移动互联网安全问题分析及策略

明 芳， 彭亚雄

（贵州大学 计算机科学与信息学院，贵州 贵阳 550025）

0 引言

近几年，移动通信和互联网成为当今世界发展最快、市场潜力最大、前景最诱人的两大业务。来自2012年中国移动互联网产业应用大会数据显示，中国手机网民2012年第一季度超过3.7亿人，预计年底将达4.51亿[1]。数据高速增长的现象反映了越来越多的人希望在移动的过程中高速接入互联网，获取急需的信息。但是，正是由于移动互联网的高速发展，人们对移动互联网的需求越来越大，使越来越多的不法分子将黑手伸向移动互联网，从中牟取暴利，使移动互联网安全问题再次成为人们关注的焦点。移动互联网具有终端智能化、网络IP化、业务多元化的特点，相比传统的互联网具有更大的安全威胁。文中分析了移动互联网面临的安全问题，并提出了解决办法，同时分析了时下移动互联网安全热点问题。

1 安全分析

移动互联网具有终端智能化，网络IP化，业务多元化的特点。移动智能终端的出现，改变了行业生态，智能手机把通信行业、媒体和互联网行业自然整合在一起，平板电脑把PC、媒体和互联网整合在一起。由于移动互联网终端的移动性和业务的个性化，用户安全防范水平较低，黑色产业链开始伸向移动互联网，黑客的攻击目标进一步扩大，手机恶意软件呈现爆炸式增长。移动互联网在安全问题上所面临的挑战相比传统互联网要大很多，这是由其自身所具有的特性所决定的。移动互联网面临的安全威胁主要有以下4类：①网络安全；②终端安全；③业务应用安全；④内容安全。

1.1 网络安全

移动互联网不但破坏了传统互联网的安全网络环境，与此同时原有的通信安全也大大降低。另外因为移动互联网的接入方式有许多种，使其具有所有IP互联网所面临的安全威胁。另外，移动互联网新增家了无线空口接入方式，不法分子可以通过破解空中接口接入协议，监听和盗取在空中接口传递的信息。另外，大量恶意软件程序发起拒绝服务攻击会大量占用移动网络资源，一但恶意软件感染移动终端后，会强制移动终端不断向所在通信网络发送垃圾信息，使通信网络信息堵塞。而接入带宽的提升加剧了有效资源的恶意利用威胁。移动互联网网络还存在一个大的弊端，即：信令干扰。

1.2 终端安全

随着各种智能终端的出现及普及，使终端安全面临着更大的威胁。现阶段的智能终端操作系统都不是很完善，有很多安全漏洞还没有解决，这些情况导致用户在接收彩信，或者是通过手机浏览网页、下载安装软件等许多情况下都及有可能被病毒感染或是被病毒入侵。至今为止，出现的终端威胁主要有以下几类：①经济类危害：盗打电话（如悄悄拨打声讯电话），恶意订购SP业务,群发彩信等；②信用类危害：通过发送恶意信息、不良信息、诈骗信息给他人等；③隐私类危害：个人隐私信息丢失、泄露。如通讯录、本地文件、通话记录、上网记录、位置信息、日程安排、各种网络账户、银行密码等；④设备类危害：移动终端死机、运行慢、功能失效、通讯录被破坏、删除重要文件、格式化系统、频繁自动重启等；⑤窃听：通过安装恶意软件，可以拨打静默电话，使得移动终端变成一个窃听器；⑥骚扰电话，垃圾短信。

1.3 应用安全

目前，移动互联网的业务发展特点主要是固定互联网的业务复制，其业务发展方向主要是向融合了“移动”特征的业务创新方向发展。所以，移动互联网的业务系统环节相比传统互联网会更多，并且移动互联网应用会涉及到更多的用户信息及服务器信息，导致其信息安全问题相比固定互联网更加复杂。并且由于移动互联网用户数量相比固定互联网来说要大很多，各节点自组织能力比较强，同时会涉及到大量的私密信息和位置信息，因此有可能引发大规模的攻击和信息发掘[2]。移动互联网应用安全主要包括SQL注入、DDOS攻击、隐私敏感信息泄漏、移动支付安全威胁、恶意扣费、业务盗用、业务冒名使用、业务滥用、违法信息及不良信息等。

1.4 内容安全

对于移动互联网，其信息来源不但有互联网，还有移动网以及移动网与互联网结合所得的创新业务。例如：移动浏览、移动Web2.0、移动搜索、移动地图、移动,Mashup等。而这些信息通常都是公共信息，而非端到端通信。这让不法分子有机可乘，移动互联网上的不良信息、违法信息以及侵犯公民隐私的敏感信息等都不能进行有效过滤和检查，在监管上存在一定难度，使整个社会以及人们的生活受到非常大的危害。

2 解决策略

针对移动互联网的四类安全问题，应该可以从以下几个方面来解决：

1）网络方面：在用户与网络之间实行双向认证鉴权机制。首先，用户对网络透明，要充分利用好“可鉴权，可溯源”的技术优势，对于每一个接入网络的用户都进行严格的鉴权认证，并且绑定用户地址与用户身份，让可鉴权可溯源充分发挥其威慑作用，规范用户行为，加强对用户行为的控制，降低各种来自用户的安全威胁，从而使网络的安全强度整体上得到提高；其次，在移动互联网传输过程中，使用端到端的加密方法，以保证信息在传输过程中的保密性以及完整性。

2）终端方面：保证移动终端数据安全,预防最关键，管理手段为主,技术手段为辅[3]。可以在终端上设置密码，对用户身份进行认证，防止用户在终端上的数据泄露，另外，可以通过终端或远程服务器对已丢失的移动终端上的数据进行擦除，防止用户私密信息落入不法分子之手。再次，可以在移动终端上按照安装防病毒软件，防止恶意软件攻击。

3）业务方面：随着互联网应用的大幅度增加,使通信过程中对端的安全风险更大，用户在使用移动互联网业务时很有可能被病毒感染，以及受到木马等的攻击。因此需要对服务提供方进行严格认证,另外，应该使用严格的用户鉴权机制，防止非法用户侵入和攻击移动互联网应用平台，与此同时，使用防火墙对应用平台进行防护。最后，由于移动支付类应用往往包含大量用户隐私，应该加强对移动支付类应用防护的研究，防止交易出错，或者在交易过程中，用户信息被非法盗取，对用户造成损失。

3 安全问题热点

3.1 手机病毒

随着移动通讯业的飞速发展,黑客技术的不断成熟,以手机为攻击目标的手机病毒呈快速增长的趋势[4]。目前发展最为迅速的Android手机用户，遭遇恶意软件感染的几率比一年前增长了2.5倍；2010年南方某省曾经爆发“小媒体”病毒导致手机不能通信，更有恶意软件以及垃圾短信造成的话费纠纷难以完全统计。目前，主要有十大手机病毒：安卓吸费王、短信窃贼、短信大盗、X卧底、安卓窃听猫、电话吸费军团、电话杀手、联网杀手、跟踪隐形人、阿基德锁。手机的安全性受到威胁，手机用户很难畅快地享因此，各软件商以及通信运营商投入到与手机病毒的对战中，从应用软件程序的源头开始保障手机软件安全，另外，研发病毒查杀软件，治理垃圾短信，多管齐下，力争为用户打造一个绿色、安全的手机使用环境。

3.2 数据泄漏

灵活性、易用性、可操作性无疑是智能移动终端的最大优势，但是它在方便人们工作方式的同时，也给企业内部网络带来了极大的安全隐患。智能移动终端便于携带和使用，可以通过 WLAN/WiMax/3G/GPRS等方式接入内部网络访问和获取内部资源数据；网络数据传输通道未得到安全保护，存在数据窃听等泄密隐患；并且当设备丢失或被盗时，涉密信息将无法得到保护。如何防止内部数据泄露的安全问题，成为智能移动终端广泛应用的巨大挑战。随着技术的不断进步，应从移动终端用户身份安全、移动终端网络接入安全、网络数据通信安全、应用访问控制安全、数据存储与访问控制安全等多个环节，全面构建智能移动终端的数据泄露防护体系，为企业级移动互联网用户提供信息安全保障。

3.3 云计算安全

云计算是目前被广泛讨论的新兴计算机热点技术，目前各大IT巨擘都推出了自己的云计算产品，在商业领域发展迅速，并得到了越来越广泛的运用[5]。随着云计算技术应用的进一步深入,云安全也必将成为业界关注的焦点。云计算安全问题大致分为三个方面。第一，云计算服务提供商他们的网络是安全的吗，有没有别人闯进去盗用用户的账号？他们提供的存储是安全的吗？会不会造成数据泄密？这些都需要云计算服务提供商们要解决、要向客户承诺的问题。约束云计算服务提供商的行为和技术，需要国家出台相应的法规。第二，客户在使用云计算提供的服务时也要注意：在云计算服务提供商的安全性和自己数据的安全性上做个平衡，太重要的数据不要放到云里，而是藏在自己的保险柜中;或将其加密后再放到云中，只有自己才能解密数据，将安全性的主动权牢牢掌握在自己手中，而不依赖于服务提供商的承诺和他们的措施。第三，客户要保管好自己的账户，防止他人盗取你的账号使用云中的服务。从而提供分布、高效和低成本的安全服务。

4 结语

移动互联网无疑使生活更加便捷，但同时移动互联网的安全问题也成为人们在使用移动互联网时所担心的问题，并且，随着移动互联网的发展，同时产生了许多新的安全问题，例如手机病毒问题，病毒的种类及传播方式越来越多元化，对于新产生的问题，目前还没有很好的措施解决，同时随着云技术的发展，云计算在移动互联网方面的应用必将更加广泛，因此其随之带来的安全问题也是今后研究的重点。

[1]佚名.移动互联网应用安全分析报告[J].信息安全与通信保密,2012(10):40-49.

[2]郝江波,洪志国.对移动互联网的安全问题分析及对策[J].中国煤炭工业,2012(02):64-65.

[3]庞思铭,张万涛.移动终端安全问题探讨[J]信息安全与通信保密,2012(11):111-114.

[4]李锦.手机病毒特点及防范对策[J].通信技术,2009,42(02):253-255.

[5]李昭锐,吴学智,何如龙,等.浅析云计算的军事应用[J].通信技术,2011,44(09):120-122.