量呈現驚人的增長。中國物聯網連接量與增速如圖1所示［3］。

圖1 中國物聯網連接量和增速

1.2 移動終端生態構建

隨著5G網絡和商業模式的進一步成熟，移動終端從滿足個人移動應用需求轉向生態構建層面，業內廠商整合資源構建了智能家居、智能醫療、工業互聯網、車聯網等行業生態，推動移動終端進入一個嶄新的發展階段。在生態體系中，操作系統起到核心主導作用。鴻蒙產品發布中就描繪了分布式能力打造新硬件、新交互的全場景世界［4］，谷歌也緊急更新了其Fuchsia 產品狀態，可視作對鴻蒙的直接應對和正面競爭。

以智能手機領域的終端生態構建為例，華為基于鴻蒙全場景的、分布式優勢，以鴻蒙操作系統為中心，構建了覆蓋手機、電腦，以及更加豐富的物聯網（IoT）設備的華為全場景生態。基于華為麒麟、鯤鵬、凌霄和鴻鵠等系列芯片，以鴻蒙系統疊加華為云服務能力，實現芯片到系統、到云端的統一。

小米生態鏈覆蓋了從可穿戴設備（如智能手環）、家用機器人、智能家居、出行機器人到手機配件、VR、車載硬件等各類別智能硬件，整合了家庭場景、個人場景、AIoT 智能生活場景，以智能手機、OTT 大屏為主體構建了設備互聯的智能生活全場景生態［5］。

面向生態構建的移動終端發展模式，可以向用戶提供更良好的交互體驗，還將進一步推動產業向集群化、規模化、標準化發展。

1.3 國際競爭加劇

2018 年以來，中美貿易爭端導致全球化趨勢發生變局，美國利用其在技術和經濟領域的優勢，不斷拋出所謂“實體清單”，打壓中國科技發展，對移動終端產業發展產生極大影響。

移動通信市場是受影響較大行業之一。2018 年前，中國手機企業發展迅猛，在全球市場占有率穩步提升。面對美國的直接打壓，雖然中國企業迎難而上，積極調整產品布局，仍不可避免的出現波動。如圖2 所示，2020 年華為手機全球市場份額減少2.9%，同比下降21.5%［6］。

圖2 2019—2020全球前五智能手機廠商及市場占有率

在通信領域，中國企業克服重重困難，推動技術和產品繼續進步，在通信芯片、AI 芯片、通信設備、信息安全等領域都有突出成果。

席卷全球的新冠疫情，也對移動終端領域的產業結構產生深遠影響。先進制程的芯片制造成為競爭的焦點，各國紛紛布局并加大在芯片領域的投資和技術支持力度。

2 移動終端面臨的安全威脅

2.1 公眾市場

公眾市場面臨的移動終端安全威脅，排首位的仍舊是騷擾電話、詐騙電話、垃圾短信等通信欺詐行為。移動互聯網惡意程序通過智能終端竊聽用戶通話，竊取用戶信息，破壞用戶數據，擅自使用付費業務，發送垃圾信息，推送廣告或欺詐信息，影響移動終端運行，危害互聯網網絡安全。

移動互聯網惡意程序數量逐年增長，持續侵犯廣大移動用戶的合法利益，具體如圖3所示。

圖3 我國移動互聯網惡意程序規模趨勢

2.2 政企安全市場

電子政務加速向數字政府轉型是“十四五”期間數字化轉型面臨的重要任務，其中移動終端是重要載體，且其便利性對數字化轉型有著顯著的促進作用。其他如金融、能源、交通、公共事業以及工業信息化、電子商務、城市信息化等信息領域，對移動辦公都有迫切的需求。相應的，移動辦公的數據和業務安全問題是亟待解決的問題。

對政企行業移動應用的安全威脅，首先來自國際上涵蓋軍事、經濟和科技等領域的網絡安全博弈。2018年美國發布的《美國國家網絡戰略》［7］將中國視作網絡安全方面的防范對象和競爭對手，國際網絡空間長期走向博弈狀態［8］。根據“棱鏡門”事件暴露的信息，美國利用其互聯網和信息技術優勢，對各國實施了長期的網絡監聽和數據竊取，除了國家機密以及政府公務信息外，商業信息、個人信息都在美國監聽之列，此類威脅使得涉及國計民生的領域和行業對信息安全需求迫切。

除了外部環境風險，數據泄露、技術漏洞、管理不善等因素也是造成我國網絡安全環境形勢嚴峻的重要原因。在顯著進步的網絡基礎設施建設之外，網絡信息安全的投入和建設明顯滯后，對數據資產的重要性認知不足，存在著數據泄露風險；信息安全產業發展不到位，我國的信息化建設一定程度上還依靠國外技術，技術漏洞風險難以把控；以及工作中對信息安全的操作規程和管理規章執行不到位，社會的信息安全意識相對淡薄等。

2.3 終端產業安全

我國移動終端產業的關鍵器件和技術上仍受制于人，尤其是移動終端中涉及的硬件芯片和終端操作系統等產品對外部供應鏈依賴度較高。

移動終端的硬件芯片高度依賴蘋果、高通、MTK、三星等外部廠商。以5G SoC芯片占有率為例，2020年第4 季度中國5G 手機芯片市場對外依賴度超過80%。由于華為受到美國制裁，預計這一比例還將繼續提高。

在智能手機操作系統市場，2019 年iOS 和Android市場份額占比合計已超過98%，幾乎已完全壟斷。

隨著國際競爭形勢走向政治化，我國整個移動終端產業面臨顯著的安全威脅，隨時可能面臨無芯片可用、無操作系統可用的困境。2021年4月，公開的美國國會代表的郵件中顯示，考慮將對中國華為的許可禁令范圍擴大至設計14 nm 以下芯片的所有中國公司。此舉將“鎖死”中國大陸芯片先進產能擴張，使得終端廠商無法使用先進芯片，整個行業將陷入萎縮或休眠。

3 移動終端安全對策

3.1 國家戰略層面

2018 年4 月，在全國網絡安全和信息化工作會議上，習近平總書記提出了網絡強國戰略思想［10］，為解決移動終端安全威脅提供了綱領性指導。

建設網絡強國是提升國家綜合國際競爭力的必由之路，通過網絡化和信息化帶動現代化和市場化，引領再工業化，重構社會的生產力和生產關系，推動網絡安全和信息化事業全面發展。業內預計在國家戰略指導下的網絡基礎設施建設投資規模將突破3 000 億元，極大地推動5G、工業互聯網等產業的快速發展，這是奠定我國未來數字經濟的“硬件”基礎。

網絡強國戰略要求加強與網絡強國相適應的軟硬件建設，進一步強調關鍵基礎設施的安全，倡導推進網絡關鍵技術自主創新和關鍵設備國產化，著力實現關鍵技術自主可控，為維護國家安全、網絡安全提供技術保障。在移動終端領域，推動實現在芯片技術、操作系統以及CPU 等關鍵技術領域實現大的突破，以技術創新應對和解決移動終端的產業安全問題。

3.2 技術創新驅動產業發展

黨的十九大以來，黨中央全面分析國際科技創新競爭態勢，深入研判國內外發展形勢，針對我國科技事業面臨的突出問題和挑戰，堅持把科技自立自強作為國家發展的戰略支撐，堅持把科技創新擺在國家發展全局的核心位置，全面謀劃科技創新工作，牢牢把握建設世界科技強國的戰略目標，充分發揮科技創新的引領作用，努力在原始創新上取得新突破，在重要科技領域實現跨越發展，推動關鍵核心技術自主可控，加強創新鏈產業鏈融合，加快建設科技強國，實現高水平科技自立自強。

在通信行業，我國從2G 時代的一無所有、3G 時代初登舞臺、4G 時代并跑，5G 時代已經成為領跑者，這一步步發展與多年來持續加強核心技術研發密不可分。掌握核心技術是保障國家安全和終端產業安全的關鍵。

移動終端產業在芯片、操作系統、信息安全技術等方面的技術短板，必須且只能依靠核心技術的自主創新來解決。一方面業內廠商依托國家頂層設計和政策支持，整合優勢資源，探索合作機制，持續迭代產品以適應不斷發展的技術和使用需求，提升行業自主創新能力；另一方面，國家積極推動自主的芯片和操作系統等核心技術產品在重點領域的產業化應用。技術研發和產業應用互相促進，共同培育技術生態和應用生態，打造自主可控的移動終端產業鏈體系。

進一步的，還應鼓勵和加強對終端安全架構的研究。建立主動防御的移動終端安全體系，結合自主芯片、自主操作系統等核心技術，共同構成我國獨有的自主安全優勢，保障重點領域、重點行業的安全，以全面的技術創新驅動移動終端信息安全產業的發展。

3.3 終端個人信息安全防護

經歷多年的安全技術演進，圍繞智能手機的終端個人信息安全解決方案已經逐步趨于完善。

針對騷擾電話、詐騙電話、垃圾短信等通信欺詐行為，工信部協調組織運營商和多個政府部門，已形成了通信技術層面預警與行政管理層面封堵相結合的聯防聯控機制，2020 年通信欺詐數量已呈下降趨勢，反欺詐工作已取得初步成效，相關安全形勢回緩。

運營商積極履行反欺詐的職責，整合并利用自有通信資源和能力，基于網絡數據，通過詐騙網址識別、APP 應用分析與識別、黑灰產框架特征萃取等分析研判能力，面向互聯網詐騙、電話和短信詐騙等全業務場景，為人民群眾提供識別預警和全網封堵服務，有效解決電信詐騙等社會性難題。運營商反欺詐系統的框架如圖4所示。

圖4 運營商反欺詐系統框架

針對木馬、病毒等移動互聯網程序，通信和互聯網廠商已推出多款功能全面的手機管家類安全應用，實現病毒查殺、漏洞掃描、自啟動管理等功能，并支持系統優化、數據清理等輔助功能，基本可滿足普通用戶對個人信息安全防護的需求。

個人信息安全防護應是技術手段與個人安全意識的結合，在部署網絡安全防護、終端安全管理的同時，還應提高個人防范意識，提高個人安全能力水平。

3.4 構建端云協同的主動防御安全防護體系

現有面向公眾的終端安全防護手段，無法滿足政企等涉及民生和國家安全等領域的安全需求。加強主動安全防護體系研究和建設，通過“端”與“云”有效協同，建立統一的整體加密與安全防護體系，達到主動防御的高階安全能力保障，積極響應和對抗不斷衍生的未知性風險。

端云協同主動防御的安全防護體系涵蓋移動終端使用過程中的各個環節。終端側建立硬件層、操作系統層、應用層等多個層面的安全防護，云端圍繞云安全和平臺安全部署數據和業務的安全服務，端云協同達到端到端加密、數據安全存儲、遠程安全管控、應用系統安全保障等防護。圖5是端云協同防護體系示意圖。

圖5 端云協同整體加密的安全防護體系示意圖

整體安全防護體系，包含以自主硬件和自主操作系統為基座的移動終端，疊加基于國密技術的加密和隔離機制，整合利用云端資源及能力，建立打通端側、平臺側的安全的全業務流程。

終端側致力于打造對應用和數據的可信執行環境TEE，以終端架構性安全設計實現端側全方位防護。終端防護貫穿了硬件平臺、智能終端操作系統和安全應用的設備架構，并通過應用國密加密芯片對數據在存儲和傳輸過程中的加密保護提供加固防護，通過對數據生成、使用和傳輸各環節的隔離和審計保障數據安全，并部署使用硬件級加密保護機制、安全啟動和防刷機保護機制等。

網絡側安全能力包括針對設備的網絡接入提供身份認證和接入安全管理，針對終端業務連接和交互提供加解密、云數據保護、業務安全審計，針對專用移動終端的設備管控等，集中打造云端的安全能力平臺。

針對安全傳輸需求，運營商的5G安全專網可構筑統一開放的網絡安全能力，為垂直行業客戶提供各類安全服務：通過對網絡中的密碼算法、5G 認證協議和安全知識庫等安全資源的抽象和封裝，為加密傳輸業務提供認證服務、信用服務、入侵檢測等，使其高效安全地實現信息安全服務；通過開放安全資源池，以網絡切片技術和邊緣計算為基礎，引入全新的AI、大數據分析、主動防御等技術，實現對垂直行業網絡的深層次安全加固。支持按需定制的5G網絡，進一步提升了運營商移動安全服務能力。

運營商基于端云協同、主動防御的設計理念，以自有的通信業務為載體，面向政企行業推出了安全通信業務，并以此為基礎形成移動安全OA、視頻會議、終端管控等一系列安全辦公應用，融合安全終端和安全云端資源，逐步形成了針對移動辦公行業需求的端云協同安全體系。

4 結束語

移動終端行業從面向個人的智能手機發展到面向政企行業的業務終端，并呈現生態化發展趨勢，其安全影響到信息、行業甚至國家安全。因此，持續研究移動終端的安全威脅問題并探索行之有效的解決方法，營造安全的移動互聯網環境，助力安全可信的網絡空間建設是每個中國企業的使命和責任。業內廠商應以自主芯片平臺、自主操作系統、國密算法等自主技術為基礎、基于端云協同主動防御的安全設計理念、建立復雜網絡下的主動防御體系，建立可信認證的網絡信任體系，并融合5G 網絡技術和5G 行業應用，建立產業安全標準體系，形成移動信息安全領域核心技術和安全產品解決方案。