掘金移动互联网安全.pdfVIP

掘金移动互联网安全 哪里需要 安全“ ”，哪里就有 “战场 ”。互联网的发展热潮从固定转向移动，安全的 “战场 ”也从传统桌面 转移到移动终端。移动互联网时代的到来，为安全产业带来新的契机，而当我们跨进这扇大门四处 观察后发现，一些互联网的掘金者已经先一步到来。 众所周知，在互联网信息安全领域进行着两场旷日持久的战争，一场是安全产品与病毒、木马、流 氓软件、网络诈骗之间的战争，另一场是某些功能相近的安全软件在网民桌面掀起的内战。理想情 况下，我们希望互联网世界一片安定祥和，但是，在现实中人们尚不能建立 路不拾遗、夜不闭户“ ”的 理想之邦，更不要寄希望于遍布隐蔽、阴暗角落的互联网，所以第一场战争的存在是必然的。而对 于安全产品的内战，我们极不愿意看到，却又无可奈何地接受 —— 将所有的责任都推给厂商是不合 理的，因为 免费“ ”是他们的商业模式，而非发展公益和慈善事业。 在红海中逐利，移动互联网照搬了传统互联网的竞争模式，安全领域也未能幸免。移动信息安全涉 及的内容也大体类似，终端物理安全、系统安全、应用安全、数据安全等等。当然，移动互联网下 终端设备的移动属性使得物理安全较固定设备更为突出，而目前尚未形成统一可行的防范方法；移 动支付、移动金融的崛起又将系统和业务安全重新定义，带来更多的 宝藏“ ”。 移动互联网安全 终端安全先行 移动互联网伴随移动终端的出现而诞生，又随着智能移动终端的普及而发展成熟。今天，人们手中 的智能设备已经集掌上计算机、 MP3 、游戏机、相机、 GPS 等多种功能于一体，不仅可以使用互联 网服务、数据计算、文件存储，还可以实现多媒体娱乐、数码影像摄制等用途。现在，这些智能设 备已经深入人们工作、学习、生活的方方面面，其业务应用也越来越多地涉及商业秘密和个人隐私 等敏感信息，所以它的安全性变得更加重要。 与桌面 PC 的情况相同，移动智能设备面临多种安全威胁，比如病毒、木马等恶意软件入侵，设备 丢失，数据泄露等等。智能设备系统安全领域早已是一片红海，安全产品内战的激烈程度与桌面端 有过之而无不及。好在经历了几次 战火纷争“ ”之后，用户已经明白这些安全产品争斗的实质，所以 这类争斗的反面效果越来越明显，到现在战火虽未停息，但也不再像以前那样喧嚣。 人们需要安全的移动互联网，需要真正的终端安全，因此，一些标准化组织针对移动终端提出了信 息安全技术要求，比如中国通信标准化协会（ CCSA ）明确提出移动终端需提供措施保证系统参数 和数据、用户数据、密钥信息和证书以及应用程序的完整性、机密性，终端关键器件的完整性、可 靠性以及用户身份的真实性。 CCSA 规定移动终端应用开发、设计时应充分考虑和提供一系列安全策略：对操作系统、应用程序 和终端关键器件进行一致性检验；对用户的身份进行认证然后根据用户的授权提供资源及对象的访 问和操作权限；对终端的密钥、证书、系统数据和用户数据等进行有效的安全管理，保证存储数据 的安全；对终端各种接口提供接入安全控制，安全的接入各种网络；终端中的关键器件还应具有抵 抗防篡改等物理攻击的能力，以提高移动终端的自身安全防护能力。 对安全标准的研究和认证服务，是第一处值得思考的 宝藏“ ”。 不过，在全球范围内移动智能设备的硬件方案屈指可数，以智能手机为例，芯片方案仅有高通、 苹果、三星、英特尔、联发科、美满电子、华为海思等，而软件系统平台更少，由苹果 ios 、谷 歌Andriod 和微软 Windows Phone 统领。因此，不论是硬件还是应用软件的安全认证，系统级别的 认证离不开大平台的支持，所以在应用层面发挥的余地更大。 围绕终端安全的周边，依然大有可为。目前面市的一些终端采用了生物特征识别认证，过去在笔记 本电脑上比较普遍，如今在摩托罗拉、苹果手机上都相继出现。这是安全的另一种思路，从硬件上 进行安全保护，比打着免费的旗帜在用户那里扮演 炸弹“ ”要高明得多。另外，移动终端往往配备最 先进的无线传输功能，比如最新标准的蓝牙 4.1 、NFC 等，都是移动场景下带来的应用，瞄准无线 传输的安全，也能挖出 宝藏“ ”。