移动互联网信息安全分析

移动互联网信息安全分析

吴章瑜

吴章瑜

广东电信股份有限公司惠州分公司

摘要：随着移动互联网进入4G时代，带宽增加，数据流量增大，但与此同时安全威胁并未减少，因此移动互联网信息安全仍值得关注。本文分析了移动互联网信息安全威胁的来源、特点及危害，探讨并提出了移动互联网信息安全的对策。

关键词：移动互联网；信息安全

据中国互联网络信息中心（CNNIC）发布的《第36次中国互联网络发展状况统计报告》称，截至2015年6月，我国手机网民规模为5.94亿，手机上网使用率达88.9%。随着手机网民规模的持续增长，移动商务类应用也得到快速发展，其中手机支付、手机网购和手机旅行预订的用户规模分别达到2.76亿、2.70亿、1.68亿。再据国家计算机网络应急技术处理协调中心（CNCERT）报告[1]披露，订票、社交、论坛、浏览器等移动应用程序已成为数据暴露的新主体，移动互联网恶意程序逐渐从主流应用商店向小型网站蔓延，具有短信拦截功能的移动恶意程序大量爆发。这些事实说明移动互联网在带给人们工作、生活极大便利的同时，信息安全也面临着很大的挑战，因此本文对相关问题进行了探讨。

1移动互联网信息安全威胁

1.1威胁来源与类型

移动互联网包含移动网络、移动终端和应用服务三个要素，移动互联网信息安全威胁类型主要来自移动互联网络、移动互联网终端和移动互联网应用三个方面[2]。移动互联网安全威胁源自网络设备漏洞以及针对这些漏洞的攻击。移动互联网终端的安全威胁包括病毒、木马、钓鱼网站等对个人信息的盗取、攻击等。移动互联网应用的安全威胁主要是应用（一般是手机App）中包含的各种威胁，如恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为等8种类型。由于移动终端包含用户信息，因而以用户作为目标的攻击远比PC更为常见[3]。随着4G时代的来临，以大数据为特征的移动互联网面对更多的安全威胁，由于4G应用更为丰富，安全风险暴露更多；网络层面也面临更大安全风险；终端层面面临的威胁更加复杂[4]。

1.2主要安全威胁特点及危害

恶意扣费是指不法分子或不良商家使移动用户以隐蔽方式运行恶意代码，以达到订购各种收费业务或让用户终端支付的行为，例如业务订购地址中嵌入恶意代码，用户点击或访问后就被扣费，由于这一切都是在用户不知情下发生的，所以称为恶意扣费。信息窃取是指在用户不知情的情况下读取用户各种信息数据，如通讯录、通话记录、短信等；也包括在用户不知情的情况下就进行电话录音、拍照、摄像等，再将数据上传。远程控制是指在用户不知情的情况下安装可远程控制用户终端的程序，使用户终端成为“肉鸡”或“傀儡机”。恶意传播是指自动复制、传播恶意代码的行为，例如用户终端在不知情的情况下安装推广软件、发送推广短信等。资费消耗是指应用在用户不知情的情况下拨打电话、发送短信、上网等，以致消耗用户资费。流氓行为是指应用自动运行，占用用户终端资源（如CPU、内存）等，但却不能通过正常途径禁用、卸载或删除。可见，安全威胁使用户蒙受经济损失、带来不良的体验、还可能危害其他用户的利益，因此，对于移动互联网信息安全威胁必须采取适当的措施加以防范和处理。

2移动互联网信息安全措施

2.1安全威胁多发原因分析

如前所述，移动互联网信息安全威胁主要来自应用程序，由于我国手机用户习惯安装免费应用程序，这就给不法分子和不良商家以可乘之机。当然作为免费应用程序的开发者，为了生存常会在应用中嵌入广告，这还是比较温和的做法。很多不良商家为了尽可能多地盈利，在应用中有意留出后门，以方便收集用户信息或操控用户终端在非授权情况下订购SP业务。不法分子就更不用说了，通过各种渠道传播恶意软件，如固件刷入、应用植入、蓝牙传播等；不仅盗取用户信息，还利用掌握的银行卡、游戏等账号和密码直接盗取用户资金。应用网站为了吸引更多用户下载应用程序，缺乏严格安全检测的动力和积极性，使含恶意代码的应用程序有机会进入网站。通信服务商为应用下载提供网络连接，并收取流量费，虽开始在网络侧监测恶意应用，但手段并不完善。作为终端持有者，用户安全意识差，没有养成良好的安全习惯，这也是安全威胁多发不容忽视的一个重要原因。

2.2移动互联网信息安全的防范对策

根据信息学的观点，移动互联网信息传递是由信息输入、存储、处理、输出和反馈等环节组成，所以移动互联网信息安全主要包括信息存储安全、信息传输安全和信息处理安全几个方面。移动终端是移动互联网信息的存储载体，应用服务是移动互联网信息的处理载体，接入网络是移动互联网信息的传输载体，所以解决移动互联网信息安全问题应从移动终端、接入网络和应用服务开始。

对于接入网络和应用服务，要加强行业自律和国家监管，完善信息安全方面的法律，在防护技术方面应充分利用新技术来降低安全风险，重点应由系统和网络层面的安全防护转移到业务层面及用户数据保护方面。从用户角度看，培养安全上网习惯也是非常重要的。

按照国家信息安全等级保护思路，应根据信息及其载体的重要程度实施分级保护措施。移动互联网通常按照重要程度由低到高的顺序分为第一级到第五级。基础通信网络、手机终端、规模较大的App应用及App应用市场应采用三级防护，用户规模更大的移动社交、电子商务App应用应采用四级防护，中等用户规模的App应用可采用二级防护，小型App应用采用一级防护。

中国电信则依据CDMA网络自身的技术基础，分别在手机侧和网络侧进行加密处理，利用其独有的硬件加密系统，在每次通话时自动随机生成密钥。该项技术已通过国家商用加密认证，成为国内目前唯一的该级别认证资质。其安全防护特点还包括：语音加密安全可靠；采用端到端全程加密方式，每一次通话都会产生一个密钥；加密手机资料信息可隐藏，提高安全性；不用担心手机遗失，通过远程指令可擦除指定联系人的通讯录、通话记录等信息。

2.3移动互联网信息安全技术体系的构建

移动互联网信息安全问题较为复杂，通常可以分为信息内容安全、信息本身安全、业务应用安全及设备或环境安全四个层次。信息内容安全要求传播的信息不违反相关法律、不违背社会公德和不侵犯个人隐私等。信息本身安全即信息传播要通过加密和数字签名来保障，以保证信息的完整性、保密性及不可否认性。业务应用安全是指业务应用正常提供，采取防止被攻击、滥用、盗用、干扰等措施。设备或环境安全是指服务器、终端、网络的安全性，要有防盗、防尘、防攻击、防止入侵等措施。上述四个层面涉及移动网络、移动终端和应用服务三个要素，共同构成移动互联网信息安全的框架。

3结语

面对移动互联网的快速发展，应当理性看待安全威胁。随着业务的不断拓展，会不断产生新的风险和漏洞；因为有利可图，攻击者也不会停止攻击，因此没有一劳永逸的防范措施，正所谓“道高一尺，魔高一丈”。为了更有效地进行安全治理，还是应从切断黑色产业链做起。

参考文献：

[1]国家计算机网络应急技术处理协调中心.2014年中国互联网网络安全报告[M].北京：人民邮电出版社，2015.

[2]邓青殷，黄兆敏，洪真忠.移动互联网信息安全技术体系浅析[J].无线互联科技，2014（6）：3，8.

[3]黄斐一，孔繁盛.桌面和移动互联网信息安全研讨[J].移动通信，2014（23）：17-20.

[4]陈霖.4G时代移动互联网信息安全分等级防护策略探讨[J].湖南邮电职业技术学院学报，2014，13（2）：17-20.