移动互联网安全问题及其的对策.docVIP

移动互联网安全问题及其的对策 　　摘 要：本文根据移动互联网的特性，分析了影响移动互联网的安全因素，基于这些因素，分别从业务、网络、移动终端三个层面讲述了移动互联网存在的安全威胁及应对策略。同时也提出移动互联网的安全保障，需要全社会共同参与进行综合防范。 　　关键词：移动互联网；安全威胁；应对策略 　　随着3G应用日渐广泛，智能手机等移动终端的飞速增长，移动互联网正在一步步地改变我们的生活。同时，由于移动互联网本身的特性，也带来了诸多的安全威胁，移动网络上的安全问题日益凸显。360安全中心发布的《2013年中国手机安全状况报告》显示，2013年全年，Android平台新增恶意程序样本67.1万个，较2012年增长4.4倍；用户感染恶意程序9747万人次，较2012年增长了88.3%。 　　1 移动互联网的安全现状 　　自由开放的移动网络带来巨大信息量的同时，也给运营商带来了业务运营成本的增加，给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性，用户的上网模式和使用习惯与固网时代很不相同，使得移动网络的安全跟传统固网安全存在很大的差别，移动互联网的安全威胁要远甚于传统的互联网。 　　⑴移动互联网业务丰富多样，部分业务还可以由第三方的终端用户直接运营，特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务，虽然丰富了手机应用，同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。 　　⑵移动互联网是扁平网络，其核心是IP化，由于IP网络本身存在安全漏洞，IP自身带来的安全威胁也渗透到了移动互联网。在网络层面，存在进行非法接入网络，对数据进行机密性破坏、完整性破坏；进行拒绝服务攻击，利用各种手段产生数据包造成网络负荷过重等等，还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。 　　⑶随着通信技术的进步，终端也越来越智能化，内存和芯片处理能力也逐渐增强，终端上也出现了操作系统并逐步开放。随着智能终端的出现，也给我们带来了潜在的威胁：非法篡改信息，非法访问，或者通过操作系统修改终端中存在的信息，产生病毒和恶意代码进行破坏。 　　综上所述，移动互联网面临来自三部分安全威胁：业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。 　　2 移动互联网安全应对策略 　　2010年1月工业和信息化部发布了《通信网络安全防护管理办法》第11号政府令，对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战，运营商需要紧紧围绕“业务”中心，全方位多层次地部署安全策略，并有针对性地进行安全加固，才能打造出绿色、安全、和谐的移动互联网世界。 　　2.1 业务安全 　　移动互联网业务可以分为3类：第一类是传统互联网业务在移动互联网上的复制；第二类是移动通信业务在移动互联网上的移植，第三类是移动通信网与互联网相互结合，适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全： 　　⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配，能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用，应提供业务层的安全认证方式，如双因素身份认证，通过动态口令和静态口令结合等方式提升网络资源的安全等级，防止机密数据、核心资源被非法访问。 　　⑵健全安全审计能力。业务系统应部署安全审计模块，对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录，实施安全设计策略，并提供事后行为回放和多种审计统计报表。 　　⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统，定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估，确保拦截来自各方的攻击，保证业务系统可靠运行。 　　⑷增强对于新业务的检查和控制，尤其是针对于“移动商店”这种运营模式，应尽可能让新业务与安全规划同步，通过SDK和业务上线要求等将安全因素植入。 　　2.2 网络安全 　　移动互联网的网络架构包括两部分：接入网和互联网。前者即移动通信网，由终端设备、基站、移动通信网络和网关组成；后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。 　　⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全，3G以及未来LTE技术的安全保护机制有比较全面的考虑，3G网络的无线空口接入采用双向认证鉴权，无线空口采用加强型加密机制，增加抵抗恶意攻击的安全特性等机制，大大增强了移动互联网的接入安全能力。针对Wi-F